Datenschutzrecht

Das neue DSG ist seit dem 1. September 2023 in Kraft getreten.

Falls Sie das neue DSG noch nicht vollständig umgesetzt haben oder grundsätzliche Fragen zum Datenschutz bestehen, zögern Sie nicht, uns zu kontaktieren. Ob Einzelunternehmen, Start-up, KMU oder Grossunternehmen – wir achten darauf, dass die Umsetzung auf Ihre Unternehmensgrösse und Branche passt.

Vorab ein kurzer Überblick über die wichtigsten Revisionspunkte im revidierten Datenschutzgesetz (DSG):

Anwendungsbereich

Das neue DSG bestimmt den räumlichen Geltungsbereich neu nach dem sog. Auswirkungsprinzip. Danach ist das DSG auch für Unternehmen mit Sitz im Ausland anwendbar, sofern diese Personendaten bearbeiten und sich diese Datenbearbeitung in der Schweiz auswirkt.

Neu werden Unternehmen ohne Sitz in der Schweiz dazu verpflichtet, eine Vertretung in der Schweiz zu bezeichnen, wenn diese Unternehmen Personendaten von Personen in der Schweiz bearbeiten. Die Datenbearbeitung erfolgt, wenn Waren und Dienstleistungen angeboten werden (sog. Angebotsausrichtung) oder wenn das Verhalten solcher Personen beobachtet werden. Es muss sich dabei um eine umfangreiche, regelmässige Bearbeitung handeln, die ein hohes Risiko für die Persönlichkeiten der betroffenen Personen mit sich bringt.

Besonders schützenswerte Personendaten

Im neuen DSG wurde die Definition der besonders schützenswerten Personendaten erweitert und umfasst nun auch Daten über die Ethnie, über biometerische und genetische Daten sowie über Daten, die eine natürliche Person eindeutig identifizieren können.

Profiling (mit hohem Risiko)

Neu findet sich im revidierten Datenschutzgesetz eine Legaldefinition des Profilings, welches an der Definition der DSGVO der EU angelehnt ist.  

Unter Profiling mit hohem Risiko ist Folgendes zu verstehen: Profiling, das ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringt, indem es zu einer Verknüpfung von Daten führt, die eine Beurteilung wesentlicher Aspekte der Persönlichkeit einer natürlichen Person erlaubt.

Verzeichnis sämtlicher Datenbearbeitungen

Wie auch unter der EU-DSGVO ist nach der DSG nun ein Verzeichnis sämtlicher Datenbearbeitungen zu führen (Verzeichnis der Bearbeitungstätigkeiten). Was darunter zu verstehen ist, mit welchem Aufwand Sie rechnen müssen und ob  lediglich Sie als Verantwortlicher oder auch der Auftragsbearbeiter sich an die Mindestvorgaben zu halten haben, besprechen wir gerne mit Ihnen im Rahmen eines Erstgespräches.

Weitere neue Pflichten des Verantwortlichen

Datenschutz-Folgeabschätzung

Wenn bei der Bearbeitung von Daten ein hohes Risiko für eine Persönlichkeitsverletzung oder der Grundrechte der betroffenen Personen entstehen können, hat der Verantwortliche die Pflicht, die Risiken im Rahmen einer Datenschutz-Folgeabschätzung zu analysieren. Dabei sieht das DSG insbesondere bei der Verwendung neuer Technologien und in einer umfangreichen Bearbeitung besonders schützenswerter Personendaten oder bei der systematischen Überwachung umfangreicher öffentlicher Bereiche ein hohes Risiko.

Data Breach Notification

Findet eine Verletzung der Datensicherheit statt, wenn z.B. ein Datenverlust vorliegt, und führt dies voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person, so ist diese Verletzung unverzüglich dem Eidgenössichen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) und gegebenenfalls der betroffenen Person zu melden.

Privacy by Design und Privacy by Default

Bei der Bearbeitung von Personendaten müssen bereits ab der Planung angemessene technische und organisatorische Massnahmen (TOM’s) getroffen werden, welche die Umsetzung von Datenschutzgrundsätzen sicherstellen (Privacy by Design). Des Weiteren haben die Voreinstellungen (bei den Websiten, Apps etc.) so zu sein, dass die Bearbeitung der Personendaten auf das für den Verwendungszweck nötige Mindestmass beschränkt ist (Privacy by Default).

Sanktionen und Bussen

Das revidierte Datenschutzgesetz hält strafrechtliche Sanktionen in Form einer Busse bis zu CHF 250’000.00 fest. Zusätzlich kann der EDÖB ein verwaltungsrechtliches Untersuchungsverfahren eröffnen und Verfügungen erlassen. Zu beachten sind sodann die zivilrechtliche Klage auf Beseitigung, Unterlassung oder Schadenersatz.

Diese und weitere Revisionspunkte des neuen Datenschutzgesetzes zeigen wir Ihnen gerne auf und besprechen die Risiken, Pflichten und Chancen für Ihr Unternehmen.