- WAS SIE JETZT WISSEN MÜSSEN
Die wichtigsten Neuerungen zum revidierten DSG auf einen Blick
Mit der Verabschiedung des revidierten Datenschutzgesetzes (rDSG) durch die Parlamente im September 2020 ist das Gesetzgebungsverfahren abgeschlossen und das revidierte Datenschutzgesetz tritt per 1. September 2023 ohne Übergangsfrist in Kraft. In diesem Artikel erörtern wir die wichtigsten Neuerungen, stellen einen Vergleich zur europäischen DSGVO an und zeigen auf wo für Unternehmen möglicherweise Handlungsbedarf besteht.
Das revidierte DSG verfolgt einen risikobasierten Ansatz
Unternehmen bearbeiten in zunehmendem Umfang Daten über Kunden, Lieferanten und Mitarbeitende. Ziel der Revision ist es, die Unternehmen zu verpflichten, die notwendigen organisatorischen und technischen Massnahmen zu ergreifen, um die Datensicherheit sicherzustellen und den Datenmissbrauch möglichst zu vermeiden.
Die wichtigsten Neuerungen im Überblick
Neuer Geltungsbereich: Natürliche Personen
Eine der massgeblichen Änderungen betrifft den Geltungsbereich des revidierten Gesetzes. Während sich das DSG von 1992 sowohl auf die Daten von juristischen und natürlichen Personen bezieht, gilt das revidierte DSG ab September nur noch für Daten von natürlichen Personen. Auch müssen ausländische Unternehmen, welche in der Schweiz tätig sind, die Anforderungen erfüllen. Damit passt sich der Geltungsbereich an die europäische DSGVO an.
Datenschutzbeauftragte(r): Freiwillig aber empfohlen
Die hauptsächliche Rolle des Datenschutzberaters besteht neben der Ansprechstelle gegenüber der Aufsichtsbehörde (EDÖB), allfälligen Auskunftsbegehren nachzukommen sowie Mitarbeitende entsprechend zu schulen. Sie entspricht somit der Rolle des Datenschutzbeauftragten (DPO) im DSGVO. Im Gegensatz zum DSGVO sieht das rDSG für privatrechtliche Organisationen aber keine Pflicht vor eine/n DPO zu ernennen. Diese Freiwilligkeit kann aber unter Umständen mit erweiterten Auflagen und somit erhöhten Aufwänden beim Umgang mit den stattlichen Aufsichtsbehörden (EDÖP) verbunden sein.
Datenbearbeitungsverzeichnis und Datenschutz-Folgenabschätzung (DPIA)
Neu sind Unternehmen verpflichtet ein Datenbearbeitungsverzeichnis zu führen. Hierbei sind aber Ausnahmen für KMUs mit weniger als 250 Mitarbeitenden vorgesehen, deren Datenbearbeitung ein beschränktes Risiko mit sich bringt. Das Datenbearbeitungsverzeichnis muss insbesondere Informationen über die Bearbeitung personenbezogener Daten im Ausland enthalten. Im Gegensatz zur DSGVO enthält das DSG jedoch keine umfassenden Formanforderungen an das Datenbearbeitungsverzeichnis.
Weiter haben die Unternehmen einen Prozess zur Datenschutz-Folgenabschätzung (DPIA) einzuführen. Es gibt auch eine spezifische Liste von Verarbeitungstätigkeiten, für die eine DPIA verpflichtend ist wie beispielsweise die Verarbeitung von sensiblen personenbezogenen Daten, die Verarbeitung von Daten zum Zwecke der Überwachung, die Verarbeitung von grossen Mengen von personenbezogenen Daten, die Verarbeitung von personenbezogenen Daten im Zusammenhang mit automatisierter Entscheidungsfindung u.a.
