Am 25. September 2020 verabschiedete das Schweizer Parlament das neue Datenschutzgesetz (DSG) – auch revDSG genannt. In Kraft treten sollen die neuen Regelungen bereits im September 2023. Der Grund für die Überarbeitung der DSG ist, dass der Datenschutz an die Europäische Datenschutz-Grundverordnung (DSGVO) angeglichen werden soll. Dennoch wird die totalrevidierte Datenschutzverordnung von manchen Punkten der DSGVO abweichen. In einigen Punkten geht die revDSG auch über die DSGVO hinaus und regelt den Datenschutz strenger als das europäische Pendant. Für Schweizer Unternehmen bedeutet das, dass sie sich bis zum 01. September an die neue Verordnung anpassen müssen. Welche Änderungen Unternehmen zu erwarten haben und wie sie mit dem verschärften Datenschutz umgehen können, lesen Sie hier.
Die Änderungen auf einen Blick – Personendaten im Mittelpunkt
Die Revision der Schweizer DSG hat zwei Punkte zum Ziel: Auf der einen Seite soll sie an die europaweit geltende DSGVO angepasst werden. So soll sichergestellt werden, dass die Europäische Union die Schweizer Datenschutzregelungen weiterhin als angemessen anerkennt. Das soll zukünftig weiterhin einen unkomplizierten Datenaustausch zwischen der EU und der Schweiz ermöglichen.
Auf der anderen Seite soll die revDSG den sich rasant verändernden Entwicklungen im Bereich Technologie und Gesellschaft Rechnung tragen. Darunter zählen die Fortschritte bei Cloud Computing, Big Data, in den sozialen Netzwerken und bei dem Internet der Dinge (IoT).
Im Mittelpunkt der revDSG steht ausschliesslich der Schutz persönlicher Daten, also der Datenschutz von natürlichen Personen und nicht der Datenschutz von juristischen Personen wie GmbH und AG. Gerade auf persönlich identifizierbare Informationen (PII) legt die revDSG ihren Fokus.
Auf die Liste der besonders schützenswerten Daten werden zukünftig auch genetische und biometrische Daten mit aufgenommen, die eine natürliche Person eindeutig identifizieren können. Das ist beispielsweise bei einem Fingerabdruck oder auch bei einem Netzhaut-Scan der Fall.
Zudem wird auch das Profiling sowie das Profiling mit Hochrisiko neu geregelt. Unter dem Profiling von Personendaten ist die automatisierte Bearbeitung von Daten zur Beurteilung von bestimmten persönlichen Aspekten einer natürlichen Person gemeint. Beim Hochrisiko-Profiling hingegen werden Daten verknüpft, die eine Bewertung wesentlicher Aspekte einer Person erlauben. Hier muss immer eine eindeutige Willenserklärung der betroffenen Person erfolgen.
Eine weitere Entwicklung ist die Einführung von «Privacy by Design» und «Privacy by Default». Bei Privacy by Design muss der Verantwortliche die Datenverarbeitung ab der Produktplanung so gestalten, dass die Datenschutzvorschriften und die Bearbeitungsgrundsätze eingehalten werden. Bei Privacy by Default müssen die Voreinstellungen eines Produktes so eingestellt sein, dass bei einem Kauf des Produktes oder der Dienstleistung standardmässig der Datenschutz so geregelt ist, dass die Bearbeitung von Personendaten auf das Mindestmass beschränkt ist, soweit es der Kunde nicht selbst anders festlegt.
Auch die Informationspflicht wird ausgeweitet. Eine Person muss vorab informiert werden, wenn ihre Daten be- oder verarbeitet werden. Das gilt nicht mehr nur für sogenannte besonders schützenswerte Daten. Ausserdem müssen Folgeabschätzungen durchgeführt werden, wenn ein Risiko für die Persönlichkeit oder die Grundrechte der Person besteht.
Die Auskunftspflicht wird ebenfalls ausgebaut. So haben Personen einen Anspruch auf jede Information, um ihre Rechte nach dem revDSG geltend zu machen. Es reichen nicht mehr Mindestinformationen. Damit einher geht auch das Recht auf Datenportabilität. Personen können kostenlos vom Datenverarbeiter die Herausgabe ihrer Daten und die Übertragung an einen Dritten verlangen.
Meldung und Sanktionen bei Verletzungen des Datenschutzes
Passiert eine Datenschutzverletzung, wenn beispielsweise Cyber-Kriminelle Daten abgreifen, hat das Unternehmen dies unverzüglich an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) zu melden. Das gilt, wenn grosse Risiken für die Persönlichkeit beziehungsweise die Grundrechte der Personen bestehen, deren Daten abgeflossen sind. Auch die Betroffenen selbst müssen informiert werden, sofern dies zu ihrem Schutz erforderlich ist. Das kann zum Beispiel der Fall sein, wenn Login-Daten oder andere sensible Informationen gestohlen wurden und der Person dadurch ein persönlicher oder finanzieller Schaden entstehen kann.
Unternehmen, die sich nicht an die neuen Regelungen halten, müssen mit hohen Geldstrafen rechnen. Bei vorsätzlicher Verletzung der Informations- und Auskunftsplicht sowie der Sorgfaltspflicht gegenüber persönlichen Daten kann ein Bussgeld von CHF 250'000 fällig werden. Hier reicht auch schon der Eventualvorsatz. Das bedeutet: die Verantwortlichen haben es billigend in Kauf genommen, dass eine Datenschutzrechtsverletzung passieren kann. So können im Gegensatz zur DSGVO, bei der Unternehmen im Fokus stehen, bei der revDSG CEOs, CIOs direkt sanktioniert werden. Die Zuständigkeit liegt bei der jeweiligen Staatsanwaltschaft des Kantons.
Daneben ist auch der EDÖB befugt, verwaltungsrechtliche Massnahmen auszusprechen. So kann Unternehmen zukünftig die Be- und Verarbeitung von Personendaten untersagt werden und sie müssen spezifische Datensätze löschen.
Vorgehen für Unternehmen
Firmen sollten bis zum Inkrafttreten der veränderten DSG eine Bestandsaufnahme ihrer Daten machen, um einen Überblick über Personendaten zu erhalten. So kann auch der Handlungsbedarf in Hinblick auf die Daten-Compliance festgestellt werden. Je nach Dringlichkeit können sodann Massnahmen ergriffen werden, um bis zum Stichtag für Datenschutz und -transparenz zu garantieren.
Auch die Einführung eines Consent- und Privacy Management ist sinnvoll. Dies ermöglicht Unternehmen nachzuvollziehen, welche Daten gesammelt und mit wem diese geteilt werden. Zudem können Unternehmen schnell und einfach überprüfen, welcher Nutzer beispielsweise Einwilligungen zur Datenverarbeitung widerrufen hat. So können Firmen die neuen Compliance-Richtlinien ganz einfach einhalten.