Sicherheit und Recht

Neues Datenschutzgesetz: Was müssen Schweizer Unternehmen beachten?

Auf Facebook teilen Auf Twitter teilen Auf LinkedIn teilen Auf Xing teilen Per Email teilen

Mit der Revision des Schweizer Datenschutzgesetzes (nDSG) ändern sich ab 2023 wichtige Bestimmungen über die Bearbeitung von Personendaten. Unternehmen müssen in Zukunft verschärfte Regeln beachten – und sollten daher ihre bestehenden Richtlinien und Datenschutzerklärungen bis zum Inkrafttreten am 1. September 2023 anpassen. 

  • Teaser Image
    Heinz Suter

    Heinz Suter, Anwalt und Leiter Legal, Compliance & Risk Management bei der AXA-ARAG, beantwortet die wichtigsten Fragen zum neuen DSG und gibt Tipps, wie sich Unternehmen auf diese neuen Vorschriften vorbereiten können.

Um was genau geht es beim neuen DSG?

Zum einen geht es darum, das Datenschutzgesetz an die veränderten technologischen und gesellschaftlichen Verhältnisse (Cloud Computing, Big Data, soziale Netzwerke, Internet der Dinge) anzupassen: Die Selbstbestimmung der betroffenen Personen über ihre Daten soll gestärkt werden. Zum anderen wird mit dieser Revision das DSG auf die europäischen Datenschutzregeln abgestimmt: Es soll sichergestellt werden, dass die EU die Schweiz weiterhin als Drittstaat mit einem angemessenen Datenschutzniveau anerkennt – und die unkomplizierte Datenübermittlung zwischen der Schweiz und der EU auch in Zukunft möglich bleibt.

Warum ist die Revision so wichtig?

Wenn die EU-Kommission die Angemessenheit des schweizerischen Datenschutzniveaus nicht mehr anerkennt, drohen Schweizer Unternehmen künftig Wettbewerbsnachteile, da der Datenaustausch mit Unternehmen in der EU erschwert werden würde.

Wann tritt das neue DSG in Kraft?

Das neue DSG wird zusammen mit der vom Bundesrat noch zu erlassenden Datenschutzverordnung (VDSG) im September 2023 in Kraft treten.

Bis wann muss ein Unternehmen die neuen Datenschutzvorschriften umsetzen?

Bis zum Inkrafttreten des nDSG.

Welche Übergangsfristen gelten?

Das nDSG enthält keine Übergangsfristen.

Was passiert, wenn ein Betrieb die DSG-Vorschriften nicht bis zu diesem Zeitpunkt umsetzt?

Die Kompetenzen des EDÖB (Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter) zur Durchsetzung des nDSG wurden erweitert. Er kann von Amtes wegen oder auf Anzeige eine Untersuchung gegen ein Unternehmen einleiten und bei Verstössen gegen Datenschutzvorschriften weitreichende Massnahmen anordnen, wie die Anpassung oder Unterbrechung der Datenbearbeitung oder gar die Datenlöschung. 

Ferner stehen den Betroffenen gemäss nDSG zivilrechtliche Rechtsbehelfe zur Durchsetzung ihrer Ansprüche zur Verfügung. Gleichzeitig wurde die Zivilprozessordnung (ZPO) angepasst, welche die entsprechenden Gerichtsverfahren für kostenlos erklärt.  

DSGVO vs. revidiertes DSG

Im September 2020 verabschiedeten National- und Ständerat nach knapp vierjährigem Gesetzgebungsprozess das totalrevidierte Schweizer Datenschutzgesetz (nDSG). Dieses revidierte Datenschutzgesetz (nDSG) gleicht sich in vielen – doch nicht in allen – Punkten an die Datenschutz-Grundverordnung der EU (DSGVO) an. Es bleiben aber auch wesentliche Unterschiede bestehen. 

Mit welchen Bussen muss ein Unternehmen bei einem Verstoss gegen das nDSG im schlimmsten Fall rechnen?

Bei vorsätzlichen Verstössen gegen das nDSG wie Verletzung von Informations-, Auskunfts-, Mitwirkungs- oder Sorgfaltspflichten können Privatpersonen mit Bussen bis CHF 250'000 bestraft werden. Bei Widerhandlungen in Geschäftsbetrieben können die Unternehmen mit einer Busse bis CHF 50'000 bestraft werden, wenn die Ermittlung der fehlbaren Personen mit unverhältnismässigem Aufwand verbunden wäre – und eine Busse für diese von höchstens CHF 50'000 in Betracht fallen würde.

