Das revidierte bzw. neue Datenschutzgesetz (nDSG) tritt per 1. September 2023 in Kraft. Es verpflichtet Unternehmen, die Bearbeitung und Speicherung von Personendaten entsprechend an das neue Gesetz anzupassen. Dieser Blogbeitrag fasst die wichtigsten Neuerungen zusammen und zeigt auf, warum die Revision des Datenschutzgesetzes dringend nötig war. Zudem erhalten Sie praktische Tipps, wie Sie sich und Ihr Unternehmen optimal darauf vorbereiten können.

Notwendige Revision des Datenschutzgesetzes

Das neue Gesetz ist eine Aktualisierung des bisherigen Datenschutzgesetzes von 1992 und wurde aufgrund der rasanten technologischen Entwicklungen und Veränderungen im Umgang mit Daten notwendig. Ein weiterer Treiber war die Datenschutz-Grundverordnung (DSGVO) der EU, welche seit 25. Mai 2018 im EU-Raum in Kraft ist. Die Einführung des DSGV hat einen hohen Datenschutz-Standard im EU-Raum vorgegeben. Eine fehlende Revision des über 30-jährigen Datenschutzgesetzes und damit eine fehlende Anpassung an die DSGVO hätte zu einem massgeblichen Wettbewerbsnachteil Schweizer Unternehmen geführt, da die EU die Schweiz dadurch nicht mehr als Staat mit einem angemessenen Datenschutzniveau anerkennen würde. Vor diesem Hintergrund war eine vollständige Überarbeitung des Datenschutzgesetzes unverzichtbar, um der Bevölkerung einen angemessenen und an die technologischen und gesellschaftlichen Veränderungen unserer Zeit angepassten Datenschutz zu garantieren.

Die Betroffenenrechte von Privatpersonen verbessern sich durch das neue Datenschutzgesetz

Hauptziel des revidierten Datenschutzgesetzes ist es die Transparenz und den Schutz der persönlichen Daten sowie das Mitbestimmungsrecht betroffener Personen zu stärken. Betroffene Personen erhalten dadurch mehr Kontrollen über ihre Daten. Die Betroffenenrechte erlauben es Personen Auskunft darüber zu verlangen, welche Daten ein Unternehmen über sie gesammelt hat und wie diese genutzt werden. Betroffene Personen können zudem auch von ihrem Recht Gebrauch machen, dass falsche oder unvollständige Daten korrigiert oder gelöscht werden.

Verstehen, was unter Personendaten gemeint ist

Unter Personendaten werden alle Daten verstanden, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen. Als Personendaten gelten dabei:

  • Personenstammdaten, Kontaktdaten, Finanzdaten wie Name, Geburtsdatum, Zivilstand, IBAN-Nummer etc.
  • Bewegungsdaten wie Standort, Tracking und Überwachung
  • Profiling-Daten wie Auswertungen über persönliche Interessen, Vorlieben und Leistungen

Personendaten, welche bei Verlust oder missbräuchlicher Verwendung einen grossen Nachteil für die betroffene Person mit sich ziehen können, werden als besonders schützenswert kategorisiert. Darunter fallen folgende Personendaten:

  • Daten über Massnahmen und Sanktionen wie Informationen über verwaltungs- und strafrechtliche Verfolgung und Sanktionen, Daten über Sozialhilfemassnahmen
  • Daten über Aussehen, Identität, Köper und Gesundheit wie Ethnie, Gesundheitsdaten, Intimsphäre, genetische und biometrische Daten
  • Daten über die Weltanschauung wie politische und gewerkschaftliche Tätigkeit und Überzeugung, Religion

Das sind die wichtigsten Änderungen für KMU’s

Damit sich Ihr KMU auf das revidierte Datenschutzgesetz vorbereiten kann, haben wir hier die wichtigsten acht Änderungen zusammengefasst:

  1. Nur noch die Personendaten natürlicher Personen sind künftig betroffen, die von juristischen Personen nicht mehr.
  2. Genetische und biometrische Daten werden als besonders schützenswerten Daten ins neue Datenschutzgesetz aufgenommen
  3. Die Grundsätze „Privacy by Design“ und „Privacy by Default“ werden eingeführt. Damit ist der Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen gemeint. Ab dem 1. September 2023 gilt damit die Pflicht, Datenbearbeitung technisch und organisatorisch so auszugestalten, dass das Datenschutzrecht eingehalten wird. Zudem muss bei der Standardeinstellung stets die datenschutzfreundlichste Variante ausgewählt sein. Zudem muss die Verarbeitung von Personendaten eindeutig mit dem Verwendungszweck in Zusammenhang stehen. Werden darüber hinaus Daten erhoben, braucht es die ausdrückliche Zustimmung der betroffenen Person.
  4. Datenschutz-Folgenabschätzungen müssen durchgeführt werden, bevor personenbezogene Daten verarbeitet werden, die ein hohes Risiko für die betroffenen Personen darstellen. Dies soll sicherstellen, dass die Verarbeitung der Daten den Datenschutzanforderungen entspricht und die betroffenen Personen angemessen geschützt sind. Dafür muss das genaue Vorhaben dokumentiert werden und angemessene Massnahmen zum Schutz der betroffenen Personen geprüft werden.
  5. Die Ausweitung der Informationspflicht führ dazu, dass bei jeder Beschaffung von Personendaten die betroffene Person vorgängig informiert werden. Das gilt für alle Personendaten und nicht wie bisher nur für besonders schützenswerte Personendaten. Das heisst unter anderem auch, dass das Speichern von Kundendaten nicht mehr ohne deren Zustimmung möglich ist. Konkret sollen die Identität und Kontaktdaten des Verantwortlichen, der Bearbeitungszweck und gegebenenfalls die Empfänger von Personendaten bekanntgegeben werden.
  6. Ein Verzeichnis der Bearbeitungstätigkeiten wird obligatorisch für Unternehmen mit mehr als 250 Mitarbeitenden. Kleinere Unternehmen, deren Datenbearbeitung ein geringes Risiko von Verletzungen der Persönlichkeit betroffener Personen mit sich bringt, sind von dieser Pflicht ausgeschlossen
  7. Bei Datensicherheitsverletzungen ist eine rasche Meldung an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) nötig
  8. Der Begriff Profiling (die automatisierte Bearbeitung personenbezogener Daten) wurde in das Gesetz aufgenommen. Wenn ein Profiling vorliegt, ist für die Bearbeitung eine Einwilligung der betroffenen Person notwendig.

