Vergleichsbox
zurück
DSGVO Grafik DSGVO Grafik
Revidiertes Datenschutzgesetz (DSGV0): Was verändert sich für Unternehmen? (Symbolbild)

Revidiertes Datenschutzgesetz ab Sept. 2023 – Was ist neu? Die wichtigsten Veränderungen und notwendigen Massnahmen für Unternehmen

Dr. Maria Comos-Birmanns

Am 1. September 2023 soll in der Schweiz das neue Datenschutzgesetz (revDSG) in Kraft treten. Für die Bevölkerung bedeutet dies mehr Transparenz und Rechte hinsichtlich der eigenen Personendaten. Unternehmen werden verpflichtet, die Verarbeitung und Speicherung der Daten ihrer Kund/innen und Mitarbeiter/innen entsprechend dem revidierten Gesetz anzupassen. Der folgende Blogbeitrag geht auf die Notwendigkeit der Revision des Datenschutzgesetztes (DSG) ein und fasst die wichtigsten Veränderungen sowie notwendigen Massnahmen für Unternehmen zusammen.

Warum braucht es ein revidiertes Datenschutzgesetz?

Das aktuelle DSG der Schweiz stammt aus dem Jahr 1992 und wird aktuellen Technologien wie Social-Media-Plattformen oder Cloud-Diensten nicht mehr gerecht. Eine Revision ist daher längst überfällig. Des Weiteren soll das Schweizer DSG mit der europäischen Datenschutzgrundverordnung (DSGVO) interoperabel werden. Der Datenverkehr zwischen der EU und der Schweiz soll wieder ungehindert möglich sein und Schweizer Unternehmen behalten so ihre Wettbewerbsfähigkeit.

Was sind die wichtigsten acht Neuerungen für Unternehmen?

  1. Vom neuen Datenschutzgesetz sind nur die Daten natürlicher Personen betroffen, nicht mehr die Daten juristischer Personen.
  2. Genetische und biometrische Daten sind per Definition besonders schützenswerte Daten.
  3. Einführung der Grundsätze "Privacy by Design" und "Privacy by Default": "Privacy by Design" bedeutet, dass der Datenschutz bei der Entwicklung von Soft- und Hardware von Beginn an berücksichtigt wird, sobald Personendaten verarbeitet werden sollen. "Privacy by Default" bedeutet, dass der Datenschutz durch datenschutzfreundliche Voreinstellungen bereits gewahrt werden soll. So sollen auch wenig technik-affine Nutzer/innen geschützt werden, die selbst keine Datenschutzeinstellungen nach ihren Präferenzen anpassen können.
  4. Die Folgen der Datenverarbeitung von Personendaten sind vorab zu bewerten, sofern ein Risiko für die Persönlichkeits- oder Grundrechte besteht.
  5. Die Ausweitung der Informationspflicht: Bei der Erfassung jeglicher Personendaten muss die betroffene Person informiert werden. Ein Beispiel sind Consent-Banner, beim Aufruf von Webseiten.
  6. Die Obligatorisches Verzeichnis der Datenbearbeitungsaktivitäten. Hier besteht jedoch eine Ausnahme für KMU, wenn von einem geringen Risiko der Verletzung von Persönlichkeitsrechten auszugehen ist.
  7. Die zeitnahe Meldung an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) bei Verletzung der Datensicherheit.
  8. Aufnahme des Begriffs Profiling in das DSG. Unter Profiling versteht man die automatisierte Verarbeitung von Personendaten
    (vgl. Neues Datenschutzgesetz (revDSG), Zugriff 14.10.2022)

Checkliste: Welche Massnahmen müssen Unternehmen umsetzen?

