Das neue Schweizer Datenschutzgesetz ist seit dem 1. September 2023 in Kraft und dies ohne Übergangsfrist. Wir zeigen Ihnen nochmals die wichtigsten takeaways auf.
Angleichung an die DSGVO
Mit dem neuen Datenschutzgesetz wurde unter anderem der Datenschutz den technologischen Entwicklungen angepasst, die Selbstbestimmung über die Personendaten gestärkt sowie die Transparenz bei der Beschaffung von Personendaten erhöht. Damit stellt der Gesetzgeber auch die Vereinbarkeit mit der EU-Datenschutzgrundverordnung (DSGVO) sicher. Diese Anpassungen waren essentiell, damit die Schweiz in den Augen der EU auch weiterhin als Drittstaat mit einem angemessenen Datenschutzniveau gilt.
Dementsprechend wurden im Zuge der Revision auch zahlreiche Begrifflichkeiten (wie z.B. „Verantwortlicher“ oder „Profiling“) und Pflichten (z.B. die Datenschutz-Folgenabschätzung in Art. 22 DSG oder die Pflicht zur Führung eines Verzeichnisses der Bearbeitungstätigkeiten in Art. 12 DSG) aus der DSGVO übernommen, jedoch mit einigen Schweizer Besonderheiten und Anpassungen. Welche Abweichungen zur DSGVO bestehen und welche Anpassungen im Sinne eines „Swiss Finish“ vorgenommen werden müssen, erfahren Sie hier (Webinar von Nicole Beranek Zanon).
Erweiterte Betroffenenrechte
Mit der Totalrevision des DSG wurden unter anderem auch die Rechte betroffener Personen gestärkt. Die betroffenen Personen haben nun mehr Kontrolle über ihre Daten und können sicherstellen, dass Unternehmen transparent und verantwortungsvoll mit erlangten Daten umgehen.
Das Auskunftsrecht gemäss Art. 25 DSG enthält dabei eine Liste an Mindestinformationen, die der betroffenen Person bei Auskunftsanfragen mitgeteilt werden müssen. Die Auskunftserteilung hat dabei grundsätzlich innert 30 Tagen und kostenfrei zu erfolgen. Nur bei einem unverhältnismässig hohen Aufwand darf die auskunftsersuchende Person gemäss Art. 19 Abs. 1 DSG an den Kosten beteiligt werden.
Gemäss Art. 28 Abs. 1 DSG haben alle betroffenen Personen sodann das Recht, die Herausgabe von Personendaten in einem gängigen elektronischen Format zu verlangen. Die Herausgabe hat aber nicht zur Folge, dass der Verantwortliche diese Daten nicht mehr bearbeiten darf. Einen Anspruch auf Löschung der Daten hat die betroffene Person separat geltend zu machen.
Das Recht auf Berichtigung gemäss Art. 32 Abs. 1 DSG räumt den betroffenen Personen das Recht ein, die Berichtigung unrichtiger Personendaten zu verlangen. Wird weder die Unrichtigkeit noch die Richtigkeit der bearbeiteten Daten bewiesen, kann die betroffene Person gemäss Art. 32 Abs. 3 DSG das Anbringen eines Bestreitungsvermerks fordern.
Ein normiertes Recht auf Löschung besteht im DSG nicht. Stattdessen wird auf das allgemeine Zivilrecht zurückgegriffen und es kann lediglich gestützt auf die Persönlichkeitsrechte gegen (mutmasslich) widerrechtliche persönlichkeitsverletzende Personendatenbearbeitung vorgegangen werden.
Betroffene Personen haben schliesslich das Recht, einer Bearbeitung von Personendaten zu widersprechen. Erfolgt dennoch eine Bearbeitung der Personendaten, liegt eine Persönlichkeitsverletzung vor. Erforderlich ist jedoch gemäss Art. 30 Abs. 2 lit. b DSG eine «ausdrückliche Willenserklärung» der betroffenen Person.
Mehr Informationen zu den Betroffenenrechte in neuen Datenschutzgesetz finden Sie hier (Beitrag zu Betroffenenrechte nach nDSG).
Die Bestellung eines Vertreters
Sofern ein privater Verantwortlicher Daten von Personen bearbeitet, die sich in der Schweiz aufhalten, ist gemäss Art. 14 f. DSG zu prüfen, ob eine Vertretung bezeichnet werden muss. Eine Vertretung wird benötigt, wenn alle in Art. 14 lit. a-d nDSG genannten Bedingungen erfüllt sind. Dabei muss die Datenbearbeitung im Zusammenhang mit dem Angebot von Waren oder Dienstleistungen oder im Rahmen einer Verhaltensbeobachtung erfolgen. Zudem muss die Datenbearbeitung umfangreich und regelmässig erfolgen und ein erhöhtes Risiko für die Persönlichkeit der betroffenen Personen bergen.
Weitere Ausführungen zu den Voraussetzungen und Pflichten rund um die Vertretung finden Sie hier (Beitrag zur Vertretung gem. Art. 14 nDSG).
Sanktionen auf C-Level
Mit dem neuen Datenschutzgesetz können bei Verstössen gemäss Art. 60–66 DSG Bussgelder in Höhe von bis zu CHF 250‘000.00 ausgesprochen werden.
Die Art. 60–63 nDSG befassen sich primär mit Strafbestimmungen bei Verletzungen von Informations- und Auskunftspflichten. Ebenfalls geahndet wird, wer seine berufliche Schweigepflicht verletzt und dabei vorsätzlich geheime Personendaten offenbart. Auch die Missachtung von Verfügungen des EDÖB wird mit dem neuen Datenschutzgesetz mit bis zu CHF 250‘000.00 geahndet, falls das Bussgeld in der Verfügung explizit angedroht wurde.
Eine Strafbarkeit für fahrlässige Verletzungen des DSG ist zwar nicht vorgesehen, jedoch kann von einer vorsätzlichen Verletzung bereits dann ausgegangen werden, sobald die Verletzung in Kauf genommen wurde. Grundlage für die Berechnung der Höhe des Bussgeldes stellt Art. 106 Abs. 3 StGB dar, wonach das Verschulden und die wirtschaftliche Leistungsfähigkeit berücksichtigt wird. Unternehmen, die sich um Datenschutz-Compliance bemühen, haben somit geringere Bussgelder zu befürchten.
Wie bereits im früheren DSG, aber im Unterschied zur DSGVO, haftet die für die Verletzung verantwortliche natürliche Person innerhalb des Unternehmens. Die Botschaft zum neuen DSG stellt jedoch klar, dass hierbei nicht auf den Handlungsverantwortlichen abgestellt wird, sondern auf den Organisationsverantwortlichen.
Weitere Informationen zu den Sanktionen im neuen Datenschutzgesetz finden Sie hier (Beitrag zu den Strafbestimmungen des nDSG).