Die 8 wichtigsten Änderungen, die Sie im neuen DSG beachten müssen.

Dass das totalrevidierte Datenschutzgesetz (DSG) erst am 1. September 2023 in Kraft tritt, hat einen guten Grund: Es geht darum, den betroffenen Unternehmen genügend Zeit zu geben, sich vorzubereiten. Das neue DSG wurde an die technologische Entwicklung angepasst und soll künftig für den besseren Schutz persönlicher Daten sorgen. Die Selbstbestimmung wird gestärkt und die Transparenz bei der Beschaffung von Personendaten erhöht. Regeln für Unternehmen werden verschärft, und bestehende Datenschutzerklärungen und Richtlinien müssen deshalb angepasst werden. Im Folgenden finden Sie die wichtigsten acht Änderungen.

  #Cloud Governance   #Cloud Security   #Unternehmen  

Änderung Nummer 1

Neuer Geltungsbereich: Das revidierte DSG betrifft nur noch die Daten natürlicher Personen – juristische Personen sind künftig nicht mehr durch das DSG geschützt. Angewandt werden muss das revidierte DSG von allen schweizerischen Unternehmen sowie von internationalen Organisationen, die Personendaten von in der Schweiz ansässigen Personen verarbeiten und grenzüberschreitende Geschäfte tätigen. Das DSG ist an die Datenschutzgrundverordnung der EU (DSGVO) angelehnt.

 

Änderung Nummer 2

Genetische und biometrische Daten werden in die Definition der besonders schützenswerten Daten aufgenommen. Genetische Daten, die beispielsweise mit einer biologischen Probe gewonnen werden können, liefern Informationen über die genetischen Eigenschaften einer Person, zum Beispiel über Physiologie oder Gesundheit. Beispiele sind DNA-Analysen und ähnliche Tests. Biometrische Daten ermöglichen die eindeutige Identifizierung von Personen. Beispiele sind Gesichtsbilder oder Fingerabdrücke.

 

Änderung Nummer 3

Es gelten neu die Grundsätze «Privacy by Design» und «Privacy by Default». Für die Entwickler bedeutet dies, den Schutz und den Respekt der Privatsphäre von Anfang an in die Struktur der Produkte oder Dienstleistungen einzubauen. Der Grundsatz «Privacy by Default» (Datenschutz als Standard) stellt sicher, dass schon beim Inverkehrbringen des Produktes oder der Dienstleistung die höchste Sicherheitsstufe vorhanden ist, indem standardmässig, also ohne Eingreifen der Nutzer, alle nötigen Massnahmen für den Datenschutz und die Einschränkung der Datennutzung aktiviert sind. Software, Hardware und Dienstleistungen müssen so konfiguriert sein, dass die Daten geschützt sind und die Privatsphäre der Nutzer gewahrt wird.

 

Änderung Nummer 4

Es müssen Folgenabschätzungen durchgeführt werden, sofern ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen besteht. Eine Datenschutz-Folgenabschätzung ist eine Risikobewertung der Verarbeitung personenbezogener Daten im Unternehmen. Dabei geht es um die Bewertung von potentiellen Schäden, die verursacht werden könnten, wenn die Datensicherheit mangelhaft wäre.

 

Änderung Nummer 5

Die Informationspflicht wird deutlich erweitert: Bei jeder Beschaffung von Personendaten muss die betroffene Person vorgängig informiert werden. Das alte Gesetz sah nur eine Informationspflicht vor, wenn besonders schützenswerte Personendaten erfasst wurden. Auch der Umfang der Informationspflicht wurde im revidierten DSG ausgebaut. Neu müssen mindestens Angaben zur Identität und Kontaktdaten des Verantwortlichen, Bearbeitungszweck und die Empfängerkreise gemacht werden. Fliessen Daten ins Ausland, müssen zusätzliche Informationsplichten und Bestimmungen eingehalten werden.

 

Änderung Nummer 6

Ein umfassendes Verzeichnis der Bearbeitungstätigkeiten wird obligatorisch – ausser für KMU. Ein derartiges Verzeichnis ist ein Inventar sämtlicher Datenbearbeitungen. Es trägt zur Transparenz bei und hilft festzulegen, ob die Datenverarbeitung rechtmässig war. Neben den angewandten Verarbeitungsverfahren soll das Verzeichnis auch die dafür verantwortlichen Personen benennen. Auch Art und Umfang der verarbeiteten personenbezogenen Daten und deren Empfänger müssen ausgewiesen werden. Die Verordnung zum revidierten Gesetz sieht eine Ausnahme für Unternehmen vor, die weniger als 250 Mitarbeiterinnen und Mitarbeiter beschäftigen und deren Datenbearbeitung ein geringes Risiko von Verletzungen der Persönlichkeit der betroffenen Personen mit sich bringt.

 

Änderung Nummer 7

Im Falle einer Verletzung der Datensicherheit ist eine rasche Meldung an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) erforderlich. Die Benachrichtigungspflicht gilt für jeden Datenverlust und verlangt nicht nur die Meldung an den Datenschutzbeauftragten, sondern auch an die jeweils betroffenen Personen, deren Daten nicht mehr sicher sind. Die betroffenen Personen müssen allerdings nur benachrichtigt werden, wenn durch die Datenschutzverletzung deren Persönlichkeits- oder Grundrechte in Gefahr sind.

 

Änderung Nummer 8

Der Begriff «Profiling» (die automatisierte Auswertung personenbezogener Daten) wurde neu in das Gesetz aufgenommen. Als Profiling gilt demnach:
«… jede Art der automatisierten Bearbeitung von Personendaten, die darin besteht, dass diese Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftlicher Lage, Gesundheit, persönlicher Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen.» Wenn in einem Profil eindeutige Wesenszüge einer Person zu erkennen sind, handelt es sich um «Profiling mit hohem Risiko». Dafür muss immer vorher eine ausdrückliche Einwilligung der betroffenen Person eingeholt werden.

Sanktionen

Das Revidierte Datenschutzgesetz sieht für natürliche Personen, die für die Verarbeitungstätigkeit verantwortlich sind, Bussen bis zu 250'000 Franken pro Verstoss vor, wenn die Informations- und Offenlegungspflichten sowie bestimmte Sorgfaltspflichten vorsätzlich verletzt werden. Zuständig für die Durchsetzung der strafrechtlichen Sanktionen sind die kantonalen Strafverfolgungsbehörden. Möglich sind ausserdem zivilrechtliche Klagen auf Beseitigung, Unterlassung oder Schadenersatz.