Am 1. September 2023 tritt in der Schweiz das neue Datenschutzgesetz in Kraft. Es soll die Bearbeitung persönlicher Daten verbessern und für mehr Transparenz und Rechte hinsichtlich der eigenen Personendaten sorgen.
Dieser «scale-it»–Artikel gehört zu unserem:
Für wen gilt das neue DSG (nDSG / revDSG) und warum war eine Revision längst fällig?
Das erste Bundesgesetz über den Datenschutz (DSG) wurde 1992 erlassen. Es gilt für alle Schweizer und internationalen Unternehmen mit grenzüberschreitendem Geschäftsverkehr, die Daten von Personen verarbeiten, welche in der Schweiz wohnhaft sind.
Nach über 30 Jahren ist das geltende DSG jedoch nicht mehr zeitgemäss. Es wird den gesellschaftlichen Verhältnissen sowie den neuen digitalen Technologien von heute (Cloud Computing, Social-Media-Plattformen, Big Data, IoT etc.) nicht mehr gerecht. Deshalb wurde es revidiert. Zudem soll es sich der Datenschutz-Grundverordnung der EU (DSGVO) angleichen.
Welche Neuerungen und Änderungen des DSG sind für KMU am wichtigsten?
Thema «schützenswert»
- Künftig sind nur noch die Daten natürlicher Personen geschützt, nicht mehr diejenigen juristischer Personen. Das heisst Unternehmen müssen sich z.B. auf den Persönlichkeitsschutz nach ZGB berufen, wenn es ums Thema Firmenrecht geht.
- Als «besonders schützenswerte Personendaten» gelten neu auch genetische und biometrische Daten. Dazu gehört etwa die ethnische Zugehörigkeit, wie auch Fingerabdrücke oder Retina-Scans, welche eine natürliche Person eindeutig identifizieren.
Die Mehrheit der Schweizer KMU sind Mikrobetriebe mit bis zu 9 Beschäftigten. Vor allem für diese Unternehmenskategorie sind die Neuerungen eine Herausforderung. (Photo by Adam Winger on Unsplash)
Neue Grundsätze & Begriffe
- Der Begriff «Profiling» ersetzt denjenigen des Persönlichkeitsprofils. Unter «Profiling» wird die automatisierte Auswertung von Personendaten verstanden, mit denen bestimmte Verhaltensweisen einer Person bewertet, analysiert oder vorhergesagt werden können (Arbeitsleistung, wirtschaftliche Lage, Gesundheit, Interessen, Aufenthaltsort etc.). «Profiling ist weiterhin meistens ohne Einwilligung erlaubt, es sei denn es handelt sich um «Profiling mit hohem Risiko», welches in bestimmten Fällen eine ausdrückliche Einwilligung der betroffenen Person für die Datenbearbeitung verlangt.
- Ebenfalls neu im DSG verankert sind die Grundsätze «Privacy-by-Design» und «Privacy-by-Default». Diese besagen, dass Apps oder Webseiten bereits bei der Planung und Gestaltung so konzipiert werden müssen, dass sie den Schutz der Privatsphäre gewährleisten. Zudem darf sich die Verarbeitung von Personendaten auf nur auf das Nötigste beschränken und muss mit dem Verwendungszweck übereinstimmen.
Offenlegung von Informationen & Daten
- Mit einer erweiterten Informationspflicht sorgt das revDSG für mehr Transparenz. So müssen betroffene Personen über jegliche Art der Erfassung ihrer Daten informiert werden (z.B. in Form eines Consent-Banners auf der Webseite).
Folgende Angaben muss ein Datenverarbeiter mindestens offenlegen:
✓ die Identität und die Kontaktdaten des Verantwortlichen
✓ den Bearbeitungszweck
✓ die Empfänger bzw. Empfängerkategorien
✓ den Hinweis auf eine mögliche automatische Datenerhebung
✓ das Empfängerland im Falle eines Datenexports ins Ausland
- Bei Verletzungen der Datensicherheit gilt neu eine obligatorische Meldepflicht. Der EDÖB muss informiert werden, wenn ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen besteht. Das ist beispielsweise bei Unternehmen der Fall, die Opfer von Cyberangriffen werden, aber auch, wenn Personendaten durch Mitarbeitende gelöscht werden oder Daten aufgrund technischer Pannen verlorengehen.
- Unternehmen müssen fortan zwingend ein Verzeichnis der Verarbeitungstätigkeiten führen. Ausnahme bilden KMU mit weniger als 250 Mitarbeitenden, bei denen bei der Datenbearbeitung ein geringes Risiko besteht, die Persönlichkeit betroffener Personen zu verletzen.
Weitere Bestimmungen
- Besteht beider Datenverarbeitung von Personendaten ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person, ist neu eine Datenschutz-Folgenabschätzung (DSFA) durchzuführen.
- Betreffend des Datenexports ins Ausland bestimmt neu der Bundesrat, in welche Länder die Bekanntgabe von personenbezogenen Daten erfolgen darf. Die bis anhin unverbindliche Liste des EDÖB wird hinfällig. Generell müssen KMU nachweisen können, dass auch im Zielland alle datenschutzrechtlich notwendigen Bestimmungen eingehalten werden.
Handlungs-Empfehlungen für KMU
Was müssen Firmen
unternehmen, um die neuen Datenschutzbestimmungen
zu erfüllen?
BESTIMMEN:
– Verantwortliche Person für den Datenschutz
– Zugriffsrechte von Mitarbeitenden
ANPASSEN AUF NEUE GRUNDSÄTZE:
– Datenschutzerklärungen
– Richtlinien zur Datenverarbeitung
– Datenverarbeitungen und IT-Systeme
– Verträge von Auftragsbearbeitern
– Datentransfers ins Ausland
PROZESSE DEFINIEREN FÜR:
– Meldung von Datenschutzverletzungen
– Datenlöschung, wenn nicht mehr für den Erhebungszweck benötigt
– Fristgerechte Bearbeitung von Betroffenenrechten
– «Datenschutz-Folgenabschätzungen»
NEU ERSTELLEN:
– Datenbearbeitungs-Verzeichnis (ggf.)