Alle Unternehmen sollten sich frühzeitig auf das neue Datenschutzgesetz vorbereiten

Das nDSG gilt für alle Unternehmen. Generell sieht das neue Gesetz keine Übergangsvorschriften vor. Soll heissen, dass ein Grossteil der im Gesetz festgelegten Pflichten per 1. September 2023 gelten.  Entsprechend sollten sich alle Unternehmen – egal ob kleines KMU oder grosses Unternehmen- frühzeitig auf das Inkrafttreten des revidierten Gesetzes vorbereiten und bereits jetzt allfälligen Handlungsbedarf zu eruieren. Dadurch wird gewährleistet, dass bereits zum Zeitpunkt des Inkrafttretens des nDSG ein effektiver Datenschutz besteht. Was die ersten Schritte dafür sind, haben wir in diesem Video für dich zusammengefasst.

Das müssen Unternehmen nun konkret beachten

Übersicht verschaffen: Um die Informationspflichten des neuen Datenschutzgesetzes zu erfüllen muss die Unternehmen wissen, welche Daten von wem wofür erhoben werden. Ausserdem muss geklärt werden, ob die Daten in andere Länder transferiert werden und wo diese abgespeichert sind. Um eine solche Bestandesaufnahme über die Bearbeitung von Personendaten zu erstellen, lohnt es sich alle relevanten Mitarbeitenden zusammenbringen und in diesen Prozess einzubeziehen.

Datensicherheit und IT-Sicherheit:  Es muss sichergestellt werden, dass nur diejenigen Personen Zugriff auf Personendaten haben, welche den Zugriff auch wirklich benötigen. Unternehmen müssen zudem sicherstellen, dass die Sicherheit ihrer IT-Systeme und Software-Anwendungen den Vorgaben des neuen Datenschutzgesetz entspricht. Dazu gehört, dass Unternehmen technische und organisatorische Massnahmen treffen, um Cyberattacken, Datendiebstahl oder anderen Datenverlust zu verhindern. Netaccess ag kann Sie hier als IT-Partner kompetent unterstützen Ihre IT-Security auf den aktuellen Stand zu bringen.

Sensibilisierung der Mitarbeitenden: Alle Mitarbeitenden müssen für das Thema Datenschutz sensibilisiert werden. Dies kann mittels Weisungen oder durch Mitarbeiterschulungen erreicht werden. Hier erfahren Sie wie Sie ihr Team für IT-Sicherheit sensibilisieren

Verträge mit Drittanbietern prüfen: Unternehmen sollten ihre Verträge mit Kunden, Lieferanten und Dienstleistern sowie Arbeitnehmern mit Blick auf die Neuerungen überprüfen und ggf. anpassen.

Massnahmen revidiertes Datenschutzgesetz Schweiz

Prüfung der Datenschutzerklärungen: Bei einer vorhandenen Webseite gilt es eine Datenschutzerklärung auf der Webseite zu implementieren oder die bestehende Datenschutzerklärung zu aktualisieren. Dafür gibt es unter anderem automatisierte Lösungen, welche die Datenschutzerklärung automatisch aktualisiert.

Festlegen von Prozessen: Um auf Anfragen betroffener Personen oder auf Verletzungen der Datensicherheit reagieren zu können, müssen interne Prozesse definiert werden. Diese sollen festlegen, welcher Mitarbeitende in welcher Frist wie auf ein Ereignis reagieren muss. Zudem muss ein Prozess zur Durchführung von Datenschutz-Folgenabschätzungen festgelegt werden

Informiert bleiben: Um das neue Datenschutzgesetz besser zu verstehen ist es wichtig, sich regelmässig in Webinaren, auf Blogs und relevanten Webseiten zu informieren.

Mehr erfahren: In diesem Blogbeitrag haben wir die Aufgaben, welche nun für Ihr Unternehmen anfallen ausführlich beschrieben und geben Ihnen wertvolle Tipps, auf was Sie besonders achten müssen, wenn Sie Ihr Unternehmen für das neue Datenschutzgesetz fit machen.

Fazit

Insgesamt stellt das neue Datenschutzgesetz der Schweiz einen wichtigen Schritt in Richtung eines modernen und umfassenden Datenschutzes dar. Unternehmen, Organisationen und Behörden müssen ihre Datenschutzpraktiken anpassen und sicherstellen, dass sie den Anforderungen des neuen Gesetzes entsprechen. Um das zu erreichen, lohnt es sich für KMU’s sich von einem erfahrenen IT-Dienstleister mit Fachwissen im Bereich Cyber-Security unterstützen zu lassen. Ein solcher IT-Partner kann die erforderlichen technische Massnahmen ergreifen, um zu gewährleisten, dass die notwendigen Voraussetzungen für eine gesetzeskonforme Bearbeitung der Daten gegeben sind.