zurück

Das ändert sich für Unternehmen mit dem neuen Datenschutzgesetz

Das neue Schweizer Datenschutzgesetz (DSG) tritt am 1. September 2023 in Kraft. Verschärfte Regeln verpflichten Unternehmen dazu, mehr Wert auf den Schutz von Personendaten zu legen. Wir empfehlen Ihnen, sich mit dem Datenschutz auseinanderzusetzen, bestehende Datenschutzerklärungen und Regelungen zu überprüfen und gegebenenfalls anzupassen.

Dextra rechtsschutz neues datenschutzgesetz schweiz illustration
Dennis Wallace
Publiziert am 20.07.2023

Wieso wird das Gesetz verschärft?

Das Schweizer Datenschutzgesetz wurde seit dem Inkrafttreten im Jahr 1992 nur sehr geringfügig geändert und war bisher weniger strikt als die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union (EU). In den letzten Jahren hat sich die Informationstechnologie und die damit einhergehende Verarbeitung von personenbezogenen Daten jedoch rapide weiterentwickelt. Das DSG entspricht somit nicht mehr den aktuellen Anforderungen an einen angemessenen Datenschutz. Eine umfassende Revision des DSG war daher notwendig, um den Datenschutz in der Schweiz zu stärken, ihn an den europäischen Standard anzupassen und so zu ermöglichen, dass Daten zwischen Unternehmen in der Schweiz und der EU ausgetauscht werden dürfen.

Was ändert sich?

Nachfolgend finden sind einige der wichtigsten Änderungen bzw. Neuerungen:

  • Ausweitung der Informationspflichten: Bei jeder Beschaffung von Personendaten müssen die betroffenen Personen vorgängig ausführlich informiert werden. Diese Information muss den Bearbeitungszweck (bspw. Dienstleistungserbringung, Marketing, statistische Auswertung, den Verantwortlichen beim Unternehmen und allfällige Kategorien von Empfängern der Personendaten (bspw. IT-Dienstleister, Hosting-Provider, Berater) beinhalten. Wenn die Daten ins Ausland bekanntgegeben werden, bedarf dies ebenfalls einer Information über den Empfänger-Staat sowie Garantien zum Schutz dieser Daten.
  • Geltungsbereich: Neu sind nur noch die Daten von natürlichen Personen betroffen, während die Daten von juristischen Personen nicht besonders geschützt werden. Das neue Gesetz gilt des Weiteren nicht nur für private Unternehmen, sondern auch für Behörden, Privatpersonen, Vereine und alle, die Personen-daten bearbeiten oder speichern.
  • Verschärfung der Sanktionen für Verstösse gegen das DSG: Unternehmen, bzw. Arbeitnehmer und Arbeitnehmerinnen, die gegen das DSG verstossen, können mit Geldbussen bis zu CHF 250'000 bestraft werden. Verstösse umfassen beispielsweise die vorsätzliche Verletzung von Informations-, Auskunfts- oder Sorgfaltspflichten.
  • “Privacy by Design” wird eingeführt: “Privacy by Design” ist ein Grundsatz, der besagt, dass der Schutz der Privatsphäre in den Entwicklungsprozess von Technologien und Systemen integriert werden muss. Dies beinhaltet die Berücksichtigung von technischen Datenschutzmassnahmen von Anfang an, um sicherzustellen, dass Personendaten angemessen geschützt werden.
  • “Privacy by Default” wird eingeführt: “Privacy by Default” ist ein Grundsatz, der besagt, dass standardmässig datenschutzfreundliche Einstellungen und Voreinstellungen angewendet werden müssen, um die Privatsphäre der Nutzer zu schützen. Nutzer sollen somit selbst entscheiden können, ob sie einer nicht notwendigen Datenverarbeitung zustimmen wollen.
  • Einführung der Pflicht zur Durchführung von Datenschutz-Folgenabschätzungen (DSFA): ): Bei bestimmten Arten der Datenverarbeitung muss eine DSFA durchgeführt werden, um die Risiken für die Rechte und Freiheiten der betroffenen Personen zu bewerten. Bei hohen Risiken ist zu-dem eine obligatorische Konsultation des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) vorgeschrieben.
  • Ein Verzeichnis der Bearbeitungstätigkeiten wird obligatorisch: Datenschutzverantwortliche müssen neu ein Verzeichnis ihrer Datenbearbeitungstätigkeiten führen. Die Angaben darin müssen aktuell und genau sein und müssen den gesetzlich vorgegebenen Mindestanforderungen entsprechen. Ausnahmen gibt es für Unternehmen, die weniger als 250 Mitarbeitende beschäftigen und deren Datenbearbeitung geringe Risiken mit sich bringen.
Sws James Lourenço w My hoto MYP4698
Haben Sie Fragen zu unseren Produkten?

Unsere Berater stehen Ihnen gerne zur Verfügung! Gemeinsam finden wir Lösungen für Ihre Anliegen:

Kontaktieren Sie uns per Telefon:
+41 44 296 60 60

Beratungstermin vereinbaren:
Termin buchen

Was sollten Unternehmen jetzt tun?

