Top 12 Neuerungen im revidierten Datenschutzgesetz der Schweiz

Hier findest du die häufigsten Missverständnisse und die wichtigsten Änderungen für Marketing, Vertrieb, HR und IT

In genau 3 Monaten ist es soweit: Das neue Bundesgesetz über den Datenschutz (revDSG) tritt am 1. September 2023 in Kraft und gewährt Schweizer Bürger:innen neue Rechte zwecks Bearbeitung persönlicher Daten. Das totalrevidierte Datenschutzgesetz bringt wichtige Änderungen mit sich, die Unternehmen in der Schweiz beachten sollten. Ebenso dann, wenn Organisationen außerhalb der Schweiz, Dienstleistungen dorthin anbieten. Diese Neuerungen werden finanzielle, zeitliche und personelle Ressourcen in Anspruch nehmen. Bist du dir bewusst, welche Strafen dir künftig drohen, wenn du gegen deine datenschutzrechtlichen Pflichten verstösst? Ich erläutere hier, wie du persönliche Strafbarkeiten bei bestimmten Verletzungen vermeidest:

Was oft im revDSG missverstanden wird

• • Keine Einwilligung für Profiling und Tracking-Cookies innerhalb der Schweiz – ausgenommen in der EU. Hier ist oft die Einwilligung ein Rechtsgrund im Marketing.

• • Keine Verpflichtung zur Ernennung eines Datenschutzbeauftragten – beruht auf freiwillige Basis.

• • Trotz US-Bezug sind Cloud-Lösungen auch zukünftig erlaubt.

• • Nicht alle Datenschutzverletzungen müssen dem EDÖB nach Bern gemeldet werden – nur jene mit hohem Risiko für Betroffene und Verletzungen der Datensicherheit.

• • Betreffend E-Mail-Verschlüsselung ändert sich nichts.

1. Kontrolle durch EDÖB

Der Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) hat erweiterte Befugnisse gemäß dem revDSG. Er kann von Amts wegen oder auf Anzeige Untersuchungen gegen Unternehmen durchführen und bei Datenschutzverstößen weitreichende Massnahmen wie Anpassung, Unterbrechung oder Löschung von Daten anordnen.

Gemäß dem revDSG haben Betroffene auch zivilrechtliche Rechtsmittel zur Durchsetzung ihrer Ansprüche. Gleichzeitig wurden entsprechende Gerichtsverfahren in der Zivilprozessordnung (ZPO) kostenlos gemacht.

2. Meldepflicht bei Datenschutzverletzungen

Das revidierte DSG führt eine Meldepflicht bei Datenschutzverletzungen ein. Verletzungen der Datensicherheit, wie unbeabsichtigtes oder widerrechtliches Verlieren, Löschen, Vernichten, Verändern oder Unbefugten zugänglich machen von Personendaten, müssen dem EDÖB so rasch als möglich (gemäss DSGVO innerhalb von 72 Stunden) gemeldet werden, wenn sie voraussichtlich zu einem hohen Risiko für die Betroffenen führen.

3. Ausweitung Informationspflicht

3.1 Verbesserte Transparenz

Die Umsetzung der neuen Pflichten zwecks Compliance sowie die Prüfung von Verträgen mit Dienstleistern, Kund:innen und sonstigen Dritten sind das Hauptaugenmerk. Die Informationspflichten sind unter dem neuen Datenschutzgesetz umfassender als in den bisherigen. Diese müssen betroffene Personen angemessen über jede Datenerhebung informieren, nicht nur bei besonders schützenswerten Daten, sondern auch dann, wenn die Daten nicht direkt vom Betroffenen erhoben werden. Ein Beispiel sind Consent Management Banner beim Aufruf von Webseiten. Die Informationen sollten den Verantwortlichen für die Datenverarbeitung, den Zweck der Verarbeitung, die Empfänger oder Empfängerkategorien und das Zielland bei Datenexport ins Ausland enthalten. Das neue revDSG ist in diesem Punkt sogar strenger als die DSGVO.

