Während in der EU die DSGVO (Datenschutzgrundverordnung) schon länger gilt, hat die Schweiz erst per 1. September 2023 das überarbeitete Datenschutzgesetz (nDSG) in Kraft gesetzt. Welche Änderungen gelten dabei für Schweizer Unternehmen? Das Wichtigste finden Sie hier zusammengestellt.
Symbolbild von Pete Linforth via Pixabay
Am 1. September 2023 ist das neue Schweizer Datenschutzgesetz (DSG) in Kraft getreten. Es soll die Grundrechte von Personen bei der Datenbearbeitung und die Persönlichkeit schützen. Hierfür wurde das alte Datenschutzgesetz grundlegend überarbeitet. Insbesondere im Zusammenhang mit Internetgeschäften werden durch das neue Datenschutzgesetz (nDSG) die Persönlichkeit- und Grundrechte von natürlichen Personen gestärkt.
Für Unternehmen bringt das nDSG einige wesentliche Änderungen mit, die ohne Übergangsfrist und somit sofort umgesetzt werden müssen. Wir berichten, was Unternehmen in der Schweiz und auch Unternehmen im Ausland beachten müssen.
Das Wichtigste in Kürze
Das überarbeitete Datenschutzgesetz stammt noch aus dem Jahre 1992. Damals waren das Internet und digitale Technologien noch nicht verbreitet. Heute sind sie auch im Alltag von Privatpersonen fest verankert. Um diesen grundsätzlichen Änderungen Rechnung zu tragen, wurde dementsprechend das Gesetz überarbeitet. Ein weiterer Grund für die Überarbeitung ist auch die Angleichung an das EU-Recht.
Denn die Europäische Datenschutzgrundverordnung (DSGVO) wurde bereits vor einigen Jahren angepasst. Mit der Anpassung soll in Ländern innerhalb der EU ein freier Datenverkehr gewährleistet werden. Dadurch bleiben Unternehmen in der Schweiz wettbewerbsfähig. Der genaue Gesetzestext ist beim Bundesamt für Justiz nachzulesen. Die wichtigsten Fakten:
- Das neue Datenschutzgesetz ist am 1. September 2023 in Kraft getreten und gilt für private Organe und Organe des Bundes, die Daten von Personen bearbeiten.
- Mit dem neuen Schweizer Datenschutzgesetz sollen die Persönlichkeit sowie die Grundrechte von Personen geschützt werden bei der Datenbearbeitung.
- Die wesentlichen Änderungen betreffen das Verzeichnis der Bearbeitungstätigkeiten, erweiterte Informationspflichten, Sanktionen bei Nichteinhaltung, Meldung von Datenschutzverletzungen, Privacy by Design sowie Privacy by Default.
Anwendung: für wen und wofür gilt das Datenschutzrecht?
Unternehmen aus der Schweiz müssen die Regeln des Datenschutzgesetzes einhalten. Der Geltungsbereich ähnelt der europäischen DSGVO. Dadurch müssen Unternehmen das DSG bei allen Sachverhalten in Verbindung mit Daten anwenden, die sich in der Schweiz auswirken - auch dann, wenn die Veranlassung aus dem Ausland stammt. Das bedeutet, dass das Marktortprinzip eingehalten wird und damit konform ist mit den Regeln der DSGVO. Damit ist nicht erheblich, wo die Daten verarbeitet werden, sondern dass die Datenverarbeitung auf die Schweiz ausgerichtet ist.
Dadurch gilt die DSG auch für Unternehmen aus der EU, die Daten von Schweizer Personen verarbeiten. Angewendet wird das neue Datenschutzrecht bei automatisierten und manuellen Datenverarbeitungen. Wie die DSGVO gilt auch die DSG auch für Dateisysteme bei einer manuellen Datenverarbeitung. Handschriftliche Zettel, bei denen Personendaten notiert und nicht weiter bearbeitet werden oder in ein Dateisystem einfliessen, sind hiervon nicht betroffen. Ausgenommen sind die Daten von juristischen Personen. Somit werden mit dem DSG und der DSGVO ausschliesslich natürliche Personen geschützt.
Werden von einem ausländischen Unternehmen von in der Schweiz lebenden Personen personenbezogene Daten verarbeitet und betrifft die Datenverarbeitung ein Angebot von Produkten oder Dienstleistungen, muss das Unternehmen in der Schweiz eine Vertretung benennen. Dasselbe gilt auch dann, wenn regelmässig oder umfangreich in der Schweiz eine Datenverarbeitung erfolgt, die für die betroffenen Personen mit einem hohen Risiko der Persönlichkeit einhergeht. Umgekehrt muss ein Schweizer Unternehmen, welches Daten von Personen in der EU verarbeitet, ebenfalls einen dort ansässigen Vertreter benennen.
Somit müssen auch VPN-Anbieter mit der DSG und der DSGVO konform sein. Der Grund liegt darin, dass VPN Logs Benutzerdaten speichern, auch dann, wenn die VPNs von China, den USA oder von Dubai aus operieren. Denn die Länder verpflichten VPN Anbieter dazu, sämtliche Online-Aktivitäten der Nutzer zu protokollieren, aus diesem Grund müssen VPN-Anbieter auch die Inhalte von einem VPN für iPhone oder für andere mobile Geräte bzw. den Desktop PC entsprechend verschlüsseln.
Unternehmen müssen umfassende Informationspflichten befolgen
Für Unternehmen bedeutet das DSG umfangreiche Informationspflichten und alle Betriebe sind dazu verpflichtet, betroffene Personen darüber zu informieren, wenn personenbezogene Daten bearbeitet werden. Diese Verpflichtung gilt nun immer und nicht nur dann, wenn es sich um besonders schützenswerte Daten handelt.
Die Mitteilungspflicht betrifft den Zweck der Verarbeitung - auch die Kontaktdaten und die Identität des Verantwortlichen sind mitzuteilen. Des Weiteren muss die betroffene Person darüber informiert werden, dass sie ihre Rechte geltend machen kann, wodurch eine transparente Datenverarbeitung möglich ist.
Pflicht für die Erstellung eines Verzeichnis der Bearbeitungstätigkeiten
Unternehmen bzw. deren Verantwortliche sind dazu verpflichtet, ein Verzeichnis der Bearbeitungstätigkeiten zu erstellen. Darin müssen die folgenden Angaben enthalten sein:
- Zweck der Bearbeitung
- Identität des Verantwortlichen
- Beschreibung der Kategorien der bearbeiteten Personendaten und der betroffenen Personen
- Beschreibung der Kategorien der Empfänger
- Dauer der Aufbewahrung der Personendaten
- Beschreibung über die Massnahmen, die getroffen wurden, um die Datensicherheit zu gewährleisten
- Bei einer Verarbeitung im Ausland die Angabe des bearbeiteten Staates inklusive der Garantien, mit denen der Datenschutz gewährleistet ist
Von dieser Pflicht sind nur Unternehmen mit weniger als 250 Beschäftigte befreit, die bei der Verarbeitung der Daten ein geringes Risiko aufweisen.