Eckpunkte des revidierten Schweizer Datenschutzgesetzes
Expertin für Schweizer Datenschutz - Michèle Balthasar
Michèle Balthasar
Dr. iur. Rechtsanwältin
Geschäftsführerin
Balthasar Legal AG
Narzissenstrasse 5 | CH-8006 Zürich
T + 41 43 233 87 77 | M + 41 79 940 87 77
www.balthasar-legal.ch | kontakt@balthasar-legal.ch
Der Bundesrat hat an seiner Sitzung vom 31. August 2022 entschieden, dass das totalrevidierte Datenschutzgesetz nun am 1. September 2023 in Kraft tritt. Nachfolgend die Eckpunkte zu den wesentlichen Änderungen:
Mit Inkrafttreten des revidierten DSG dürften wesentliche Neuerungen auf Unternehmen zukommen.Folgende Eckpunkte sind im revidierte DSG und seiner Verordnung vorgesehen:
- Das DSG wird auf juristische Personen nicht mehr anwendbar sein und beschränkt sich somit auf den Schutz der Daten natürlicher Personen.
- Zukünftig werden die Informationen zur Bearbeitung der Personendaten flächendeckend bereitzustellen sein (z.B. mittels Datenschutzerklärungen).
- Die bisherigen Rechte der betroffenen Personen Auskunft, Löschung oder Sperrung (Einschränkung) von Personendaten zu verlangen werden aber teilweise angepasst. Unter anderem wird ein Recht auf Datenportabilität eingeführt.
- Die Führung eines Verzeichnisses der Datenbearbeitungen wird für Unternehmen zwingend sein, die mindestens 250 Mitarbeitende beschäftigen.
- Das Verhältnis zwischen Verantwortlichem und Auftragsbearbeiter ist bereits nach geltendem Recht vertraglich zu regeln. Neu kommt hinzu, dass der Auftragsbearbeiter die Bearbeitung erst mit vorgängiger Genehmigung des Verantwortlichen einem Dritten übertragen darf.
- Privacy by Design und Privacy by Default werden gesetzlich verankert.
- Bei einer Bearbeitung mit hohem Risiko für die betroffenen Personen wird eine Datenschutz-Folgenabschätzung (DSFA) verlangt.
- Der Verantwortliche muss dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) (und ggf. den betroffenen Personen) Verletzungen der Datensicherheit, welche voraussichtlich ein hohes Risiko für die Persönlichkeit oder Grundrechte der betroffenen Personen darstellen, melden.
- Auftragsbearbeiter sind zukünftig ihrerseits gehalten, dem Verantwortlichen so rasch als möglich eine Verletzung der Datensicherheit zu melden. Wo dies noch nicht der Fall ist, dürften auch Verträge um eine entsprechende Pflicht ergänzt werden.
- Ausländische Unternehmen mit relevanten Bezügen zur Schweiz sollen sich an das DSG halten und unter gewissen Umständen einen Vertreter in der Schweiz bezeichnen.
- Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit. Die Massnahmen müssen es ermöglichen, Verletzungen der Datensicherheit zu vermeiden.
Bislang betrug der Maximalbetrag für Bussen CHF 10'000.-. Zukünftig können auch gegen Einzelpersonen Bussen ausgesprochen werden bis zum Maximalbetrag von CHF 250'000.-Mehr hierzu in meinem früheren Blogbeitrag hier). Alle Straftatbestände setzen eine vorsätzliche Begehung voraus (Eventualvorsatz, also die reine Inkaufnahme der Tat, genügt dafür hingegen) und werden auf Antrag verfolgt. Die Bemessung der Busse im Einzelnen orientiert sich an der wirtschaftlichen Situation und am Verschulden des Täters. Die Bussen zielen generell nicht auf die Unternehmen, sondern auf den jeweils verantwortlichen Mitarbeitenden. Dies führt dazu, dass nach dem revidierten DSG. Verantwortliche im Unternehmen wie z.B. CEOs, CFO’s, CIOs direkt sanktioniert werden können. Fällt eine Busse von höchstens 50 000 Franken in Betracht und würde die Ermittlung der nach strafbaren Personen Untersuchungsmassnahmen bedingen, die im Hinblick auf die verwirkte Strafe unverhältnismässig wären, so kann die Behörde von einer Verfolgung dieser Personen absehen und an ihrer Stelle den Geschäftsbetrieb) zur Bezahlung der Busse verurteilen.
Checkliste zur Umsetzung der Anforderungen an das revidierte Datenschutzgesetz
(September 2022)
Checkliste zur Umsetzung der Anforderungen an das revidierte Datenschutzgesetz
(September 2022)
Fazit zur Revision des Schweizer Datenschutzgesetztes (DSG) vom 31.8.2022
Mit Inkrafttreten des revidierten DSG werden wesentliche Neuerungen auf Unternehmen zukommen. Entsprechend wird es einiges zu tun geben, zur Umsetzung der erforderlichen Massnahmen im Hinblick auf das Inkrafttreten des DSG. Eine Checkliste hierzu, wird es in meinem nächsten Blogbeitrag geben.
Multi-Concept GmbH - Ihr Digitalisierungspartner
Bitte beachten Sie auch, dass die Umstellung/Anpassung von Systemen einige Zeit beanspruchen kann. Wir empfehlen Ihnen deshalb, die Aufwandsabklärung und technische Machbarkeit frühzeitig zu klären.
Selbstverständlich steht das Team Multi-Concept GmbH jederzeit gerne zu Ihrer Verfügung.