Neues Datenschutzgesetz (DSG) der Schweiz.


Das Wichtigste in Kürze

Das neue Datenschutzgesetz (DSG) der Schweiz tritt ab dem 1. September 2023 in Kraft – ohne Nachfrist. Hierbei gilt:

  • Das neue DSG ist grundsätzlich liberaler als die EU-Datenschutzgrundverordnung (DSGVO).

  • Wichtige Neuerungen sind die Informationspflicht, das Auskunftsrecht und die Strafbestimmungen im Zusammenhang mit der Pflichtverletzung gemäss Datenschutzgesetz.

  • Bei Nichteinhaltung drohen Bussen von bis zu CHF 250'000.-

  • Das neue DSG sieht keine Formvorschrift vor.

Dementsprechend ist z.B. ein Cookie-Banner auf Webseiten nicht zwingend zu platzieren. Um die Informationspflicht zu erfüllen, können auch andere Formen gewählt werden. Die Datenschutzerklärung ist hierfür eine beliebte und bewährte Lösung.


Grundsätze des DSG

  • Rechtmässigkeit: Gesetzliche Bestimmungen müssen eingehalten werden und dürfen dem Gesetz nicht widersprechen.

  • Treu & Glaube: Personendaten dürfen nicht ohne Wissen oder Zustimmung bearbeitet werden. Es muss nicht explizit nachgefragt werden, aber es gilt die Informationspflicht.

  • Erkennbarkeit: Beschaffung und Zweck einer Datenverarbeitung müssen für betroffene Personen erkennbar sein.

  • Zweckbindung: Personendaten dürfen nur zu demjenigen Zweck bearbeitet werden, der bei der Beschaffung angegeben worden ist, gesetzlich vorgeschrieben ist oder aus den Umständen ersichtlich ist. Andere, nicht kommunizierte Zwecke sind nicht zulässig.

  • Speicherbegrenzung: Personendaten dürfen nur bis zur Zweckerfüllung gespeichert werden. Danach müssen die Daten gelöscht werden.

  • Verhältnismässigkeit: Es dürfen nur so viele Daten erhoben und bearbeiten werden, wie zur Zweckerfüllung geeignet und nötig sind. Die Erhebung von weiteren, zweckbefreiten Daten ist unzulässig.

  • Richtigkeit: Wer Daten bearbeitet, muss sich auch über deren Richtigkeit vergewissern. Die Daten müssen vollständig und aktuell sein, soweit es die Umstände erlauben. Dies erfordert eine regelmässige Überprüfung und Aktualisierung der Personendaten.

  • Datensicherheit: Es müssen technische und organisatorische Massnahmen ergriffen werden, um die Datensicherheit zu garantieren.


Rechte & Pflichten im Überblick

Rechte der betroffenen Person

Auskunftsrecht

Jede Person darf von Verantwortlichen Auskunft darüber verlangen, ob Personendaten über sie bearbeitet werden.

Widerspruchsrecht

Betroffene Person darf Bearbeitung ihrer Personendaten jederzeit untersagen (auch nach erteiltem Einverständnis).

Recht auf Datenherausgabe und -übertragung

Betroffene Person darf ihre vorhandenen Personendaten erhalten.

Berichtigungsrecht

Betroffene Person darf fehlerhafte Personendaten korrigieren und Angaben aktualisieren lassen.

Recht auf Vergessen

Betroffene Person darf ihre vorhandenen Personendaten löschen lassen.

Pflichten für Unternehmen mit dem neuen Datenschutzgesetz

Informationspflicht

Betroffene Person soll verstehen und entscheiden können, was mit ihren Daten geschehen wird.

Auskunftspflicht

Erlaubt der betroffenen Person, über ihre bearbeiteten Personendaten informiert zu werden.

Mitwirkungspflicht

Die Datenbearbeitung darf nicht gegen das DSG verstossen.

Dokumentations-pflicht

Unternehmen sind zur Führung eines Verzeichnisses zur Datenbearbeitungstätigkeit verpflichtet.

Meldepflicht

Unternehmen sind zur Meldung einer Datensicherheitsverletzung verpflichtet.


