Das neue Schweizer Bundesgesetz über den Datenschutz (revDSG) verstehen – Ein umfassender Leitfaden für Schweizer Unternehmen
Einführung: Die Ankunft einer neuen Datenschutz-Ära in der Schweiz
Die Schweiz hat mit der Einführung des neuen Bundesgesetzes über den Datenschutz (revDSG) eine neue Ära des Datenschutzes eingeläutet. Die neue Gesetzgebung ersetzt das bisherige Gesetz von 1992, spiegelt das fortschreitende digitale Zeitalter wider und bringt die Schweizer Vorschriften näher an die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union. Das neue Gesetz führt mehrere neue Anforderungen ein, die Unternehmen erfüllen müssen, um konform zu bleiben.
Dieser Artikel zielt darauf ab, Unternehmen – insbesondere solche, die sich zum ersten Mal mit den Feinheiten des Datenschutzes auseinandersetzen – durch die neue Landschaft, die durch das revDSG geformt wurde, zu führen. Er skizziert die wichtigsten Änderungen, kritischen Bestimmungen, die Kompatibilität mit der EU-DSGVO und die notwendigen Schritte zur Erreichung der Konformität.
Hauptneuerungen des revDSG
Das revDSG baut auf dem bestehenden Datenschutzrahmen auf und führt mehrere neue Elemente ein. Dazu gehören:
- Stärkere Transparenzanforderungen: Das revDSG legt großen Wert auf Transparenz und verlangt von Unternehmen, dass sie ihre Gründe für die Erhebung von Kundendaten rechtfertigen und offenlegen, wer Zugang zu diesen Daten haben wird. Diese Informationen müssen explizit, eindeutig und leicht zugänglich sein (revDSG Artikel 15). Betroffene Personen haben nun das Recht, die Dauer der Datenspeicherung und deren Nutzung zu verstehen und fehlerhafte Daten ohne Begründung zu berichtigen.
- Recht auf Information: Das Gesetz besagt, dass jede Person vom Verantwortlichen für die Datenverarbeitung Informationen darüber verlangen kann, ob ihre persönlichen Daten verarbeitet werden (Art. 25 revDSG).
- Erweiterte Compliance-Verpflichtungen für Unternehmen: Das revDSG hat seine Reichweite über die Schweizer Grenzen hinaus ausgedehnt, analog zur DSGVO (Artikel 3). Alle Schweizer und internationalen Unternehmen, die Waren und Dienstleistungen für Schweizer Einwohner anbieten oder ihr Verhalten überwachen, müssen sich an das revDSG halten. Unternehmen ohne physische Präsenz in der Schweiz müssen einen Schweizer Vertreter ernennen, der für alle Fragen der Datenbearbeitung verantwortlich ist (revDSG Artikel 3).
- Gestärkte Regulierungsbefugnisse und Sanktionen: Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) findet seine Befugnisse unter dem revDSG gestärkt. Er kann strenge Sanktionen gegen Privatpersonen verhängen, die die Vorschriften nicht einhalten, mit Strafen von bis zu CHF 250.000 für Einzelpersonen und in einigen Fällen kann dem Unternehmen im Falle eines Verstoßes im Geschäftsverlauf, insbesondere wenn ein unverhältnismäßiger Aufwand erforderlich wäre, um die fehlbare Person innerhalb der Organisation zu identifizieren, eine Strafe von bis zu CHF 50.000 auferlegt werden (Artikel 60 revDSG)..
- Meldung von Verletzungen der Datensicherheit: Unternehmen müssen Verletzungen der Datensicherheit umgehend dem EDÖB und den betroffenen Parteien melden (revDSG Artikel 24), um Schäden zu begrenzen, Vertrauen aufrechtzuerhalten und weitere rechtliche Komplikationen zu vermeiden.
- Datenschutz durch Technikgestaltung und Datenschutz durch datenschutzfreundliche Voreinstellungen: In Anlehnung an die DSGVO (Artikel 25) schreibt Artikel 7 des revDSG vor, dass Unternehmen Datenschutzgrundsätze von der Entwurfsphase von Produkten oder Dienstleistungen an integrieren und die strengsten Datenschutzeinstellungen standardmäßig anwenden müssen. Dieser vorausschauende Ansatz hilft, den Datenschutz auf jeder operativen Ebene zu berücksichtigen.
- Datenschutz-Folgenabschätzung: Private und öffentliche Stellen, die Daten verarbeiten, müssen eine Datenschutz-Folgenabschätzung (DSFA) durchführen, wenn die Datenbearbeitung voraussichtlich ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen darstellt (Art. 22 revDSG).
- Die Rolle des EDÖB: Das revDSG überträgt dem EDÖB zusätzliche Aufgaben und Befugnisse und bringt Änderungen für Datenverarbeiter und betroffene Personen mit sich. Der EDÖB wird in Zukunft private Datenverarbeiter für eine Reihe seiner Dienstleistungen in Rechnung stellen (Art. 59 revDSG).
- Datenschutzberaterin oder -berater: Die Ernennung von Datenschutzberaterin oder -berater an den EDÖB ist in den Artikeln 10 Abs. 3 nDSG für Privatpersonen und Art. 10 Abs. 4 nDSG für Bundesstellen vorgesehen. Private Unternehmen können eine Datenschutzberaterin oder -berater ernennen, der nicht zwingend ein Mitarbeiter sein muss und dessen Hauptaufgabe darin besteht, unabhängige Beratung zum Datenschutz zu bieten, Regeln und Vorschriften zu erstellen und Schulungen durchzuführen. Nach einer Datenschutz-Folgenabschätzung können sich Unternehmen ausschließlich auf den Rat des DSB verlassen, ohne den EDÖB weiter konsultieren zu müssen.