Hier liegt ein grosser Unterschied zur DSGVO vor, die nicht die natürlichen Personen, sondern die Unternehmen mit wesentlich höheren Bussen bestraft.    

  • Teaser Image
    AXA Cyberversicherung

    Hacking, Erpressung, Malware: Immer mehr Schweizer Firmen werden Opfer von Cyberkriminellen. Die Cyberversicherung der AXA schützt Unternehmen vor finanziellen Schäden, die im Falle einer Cyberattacke drohen.

    Zur Cyberversicherung

Was sind die wichtigsten Änderungen?

  1.  Neuer Geltungsbereich: Das revidierte DSG beschränkt sich wie die DSGVO auf den Datenschutz natürlicher Personen – statt wie bisher auch auf Daten juristischer Personen.
  2. Erweiterter Umfang: Neu gelten auch genetische und biometrische Daten als besonders schützenswert.
  3. Verbesserte Transparenz: Unternehmen haben weitergehende Informationspflichten als bisher. Neu müssen die Unternehmen die betroffenen Personen über jede Datenbeschaffung angemessen informieren, nicht wie bisher nur bei besonders schützenswerten Daten, und zwar auch dann, wenn die Daten nicht beim Betroffenen selbst erhoben werden. Mitgeteilt werden müssen die Identität und die Kontaktdaten des für die Datenbearbeitung Verantwortlichen, der Bearbeitungszweck, die Empfänger bzw. Kategorien von Empfängern und das Empfängerland bei Datenexport ins Ausland. Hier ist das nDSG sogar strenger als die DSGVO.
  4. Verzeichnis der Bearbeitungstätigkeiten: Unternehmen sind verpflichtet, ein Verzeichnis der Bearbeitungstätigkeiten zu führen mit den vorgeschriebenen Angaben. Dafür entfällt die Pflicht zur Führung eines Verzeichnisses der Datensammlungen. Es empfiehlt sich jedoch, diese beiden Verzeichnisse intelligent miteinander zu verknüpfen, insbesondere wenn bei mehreren Datenbearbeitungstätigkeiten auf dieselbe Applikation bzw. Datenbank zugegriffen wird. Für Unternehmen bis 250 Beschäftigte kann der Bundesrat Ausnahmen vorsehen. Die Verordnung (neue VDSG) liegt noch nicht vor.
  5. Datenschutz-Folgenabschätzung: Unternehmen sind neu verpflichtet, eine Datenschutz-Folgenabschätzung durchzuführen, wenn die Datenbearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen mit sich bringt. Diese muss dokumentiert sein.
  6. Profiling: Das nDSG regelt auch das Profiling, das heisst die automatisierte Datenbearbeitung, um bestimmte persönliche Aspekte einer Person wie wirtschaftliche Lage, Gesundheit, Interessen, Verhalten, Aufenthaltsort usw. zu bewerten. Im Unterschied zur DSGVO sieht das nDSG keine allgemeine Pflicht zur Einholung einer Einwilligung vor. Diese besteht nur bei Profiling mit hohem Risiko.
  7. Schnelle Meldung an den EDÖB: Verletzungen der Datensicherheit, das heisst unbeabsichtigtes oder widerrechtliches Verlieren, Löschen, Vernichten, Verändern oder Unbefugten zugänglich machen von Personendaten, müssen neu dem EDÖB so rasch als möglich (gemäss DSGVO innerhalb von 72 Stunden) gemeldet werden, wenn sie voraussichtlich zu einem hohen Risiko für die Betroffenen führen (gemäss DSGVO genügt ein einfaches Risiko). In der Regel muss der Verantwortliche auch die betroffene Person informieren, wenn dies zu ihrem Schutz nötig ist oder der EDÖB es verlangt.
  8. Privacy-by-Design und Privacy-by-Default (Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen): Sie verpflichten Unternehmen, die Datenbearbeitungsgrundsätze bereits bei der Planung und Ausgestaltung von Applikationen zu berücksichtigen und z.B. Einwilligungen von Betroffenen, die über die unbedingt notwendige Datenbearbeitung hinausgehen, nicht durch entsprechende Voreinstellungen zu erreichen.    

Was bedeuten die Abkürzungen?

DSG ist das schweizerische Datenschutzgesetz (Bundesgesetz über den Datenschutz). Mit nDSG wird das totalrevidierte neue Datenschutzgesetz im Unterschied zum geltenden DSG bezeichnet.

