deDeutsch
23. Aug 2023
Neues Datenschutzgesetz
Alles, was Sie und Ihre Organisation über das totalrevidierte Datenschutzgesetz (revDSG) wissen müssen.
Der folgende Artikel enthält Textbausteine aus Publikationen des Bundes, welche am Ende der Seite aufgelistet sind.
Am 1. September 2023 tritt das totalrevidierte Datenschutzgesetz in Kraft.
Es hat zwei Hauptanliegen:
1. Das Datenschutzgesetz von 1992 an die sich durch die Digitalisierung wandelnden Lebensrealitäten anzupassen. Strengere Bestimmungen zur Verarbeitung persönlicher Daten gewähren den Bürger:innen umfassendere Informationsrechte.
2) Die Kompatibilität des Schweizer Rechts mit dem EU-Recht (DSGVO) sicherzustellen.
Mit der Gesetzesänderung gehen neue Verpflichtungen einher für all jene, die Personendaten bearbeiten. Dies betrifft neben Unternehmen und Institutionen auch Verbände. Wir wollen unseren Mitgliedern und allen Interessierten deshalb hier einen Überblick über die wichtigsten Änderungen im neuen Gesetz geben.
Es versteht sich, dass Verbände je nach Grösse, Zweck, Art und Ausmass der Datenbearbeitung anders betroffen sind. Informieren Sie sich deshalb unbedingt selbst weiter über die für Sie relevanten Punkte. Die Links und Dokumente am Ende dieses Artikels können Ihnen dabei helfen.
Wichtigste Änderungen im revDSG
1. Neu sind nur noch die Daten natürlicher Personen betroffen (zuvor auch Daten juristischer Personen).
2. Genetische und biometrische Daten werden in die Definition der besonders schützenswerten Daten aufgenommen.
3. Die Grundsätze «Privacy by Design» und «Privacy by Default» werden eingeführt.
4. Besteht ein hohes Risiko der Verletzung von Persönlichkeits- oder Grundrechten der betroffenen Personen, muss eine Folgenabschätzung ausgearbeitet werden.
5. Die Informationspflicht wird ausgeweitet: Bei jeder Beschaffung von Personendaten muss die betroffene Person vorgängig informiert werden (bisher nur bei besonders schützenswerten Daten).
6. Ein Bearbeitungsverzeichnis wird obligatorisch. Ausnahme: Wenn weniger als 250 Mitarbeitende angestellt sind und die Datenbearbeitung nur ein geringes Risiko für Verletzungen der Persönlichkeit der betroffenen Personen aufweist.
7. Wenn die Datensicherheit verletzt wird, muss möglichst rasch eine Meldung an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) erfolgen.
8. Der Begriff «Profiling» wird ins Gesetz aufgenommen.
FAQ
Was sind besonders schützenswerte, genetische und biometrische Personendaten?
Was ist mit «Privacy by Design» und «Privacy by Default» gemeint?
Wann besteht ein hohes Risiko der Verletzung von Persönlichkeits- oder Grundrechten?
Was muss eine Folgenabschätzung beinhalten?
Brauche ich / meine Organisation ein Bearbeitungsverzeichnis?
Was muss in ein Bearbeitungsverzeichnis?
Was bedeutet «Profiling»?
Was passiert bei Nichteinhalten der neuen Regeln?
Welche neuen Rechte habe ich als natürliche Person?
Was muss ich / meine Organisation nun konkret tun oder gegebenenfalls ändern?
1. Datenschutzerklärung prüfen und gegebenenfalls anpassen und ergänzen. Folgende Punkte sollten darin enthalten sein:
- Name und Kontaktdaten des Verantwortlichen (Website-Betreiber)
- Transparenz und Aufklärung bezüglich jeglicher Personendaten-Beschaffung und -Verarbeitung (Zweck und Dauer)
- Aufklärung über die Rechte im DSG (Recht auf Auskunft, Berichtigung und Löschung)
- Dienste von Drittanbietern erwähnen (Newsletter, Social Media, CRM, Cloud...)
2. Technische Massnahmen zur Verbesserung der Datensicherheit ergreifen.
- Zugang zu den Daten sichern (Netzwerksicherheit, komplexe Passwörter, Zwei-Faktor-Authentisierung...)
- Entwickler und IT-Spezialisten konsultieren, um Datenschutz durch Technik und benutzerfreundliche Voreinstellungen auf der Website umzusetzen
- Pseudonymisierung und Verschlüsselung von personenbezogenen Daten
- Vorkehrungen treffen, damit eine elektronische Datenherausgabe möglich ist
3. Organisatorische Massnahmen zur Verbesserung der Datensicherheit ergreifen.
- Erfassen wo, wie, wann und durch wen Personendaten bearbeitet werden
- Richtlinien für die Datenbearbeitung innerhalb der Organisation erstellen
- Lebenszyklus der Daten organisieren (Erfassung, Speicherung, Änderung, Vernichtung von Daten)
- Löschung persönlicher Daten sicherstellen, wenn sie nicht mehr benötigt werden
- Meldeverfahren für den Fall von Verletzungen des Datenschutzes einführen (Weiterleitung an EDÖB)
4. Überprüfen wohin die bearbeiteten Daten übermittelt werden (Newsletter, Social Media, Cloud...). Wenn sich das Land auf der Liste der Empfängerstaaten mit angemessenem Schutz befindet, dürfen Daten ins Ausland gehen. Ansonsten gelten strengere Regeln.
Unter Umständen (nur wenn grosses Unternehmen oder hohes Risiko):
5. Ein Verzeichnis der Datenbearbeitungstätigkeiten anlegen.
6. Ein Verfahren zur Erstellung von Datenschutz-Folgenabschätzungen einführen.
Quellen und weiterführende Informationen:
Bundesamt für Justiz BJ (2023): FAQ Datenschutzrecht
Eidg. Datenschutz- und Öffentlichkeitsbeauftragter EDÖB (2023): FAQ Datenschutz
Eidg. Departement für Wirtschaft, Bildung und Forschung WBF (2023): Neues Datenschutzgesetz (revDSG)
Fedlex. Die Publikationsplattform des Bundesrechts (2020): Bundesgesetz über den Datenschutz
Schweizerischer Baumeisterverband SBV (2022): Datenschutzgesetz: Wo besteht Handlungsbedarf?
- 12.01.2026
Politischer Ausblick 2026
Welche Themen prägen die Bauwirtschaft dieses Jahr? Bauenschweiz-Präsident Ständerat Hans Wicki gibt einen Überblick. - 17.12.2025
Totalrevision der Maschinenverordnung
Bauenschweiz hat an der Vernehmlassung teilgenommen. - 16.12.2025
Pa. Iv. Grossen «Klare Spielregeln für Bundesunternehmen im Wettbewerb mit Privaten»
Bauenschweiz hat an der Vernehmlassung teilgenommen.