23. Aug 2023

Neues Datenschutzgesetz

Neues Datenschutzgesetz

Alles, was Sie und Ihre Organisation über das totalrevidierte Datenschutzgesetz (revDSG) wissen müssen.

Der folgende Artikel enthält Textbausteine aus Publikationen des Bundes, welche am Ende der Seite aufgelistet sind.

Am 1. September 2023 tritt das totalrevidierte Datenschutzgesetz in Kraft. 

Es hat zwei Hauptanliegen:

1. Das Datenschutzgesetz von 1992 an die sich durch die Digitalisierung wandelnden Lebensrealitäten anzupassen. Strengere Bestimmungen zur Verarbeitung persönlicher Daten gewähren den Bürger:innen umfassendere Informationsrechte.

2) Die Kompatibilität des Schweizer Rechts mit dem EU-Recht (DSGVO) sicherzustellen.


Mit der Gesetzesänderung gehen neue Verpflichtungen einher für all jene, die Personendaten bearbeiten. Dies betrifft neben Unternehmen und Institutionen auch Verbände. Wir wollen unseren Mitgliedern und allen Interessierten deshalb hier einen Überblick über die wichtigsten Änderungen im neuen Gesetz geben. 

Es versteht sich, dass Verbände je nach Grösse, Zweck, Art und Ausmass der Datenbearbeitung anders betroffen sind. Informieren Sie sich deshalb unbedingt selbst weiter über die für Sie relevanten Punkte. Die Links und Dokumente am Ende dieses Artikels können Ihnen dabei helfen. 

Wichtigste Änderungen im revDSG 


1. Neu sind nur noch die Daten natürlicher Personen betroffen (zuvor auch Daten juristischer Personen).

2. Genetische und biometrische Daten werden in die Definition der besonders schützenswerten Daten aufgenommen.

3. Die Grundsätze «Privacy by Design» und «Privacy by Default» werden eingeführt.

4. Besteht ein hohes Risiko der Verletzung von Persönlichkeits- oder Grundrechten der betroffenen Personen, muss eine Folgenabschätzung ausgearbeitet werden.

5. Die Informationspflicht wird ausgeweitet: Bei jeder Beschaffung von Personendaten muss die betroffene Person vorgängig informiert werden (bisher nur bei besonders schützenswerten Daten).

6. Ein Bearbeitungsverzeichnis wird obligatorisch. Ausnahme: Wenn weniger als 250 Mitarbeitende angestellt sind und die Datenbearbeitung nur ein geringes Risiko für Verletzungen der Persönlichkeit der betroffenen Personen aufweist.

7. Wenn die Datensicherheit verletzt wird, muss möglichst rasch eine Meldung an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) erfolgen.

8. Der Begriff «Profiling» wird ins Gesetz aufgenommen. 

FAQ 

Was sind besonders schützenswerte, genetische und biometrische Personendaten?

Bisher gehörten Daten über religiöse, weltanschauliche, politische oder gewerkschaftliche Ansichten oder Tätigkeiten; die Gesundheit, die Intimsphäre oder die Zugehörigkeit zu einer Rasse oder Ethnie, über Massnahmen der sozialen Hilfe; verwaltungs- und strafrechtliche Verfolgungen oder Sanktionen zu den besonders schützenswerten Personendaten.

Mit dem neuen Gesetz gehören nun auch genetische und biometrische Daten, welche eine Person eindeutig identifizieren dazu. Biometrische Daten sind etwa physische und physiologische Merkmale einer Person, genetischen Daten hingegen enthalten Informationen über das Erbgut einer Person. 

Was ist mit «Privacy by Design» und «Privacy by Default» gemeint?

Privacy by Design heisst so viel wie Datenschutz durch Technik. Datenschutzmassnahmen sollen bei der Entwicklung und Programmierung schon mitgedacht und umgesetzt werden.

Privacy bei Default heisst so viel wie Datenschutz durch Voreinstellung. Wenn man eine Website besucht, soll die Standardeinstellung also jeweils bereits die datenschutzfreundlichste sein. 

Wann besteht ein hohes Risiko der Verletzung von Persönlichkeits- oder Grundrechten?

Ein hohes Risiko kann sich aus der Verwendung neuer Technologien, aus der Art, dem Umfang, den Umständen und dem Zweck der Bearbeitung ergeben. Das Gesetz nennt beispielsweise die umfangreiche Bearbeitung besonders schützenswerter Personendaten und die systematische, umfangreiche Überwachung öffentlicher Bereiche.

Was muss eine Folgenabschätzung beinhalten?

Die Folgenabschätzung gibt eine Beschreibung über die geplante Datenbearbeitung, eine Risikobewertung für die Persönlichkeit oder die Grundrechte der betroffenen Person sowie Informationen über getroffene Massnahmen zum Schutz derer.

Brauche ich / meine Organisation ein Bearbeitungsverzeichnis?

Wenn Ihr Unternehmen oder Ihre Organisation weniger als 250 Angestellte beschäftigt und die Datenbearbeitung ein geringes Risiko für Verletzungen der Persönlichkeit der betroffenen Personen mit sich bringt, dann benötigen Sie kein Bearbeitungsverzeichnis.

Was muss in ein Bearbeitungsverzeichnis?

