Die 6 wichtigsten Fragen zum neuen Schweizer Datenschutzgesetz: Was sich für Unternehmen ändert
Am 1. September 2023 tritt das neue Datenschutzgesetz in Kraft. Für Unternehmen, die vorsätzlich dagegen verstossen, kann es dann richtig teuer werden. Was Sie beachten müssen und was jetzt zu tun ist, erfahren Sie in unseren FAQ.
Das neue Schweizer Datenschutzgesetz (nDSG) tritt am 1. September 2023 übergangslos in Kraft. Die Neuerungen sind umfassend und betreffen grundsätzlich alle Schweizer Unternehmen. Wer vorsätzlich gegen die neuen Datenschutzbestimmungen verstösst, muss mit hohen Bussen rechnen: Bis zu 250’000 Franken werden bei Vergehen fällig – das tut richtig weh.
Damit Ihr Unternehmen von den neuen Gesetzesänderungen nicht unvorbereitet getroffen wird, gilt es einige Punkte zu beachten und bereits jetzt Anpassungen vorzunehmen. Antworten auf die sechs wichtigsten Fragen gibt der Datensicherheits- und Datenschutzexperte Umut Yilmaz.
1 Warum war die Revision des Datenschutzgesetzes notwendig?
Der Vorgänger des neuen Datenschutzgesetzes für die Schweiz stammt aus dem Jahr 1992. Seither haben sich Technologie und Gesellschaft rasant entwickelt, das DSG ist nicht mehr zeitgemäss. Auch die Kompatibilität mit der EU-Datenschutzgrundverordnung (DSGVO) und damit die Möglichkeit des freien und unkomplizierten Datenaustauschs setzte das alte Datenschutzgesetz zusätzlich unter Druck.
2 Welche Unternehmen sind betroffen?
Grundsätzlich sind alle Schweizer Unternehmen betroffen, die Personendaten bearbeiten. Insbesondere betroffen sind alle Unternehmen, die grosse Mengen von Personendaten oder besonders schützenswerte Personendaten erheben und bearbeiten, Profiling betreiben oder Webshops führen.
3 Welches sind die wichtigsten Aspekte des neuen Datenschutzgesetzes?
- Erhöhung der Transparenz
- Stärkung der Prävention und Eigenverantwortung der Datenanbieter
- Stärkung der Datenschutzaufsicht
- Ausbau der Strafbestimmungen
4 Welche Neuerungen bringt das neue Datenschutzgesetz?
- Geschützt werden natürliche Personen, der Schutz juristischer Personen (AG, GmbH etc.) entfällt.
- Genetische und biometrische Daten (z.B. Fingerabdruck, Retina-Scan) sind neu besonders schützenswerte Personendaten.
- Profiling (automatisierte Datenbearbeitung) wird im nDSG verankert.
- Auftragsbearbeitungen: Auftragsbearbeiter wie z.B. Outsourcing-Dienstleister müssen Daten gleich behandeln wie der Verantwortliche (Abschluss eines Auftragsdatenverarbeitungsvertrages – ADV).
- Datenschutz ist bereits bei der Entwicklung wichtig, die Grundsätze «Privacy by Design» (Datenschutz durch Technik) und «Privacy by Default» (datenschutzfreundliche Voreinstellungen) sind zu berücksichtigen, um den Verarbeitungsgrundsätzen zu entsprechen.
- Pflicht zur Erstellung eines Verzeichnisses der Verarbeitungstätigkeiten mit Mindestangaben nach nDSG. Ausnahmen für KMU möglich, wenn die Datenbearbeitung ein geringes Risiko für eine Persönlichkeitsverletzung der betroffenen Personen mit sich bringt.
- Erweiterung der Betroffenenrechte: Auf Verlangen der betroffenen Personen müssen bestimmte Informationen über die Bearbeitung von Personendaten mitgeteilt oder in elektronischer Form zur Verfügung gestellt werden.
- Die Informationspflichten werden erweitert: Bei der Beschaffung von Personendaten müssen die Verantwortlichen ihre Identität und Kontaktangaben, den Zweck der Bearbeitung sowie allfällige Empfänger und Länder bei Datenübermittlungen ins Ausland bekannt geben.