3.2 Stärkere Rechte für Betroffene

Das revidierte DSG stärkt die Rechte der betroffenen Personen. Es enthält umfangreichere Informationspflichten für Datenverarbeiter und erweiterte Betroffenenrechte wie das Recht auf Datenportabilität und das Recht auf Vergessenwerden. In den meisten Organisationen gibt es bereits Prozesse für Betroffenenrechte wie Auskunftsrecht, Löschrecht, Korrekturrecht oder Datenherausgabe. Falls nicht, sollte dies dringend nachgeholt werden.

4. Geltungsbereich

4.1 Umfang

Das neue Datenschutzgesetz betrifft nur Daten von natürlichen Personen, nicht von juristischen Personen. Genetische und biometrische Daten, die eine natürliche Person eindeutig identifizieren, sind besonders schützenswert.

4.2 Auswirkungsprinzip

Das neue revDSG gilt für ausländische Unternehmen, die im Schweizer Markt tätig sind oder Daten in der Schweiz bearbeiten. Genauso wie die DSGVO für Schweizer Unternehmen gilt, die im EU-Raum tätig sind.

Ausländische Unternehmen benötigen eine Vertretung in der Schweiz, wenn sie umfangreiche Daten von Personen in der Schweiz bearbeiten und ein hohes Risiko für die Betroffenen besteht.

Schweizer Unternehmen müssen einen EU-Vertreter als Datenschutzverantwortlichen ernennen, wenn sie Personendaten von Einwohner:innen der EU bearbeiten, unabhängig vom Risiko.

5. Ernennung eines DSB

Die Ernennung eines Datenschutzberaters ist freiwillig, bietet jedoch Vorteile. Diese Person ist die Anlaufstelle für Datenschutzthemen und erspart die Konsultation des EDÖB im Zusammenhang mit Datenschutz-Folgenabschätzungen (DSFA) bei hohen Risiken. Ihre oder seine Kontaktdaten müssen veröffentlicht werden.

6. Sanktionen und Bußgelder

Vorsätzliche Verstöße gegen das revidierte Datenschutzgesetz, wie Verletzungen von

• Informationspflichten, wenn Website Nutzer deiner nicht über die Datenerhebung informiert werden.
• Auskunftspflichten, wenn Betroffenen gegenüber die Auskunft, ob Daten erhoben werden, verweigert wird.
• Mitwirkungspflichten, wenn im Rahmen einer behördlichen Untersuchung dem EDÖB falsche Auskünfte erteilt werden oder
• Sorgfaltspflichten, wenn die Bearbeitung von Personendaten einem Dritten übertragen wurde, obwohl vertraglich eine Übertragung ausgeschlossen war.

können bei Privatpersonen mit Bussgeldern von bis zu CHF 250’000 geahndet werden. Diese werden nicht von dem EDÖB, sondern von den kantonalen Behörden verhängt und müssen persönlich bezahlt werden, d.h. man kann sich nicht dagegen versichern. In Geschäftsbetrieben können Unternehmen mit einer Busse von bis zu CHF 50’000 bestraft werden, wenn die Identifizierung der verantwortlichen Personen einen unverhältnismäßigen Aufwand bedeuten würde – und eine Busse von maximal CHF 50’000 für diese in Betracht kommt.

Hier besteht ein deutlicher Unterschied zur DSGVO, die Unternehmen mit deutlich höheren Bußgeldern belegt, anstatt natürliche Personen zu bestrafen. Persönliche Strafbarkeit bei bestimmten Verletzungen drohen hier Verwaltungsrat, jedoch auch beispielsweise Geschäftsleitung bzw. jene Funktion, an welche die Verantwortung delegiert wurde. Bussen können nicht auf das Unternehmen übertragen werden.

7. Anpassung Begrifflichkeiten

7.1 Profiling

Unter Profiling versteht man die automatisierte Verarbeitung von Personendaten. Das revDSG regelt das Profiling zur Bewertung persönlicher Aspekte wie Wirtschaftslage, Gesundheit, Interessen, Verhalten, Aufenthaltsort uvm. Im Gegensatz zur DSGVO besteht im revDSG keine allgemeine Einwilligungspflicht. Eine Einwilligung ist nur in bestimmten Fällen bei Profiling mit hohem Risiko erforderlich.

