Das neue Schweizer Datenschutzgesetz – was ändert sich zum 01.09.2023?
Dass das Schweizer Datenschutzgesetz einer Totalrevision unterzogen wurde, dürfte inzwischen allen Unternehmen und Bundesbehörden in der Schweiz bekannt sein. Auch die meisten Unternehmen ausserhalb der Schweiz, die jedoch in Geschäftsbeziehungen mit Schweizern stehen, haben davon gehört. Doch was genau ändert sich zum September 2023 denn jetzt nun? Wir haben Ihnen die wichtigsten neuen Regelungen im Überblick zusammengefasst. Natürlich ist diese Liste nicht abschliessend. Sie dient ja aber auch nur dazu, einen ersten Überblick zu bekommen. Bei weiteren Fragen rund um Datenschutz und Datensicherheit können Sie sich gern telefonisch oder über unser Kontaktformular an uns wenden. Neuer Geltungsbereich Die neuen Regelungen des revDSG sind nur noch auf Personendaten natürlicher Personen anzuwenden. Juristische Personen (also „Unternehmensdaten“) werden nicht mehr erfasst. Besonders schützenswerte Daten Grundsätzlich dürfen Personendaten in der Schweiz ohne Einwilligung bearbeitet werden. Eine Ausnahme gilt für „besonders schützenswerte Daten“. Wie der Name schon sagt, muss hier das Schutzniveau etwas höher ausfallen und somit ist eine Einwilligung für das Bearbeiten dieser Daten erforderlich. Neu werden nun auch „genetische und biometrische Daten“ vom Begriff der besonders schützenswerten Daten umfasst. Privacy by Design und Privacy by Default Die Grundsätze „Privacy by Design“ (Datenschutz durch Technikgestaltung) und “Privacy by Default” (Datenschutz durch datenschutzfreundliche Voreinstellungen) werden eingeführt. Auch das dürfte manchen bereits aus der DS-GVO der EU bekannt sein. Unternehmen und Bundesbehörden sind also schon ab der Planung entsprechender neuer Vorhaben verpflichtet, entsprechende angemessene technische und organisatorische Massnahmen umzusetzen, um Personendaten zukünftig besser zu schützen. Informationspflichten Eine der zentralsten Änderungen ist die neue Pflicht zur Erteilung gewisser Informationen über die Datenbearbeitung. Bereits bei Beschaffung von Personendaten müssen Betroffene informiert werden. Auch dann, wenn die Personendaten noch nicht mal bei der betroffenen Person selbst erhoben werden. Verzeichnis der Bearbeitungstätigkeiten Es wird obligatorisch. Der Verantwortliche muss nun ein Verzeichnis über sämtliche Bearbeitungstätigkeiten führen. Für Bundesbehörden dürfte das allerdings nichts Neues sein. Doch bevor Sie jetzt loslegen und ein solches Verzeichnis erstellen, sollten Sie zunächst prüfen, ob Sie gegebenenfalls von der Pflicht zur Führung eines Verzeichnis der Bearbeitungstätigkeiten befreit sind. Denn die Datenschutzverordnung (DSV) sieht Ausnahmen vor! Aber auch hier gilt Vorsicht: nur weil Ihr Unternehmen weniger als 250 Mitarbeiter*innen beschäftigt, ist es nicht automatisch von der Pflicht befreit. Datenschutz-Folgenabschätzung Neu ist auch die Pflicht zum Erstellen einer Datenschutz-Folgenabschätzung, sofern die Datenbearbeitung ein hohes Risiko für die Persönlichkeit und die Grundrechte betroffener Personen mit sich bringt. Zunächst muss also erstmal eine Risikoanalyse stattfinden, ob überhaupt ein hohes Risiko besteht. Und denken Sie daran, dass Sie solch eine „aufwändige“ Prüfung eigentlich bereits vor Einführung einer neuen Software oder Ähnlichem durchführen sollten. Meldung von Datenschutzverletzungen Verletzungen der Datensicherheit müssen nun dem EDÖB gemeldet werden, sofern diese für die Betroffenen zu einem hohen Beeinträchtigungsrisiko ihrer Persönlichkeit oder ihrer Grundrechte führen. Eine solche Meldung erfolgt meist online über ein entsprechendes Formular und muss so rasch wie möglich erfolgen. Vorab sollte der Verantwortliche jedoch erst eine Prognose zu den möglichen Auswirkungen der Verletzung erstellen und eine Beurteilung darüber vornehmen, ob die betroffenen Personen ebenfalls über das Ereignis zu informieren sind.