Schweizer Datenschutzgesetz: Was sich für Unternehmen ändert

Das neue Schweizer Datenschutzgesetz (nDSG) tritt am 1. September 2023 übergangslos in Kraft. Die Neuerungen sind umfassend und betreffen grundsätzlich alle Schweizer Unternehmen. Wer vorsätzlich gegen die neuen Datenschutzbestimmungen verstösst, muss mit hohen Bussen rechnen: Bis zu 250’000 Franken werden bei Vergehen fällig – das tut richtig weh. Damit Ihr Unternehmen von den neuen Gesetzesänderungen nicht unvorbereitet getroffen wird, gilt es einige Punkte zu beachten und bereits jetzt Anpassungen vorzunehmen.


Antworten auf die sechs wichtigsten Fragen gibt der Datensicherheits- und Datenschutzexperte

1 Warum war die Revision des Datenschutzgesetzes notwendig?

Der Vorgänger des neuen Datenschutzgesetzes für die Schweiz stammt aus dem Jahr 1992. Seither haben sich Technologie und Gesellschaft rasant entwickelt, das DSG ist nicht mehr zeitgemäss. Auch die Kompatibilität mit der EU-Datenschutzgrundverordnung (DSGVO) und damit die Möglichkeit des freien und unkomplizierten Datenaustauschs setzte das alte Datenschutzgesetz zusätzlich unter Druck.

2 Welche Unternehmen sind betroffen?

Grundsätzlich sind alle Schweizer Unternehmen betroffen, die Personendaten bearbeiten. Insbesondere betroffen sind alle Unternehmen, die grosse Mengen von Personendaten oder besonders schützenswerte Personendaten erheben und bearbeiten, Profiling betreiben oder Webshops führen.

3 Welches sind die wichtigsten Aspekte des neuen Datenschutzgesetzes?

  1. Erhöhung der Transparenz
  2. Stärkung der Prävention und Eigenverantwortung der Datenanbieter
  3. Stärkung der Datenschutzaufsicht
  4. Ausbau der Strafbestimmungen

4 Welche Neuerungen bringt das neue Datenschutzgesetz?

  • Geschützt werden natürliche Personen, der Schutz juristischer Personen (AG, GmbH etc.) entfällt.
  • Genetische und biometrische Daten (z.B. Fingerabdruck, Retina-Scan) sind neu besonders schützenswerte Personendaten.
  • Profiling (automatisierte Datenbearbeitung) wird im nDSG verankert.
  • Auftragsbearbeitungen: Auftragsbearbeiter wie z.B. Outsourcing-Dienstleister müssen Daten gleich behandeln wie der Verantwortliche (Abschluss eines Auftragsdatenverarbeitungsvertrages – ADV).
  • Datenschutz ist bereits bei der Entwicklung wichtig, die Grundsätze «Privacy by Design» (Datenschutz durch Technik) und «Privacy by Default» (datenschutzfreundliche Voreinstellungen) sind zu berücksichtigen, um den Verarbeitungsgrundsätzen zu entsprechen.
  • Pflicht zur Erstellung eines Verzeichnisses der Verarbeitungstätigkeiten mit Mindestangaben nach nDSG. Ausnahmen für KMU möglich, wenn die Datenbearbeitung ein geringes Risiko für eine Persönlichkeitsverletzung der betroffenen Personen mit sich bringt.
  • Erweiterung der Betroffenenrechte: Auf Verlangen der betroffenen Personen müssen bestimmte Informationen über die Bearbeitung von Personendaten mitgeteilt oder in elektronischer Form zur Verfügung gestellt werden.
  • Die Informationspflichten werden erweitert: Bei der Beschaffung von Personendaten müssen die Verantwortlichen ihre Identität und Kontaktangaben, den Zweck der Bearbeitung sowie allfällige Empfänger und Länder bei Datenübermittlungen ins Ausland bekannt geben.
  • Eine Datenschutz-Folgenabschätzung (DSFA) ist bei risikoreichen Verarbeitungsprozessen obligatorisch (Beschreibung der geplanten Berarbeitung, Risikobewertung und Massnahmen).
  • Data Breach Notification: Verletzungen der Datensicherheit müssen dem EDÖB risikobasiert und so schnell wie möglich gemeldet werden.
  • Sanktionen bis zu 250’000 Franken bei Verstössen (persönliche Strafbarkeit).

5 Wie sollten Unternehmen nun vorgehen?

Der erste Schritt besteht darin, ein Inventar der Datenbearbeitungen (Inventar von Personendaten) zu erstellen. Wenn Sie wissen, welche Personendaten wo und wie verarbeitet werden, fällt es Ihnen leichter, die Datenschutzbestimmungen einzuhalten.

Nachdem Sie den Status quo ermittelt haben, führen Sie eine Gap-Analyse durch. So können Sie feststellen, wo Handlungsbedarf besteht. Gegebenenfalls sollten Sie auch prüfen, welche Daten Sie tatsächlich erheben müssen und welche nicht.

Es empfiehlt sich, einen Datenschutzberater oder eine Datenschutzberaterin zu bestimmen, die sich um den Datenschutz im Unternehmen kümmert und Ansprechpartner für Betroffene und Behörden ist.

6 Was müssen Unternehmen jetzt ändern?

  1. Informieren Sie über die gesamte Datenbearbeitung, nicht nur über die Datenbearbeitung auf der Website.
  2. Die Datenschutzerklärung muss auf jeder Seite leicht auffindbar sein.
  3. Reduzieren Sie die Abfragekriterien auf ein Minimum.
  4. Schränken Sie den Datenzugriff innerhalb Ihrer Organisation ein.
  5. Löschen oder anonymisieren Sie personenbezogene Daten, sobald sie für den Zweck der Verarbeitung nicht mehr benötigt werden.
  6. Passen Sie Ihre Datenschutzerklärung an das nDSG an.
  7. Schulen und sensibilisieren Sie Ihre Mitarbeitenden.

Organisationen, die bereits DSGVO-konform arbeiten, sind bereits gut aufgestellt und müssen nur punktuelle Anpassungen vornehmen.

 

Total Page Visits: 1210 - Today Page Visits: 1
Schlagwörter: , , ,

Umut Yilmaz

Umut Yilmaz ist als Information Security Officer bei der Bank WIR tätig. Seit über 15 Jahren arbeitet er im Bereich IT & Informationssicherheit und hat diverse Datenschutzprojekte im Gesundheits- und Finanzsektor umgesetzt. Er ist dipl. Head of IT-Security & Riskmanagement und ISO 27001 Lead Auditor zertifiziert. Er ist weiter als Dozent und Prüfungsexperte in den Themen Informationssicherheit, IT-Security und Datenschutz an der Wirtschaftsinformatik Fachschule tätig. Seit November 2022 ist Umut Trainer für ISO 27001 und Datenschutz bei der Digicomp.

Schreibe einen Kommentar