icon/delivery-vanBis 19 Uhr bestellt, morgen portofrei geliefert
icon/postfreeVersandkostenfrei ab CHF 50.00
icon/delivery-for-billLieferung gegen Rechnung
icon/question-markPreisgekrönter Support
BRACK.CH LIEFERT
Mein Sortiment
de | fr
Brack Logo
0
fixed-icons/menu/compare-reduced
Vergleich
0
fixed-icons/menu/watch-list-reduced
Merklisten
icon/accountMein Konto
icon/user-reducedAnmelden
0
fixed-icons/menu/cart-reduced
CHF0.00

Neues Datenschutzgesetz ab 1. September 2023

25.08.2023

Die Schweiz erhält ein neues Datenschutzgesetz, welches unter anderem einen besseren Datenschutz für die Bevölkerung verspricht. Für Unternehmen gibt es daher einige neue Regeln im Umgang mit Daten zu beachten. In den folgenden Zeilen zeigen wir, was es zu beachten gilt.

  • Wann tritt das neue Gesetz in Kraft?
    Das neue Datenschutzgesetz (DSG) und die dazugehörigen Verordnungen (DSV und VDSZ) treten in der Schweiz am 1. September 2023 in Kraft.

  • Was wurde geändert?
    Der Bundesrat hat den Entwurf der Datenschutzverordnung (DSV) angepasst. Insbesondere wurden die Informationspflichten für Verantwortliche überarbeitet und bestimmte Befreiungen für private Akteure eingeführt. Das Auskunftsrecht wurde vereinfacht und die Dokumentationspflicht entfernt.

  • Was ist das Ziel der Totalrevision?
    Das Ziel des neuen Datenschutzrechts ist es, einen verbesserten Schutz persönlicher Daten innerhalb der Schweiz sicherzustellen. Es wurde an die neuesten technologischen Entwicklungen angepasst. Dadurch erhalten Konsumenten und Konsumentinnen mehr Kontrolle über die gesammelten Daten und die Transparenz bei der Datensammlung wird erhöht.

  • Aufbewahrungsdauer der Daten
    Die Aufbewahrungsdauer von Protokollen über die Datenbearbeitung wurde auf mindestens ein Jahr festgelegt. Dokumentieren Sie unbedingt alle Massnahmen und eingeführte Prozesse zur Einhaltung dieses Datenschutzgesetzes innerhalb des Unternehmens, sodass Sie im Falle einer behördlichen Überprüfung bestens vorbereitet sind.
icon/info

Wichtig

Das neue Datenschutzrecht stellt sicher, dass es mit dem europäischen Recht vereinbar ist und ermöglicht die Ratifizierung der modernisierten Datenschutzkonvention 108 des Europarats. Dies ist wichtig, damit die EU (Europäische Union) die Schweiz weiterhin als Drittstaat mit angemessenem Datenschutzniveau anerkennt und die grenzüberschreitende Datenübermittlung ohne zusätzliche Anforderungen ermöglicht.

Die Änderungen im Detail

Die Prinzipien der Datenverarbeitung bleiben im Wesentlichen gleich, sodass bisher zulässige Datenverarbeitungen in der Regel auch unter den neuen Datenschutzgesetzen weiterhin erlaubt sein sollten. Es ist wichtig, dass Personendaten von Unternehmen nur rechtmässig verarbeitet werden dürfen, wobei die Verarbeitung nach Treu und Glauben erfolgen und verhältnismässig sein muss. Ein bedeutender Aspekt hierbei ist, dass Daten nur für den Zweck verarbeitet werden dürfen, für den sie erhoben wurden und dieser darüber hinaus für die betreffende Person erkennbar sein muss.

Wenn Personendaten von einem Unternehmen entgegen den datenschutzrechtlichen Grundsätzen verarbeitet werden, kann dies als Missachtung der Privatsphäre der betroffenen Person verstanden werden. Eine solche Verarbeitung kann jedoch im Falle von überwiegendem privatem oder öffentlichem Interesse (z. B. Datenverarbeitung im direkten Zusammenhang mit einem Vertrag) ausreichend begründet werden.

icon/info

Zweckbindung:


Der Verwendungszweck der personenbezogenen Daten muss so präzise wie möglich definiert werden. Um als legitim zu gelten, muss dieser Zweck eine entsprechende Rechtsgrundlage haben und im Einklang mit den geltenden Rechtsnormen stehen.