Unternehmen sollten sich mit den neuen Anforderungen des Schweizer Datenschutzgesetzes (DSG) befassen, um die neuen Herausforderungen des DSG zu meistern und sich vor rechtlichen, finanziellen und Reputationsrisiken zu schützen, die mit einem Verstoss gegen das DSG verbunden sind. Hier sind einige Tipps für Unternehmen:

  • Überprüfen Sie Ihre Datenschutzerklärung: Ihre Datenschutzerklärung sollte die neuen Anforderungen des DSG erfüllen. Dazu gehört unter anderem, dass Sie die betroffenen Personen umfassend und verständlich über die Datenverarbeitung informieren. Diese Datenschutzerklärung sollte auf Ihrer Webseite einfach auffindbar sein oder in sonstiger Form den Kunden zugestellt werden.
  • Erstellen Sie ein Verzeichnis aller Personendaten, die Sie verarbeiten: Sie müssen ein Verzeichnis aller Personendaten erstellen, die Sie verarbeiten. Dieses Verzeichnis sollte Informationen über die Art der Daten, die Zwecke der Verarbeitung, die Speicherdauer und die Empfänger der Daten enthalten.
  • Ergreifen Sie geeignete technische und organisatorische Massnahmen zum Schutz Ihrer Daten und der Daten der Kunden: Sie müssen geeignete technische und organisatorische Massnahmen zum Schutz Ihrer Daten vor unbefugtem Zugriff, Verlust oder Zerstörung treffen. Dazu gehören beispielsweise die Verwendung von Passwortschutz, Firewalls und Datenverschlüsselung.
  • Schulen Sie Ihre Mitarbeiter im Datenschutz: Sie müssen Ihre Mitarbeiter im Datenschutz schulen. Dies sollte dazu beitragen, dass Ihre Mitarbeiter die Datenschutz-Vorschriften einhalten und die Daten der betroffenen Personen schützen.
  • Beauftragen Sie einen Datenschutzbeauftragten: Wenn Sie mehr als 250 Mitarbeitende oder regelmässig personenbezogene Daten von mehr als 10'000 Personen verarbeiten, ist es vorteilhaft, wenn Sie einen Datenschutzbeauftragten (DPO) ernennen. Ein DPO stellt die Einhaltung des DSG in Ihrem Unternehmen sicher und bringt weitere Vorteile, ist aber freiwillig.
  • Melden Sie Datensicherheitsverletzungen: Sollte die Datensicherheit verletzt werden, die voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person führt, ist eine rasche Meldung an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) sowie an die betroffene Person vorgeschrieben.
  • Lassen Sie sich von einem Datenschutzexperten beraten: Wenn Sie sich nicht sicher sind, ob Sie die neuen Anforderungen des DSG erfüllen, sollten Sie sich von einem Datenschutzexperten beraten lassen.

Fazit

Das neue Schweizer Datenschutzgesetz ist ein wichtiger Schritt zur Stärkung des Datenschutzes in der Schweiz. Unternehmen sind verpflichtet, die gesetzlichen Vorgaben umzusetzen und die notwendigen Massnahmen betreffend Datenschutz zu treffen. Dies kann für viele Unternehmen mit viel Aufwand verbunden sein – insbesondere für diejenige, welche sich bisher nur wenig mit dem Thema auseinandergesetzt haben. Um sich vor den Risiken zu schützen, die mit einem Verstoss gegen das DSG verbunden sind, empfiehlt es sich technische und rechtliche Unterstützung bei der Umsetzung des DSG zu suchen und sich so gegen mögliche Risiken abzusichern.

Häufige Fragen

Muss jedes Unternehmen einen Datenschutzbeauftragten ernennen oder einstellen?

Nein, die Ernennung eines Datenschutzbeauftragten ist freiwillig, kann aber durchaus sinnvoll sein. Falls interne oder externe Datenschutzbeauftragte ernannt und konsultiert werden, entfällt beispielsweise die obligatorische Konsultation des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) bei Folgeabschätzungen bei hohen Risiken.

Müssen nun alle Unternehmen in der Schweiz einen Cookie-Banner einführen?

Nein, die Richtlinie aus dem DSGVO der EU wird in der Schweiz nicht übernommen. Untersteht Ihr Unternehmen also ausschliesslich dem Schweizer Datenschutzgesetz, müssen Sie keinen Cookie-Banner auf der Webseite einsetzen.

Ab wann gilt das neue Datenschutzgesetz in der Schweiz?

Das neue Schweizer Datenschutzgesetz (DSG) tritt am 1.September 2023 in Kraft. Es gibt keine Übergangsfristen betreffend Umsetzung der Anforderungen.

Welcher Aufwand kommt mit dieser Revision auf Unternehmen zu?

Dies hängt von der Geschäftstätigkeit, der geographischen Ausrichtung und der bisherigen Massnahmen in Bezug auf Datenschutz ab. Unternehmen, welche nur in der Schweiz tätig sind und bisher noch nichts unternommen haben, sollten sich umgehend absichern und entsprechende Anpassungen vornehmen. Unternehmen, welche bereits die Vorschriften der DSGVO umgesetzt haben, erfüllen die meisten Voraussetzungen bereits.

Wer ist für die Einhaltung des Datenschutzgesetzes verantwortlich?

Obwohl die verschiedenen Pflichten den Unternehmen auferlegt werden, tragen die leitenden Personen die Verantwortung für Verstösse gegen die Strafbestimmungen innerhalb des Unternehmens.

Dextra unternehmen rechtsschutz übersicht mitarbeitende im office vor laptop
Noch kein Rechtsschutz?

Hier geht's zu unseren Versicherungen für Unternehmen

Haben Sie Fragen?

Kontaktieren Sie uns jetzt

Infos & Dokumente

Dokumente, Vorlagen & Wissen

Working@Dextra

Werden Sie Teil von Dextra