Unterschiede zwischen revDSG und DSGVO verstehen
Trotz gemeinsamer Ziele weisen das revDSG und die DSGVO Unterschiede auf, die Unternehmen, die in beiden Rechtsbereichen tätig sind, verstehen müssen. Hier ist eine vergleichende Analyse:
| revDSG | DSGVO | |
|---|---|---|
| Bestellung eines Datenschutzbeauftragten (Datenschutzberaterin oder -berater) | Empfohlen, aber nicht verpflichtend (revDSG Artikel 10 und 12) | Pflicht für bestimmte Unternehmen (DSGVO Artikel 37) |
| Verletzungen der Datensicherheit (Datenschutzverletzung) | Unverzügliche Meldung erforderlich (revDSG Artikel 24) | Meldung innerhalb von 72 Stunden erforderlich (DSGVO Artikel 33) |
| Sanktionen | Bis zu CHF 250.000 für Einzelpersonen (revDSG Artikel 60-64) | Bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes für Unternehmen (DSGVO Artikel 83) |
| Offenlegung von Informationen | Weniger strenge Anforderungen an Datenschutzhinweise (revDSG Artikel 19) | Detaillierte Anforderungen an Datenschutzhinweise (DSGVO Artikel 13 und 14) |
| Datenübertragungen | Entscheidung liegt beim Bundesrat (revDSG Artikel 16) | Entscheidung liegt bei der Europäischen Kommission (DSGVO Kapitel V) |
| Transparenz | Stärkere Transparenzanforderungen (revDSG Artikel 19) | Umfassende Transparenzpflichten (Art. 13 DSGVO) |
Vorbereitung auf die Einhaltung des revDSG: Ein praktischer Leitfaden
Übergang vom DSG zum revDSG
Für Unternehmen, die bisher mit dem DSG konform waren, mag der Übergang zum revDSG einschüchternd erscheinen, aber er ist entscheidend. Eine Lückenanalyse zur Identifizierung von Datenschutzmängeln und Risiken und die Entwicklung eines strategischen Plans zur Behebung dieser Lücken sind von entscheidender Bedeutung. Die Implementierung von robusten Verfahren zur Datenbearbeitung, strengen Sicherheitsmaßnahmen und effektiven Schulungsprogrammen gewährleistet einen reibungslosen Übergang.
Die anhaltende Relevanz der DSGVO
Trotz der Einführung des revDSG dürfen Schweizer Unternehmen die DSGVO nicht außer Acht lassen, insbesondere wenn sie Daten von EU-Bürgern verarbeiten. Die Einhaltung der DSGVO gewährleistet nicht nur einen reibungslosen Datenaustausch mit EU-Partnern, sondern auch die globale Wettbewerbsfähigkeit des Unternehmens.
Fazit
Das revDSG stellt einen bedeutenden Meilenstein in der Datenschutzlandschaft der Schweiz dar. Das Verständnis der Auswirkungen dieses neuen Gesetzes ist für Schweizer Unternehmen und solche, die in der Schweiz tätig sind, von entscheidender Bedeutung, um die Einhaltung sicherzustellen, erhebliche Strafen zu vermeiden und das Vertrauen der Kunden zu erhalten.
Durch das Verständnis der Schlüsselbestimmungen des revDSG, die Würdigung der Unterschiede zur DSGVO und die Planung eines reibungslosen Übergangs können Unternehmen eine sichere und verantwortungsvolle Handhabung von Personendaten gewährleisten. Obwohl die Aufgabe gewaltig erscheinen mag, sind die Vorteile einer robusten Datenschutzpraxis enorm.
Hier sind einige wichtige Punkte aus dem Artikel:
- Das revDSG ist eine bedeutende Überarbeitung der Schweizer Datenschutzgesetze und bringt sie stärker in Einklang mit der DSGVO.
- Das revDSG führt eine Reihe neuer Anforderungen für Unternehmen ein, einschließlich strengerer Transparenzanforderungen, erweiterterMeldepflichten bei Verletzungen der Datensicherheit und erhöhter Sanktionen für Einzelpersonen und (in einigen Fällen) Unternehmen
- Unternehmen, die in der Schweiz tätig sind oder die Personendaten von Schweizer Einwohnern verarbeiten, müssen Maßnahmen ergreifen, um die Einhaltung des revDSG sicherzustellen.
- Es gibt eine Reihe von Ressourcen, die Unternehmen dabei helfen, das revDSG zu verstehen und einzuhalten, einschließlich der Website und Leitdokumente des EDÖB.
Wir hoffen, dass dieser Artikel dazu beigetragen hat, einen Überblick über das revDSG zu geben. Bei weiteren Fragen stehen wir euch gerne zur Verfügung.
Webinar-Zusammenfassung: Das neue Datenschutzgesetz in der Schweiz (revDSG) – Jetzt verfügbar!
Falls du unser Webinar über das neue Datenschutzgesetz in der Schweiz verpasst hast, stellen wir es dir hier vor. Bei Fragen zögere bitte nicht, uns sofort zu kontaktieren.