  1. Prüfung sämtlicher Datenschutzerklärungen, online (Webseite, …) und offline (Verträge, …).
  2. Erstellung oder Überprüfung der Richtlinien zur Datenverarbeitung im Unternehmen.
  3. Anlegen und Führen eines Verzeichnisses sämtlicher Datenbearbeitungsaktivitäten. Ausnahme: KMU, d. h. Unternehmen mit weniger als 250 Beschäftigten, sofern von keinem hohen Risiko der Verletzung der Persönlichkeit auszugehen ist.
  4. Festlegung des Prozesses zur raschen Erfüllung der Informationspflicht, d. h. Anfrage oder Löschung von Personendaten.
  5. Einführung eines Meldeverfahrens, wenn der Datenschutz verletzt wurde.
  6. Etablierung eines Prozesses für "Datenschutz-Folgenabschätzungen", welche relevant werden können, wenn die Datenbearbeitung ein erhöhtes Risiko mit sich bringt. Detaillierte Informationen gibt es dazu auf der Website der/des Datenschutzbeauftragen des Kantons Zürich: Datenschutz-Folgenabschätzung.
  7. Prüfung und bei Bedarf Anpassung der Datensicherheit in Verträgen mit Subunternehmen. Insbesondere in Hinblick auf Meldung der Verletzung des Datenschutzes (siehe unter 5.).
  8. Löschung oder Anonymisierung aller personenbezogener Daten, sobald sie entsprechend des ursprünglichen Grundes der Erhebung nicht länger benötigt werden. Insbesondere das Tracking von Daten auf Websites ist zu prüfen und zu hinterfragen.
  9. Prüfung, in welchen Ländern die erhobenen Daten gespeichert oder verarbeitet werden. Beispielsweise die Speicherung der Daten in eine Cloud sollte nur in einer vom Bundesrat aufgestellten Liste von Staaten erfolgen. Andernfalls gelten strengere Datenschutzanforderungen, siehe dazu auch Übermittlung [von Daten] ins Ausland. Kritisch sind beispielsweise Newsletter-Tools, bei denen Adresslisten nicht in der Schweiz abgespeichert werden. Auch das Hosting von Websites ist zu prüfen.
  10. Garantieren der Datensicherheit durch geeignete technische und organisatorische Massnahmen. Das EDÖB hat dazu einen entsprechenden Leitfaden veröffentlicht: Leitfaden zu den technischen und organisatorischen Massnahmen des Datenschutzes.
  11. Sicherstellen, dass Daten in einem elektronischen Format zur Verfügung gestellt werden können.
  12. Benennung und Veröffentlichung einer Datenschutzberaterin oder eines Datenschutzberaters. Empfohlen wird die Meldung der Person beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB).

(vgl. Checkliste für KMU: Welche Anpassungen an das Datenschutzgesetz sind nötig?, Zugriff 14.10.2022)

Fazit

Die Umsetzung des revDSG ist für Unternehmen mit einigem Aufwand verbunden, der jedoch durch die eingangs beschriebene Notwendigkeit der Revision des DSG gut begründet ist. Natürliche Personen erhalten wieder die Hoheit über ihre Daten und das Schweizer Recht wird kompatibel mit dem EU-Recht. In der EU erhobene Daten können von Schweizer Unternehmen genutzt werden sowie umgekehrt, in der Schweiz erhobene Daten können von Unternehmen in der EU verarbeitet werden.

Quellen und weiterführende Informationen

dsb Datenschutzbeauftragte des Kantons Zürich. (2020). Datenschutz-Folgenabschätzung.

EU-Datenschutz-Grundverordnung (EU-DSGVO)

Schweizerische Eidgenossenschaft. (2022). Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter.

Schweizerische Eidgenossenschaft. (2022). Neues Datenschutzgesetz (revDSG). 

Schweizerische Eidgenossenschaft. (2021). Übermittlung ins Ausland.


Diese Seite teilen

Autor/in
Maria Comos-Birmanns

Dr. Maria Comos-Birmanns

Zum Profil
Digitalisierung | Kommunikation | Marketing | Nachhaltigkeit | Recht | Wirtschaft
more...

Themen, die dem Blogbeitrag zugeordnet sind

2-mal pro Jahr (April KW 16, Oktober KW 43)
Dauer 8 Semester
in Präsenzstudium, parallele Online-Übertragung via Zoom & Selbststudium-Anteil

Bachelor of Arts FH in Law (BA)

Bachelor of Science/Arts (BSc/BA)

Mehr laden
Recht | Wirtschaftsrecht
more...
Facebook Twitter Xing LinkedIn WhatsApp E-Mail