Das revidierte Datenschutzgesetz tritt am 1. September 2023 in Kraft.

Zum Inkrafttreten des neuen revidierten DSG am 01.09.2023 müssen Privatwirtschaft und die Bundesbehörden die Bearbeitung von Personendaten an die neuen Bestimmungen anpassen.

Das erste Bundesgesetz über den Datenschutz vom 19. Juni 1992 trat Mitte 1993 in Kraft. Zu dieser Zeit wurde das Internet noch nicht kommerziell genutzt. Die allgegenwärtige Nutzung von Smartphones - die digitale Realität – war noch nicht absehbar. Um den eAlltag, der durch Cloud-Computing, Big Data, Sozialen Netzwerken und „Internet der Dinge“ geprägt ist, mit einem zeitgemässen Datenschutz zu versehen, war eine umfassende Erneuerung des DSG unausweichlich.

Wichtige Neuerungen sind u. a.

Privacy by Design und by Default

Im revidierten DSG sind die Grundsätze «Privacy by Design» (Datenschutz durch Technik) und «Privacy by Default» (Datenschutz durch datenschutzfreundliche Voreinstellungen) verankert. Sie verpflichten Behörden und Unternehmen, die Bearbeitungsgrundsätze des DSG bereits ab der Planung entsprechender Vorhaben umzusetzen, indem sie u. a. angemessene technische und organisatorische Schutzmassnahmen treffen.

Datenschutzberater und Datenschutzberaterinnen

Private Unternehmen können nach Art. 10 revDSG eine Datenschutzberaterin oder einen Datenschutzberater ernennen. Diese können, müssen aber nicht in einem arbeitsvertraglichen Verhältnis zum Unternehmen stehen. Die Datenschutzberatung sollte getrennt von übrigen Aufgaben im Unternehmen wahrgenommen werden. Auch empfiehlt es sich, die Geschäfte der Datenschutzberatung nicht mit jenen der übrigen Rechtsberatung und - vertretung zu vermischen.

Datenschutz-Folgenabschätzung

Datenschutz-Folgenabschätzungen sind im Schweizer Datenschutzrecht nicht neu, so waren Bundesorgane bereits bisher dazu verpflichtet. Wenn eine beabsichtigte Bearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringen kann, müssen gemäss Art. 22 DSG jetzt auch private Verantwortliche vorgängig eine Datenschutz-Folgenabschätzung erstellen. Das hohe Risiko ergibt sich – insbesondere bei Verwendung neuer Technologien sowie aus der Art, dem Umfang, den Umständen und dem Zweck der Bearbeitung.

Verzeichnis der Bearbeitungstätigkeiten

Nach nach Art. 12 DSG müssen die Verantwortlichen sowie die Auftragsbearbeiter je ein Verzeichnis sämtlicher Datenbearbeitungen führen. Die entsprechenden Mindestangaben gibt das neue DSG vor. Das Verzeichnis muss stets à jour gehalten werden.

Ausgebaute Informationspflichten

In Erfüllung des Revisionsziels der Transparenz baut Art. 19 DSG die Informationspflicht für Unternehmen aus. Neu gilt, dass ein privater Verantwortlicher bei grundsätzlich jeder beabsichtigten Beschaffung von Personendaten die betroffene Person vorgängig angemessen informieren muss, auch wenn die Daten nicht direkt bei ihr beschafft werden.

Auskunftsrecht der betroffenen Personen

Das Recht einer betroffenen Person, Auskunft darüber zu verlangen, ob Personendaten über sie bearbeitet werden, wurde im neuen DSG ausgebaut. Art. 25 DSG enthält eine erweiterte Liste an Mindestinformationen, die vom Verantwortlichen herausgegeben werden müssen, beispielsweise die Aufbewahrungsdauer der über sie bearbeiteten Personendaten. Der Artikel sieht des Weiteren vor, dass einer betroffenen Person generell alle Informationen zur Verfügung zu stellen sind, welche erforderlich sind, damit sie die ihr nach dem neuen DSG zustehende Rechte geltend machen kann und eine transparente Datenbearbeitung gewährleistet ist.

Meldepflicht bei Verletzungen der Datensicherheit

Gemäss Art. 24 DSG muss der Verantwortliche dem EDÖB Verletzungen der Datensicherheit melden, die für die Betroffenen zu einem hohen Beeinträchtigungsrisiko ihrer Persönlichkeit oder ihrer Grundrechte führen. Dabei hat die Meldung an den EDÖB so rasch wie möglich zu erfolgen. Vorher wird der Verantwortliche eine Prognose zu den möglichen Auswirkungen der Verletzung stellen und eine erste Beurteilung darüber vorzunehmen, ob - Gefahr im Verzug vorliegt, - die betroffenen Personen über das Ereignis zu informieren sind und - auf welche Weise dies geschehen könnte.

Recht auf Datenportabilität

Mit dem Recht auf Datenherausgabe und -übertragung gemäss Art. 28 DSG hat eine betroffene Person nun die Möglichkeit, ihre Personendaten, welche sie einem privaten Verantwortlichen bekanntgegeben hat, in einem gängigen elektronischen Format zu verlangen oder einem Dritten übertragen zu lassen. Die Voraussetzungen hierzu sind, dass der Verantwortliche die Daten automatisiert und mit der Einwilligung der betroffenen Person oder in unmittelbarem Zusammenhang mit einem Vertrag bearbeitet.

Konsultationen EDÖB

Das neue Gesetz sieht an verschiedener Stelle vor, dass die Verantwortlichen den EDÖB vor dem definitiven Abschluss entsprechender Arbeiten und der Realisierung ihrer Vorhaben konsultieren müssen. So sind ihm Verhaltenskodizes und bei hohen Restrisiken auch Datenschutz-Folgenabschätzungen zur Stellungnahme vorzulegen.

Verantwortlichen, die einen Datenschutzberater ernannt haben, stehen hier Erleichterungen zu.

Sanktionen

Im neuen DSG werden Bussen für private Personen bis zu CHF 250’000 angedroht (Art. 60 DSG). Strafbar sind vorsätzliches Handeln und Unterlassen.

#cropro #croproswiss #crossoverprotection #revdsg #datenschutzgesetz