- Eine Datenschutz-Folgenabschätzung (DSFA) ist bei risikoreichen Verarbeitungsprozessen obligatorisch (Beschreibung der geplanten Berarbeitung, Risikobewertung und Massnahmen).
- Data Breach Notification: Verletzungen der Datensicherheit müssen dem EDÖB risikobasiert und so schnell wie möglich gemeldet werden.
- Sanktionen bis zu 250’000 Franken bei Verstössen (persönliche Strafbarkeit).
5 Wie sollten Unternehmen nun vorgehen?
Der erste Schritt besteht darin, ein Inventar der Datenbearbeitungen (Inventar von Personendaten) zu erstellen. Wenn Sie wissen, welche Personendaten wo und wie verarbeitet werden, fällt es Ihnen leichter, die Datenschutzbestimmungen einzuhalten.
Nachdem Sie den Status quo ermittelt haben, führen Sie eine Gap-Analyse durch. So können Sie feststellen, wo Handlungsbedarf besteht. Gegebenenfalls sollten Sie auch prüfen, welche Daten Sie tatsächlich erheben müssen und welche nicht.
Es empfiehlt sich, einen Datenschutzberater oder eine Datenschutzberaterin zu bestimmen, die sich um den Datenschutz im Unternehmen kümmert und Ansprechpartner für Betroffene und Behörden ist.
6 Was müssen Unternehmen jetzt ändern?
- Informieren Sie über die gesamte Datenbearbeitung, nicht nur über die Datenbearbeitung auf der Website.
- Die Datenschutzerklärung muss auf jeder Seite leicht auffindbar sein.
- Reduzieren Sie die Abfragekriterien auf ein Minimum.
- Schränken Sie den Datenzugriff innerhalb Ihrer Organisation ein.
- Löschen oder anonymisieren Sie personenbezogene Daten, sobald sie für den Zweck der Verarbeitung nicht mehr benötigt werden.
- Passen Sie Ihre Datenschutzerklärung an das nDSG an.
- Schulen und sensibilisieren Sie Ihre Mitarbeitenden.
Organisationen, die bereits DSGVO-konform arbeiten, sind bereits gut aufgestellt und müssen nur punktuelle Anpassungen vornehmen.
Machen Sie sich bereit für das neue Schweizer Datenschutzgesetz (nDSG)Unsere praxisnahem Kurse bereiten Datenschutzverantwortliche kompakt auf die Umsetzung der neuen Datenschutzbestimmungen in Ihrer Organisation vor.
|
Unsere praxisnahem Kurse bereiten Datenschutzverantwortliche kompakt auf die Umsetzung der neuen Datenschutzbestimmungen in Ihrer Organisation vor.
- Das neue Schweizer Datenschutzgesetz («NDSGT») (1 Tag)
Anhand von Praxisbeispielen lernen Sie die neuen datenschutzrechtlichen Anforderungen kennen und verstehen, wo es in Ihrer Organisation Handlungsbedarf gibt. Mehr Info & Termine - Umsetzung des neuen Schweizer Datenschutzgesetzes («NDSG») (2 Tage)
Nach diesem Kurs sind Sie in der Lage, die datenschutzrechtlichen Bestimmungen in Ihrer Organisation umzusetzen und Datenschutzrisiken zu identifizieren und reduzieren. Mehr Info & Termine - AI & Compliance («AICOMP») (1 Tag)
In diesem Kurs erhalten Sie Einblicke in die zentralen rechtlichen Rahmenbedingungen zur Künstlichen Intelligenz (AI Act), unlauterem Wettbewerb, Datenschutz (GDPR, Schweizer Datenschutzgesetz) sowie Urheberrecht und geistigem Eigentum. Die vermittelten Grundlagen bieten Orientierung im regulatorischen Umfeld und verdeutlichen entscheidende Aspekte für den rechtskonformen Einsatz neuer Technologien und die sichere Datenverarbeitung. Mehr Info & Termine