VDSG ist die Verordnung des Bundesrats zum DSG. Sie enthält die Ausführungs- bzw. Detailbestimmungen. Die definitive Fassung der neuen Verordnung liegt noch nicht vor. Der Bundesrat hat am 23.6.2021 den Verordnungsentwurf in die Vernehmlassung geschickt.

DSGVO ist die Datenschutz-Grundverordnung der EU vom 27.4.2016. Sie gilt für alle EU-Staaten seit dem 25.5.2018 unmittelbar. Obwohl es sich um eine europäische Verordnung handelt, ist sie unter gewissen Voraussetzungen auch auf Schweizer Unternehmen anwendbar.

Was bleibt unverändert?

Im Unterschied zur DSGVO, die für jede Datenbearbeitung eine Rechtsgrundlage verlangt, ändert sich die Art und Weise der Datenbearbeitung nach nDSG nicht grundlegend. Wie bisher ist für die Bearbeitung von Personendaten durch private Unternehmen im Unterschied zur DSGVO keine Einwilligung oder ein anderer Rechtfertigungsgrund nötig, sofern:

  • die Bearbeitungsgrundsätze Transparenz – insbesondere die Erfüllung der Informationspflichten –, Zweckbindung, Verhältnismässigkeit und Datensicherheit eingehalten werden,
  • die betroffene Person der Bearbeitung nicht widersprochen hat
  • und Dritten keine besonders schützenswerten Personendaten mitgeteilt werden.

Eine ausdrückliche Einwilligung ist nur bei Bearbeitung von besonders schützenswerten Personendaten und neu bei Profiling mit hohem Risiko vorgeschrieben. 

Müssen sich auch ausländische Firmen an das neue Gesetz halten?

Ja, das neue DSG knüpft bezüglich des räumlichen Geltungsbereichs an das sogenannte Auswirkungsprinzip an. Es gilt auch für ausländische Firmen, die im Schweizer Markt tätig sind beziehungsweise deren Datenbearbeitung sich in der Schweiz auswirkt, genauso wie die DSGVO auch für Schweizer Unternehmen gilt, die im EU-Raum tätig sind.

Unternehmen mit Sitz im Ausland müssen eine Vertretung in der Schweiz bezeichnen, wenn sie regelmässig umfangreich Daten von Personen in der Schweiz im Zusammenhang mit Angeboten von Waren oder Dienstleistungen oder zwecks Beobachtung des Verhaltens bearbeiten und die Bearbeitung ein hohes Risiko für die Betroffenen mit sich bringt.

Umgekehrt müssen Schweizer Unternehmen gemäss DSG immer einen Datenschutzverantwortlichen ernennen, wenn sie Personendaten von Einwohnern der EU bearbeiten. Nicht nur, wenn ein hohes Risiko vorliegt. 

Welche Unternehmen sind einem besonders hohen Risiko ausgesetzt, gegen das neue DSG zu verstossen?

Einem besonders hohen Risiko ausgesetzt sind Unternehmen, die grosse Mengen an Personendaten oder besonders schützenswerte Personendaten bearbeiten, Profiling durchführen, Webshops betreiben, automatisierte Einzelentscheide generieren oder Personendaten ins Ausland (ausserhalb der EU) übermitteln.   

  • Teaser Image
    Rechtstipps für Unternehmen

    Auf MyRight finden Sie aktuelle Infos rund ums neue Datenschutzgesetz. Ausserdem viele weitere hilfreiche Artikel, Tipps und Vorlagen sowie einen Arbeitszeugnisgenerator.

    Zu MyRight

Welcher Aufwand kommt mit der Totalrevision des DSG auf Firmeninhaberinnen und -inhaber zu?

Der Aufwand hängt davon ab, ob das Unternehmen aufgrund seiner Tätigkeit zu den besonders betroffenen Unternehmen gehört und wie weit es sich bereits an die neuen Entwicklungen angepasst hat. Unternehmen, die bereits DSGVO-konform sind, haben praktisch keinen Anpassungsbedarf mehr. Wer hingegen nur in der Schweiz tätig ist und bisher noch nichts unternommen hat, sollte umgehend mit einer Gap-Analyse beginnen.

Muss nun jedes Unternehmen einen Datenschutzberater ernennen oder einstellen?

