Das revidierte Schweizer Datenschutzgesetz (revDSG): Ein Überblick über die wichtigsten Änderungen
Ab dem 1. September 2023 tritt das neue Schweizer Datenschutzgesetz (revDSG) in Kraft. Diese Gesetzesänderung ist ein bedeutender Schritt für den Schutz der persönlichen Daten der Schweizer Bevölkerung und bringt sowohl für Privatpersonen als auch für Unternehmen neue Rechte und Pflichten mit sich. In diesem Blogartikel geben wir Ihnen einen Überblick über die wichtigsten Veränderungen, die revDSG mit sich bringt.
Warum eine Gesetzesänderung?
Anpassung an technologische und gesellschaftliche Entwicklungen
Das bisherige Datenschutzgesetz stammt aus dem Jahr 1992 und entsprach nicht mehr den aktuellen Anforderungen durch die Nutzung von Internet, Smartphone, sozialen Netzwerken und Cloud-Diensten. Die Überarbeitung des Datenschutzgesetzes ist daher unverzichtbar, um der Bevölkerung einen angemessenen Schutz im digitalen Zeitalter zu gewährleisten.
Kompatibilität mit dem EU-Recht
Das revDSG soll sicherstellen, dass der freie Datenverkehr mit der Europäischen Union erhalten bleibt und die Schweizer Unternehmen ihre Wettbewerbsfähigkeit nicht einbüßen. Dazu wurde das Schweizer Recht an die Datenschutz-Grundverordnung (DSGVO) der EU angeglichen.
Wichtige Änderungen mit revDSG
Schutz natürlicher Personen und besondere Datenkategorien
Das revDSG betrifft nur noch die Daten natürlicher Personen und schließt juristische Personen aus. Zudem werden genetische und biometrische Daten als besonders schützenswert eingestuft.
Privacy by Design und Privacy by Default
Unternehmen müssen nun den Datenschutz und die Privatsphäre der Nutzerinnen und Nutzer in die Struktur ihrer Produkte und Dienstleistungen integrieren (Privacy by Design) und sicherstellen, dass standardmäßig die höchste Sicherheitsstufe vorhanden ist (Privacy by Default).
Datenschutz-Folgenabschätzung
Unternehmen sind nun verpflichtet, eine Datenschutz-Folgenabschätzung durchzuführen, wenn die Verarbeitung von personenbezogenen Daten ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen darstellt. Dies soll sicherstellen, dass Unternehmen die potenziellen Risiken ihrer Datenverarbeitungstätigkeiten bewerten und angemessene Sicherheitsmaßnahmen ergreifen.
Erweiterung der Informationspflicht
Die Informationspflicht wird ausgeweitet, sodass Unternehmen betroffene Personen nun bei jeder Beschaffung von Personendaten – unabhängig davon, ob es sich um besonders schützenswerte Daten handelt oder nicht – vorab informieren müssen. Dies ermöglicht es den betroffenen Personen, besser nachzuvollziehen, wie ihre Daten verarbeitet werden und welche Rechte sie in Bezug auf ihre persönlichen Informationen haben.
Bekanntgabe von Personendaten ins Ausland
Im revidierten DSG ist in Artikel 16 festgelegt, dass die Bekanntgabe von Daten ins Ausland zulässig ist, wenn der Bundesrat neu bestätigt, dass die Gesetzgebung des betreffenden Drittlandes einen angemessenen Schutz bietet. Die zuvor vom EDÖB geführte Liste ist nun Teil der DSV. Falls der betroffene Exportstaat nicht auf der Liste des Bundesrates verzeichnet ist, können Daten dennoch wie bisher dorthin übermittelt werden, sofern ein angemessener Datenschutz auf andere Weise sichergestellt ist. Dies kann durch einen völkerrechtlichen Vertrag, Datenschutzklauseln, die dem EDÖB im Voraus mitgeteilt werden müssen, oder verbindliche unternehmensinterne Datenschutzvorschriften, sogenannte Binding Corporate Rules, erreicht werden. Vom EDÖB werden bereits unter der DSGVO genehmigte Standardklauseln der Europäischen Kommission anerkannt.
Verzeichnis der Bearbeitungstätigkeiten
Das revDSG schreibt vor, dass Unternehmen ein Verzeichnis ihrer Datenverarbeitungsaktivitäten führen müssen. Diese Regelung soll für mehr Transparenz und Nachvollziehbarkeit im Umgang mit personenbezogenen Daten sorgen. Allerdings gibt es für kleine und mittlere Unternehmen (KMU) eine Ausnahme, wenn deren Datenverarbeitung nur ein geringes Risiko für die Persönlichkeitsrechte der betroffenen Personen birgt.
Meldepflicht bei Datenpannen
Im Falle einer Verletzung der Datensicherheit müssen Unternehmen nun unverzüglich den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) informieren. Diese Regelung zielt darauf ab, schnelle Reaktionen auf Datenpannen zu fördern und die negativen Folgen für die betroffenen Personen zu minimieren.
Aufnahme der Begrifflichkeit Profiling
Profiling bezieht sich auf die automatisierte Verarbeitung personenbezogener Daten mit dem Ziel, bestimmte persönliche Aspekte wie Vorlieben, Verhalten oder Standort einer Person zu analysieren oder vorherzusagen. Die Nutzung von Profiling-Techniken hat in den letzten Jahren in verschiedenen Bereichen, wie Online-Marketing, Personalisierung von Dienstleistungen oder Risikobewertung, zugenommen. Mit der Einführung des revDSG wird der Begriff Profiling nun explizit in das schweizerische Datenschutzgesetz aufgenommen. Dadurch soll ein angemessenes Schutzniveau für die betroffenen Personen gewährleistet und die Transparenz bei der Verwendung solcher Techniken erhöht werden.
Die Liste der Änderungen ist nicht abschliessend. Für weitere Informationen zum revDSG und den damit verbundenen Änderungen empfehlen wir den Besuch der Website des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB). Gerne dürfen Sie sich auch via privacy@syncomnet.ch an unseren Datenschutzbeauftragten wenden, wir unterstützen Sie bei Ihren Fragen und Anliegen zum Datenschutz und dem Schutz Ihrer persönlichen Daten.
Unsere Datenschutzerklärung finden Sie hier.