Neues Schweizer Datenschutzgesetz mit erhöhter Bussenobergrenze

Am 1. September 2023 tritt in der Schweiz das revidierte Datenschutzgesetz in Kraft. Die Revision des Datenschutzgesetzes war notwendig, um der technologischen Entwicklung und der digitalen Transformation unserer Gesellschaft gerecht zu werden. Die neuen Bestimmungen stellen zudem die Vereinbarkeit mit dem europäischen Recht sicher und bringen zahlreiche Verpflichtungen für Unternehmen mit sich.

Veröffentlicht am
Schlagwörter
Stefan Ludin
Rechtsanwalt Gewerbe-Treuhand AG

Neu im Gesetz verankert sind die Grundsätze «Privacy by Design» (Datenschutz durch Technik) und «Privacy by Default» (Datenschutz durch datenschutzfreundliche Voreinstellungen). Durch technische und organisatorische Schutzmassnahmen muss sichergestellt werden, dass Daten standardmässig anonymisiert oder gelöscht werden (Datenschutz durch Technik). Datenschutzfreundliche Voreinstellungen sollen sicherstellen, dass nur die für den Nutzungszweck unbedingt erforderlichen Daten bearbeitet werden, solange die weitergehende Bearbeitung von der betroffenen Person nicht aktiv zugelassen wird.

Ein Bearbeitungsverzeichnis muss geführt werden
Grundsätzlich ist ein Verzeichnis der Tätigkeiten zu führen, in denen personenbezogene Daten bearbeitet werden. In diesem Verzeichnis sind unter anderem die Zwecke der Bearbeitung sowie die Dauer der Aufbewahrung aufzuführen. Unternehmen, die weniger als 250 Mitarbeitende beschäftigen oder deren Datenbearbeitung ein geringes Risiko von Verletzungen der Persönlichkeit der betroffenen Personen mit sich bringt, sind von dieser Pflicht befreit.

Durchführung einer Datenschutz-Folgenabschätzung
Wenn eine Datenbearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringen kann, müssen Unternehmen vorgängig eine Datenschutz-Folgenabschätzung durchführen. Die Datenschutz-Folgenabschätzung muss die geplante Datenbearbeitung, deren Risiken für die Persönlichkeit oder die Grundrechte sowie die bereits getroffenen oder noch zu treffenden Schutzmassnahmen beschreiben.

Erweiterte Informationspflicht, Auskunftsrecht und Meldepflicht
Die betroffenen Personen müssen neu bei jeder Beschaffung von Personendaten vorgängig informiert werden, nicht mehr nur bei besonders schützenswerten Daten. Das Gesetz sieht keine Formvorschriften vor. In der Praxis erfolgt die Information mittels Datenschutzerklärungen. Jede Person kann Auskunft darüber verlangen, ob Personendaten über sie bearbeitet werden.

Verletzungen der Datensicherheit (zum Beispiel Hackerangriffe), die voraussichtlich ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person zur Folge haben, sind unverzüglich dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) und gegebenenfalls der betroffenen Person zu melden.

Die Strafbestimmungen sind verschärft worden
Die Straftatbestände im Datenschutzgesetz wurden erweitert und die Bussenobergrenze für Verstösse von 10'000 auf 250'000 Franken erhöht. Zudem wird die vorsätzliche Missachtung von Verfügungen des EDÖB unter Strafe gestellt.

Unsere Handlungsempfehlung für die Unternehmen
Bereits unter dem bisherigen Recht gelten die Grundsätze von Treu und Glauben, der Verhältnismässigkeit (inklusive Datensparsamkeit), der Zweckbindung, der Erkennbarkeit, der Datenrichtigkeit sowie der Datensicherheit. Unternehmen, die diese Grundsätze einhalten und sich darüber hinaus bereits an die Datenschutzgrundverordnung (DSGVO) der Europäischen Union angepasst haben, werden nur wenige Änderungen vornehmen müssen.

Unternehmen, die dem Thema Datenschutz bisher nur wenig oder gar keine Beachtung geschenkt haben, sollten sicherstellen, dass sie die Datenschutzbestimmungen einhalten. Dies nicht zuletzt auch wegen den verschärften Strafbestimmungen.

Modal zum Teilen dieser Seite
  1. Sie befinden sich hier: Home - KGL
  2. Gut zu wissen
  3. Neues Schweizer Datenschutzgesetz mit erhöhter Bussenobergrenze