Das Schweizer Datenschutzgesetz DSG

08.12.21 12:09 PM Von Lucas

Aktueller Stand zum Schweizer Datenschutzgesetz

Immer wieder werden wir mit Fragestellungen rund um das Schweizer Datenschutzgesetzt DSG und zur Deutschen resp. Europäischen Datenschutzverordnung konfrontiert. Damit unsere Kunden aktuelle, fundierte Informationen zu diesem wichtigen Thema erhalten, haben wir eine Zusammenarbeit mit Frau Dr. iur. Rechtsanwältin Michèle Balthasar gestartet.


Sie berät Unternehmen und Organisationen jeder Grösse und aus unterschiedlichsten Branchen und wird Sie in diesem Blog auf dem Laufenden halten, damit Sie Gewissheit haben, die Rechtskonformität einzuhalten und das Risiko teils hoher Bussen zu vermeiden.


Sie sind herzlich eingeladen, zur Klärung Ihrer spezifischen Fragen, direkt mit Dr. iur. Balthasar Kontakt aufzunehmen.

Unsere Expertin für das Schweizer Datenschutzgesetzt DSG


Michèle Balthasar
Dr. iur. Rechtsanwältin

Geschäftsführerin

    

Balthasar Legal AG
Narzissenstrasse 5 | CH-8006 Zürich
T + 41 43 233 87 77 | M + 41 79 940 87 77 

www.balthasar-legal.ch | kontakt@balthasar-legal.ch

Nach knapp vierjährigem Gesetzgebungsprozess verabschiedete das Parlament Ende September 2020 die Revision des Schweizer Datenschutzgesetzes (revDSG). Die Referendumsfrist ist am 14. Januar 2021 ungenutzt abgelaufen.

Mit Inkrafttreten des revidierten DSG dürften wesentliche Neuerungen auf Unternehmen zukommen, wie etwa die Erarbeitung / Anpassung der Datenschutzerklärung auf der Webseite wie auch die Einführung verschiedener Prozesse (z.B. Auskunftsprozess) oder die Führung eines Verzeichnisses der Bearbeitungen für Unternehmen mit mehr als 250 Mitarbeitende. 

Neu hinzu kommt weiter eine Meldepflicht bei Datenschutzverletzung (wird in einem späteren Blog aufgearbeitet).


Zukünftig können auch gegen Einzelpersonen Bussen bis zum Maximalbetrag von CHF 250’000.- ausgesprochen werden wegen:

·  Falscher und unvollständiger Auskunft an die betroffenen Personen

·  Verletzung der erweiterten Informationspflichten zur Datenbearbeitung

·  Nichteinhaltung der Mindestanforderungen an die Datensicherheit

·  Unzulässiger Auslandübermittlung von Personendaten

·  Auftragsbearbeitung, welche nicht den gesetzlichen Vorgaben entspricht

·  Verletzung der Vertraulichkeitspflicht

·  Verletzung von Verfahrenspflichten gegenüber dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB)


Bei Widerhandlungen, bei denen höchstens eine Busse von CHF 50’000 in Betracht fällt und der Aufwand zur Ermittlung der strafbaren Person innerhalb des Geschäftsbetriebs unverhältnismässig wäre, kann schliesslich auch das Unternehmen anstelle der natürlichen Person zur Zahlung der Busse verurteilt werden.


Damit das revDSG in Kraft treten kann, muss die Verordnung zum Bundesgesetz über den Datenschutz (VDSG) angepasst werden. Sie soll gleichzeitig mit dem revDSG in Kraft treten. Am 23. Juni 2021 hat der Bundesrat die Vernehmlassung zum Entwurf der Verordnung zum revDSG (E-VDSG) eröffnet. Die Vernehmlassungsfrist dauerte bis zum 14. Oktober 2021.


Die VDSG ist eine unselbstständige Verordnung und bedarf deshalb einer Grundlage im Gesetz. Im Vernehmlassungsprozess wurde vor allem bemängelt, dass der gesetzliche Rahmen überschritten worden sei. Daneben sei der Verordnungsentwurf inhaltlich unpräzise und oft unnötig restriktiv. Es bleibt abzuwarten, inwiefern nun der Entwurf vom Bundesamt für Justiz überarbeitet wird.


Gemäss Medienmitteilung des EDÖB vom 23. Juni 2021 soll die VDSG gleichzeitig mit dem neuen DSG in der zweiten Jahreshälfte 2022 in Kraft treten. Der Bundesrat wird zu gegebener Zeit das genaue Datum festlegen. Aufgrund der Diskussionen rund um den E-VDSG wird allerdings damit gerechnet, dass das revDSG stattdessen auf den 1. Januar 2023 in Kraft treten dürfe.


Da im revDSG keine Übergangsfrist vorgesehen ist, wird es mit Inkrafttreten sofort gelten. Vor diesem Hintergrund empfiehlt es sich, die vorgesehenen Massnahmen zur Umsetzung der Anforderungen an das revidierte Datenschutzgesetz rasch weiter voranzutreiben. Hierzu empfielt es sich die zuständigen Personen (intern/extern) zu nominieren und eine Zeit- sowie Budgetplanung zu erstellen.


Noch ausstehend ist der Entscheid der EU-Kommission auf die weitere Anerkennung der Äquivalenz der Schweizer Datenschutz-Gesetzgebung mit der Datenschutz-Grundverordnung (DSGVO). Ohne bestehenden Angemessenheitsbeschluss müsste der Datenverkehr zwischen der Schweiz und der EU/dem EWR im Einzelfall mit „geeigneten Garantien“ abgesichert werden, insbesondere mit sogenannten EU-Standardvertragsklauseln. Das revDSG führt zu zahlreichen Angleichungen an die DSGVO, behält aber weiterhin eine eigene Grundkonzeption und weicht auch in diversen anderen Punkten von der DSGVO ab. Der Entscheid wird deshalb mit Spannung erwartet.


In einem nächsten Beitrage werde mehr zur Anwendbarkeit der DSGVO schreiben.

Anmerkung der Multi-Concept GmbH


Bitte beachten Sie auch, dass die Umstellung/Anpassung von Systemen einige Zeit beanspruchen kann. Wir empfehlen Ihnen deshalb, die Aufwandsabklärung und technische Machbarkeit frühzeitig zu klären. 


Selbstverständlich steht das Team Multi-Concept GmbH jederzeit gerne zu Ihrer Verfügung.

Lucas