Die Zweckbindung bestimmt über folgende Aspekte:

• Dauer des Speicherzeitraums
• Welche Daten grundsätzlich erhoben werden dürfen

Auflistung der wichtigsten Änderungen:

  • Biometrische Daten
    Unter anderem gelten neu auch biometrische und genetische Daten als besonders schützenswert.

  • Informationspflicht
    Die Informationspflicht von Unternehmen wird grösser als bisher. So muss die betroffene Person nicht nur bei besonders schützenswerten Daten angemessen informiert werden, sondern neu über jegliche Datenbeschaffung – selbst dann, wenn die Datenerhebung nicht beim Betroffenen direkt geschieht.

  • Folgeabschätzung
    Unternehmen sind verpflichtet, eine Folgeabschätzung durchzuführen und zu dokumentieren, falls die Datenverarbeitung ein hohes Risiko für die Persönlichkeit oder Grundrechte der betroffenen Person darstellt.

  • Obligatorisches Verzeichnis
    Unternehmen sind verpflichtet, alle Bearbeitungstätigkeiten mittels Verzeichnisses zu führen/dokumentieren. Eine Ausnahme gibt es nur bei KMU mit geringem Risiko zur Verletzung des Datenschutzes.

  • Personenbezogener Datenschutz
    juristische Personen sind zukünftig davon ausgeschlossen.

  • Privacy by Design und Privacy by Default
    Neu müssen schon bei der Projektplanung die technischen und organisatorischen Fundamente so gelegt sein, dass die Datenschutzvorschriften eingehalten werden können. Hinzu kommt, dass standardmässig lediglich Personendaten erhoben werden dürfen, die für den jeweiligen Verwendungszweck erforderlich sind. Im Vergleich zur EU-Datenschutzverordnung (DSGVO) ist es in der Schweiz so, dass Cookie-Banner nicht Pflicht sind. Falls Ihr Unternehmen also nicht der DSGVO untersteht, müssen Sie kein Cookie-Banner implementieren.

  • Sofortige Meldung bei Verstoss
    Bei Verstoss gegen das Datenschutzgesetz müssen postwendend die Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) informiert werden.

  • Profiling
    Unter dem Begriff "Profiling" wird jegliche automatisierte Verarbeitung von Personendaten verstanden, die dazu dient, spezifische persönliche Merkmale einer natürlichen Person zu bewerten. Diese neue Datenverarbeitung ist neu im Gesetz verankert.
icon/info

Bei einer darüberhinausgehenden Verarbeitung wird automatisch eine erneute Einwilligung oder eine andere Rechtsgrundlage erforderlich. Zuletzt gibt es noch folgende drei Bemerkungen zu beachten:

  • Keine Grundeinstellungen zur Datenerhebung
    Unternehmen dürfen keine Grundsätze (z.B. Voreinstellungen bei einer Applikation) so erstellen, dass diese ohne aktive Einwilligung der betroffenen Person mehr als den unbedingt notwendigen Datenumfang erfassen kann.

  • Personendaten löschen
    Personendaten müssen von Unternehmen im Anschluss an die Bearbeitung sogleich anonymisiert oder gelöscht werden. Der Begriff «Personendaten» kann hierbei sehr breit ausfallen und sich zum Beispiel lediglich auf eine IP-Adresse der betroffenen Person beziehen.

  • Datensicherheit
    Der Zugriff auf personenbezogene Daten darf nur denjenigen Mitarbeitenden ermöglicht werden, die tatsächlich darauf angewiesen sind (d.h. jene Mitarbeitenden, welche diese Daten benötigen, um ihre Arbeit zu erledigen).

Aktenvernichter: Für jeden Sicherheitsbedarf das richtige Gerät

Ein effektiver Datenschutz umfasst nicht nur den verantwortungsvollen Umgang mit personenbezogenen Daten während ihres Lebenszyklus, sondern auch deren endgültige und zuverlässige Vernichtung, sobald sie nicht mehr benötigt werden. In diesem Kontext spielt der Einsatz von Aktenvernichtern eine entscheidende Rolle.

Mehr erfahren
Mehr erfahren

Erfahren Sie noch mehr über das revDSG und lassen Sie sich zertifizieren

Anmelden

Webinar zum neuen revDSG

Dieses kostenlose Webinar vermittelt Unternehmen den notwendigen Überblick über das neue Schweizer Datenschutzgesetz und eine Livepräsentation des DATA Security Managers zur praktischen Umsetzung. Begleitet von einer Rechtsanwältin und zwei Experten für Compliance.

Anmelden
FacebookLinkedinRedditXWhatsapp

Kommentare (0)

Bitte melden Sie sich an, um die Kommentarfunktion zu nutzen.