7.2 Privacy by Design & Privacy by Default

Privacy by Design bedeutet, dass der Datenschutz bei der Entwicklung von Soft- und Hardware von Beginn an berücksichtigt wird, sobald Personendaten verarbeitet werden sollen.

Privacy by Default bedeutet, dass der Datenschutz durch datenschutzfreundliche Voreinstellungen bereits gewahrt werden soll. So sollen auch wenig technikaffine Nutzer:innen geschützt werden, die selbst keine Datenschutzeinstellungen nach ihren Präferenzen anpassen können.

Privacy by Design und Privacy by Default verpflichten Unternehmen, die Datenbearbeitungsgrundsätze bereits bei der Planung und Ausgestaltung von Applikationen zu berücksichtigen und z.B. Einwilligungen von Betroffenen, die über die unbedingt notwendige Datenbearbeitung hinausgehen, nicht durch entsprechende Voreinstellungen zu erreichen.

8. Datenschutz-Folgenabschätzung (DSFA)

Das revidierte DSG führt die Datenschutz-Folgenabschätzung als Instrument zur Bewertung der Auswirkungen von heiklen Datenverarbeitungsaktivitäten auf die Privatsphäre ein. Unternehmen sind neuerdings verpflichtet, eine Datenschutz-Folgenabschätzung durchzuführen, wenn die Datenbearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen mit sich bringt. Die DSFA muss ausführlich, mitsamt Massnahmen, dokumentiert sein.

9. Verzeichnis der Bearbeitungstätigkeiten (ROPA)

Unternehmen müssen ein Verzeichnis der Bearbeitungstätigkeiten führen, welches ein Inventar der Datenbearbeitungen darstellt. Unternehmer:innen müssen sich bewusst sein, welche Daten von welcher Abteilung oder welcher Person im Unternehmen bearbeitet werden. Dieses Datenschutzdokument ist sinnvoll für den Überblick und dient damit der Transparenz sowie der rechtlichen Absicherung des Unternehmens. Der Bundesrat kann Ausnahmen für Unternehmen mit bis zu 250 Beschäftigten vorsehen, sofern von keinem hohen Risiko der Verletzung der Persönlichkeit auszugehen ist.

10. Internationale Datenübermittlung

Das revidierte DSG regelt die internationale Datenübermittlung genauer. Es werden Anforderungen an die Übermittlung personenbezogener Daten in Drittländer festgelegt, um sicherzustellen, dass ein angemessenes Datenschutzniveau gewährleistet ist. Unternehmen sollten prüfen, in welchen Ländern die erhobenen Daten gespeichert oder verarbeitet werden. Beispielsweise die Speicherung der Daten in eine Cloud sollte nur in einer vom Bundesrat aufgestellten Liste von Staaten erfolgen. Andernfalls gelten strengere Datenschutzanforderungen. Kritisch sind bsw. Newsletter-Tools, bei denen Adresslisten nicht in der Schweiz abgespeichert werden. Das Hosting von Websites ist ebenso zu überprüfen.

11. Datenschutzerklärung (DSE)

Eine der wichtigsten Neuerungen, die über die DSGVO hinausgehen, ist die Aktualisierung der Datenschutzerklärung (DSE), welche nicht nur die Website selbst, sondern auch Apps abdecken sollte. Für eigene Mitarbeiter:innen sind separate notwendig. Denn jeder kann die DSE einsehen und fehlende bzw. unvollständige sind besonders strafbar. Wenn Unternehmen externe Verantwortliche auf deren Websites einbinden, sollten diese auch auf deren DSE hinweisen.

12. Auftragsbearbeitungsverträge (AVV)

 

Alles was man über die vom revDSG verordnete Auftragsbearbeitervereinbarung (AVV) wissen sollte, ist die strikte Pflicht zum Nachführen und zwar überall dort wo ein Unternehmen als Auftragsverarbeiter tätig ist. Am häufigsten kommen in der Praxis Auftragsbearbeitungen vor, doch oft fehlen korrekt geführte AVVs in der Schweiz noch. Hier ist Achtung geboten, da fehlende bzw. unvollständige AVVs strafbar sind – besonders für den Verantwortlichen. Sehr zu empfehlen ist, Verträge zwischen Verantwortlichen abzugrenzen. Außerdem Verträge mit Subunternehmen zwecks Datensicherheit durch geeignete technische und organisatorische Massnahmen (TOM) zu prüfen und bei Bedarf anzupassen.