Nein, die Ernennung eines Datenschutzberaters ist im Unterschied zur DSGVO freiwillig, bringt aber gewisse Vorteile. Er ist einerseits Anlaufstelle für Mitarbeitende, Kunden (bei Ausübung ihrer Betroffenenrechte) und Behörden zu Datenschutzthemen. Andererseits entfällt die obligatorische Konsultation des EDÖB im Zusammenhang mit Datenschutz-Folgenabschätzungen bei hohen Risiken, wenn stattdessen der Datenschutzberater konsultiert wird.    

Kann ich als KMU allein ein neues Datenschutzkonzept entwickeln? Gibt es Vorlagen?

Das hängt davon ab, ob im Unternehmen entsprechende Kompetenzen vorhanden sind, zum Beispiel ein kompetenter Datenschutzverantwortlicher nach altem DSG oder eine Rechtsabteilung. Andernfalls empfehlen wir dringend, externe Unterstützung in Anspruch zu nehmen. 

Anleitungen und Vorlagen finden Sie unter anderem auf diesen Seiten:

www.edoeb.admin.ch/edoeb/de/home.html

www.swissdataprotectionlaw.ch

Was muss eine Firma unternehmen, um ab 2022 die neuen Datenschutzbestimmungen zu erfüllen?

  • Überprüfen und Anpassen von Datenschutzerklärungen im Internet und auf Werbe- und Vertragsdokumenten
  • Erstellen oder Anpassen von internen Richtlinien zur Datenbearbeitung
  • Erstellen eines Datenbearbeitungsverzeichnisses
  • Implementieren eines Prozesses, der die fristgerechte Bearbeitung von Betroffenenrechten (z. B. Auskunfts- oder Löschbegehren) gewährleistet
  • Implementieren eines Prozesses zur Meldung von Datenschutzverletzungen
  • Implementieren eines Prozesses zur Datenschutz-Folgenabschätzung, insbesondere wenn eine umfangreiche Bearbeitung von besonders schützenswerten Daten oder eine umfangreiche systematische Überwachung von öffentlichen Bereichen stattfindet oder neue Bearbeitungstechnologien mit hohem Risiko zum Einsatz gelangen
  • Die Verträge mit den Auftragsbearbeitern (Dritten) sind zu überprüfen. Insbesondere ist die Aufnahme einer Meldepflicht bei Datenschutzverletzungen und bei der Weitergabe an Unterauftragnehmer empfohlen. Ausserdem muss sich der Verantwortliche vergewissern, dass die Datensicherheit gewährleistet ist.  
  • Sicherstellen, dass Personendaten gelöscht oder anonymisiert werden, sobald sie zum Zweck der Bearbeitung nicht mehr erforderlich sind
  • Abklären, in welche Länder Personendaten bekanntgegeben werden, und Sicherstellen, dass dies nur in jene Länder erfolgt, die einen angemessenen Schutz gewährleisten. Dies gilt auch für die Speicherung auf ausländischen Systemen (Cloud). Der Bundesrat publiziert eine entsprechende Liste (bisher der EDÖB). Soweit die Länder nicht auf dieser Liste aufgeführt sind, dürfen Daten unter bestimmten Bedingungen dennoch exportiert werden, unter anderem mit dem ausdrücklichen Einverständnis der Betroffenen. 
  • Sicherstellen der Datensicherheit durch geeignete technische und organisatorische Massnahmen. Sprich: Verletzungen der Datensicherheit sollten vermieden werden. Der Bundesrat muss die Mindestanforderungen noch festlegen. Da die Datenübermittlung per E-Mail unsicher ist, sollte zumindest bei besonders schützenswerten Personendaten eine E-Mail-Verschlüsselung zur Verfügung stehen. 
  • Sicherstellen der Datenportabilität, das heisst die Datenherausgabe in einem gängigen elektronischen Format (analog zur DSGVO), wenn die Daten elektronisch und vor allem in unmittelbarem Zusammenhang mit dem Abschluss oder der Abwicklung eines Vertrags bearbeitet werden
  • Ernennen einer Datenschutzberaterin oder eines Datenschutzberaters mit Meldung an den EDÖB (empfohlen). Ihre oder seine Kontaktdaten müssen veröffentlicht werden. Gemäss DSGVO ist die Ernennung einer oder eines Datenschutzbeauftragten hingegen zwingend.

 

Verwandte Artikel

AXA & Sie

Kontakt Schaden melden Stellenangebote Medien Broker myAXA Login GaragenHub Kundenbewertungen Newsletter abonnieren myAXA FAQ

AXA weltweit

AXA weltweit

In Kontakt bleiben

DE FR IT EN Nutzungshinweise Datenschutz Cookie Policy © {YEAR} AXA Versicherungen AG