Wenn Sie bei der Erstellung der Datenschutzerklärung Unterstützung benötigen, können wir Ihnen an dieser Stelle das Datenschutz-Package von YLEX empfehlen. YLEX unterstützt Sie bei der Erstellung einer massgeschneiderten Datenschutzerklärung und klärt ihre Fragen rund um die neuen gesetzlichen Vorgaben.
Quelle: Adobe Stock: Privacy blue von Weissblick, Standardlizenz (Social Media) gelöst von YLEX.
Das neue Schweizer Datenschutzgesetz tritt am 1. September 2023 in Kraft. Hauptziel der Totalrevision ist die Angleichung des schweizerischen Datenschutzrechts an die EU(DSGVO).
Gesetzesänderungen bringen üblicherweise für den Rechtsanwender oft eine gewisse Unsicherheit mit sich. Auch die Revision des Datenschutzgesetzes wirft für viele Unternehmen neue Fragen auf. Wir zeigen hier die wichtigsten Änderungen auf:
Erweiterte Informationspflichten
Die Informationspflichten im neuen Datenschutzgesetz wurden erweitert. Im Gegensatz zum geltenden Recht muss der Verantwortliche neu bei jeder Beschaffung von Personendaten informieren, sofern nicht eine der gesetzlich vorgesehenen Ausnahmen vorliegt. Folgende Mindestanforderungen müssen den betroffenen Personen bei der Beschaffung von Personendaten mitgeteilt werden:
- Zweck der Verarbeitung
- Identität und Kontaktdaten der verantwortlichen Stelle
- allfällige Empfänger oder Kategorien von Empfängern, denen die Personendaten bekannt gegeben werden
- bei Datenbekanntgabe ins Ausland den Staat oder das internationale Organ und gegebenenfalls die Garantien für den Schutz personenbezogener Daten
Somit müssen nun alle Unternehmen eine Datenschutzerklärung erstellen, die die oben genannten vier Mindestangaben enthalten muss. Die neu geschaffenen Mindestangaben sind weniger umfassend als jene der DSGVO. Im Gegensatz dazu geht das neue schweizerische Datenschutzgesetz weiter als die DSGVO, was die Informationspflichten bezüglich der Datenbekanntgabe ins Ausland betrifft.
Auftragsbearbeiter
Durch Vertrag oder Gesetz kann ein Auftragsbearbeitungsverhältnis (Outsourcing wie z.B. in die Cloud) begründet werden. Dabei muss der Auftragsbearbeiter die Daten so bearbeiten, wie es der Verantwortliche selbst tun könnte. Ebenso muss sich der Verantwortliche vergewissern, dass der Auftragsbearbeiter in der Lage ist, die Datensicherheit zu gewährleisten.
Verzeichnis der Bearbeitungstätigkeiten
Neu sieht das Datenschutzgesetz die Pflicht für Verantwortliche und Auftragsbearbeiter vor, je ein Verzeichnis ihrer Datenbearbeitungstätigkeiten zu führen. Die Angaben müssen dabei aktuell und genau sein. Eine ähnliche Pflicht kennt bereits die DSGVO. Das neue Datenschutzgesetz sieht jedoch Ausnahmen für Unternehmen vor, die weniger als 250 Mitarbeitende beschäftigen und deren Datenbearbeitungen ein geringes Risiko von Persönlichkeitsverletzungen mit sich bringen.
Sowohl für die Verantwortlichen als auch die Auftragsbearbeiter wird der Mindestinhalt des Verzeichnisses vorgegeben. Mit dieser Dokumentation soll die Transparenz der Datenbearbeitungen verbessert werden.
Privacy by Design und Privacy by Default
Das bereits aus der DSGVO bekannte Prinzip des «Privacy by Design» wird neu auch im schweizerischen Datenschutzgesetz verankert. Dieses Prinzip besagt, dass bereits bei der Planung von Projekten die Datenbearbeitung technisch und organisatorisch so zu gestalten ist, dass die Datenschutzvorschriften eingehalten werden.
Zudem sind die Verantwortlichen verpflichtet, durch geeignete Voreinstellungen sicherzustellen, dass standardmässig nur die für den jeweiligen Zweck erforderlichen Personendaten bearbeitet werden können und sich die Bearbeitung auf das notwendige Minimum beschränkt (sog. «Privacy by Default»).
Verschärfte Sanktionen und Ausbau der Befugnisse des EDÖB
Im Gegensatz zum bestehenden Gesetz sieht das neue Gesetz klare Sanktionen vor. So werden künftig vorsätzliches Handeln und Unterlassen, nicht aber Fahrlässigkeit bestraft. Gegenüber der bisherigen Regelung wurden die Strafbestimmungen deutlich erweitert und verschärft. Wer Auskunfts-, Informations- oder Mitwirkungspflichten verletzt, kann auf Antrag mit Busse bis zu 250’000 Franken bestraft werden.