Das revidierte Datenschutzgesetz führt eine persönliche Strafbarkeit ein
Während die europäische DSGVO Bussen gegen Unternehmen vorsieht, können nach dem neuen Schweizer DSG die verantwortlichen Mitarbeitenden strafrechtlich zur Verantwortung gezogen werden. Die Verletzung von datenschutzrechtlichen Informations-, Auskunfts- und Mitwirkungspflichten kann mit Bussen von bis zu CHF 250’000.- bestraft werden. Weiter geregelt sind die Konsequenzen bei Verletzung der Sorgfaltspflichten, der beruflichen Schweigepflicht, des Missachtens von Verfügungen – allesamt ebenso strafbar mit Bussen von bis zu CHF 250’000.-.
Eine weitere nennenswerte Neuregelung stellt die Ausdehnung der bisherigen Schweigepflicht für spezifische Berufsgruppen (Anwälte, Ärzte, u.a) zu einer allgemeinen Schweigepflicht für alle Berufstätigen dar. Während die Pflicht zur Geheimhaltung von Personendaten bislang üblicherweise auf die Geschäfts- und Fabrikationsgeheimnisse des Arbeitgebers beschränkt waren, sind Arbeitnehmende durch die Neuregelung auch in Bezug auf die Kundendaten des Arbeitgebers zur Geheimhaltung verpflichtet. Bei Verletzung der Bestimmungen drohen Bussen von bis zu CHF 250’000.- zulasten der verantwortlichen natürlichen Person.
Diese Regelungen stellen eine deutliche Verschärfung der bisherigen Gesetzgebung dar und es ist daher notwendig, die betroffenen Mitarbeitenden entsprechend zu schulen.
Auskunftsbegehren und Rechte betroffener natürlicher Personen
Auch das rDSG definiert Rechte sowie Anforderungen in Bezug auf die Auskunftsbegehren von natürlichen Personen, welche innerhalb von 30 Tagen zu beantworten sind. Diese umfassen:
-
Recht auf Auskunft: Betroffene Personen haben das Recht, von dem/r Verantwortlichen Auskunft über die sie betreffenden personenbezogenen Daten zu erhalten und über deren Herkunft, Empfänger und Zwecke der Verarbeitung.
-
Form und Umfang: Die Auskunft muss in klarer und verständlicher Form erteilt werden und darf nur die erforderlichen Informationen enthalten.
-
Zeitpunkt: Die verantwortliche Person muss innerhalb von 30 Tagen auf das Auskunftsbegehren reagieren.
-
Sicherheitsmassnahmen: Die verantwortliche Person muss angemessene Sicherheitsmassnahmen ergreifen, um sicherzustellen, dass die Auskunft nur an die berechtigte Person geliefert wird.
-
Recht auf Berichtigung, Löschung und Einschränkung: Betroffene Personen haben das Recht, unrichtige Daten berichtigen oder löschen zu lassen oder die Verarbeitung ihrer Daten einschränken zu lassen.
Es ist wichtig zu beachten, dass es in bestimmten Fällen Ausnahmen von diesen Anforderungen geben kann, z.B. wenn die Erteilung von Auskunft die Rechte und Freiheiten anderer Personen beeinträchtigen würde oder wenn es sich um geschäftsinterne Informationen handelt. Zudem gibt das rDSG im Gegensatz zum DSGVO nicht vor, elektronische Auskunftsbegehren kostenfrei zur Verfügung zu stellen.
VERGLEICH MIT DEM DSGVO
Angleichung aber nicht identisch: Unterschiede zwischen dem rDSG und der europäischen DSGVO
UNSERE EXPERTEN SIND FÜR SIE DA
Pragmatica unterstützt bei der Planung und Umsetzung der neuen Datenschutzrichtlinien
Wir bringen alle unsere Erfahrungen aus zahlreichen vergangenen Mandaten im Kontext von Channel- und Experience Management sowie Videoberatung ein. Wir unterstützen Sie bei der Ausarbeitung, Definition, Planung und Umsetzung einer Omni-Channel Strategie und zeigen Ihnen wie Sie bereits mit kleinen Investitionen beispielsweise in Ihre Videoberatungskompetenzen viel erreichen können. Melden Sie sich für einen unverbindlichen Austausch mit bei info@pragmatica.ch