DSG-konforme Datenschutzerklärung

Mit einer Datenschutzerklärung kommt man der Informationspflicht nach. Sie hat zum Ziel, Transparenz zum Umfang und zum Bearbeitungszweck der erhobenen Daten zu schaffen. Sie muss jederzeit aktuell, vollständig und richtig sein.

  • Sobald Personendaten gesammelt oder bearbeitet werden, braucht es eine Datenschutzerkärung.

    Beispiele sind:

    • Grundsätzlich auf allen Websites

    • Verträge mit Privatpersonen (insbesondere Kundinnen und Kunden)

    • Newsletter

    • Marketingkampagnen

    • Kontaktformulare, Terminbuchungstools

    • Schnittstellen zu Drittsystemen oder Analysetools (z.B. Google Analytics)

    • Rechte der Personen, deren Daten bearbeitet werden

    • Prozess zur Erhebung der Daten (Wie werden die Daten gesammelt?)

    • Prozess zur Bearbeitung der Daten (Wie werden die Daten bearbeitet?)

    • Umfang der Datenbearbeitung (Welche Daten werden bearbeitet?)

    • Zweck der Datenbearbeitung

    • Prozess zur Nutzung der Daten

    • Weitergabe von Daten an Dritte (Ob, wie und an wen, auch ins Ausland >> Aufführen einer Länderliste)

    • Massnahmenbeschrieb, zum Schutz der Privatsphäre der Kund:innen (neu)

    • Unternehmensinterne:r Datenschutzverantwortliche:r inkl. Kontaktdaten (neu)

    • Nutzungsdauer der Daten

  • Grundsätzlich erlaubt das nDSG die Verarbeitung personenbezogener Daten ohne ausdrückliche Einwilligung.

    Eine Zustimmung ist jedoch in folgenden Fällen erforderlich:

    • Bei der Bearbeitung besonders schützenswerter Personendaten (bspw. biometrische oder genetische Daten usw.)

    • Bei der Bearbeitung im Rahmen einer Hochrisiko-Profilerstellung durch eine Privatperson

    • Bei der Verarbeitung im Rahmen einer Profilerstellung durch eine Bundesbehörde (Regierung)

    • Bei der Übermittlung von Daten ins Ausland, in denen kein zur Schweiz adäquates Datenschutzniveau besteht


Fazit: Unsere 5 Top-Tipps für ein DSG-konformes Unternehmen

1.

Gewährleiste die technische Datensicherheit durch Passwortschutz und Firewalls. Die organisatorische Datensicherheit beinhaltet bspw. das Abschliessen von Aktenschränken.

2.

Vorsicht bei der Nutzung von ausländischen Diensten, wie bspw. Cloud-Plattformen und Anbieter wie Mailchimp. Die Nutzung fällt unter «Personendatenbekanntgabe im Ausland». Dadurch sind zusätzliche Garantien notwendig. Suche dir deshalb vertrauenswürdige Anbieter:innen aus, lies AGBs und Nutzungsbestimmungen aufmerksam durch und achte auf deren Datensicherheitsmassnahmen. Optimalerweise wählst du eine:n Anbieter:in mit Servern in der Schweiz oder Europa aus.

3.

Richte ein internes Register der Datenverarbeitungsaktivitäten ein, welches du regelmässig pflegst.

4.

Erstelle Vorlagen, damit du im Falle von Anfragen betroffener Personen schnell und konform Auskunft geben kannst.

5.

Überprüfe und aktualisiere Verträge mit deinen Lieferant:innen und Dienstleister:innen. Stelle sicher, dass die Anforderungen an Sicherheit und Datenschutz erfüllt werden.

DSG-konform, ja!

DSG-konform, ja!


Ich brauche eine DSG-Überprüfung.


Disclaimer

Die Informationen auf dieser Seite sind gründlich recherchiert, ohne juristische Überprüfung. Janine Annen | Digital. Storytelling. Beratung. bietet keine Rechtsberatung, sondern lediglich Hinweise zu Informationszwecken. Wende dich für eine juristische Auskunft an einen qualifizierten Rechtsdienst. Hier findest du das neue DSG.