Neues Datenschutzgesetz für die Schweiz – Wichtige Facts zum nDSG

In der Schweiz tritt ab 1. September das neue Bundesgesetz über Datenschutz in Kraft. Damit ersetzt das neue Datenschutzgesetz das bisherige: DSG wird zu nDSG oder auch revDSG – und zwar ohne Übergangsfrist. Aber was genau steckt dahinter? Was ist das übergeordnete Ziel des neuen Schweizer Datenschutzgesetzes? Welche Änderungen stehen konkret an? Und was bedeutet das für Ihr Unternehmen? Wir haben uns die Thematik mal genauer angeschaut.

Inhalt auf einen Blick

Gründe für die Revision des DSG
nDSG: die wichtigsten Änderungen im Überblick
MOXIS: garantiert nDSG-konform

Warum ein neues Datenschutzgesetz? Hintergrund der Überarbeitung des DSG

Definitionsgemäß dienst das Datenschutzgesetz zum Schutz der Persönlichkeit und der Grundrechte von natürlichen Personen, über die Personendaten bearbeitet werden. Das aktuell geltende Schweizer Bundesgesetz über den Datenschutz (DSG) stammt aus dem Jahr 1992. Dass dieses Gesetz in Zeiten von Cloud Computing, Big Data und all den rasanten Entwicklungen Sozialer Netzwerke nicht mehr ganz zeitgemäss ist, dürfte klar sein.

Mit der Totalrevision des DSG wird die Gesetzgebung 2023 an gesellschaftliche und technologische Entwicklungen angepasst. Das erklärte Ziel: Ein Datenschutzgesetz, das mit dem digitalen Wandel Schritt halten kann. Und ein Datenschutzgesetz, das Standards des Europäischen Rechts entspricht. Damit die Schweiz von der EU weiterhin als Drittstaat mit angemessenen Datenschutzniveau anerkannt wird und grenzüberschreitende Datenermittlung möglich bleibt, kommt mit dem nDSG auch eine deutliche Annäherung an die EU-Datenschutzgrundverordnung (DSGVO).

nDSG das ist neu: Die wichtigsten Änderungen auf einen Blick

1. Neuer Geltungsbereich & erweiterter Umfang

Das nDSG beschränkt sich auf die Daten natürlicher Personen – statt wie bisher auch auf die von juristischen Personen.

Neu im revDSG gelten jetzt erstmals auch genetische Daten sowie biometrische Daten als besonders schützenswert.

2. Erweiterte Informationspflicht bei Beschaffung von Personendaten

Damit eine transparente Datenbearbeitung gewährleistet ist, müssen folgende Informationen mitgeteilt werden:

• der Bearbeitungszweck
• die Identität sowie Kontaktdaten des Verantwortlichen
• gegebenenfalls die Empfänger:innen bzw. Kategorien von Empfänger:innen, denen Personendaten bekannt gegeben werden
• bei Datenexport ins Ausland muss auch Bekanntgabe des Empfängerstaates bzw. der internationalen Organisation erfolgen

3. Verbessertes Auskunftsrecht

Jede Person kann Details zu den Daten verlangen, die ein Unternehmen von ihr erfasst und speichert.

4. Verschärfte Sanktionen und hohe Geldbussen

Bei Verletzung der Auskunft-, Informations- oder Mitwirkungspflicht sowie Missachtung der Regeln für Datenbekanntgabe ins Ausland drohen Unternehmen Bussen von bis zu CHF 250.000.

5. Datenschutz-Folgenabschätzung

Verantwortliche sind verpflichtet vor Beginn einer geplanten Datenverarbeitung eine Abschätzung der Folgen vorzunehmen und zu dokumentieren. Dies ist erforderlich, wenn die Datenverarbeitung ein hohes Risiko für Persönlichkeit oder Grundrechte von Betroffenen mit sich bringt. 

Inhalt der Folgenabschätzung: Beschreibung der geplanten Datenbearbeitung, Bewertung der Risiken für die Persönlichkeit oder Grundrechte der betroffenen Person sowie entsprechende Massnahmen zum Schutz.

6. Meldepflicht an EDÖB

Bei Verletzung der Datensicherheit* und Vorliegen eines hohen Risikos muss die Meldung beim EDÖB (Eidgenössichen Datenschutz- und Öffentlichkeitsbeauftragte) erfolgen – so rasch wie möglich. Auch die betroffene Person ist entsprechend zu informieren.

Gegenüber dem EDÖB meldepflichtig sind allerdings nur eingetretene Persönlichkeits- oder Grundrechtsverletzungen, nicht jedoch erfolgreich abgewehrte oder untaugliche Cyberangriffe.

*liegt vor, wenn Personendaten werden gelöscht, vernichtet, verändert oder Unbefugten offengelegt werden.

7. Privacy by Design UND Privacy by Default

By Design: Datenschutz durch Technikgestaltung. Bereits zum Zeitpunkt der Planung eines Verarbeitungssystems müssen technische und organisatorische Maßnahmen getroffen werden, um die Sicherheit der Daten zu gewährleisten. Datenschutzstandards sind schon bei der Entwicklung von Soft- und Hardware zu berücksichtigen.

By Default: Datenschutz als Standardeinstellung in allen IT-Systemen: mittels geeigneter Voreinstellungen ist sicherzustellen, dass nur für den jeweiligen Verwendungszweck erforderliche Daten verarbeitet werden. Die Bearbeitung der Personendaten ist dabei auf nötige Mindestmass beschränkt.