Das Verzeichnis soll die Art und Weise der Datenbearbeitungen klar überschaubar und grob verständlich wiedergeben.

Verantwortliche (nicht die Personen, die mit den Daten direkt arbeiten) müssen folgendes erfassen: 

  • Firma und Adresse des Verantwortlichen 
  • Zweck der Bearbeitung 
  • Kategorien betroffener Personen
  • Kategorien bearbeiteter Personendaten 
  • Kategorien der Empfänger der Daten
  • Aufbewahrungsdauer oder die Kriterien zur Festlegung der Dauer 
  • Beschreibung der Datensicherheitsmassnahmen 
  • Liste aller Staaten in welche Daten weitergegeben werden.
Auftragsbearbeiter müssen hingegen nur eine Liste der Verantwortlichen führen, für die sie Daten im Auftrag bearbeiten, und die Arten von Bearbeitungen im Auftrag beschreiben.

Was bedeutet «Profiling»?

Unter Profiling wird die automatisierte Bearbeitung und Bewertung von Personendaten verstanden (z.B. durch einen Algorithmus). Es ersetzt den im alten Datenschutzgesetz benutzten Begriff des Persönlichkeitsprofils.

Was passiert bei Nichteinhalten der neuen Regeln?

Vorsätzliche Datenschutzrechtsverletzungen sind mit Bussen von bis zu CHF 250'000 strafbar. 

Speziell: Die Bussen betreffen private Personen, die für die Datenschutzverletzung verantwortlich sind, nicht Unternehmen. 

Welche neuen Rechte habe ich als natürliche Person?

Das revDSG weitet die Rechte von natürliche Personen aus, besonders in Bezug auf das Recht auf Offenlegung und Informationsrechte. Die bestehenden Rechte auf Auskunft, Löschung oder Sperrung (Einschränkung) ihrer Personendaten bleiben bestehen. 

Neu hat die betroffene Person Anspruch auf alle Informationen, die erforderlich sind, damit sie ihre Rechte geltend machen kann und damit ihre Daten transparent verarbeitet werden. Der oder die Verantwortliche muss Auskunft über die Daten kostenlos und innerhalb von 30 Tagen bereitstellen. 

Was muss ich / meine Organisation nun konkret tun oder gegebenenfalls ändern?


1. Datenschutzerklärung prüfen und gegebenenfalls anpassen und ergänzen. Folgende Punkte sollten darin enthalten sein:

  • Name und Kontaktdaten des Verantwortlichen (Website-Betreiber)
  • Transparenz und Aufklärung bezüglich jeglicher Personendaten-Beschaffung und -Verarbeitung (Zweck und Dauer)
  • Aufklärung über die Rechte im DSG (Recht auf Auskunft, Berichtigung und Löschung)
  • Dienste von Drittanbietern erwähnen (Newsletter, Social Media, CRM, Cloud...)

2. Technische Massnahmen zur Verbesserung der Datensicherheit ergreifen.

  • Zugang zu den Daten sichern (Netzwerksicherheit, komplexe Passwörter, Zwei-Faktor-Authentisierung...)
  • Entwickler und IT-Spezialisten konsultieren, um Datenschutz durch Technik und benutzerfreundliche Voreinstellungen auf der Website umzusetzen
  • Pseudonymisierung und Verschlüsselung von personenbezogenen Daten
  • Vorkehrungen treffen, damit eine elektronische Datenherausgabe möglich ist

3. Organisatorische Massnahmen zur Verbesserung der Datensicherheit ergreifen.

  • Erfassen wo, wie, wann und durch wen Personendaten bearbeitet werden
  • Richtlinien für die Datenbearbeitung innerhalb der Organisation erstellen 
  • Lebenszyklus der Daten organisieren (Erfassung, Speicherung, Änderung, Vernichtung von Daten)
  • Löschung persönlicher Daten sicherstellen, wenn sie nicht mehr benötigt werden 
  • Meldeverfahren für den Fall von Verletzungen des Datenschutzes einführen (Weiterleitung an EDÖB)

4. Überprüfen wohin die bearbeiteten Daten übermittelt werden (Newsletter, Social Media, Cloud...). Wenn sich das Land auf der Liste der Empfängerstaaten mit angemessenem Schutz befindet, dürfen Daten ins Ausland gehen. Ansonsten gelten strengere Regeln. 

Unter Umständen (nur wenn grosses Unternehmen oder hohes Risiko):

5. Ein Verzeichnis der Datenbearbeitungstätigkeiten anlegen.

6. Ein Verfahren zur Erstellung von Datenschutz-Folgenabschätzungen einführen. 



Quellen und weiterführende Informationen:

Bundesamt für Justiz BJ (2023): FAQ Datenschutzrecht

Eidg. Datenschutz- und Öffentlichkeitsbeauftragter EDÖB (2023): FAQ Datenschutz

Eidg. Departement für Wirtschaft, Bildung und Forschung WBF (2023): Neues Datenschutzgesetz (revDSG)

Fedlex. Die Publikationsplattform des Bundesrechts (2020): Bundesgesetz über den Datenschutz

Schweizerischer Baumeisterverband SBV (2022): Datenschutzgesetz: Wo besteht Handlungsbedarf?