 

 

Fazit

Diese Top 12 Neuerungen im revidierten Datenschutzgesetz haben das Ziel, den Datenschutz in der Schweiz zu stärken und den Schutz personenbezogener Daten zu gewährleisten. Unternehmen und Organisationen sollten diese Neuerungen sorgfältig prüfen und sicherstellen, dass sie den Anforderungen des revidierten DSG entsprechen, um potenzielle Sanktionen und Bußgelder zu vermeiden. Unternehmer:innen müssen verstehen, welche Rolle sie inne haben, denn viele der Pflichten des revDSG knüpfen daran an, ob Unternehmen Verantwortlicher (Controller), Auftragsverarbeiter (Processor) oder gemeinsamer Verantwortlicher (Joint Controller) sind. Ob ein KMU ein Datenschutzkonzept allein entwickeln kann, hängt von den vorhandenen Kompetenzen ab, z. B. einem Datenschutzverantwortlichen oder einer Rechtsabteilung. Andernfalls empfehlen wir externe Unterstützung. Dein Geschäft, der Schutz der dir anvertrauten Daten und deine Reputation hängen davon ab. Bei den Anforderungen an Datentransfer in Länder ausserhalb des EWR und von UK unterstützt Servus Data gerne.

FAQs

Q1. Wie setze ich Google Analytics rechtskonform ein?

1. 1. Informiere die betroffene Person über die Datenübermittlung und hole die Einwilligung ein.
   2. Stelle sicher, dass der Nutzungsvertrag von Google Analytics (einschließlich der Datenverarbeitungsvereinbarung) mit Google Ireland Limited und nicht mit Google LLC geschlossen wird. Überprüfe ältere Verträge und aktualisiere sie gegebenenfalls.
   3. Nutze Google Analytics-Verträge mit Google Ireland Limited.
   4. Aktiviere und implementiere die IP-Anonymisierung.
   5. Deaktiviere die Datenfreigabeoption in Google Analytics.
   6. Deaktiviere die Option „Signale“ in Google Analytics.
   7. Stelle sicher, dass proprietäre Benutzer-IDs keine Benutzeridentifikation ermöglichen und überprüfe die Datenübertragungsvereinbarungen.

Q2. Gilt das revDSG für ausländische Unternehmen?

Ausländischen Unternehmen, welche umfangreiche Daten von Bürger:innen in der Schweiz bearbeiten, müssen einen Schweizer Vertreter ernennen, der diese Aktivitäten regulieren kann.

Q3. Wie garantiert man Datensicherheit?

Schutz vor Angreifern bieten geeignete technische und organisatorische Massnahmen (TOM), welche die Datensicherheit garantieren. Das EDÖB hat dazu einen entsprechenden Leitfaden veröffentlicht.

Q4. Bei welchen Verstössen genau drohen Bussen ?

Es drohen Bussen bsw. bei Verrat von vertraulich beruflichen Personendaten, fehlende Datensicherheit, inkorrekte und/oder unvollständige Auskünfte an Betroffene. Ebenso für unzureichende Datenschutzerklärungen sowie Providerverträgen, als auch fehlender Schutz beim Datenexport in sogenannte unsichere Drittländer.

Q5. Warum wurde das Schweizer Datenschutzgesetz revidiert?

Das Datenschutzgesetz wird angepasst, um den veränderten technologischen und gesellschaftlichen Bedingungen gerecht zu werden (Cloud Computing, Big Data, Internet of Things, soziale Netzwerke, etc.) und die Selbstbestimmung der betroffenen Personen über ihre Daten zu stärken. Gleichzeitig soll das DSG an die europäischen Datenschutzregeln angeglichen werden, um sicherzustellen, dass die EU die Schweiz weiterhin als Drittstaat mit angemessenem Datenschutzniveau anerkennt und eine unkomplizierte Datenübermittlung zwischen der Schweiz und der EU auch in Zukunft möglich bleibt.