Die 6 häufigsten Fragen zum neuen Datenschutzgesetz in der Schweiz

Am 01. September 2023 tritt in der Schweiz ein neues Bundesgesetz zum Datenschutz inklusive der Begleitvorschriften in Kraft. Ziel ist die Anpassung des Schweizer Datenschutzrechts an die Standards der Europäischen Union (EU). Doch was bedeutet dies konkret für Unternehmen im Land und der EU?

Das neue Datenschutzgesetz (DSG) tritt in die Fußstapfen europäischer Standards und adressiert gleichzeitig auch spezifische schweizerische Anforderungen. Es gewährleistet den Schutz von Personen vor unangemessener, unerwarteter oder aus anderen Ursachen unrechtmäßiger Verarbeitung ihrer persönlichen Daten. Unternehmen stehen nun vor der Herausforderung, sich mit den neuen Regelungen auseinanderzusetzen, um den gestiegenen Datenschutzanforderungen gerecht zu werden. Wir beantworten die sechs häufigsten Fragen zum neuen Datenschutzgesetz in der Schweiz.

1. Wann tritt das neue Datenschutzgesetz in Kraft und wieso wurde es eingeführt?

Das neue Schweizer Datenschutzgesetz wurde im Herbst 2020 verabschiedet und tritt am 01. September 2023 in Kraft. Es sind keine Übergangsfristen vorgesehen.

Es wurde eingeführt, um den veränderten digitalen Bedingungen gerecht zu werden und das Schweizer Datenschutzrecht an die EU-Datenschutzgrundverordnung (DSGVO) anzugleichen. Dennoch behält das DSG noch eine eigene Grundkonzeption bei.

2. Was unterscheidet das neue Datenschutzgesetz vom alten Datenschutzgesetz?

Das neue Datenschutzgesetz in der Schweiz bringt gegenüber dem alten Gesetz mehrere wesentliche Änderungen mit sich. Dazu zählen unter anderem:

  • Angleichung an die DSGVO: Das neue DSG nähert sich in vielen Aspekten der DSGVO an, bleibt in seiner Grundkonzeption aber eigenständig und weicht in einigen Punkten von der DSGVO ab.
  • Ausweitung des Geltungsbereichs: Das neue DSG betrifft nun auch Datenverarbeitungen, die im Ausland veranlasst wurden, aber Auswirkungen in der Schweiz haben.
  • Erweiterung der Informationspflichten: Unternehmen müssen nun bei jeder Aufnahme persönlicher Daten informieren, es sei denn, es liegen gesetzlich festgelegte Ausnahmen vor. Bislang galt dies nur bei besonders schützenswerten Daten oder bei der Erstellung von Profilen zu einer Person. Die neue Regelung ist vergleichbar mit Art. 13 und 14 der DSGVO.
  • Schutz nur von natürlichen Personen: Nach dem neuen DSG unterliegen nur noch natürliche, nicht aber juristische Personen dem Schutz des Bundesgesetzes.
  • Verzeichnis der Datenbearbeitungstätigkeiten: Verantwortliche und Auftragsbearbeitende (entspricht den Auftragsverarbeitenden der DSGVO) sind nun in der Pflicht, ein „Verzeichnis ihrer Bearbeitungstätigkeiten“ zu führen, ähnlich wie in der DSGVO. Unternehmen mit weniger als 250 Beschäftigten, deren Datenverarbeitung nur ein geringes Risiko für Betroffene aufweist, sind von dieser Pflicht befreit.
  • Verschärfte Sanktionen: Das DSG hat klarere und strengere Sanktionen eingeführt. Vorsätzliche Handlungen und Unterlassungen können nun mit hohen Bußgeldern bestraft werden (bis zu 250.000 CHF). Diese sind im Vergleich zu den unter der DSGVO möglichen Bußgeldern jedoch deutlich geringer.
  • Befugnisse des EDÖB: Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) hat nun erweiterte Befugnisse, einschließlich der Möglichkeit, Strafanzeigen zu erstatten und verwaltungsrechtliche Untersuchungsverfahren sowie Verwaltungsmaßnahmen einzuleiten. Dazu gehört beispielsweise die Übertragung von personenbezogenen Daten in ein Drittland auszusetzen. Während die Datenschutzbehörden in der EU / EWR auch Bußgelder verhängen können, hat der EDÖB diese Möglichkeit dagegen nicht.
  • Privacy by Design und Privacy by Default: Diese Prinzipien, bereits bekannt aus der DSGVO, wurden nun auch im Schweizer Datenschutzgesetz verankert.
  • Meldung von Datensicherheitsverletzungen: Bei bestimmten Datenschutzverletzungen ist nun eine Meldung an den EDÖB erforderlich.
  • Datenschutz-Folgenabschätzung: Bei Datenbearbeitungsvorgängen mit hohem Risiko muss eine Datenschutz-Folgenabschätzung durchgeführt werden.
  • Bestimmungen für Auftragsverarbeiter: Es gibt neue Reglungen bezüglich der Rolle und Pflichten von Auftragsverarbeitern, einschließlich der Bedingungen für das Hinzuziehen Dritter.
  • Abschaffung der Pflicht zur Registrierung von Datensammlungen: Diese Pflicht wurde durch das Verzeichnis der Datenbearbeitungstätigkeiten ersetzt.

3. Was bedeutet „Privacy by Design/Default”?

“Privacy by Design” und “Privacy by Default” sind zwei zentrale Prinzipien im Bereich des Datenschutzes, die sowohl in der DSGVO als nun auch im DSG verankert sind.

Privacy by Design: Dieses Prinzip besagt, dass Datenschutz von Anfang an in Produkte, Dienstleistungen und Systeme integriert werden sollte. Anstatt Datenschutz als nachträglichen Zusatz zu betrachten, sollte dieser von Beginn an einen integralen Bestandteil des Entwicklungsprozesses darstellen. Dies kann beispielsweise durch den Einsatz datenschutzfreundlicher Technologien, minimierter Datenerfassung oder einer starken Datenverschlüsselung erreicht werden, um potenzielle Datenschutzrisiken bereits im Voraus zu identifizieren und zu minimieren.

Privacy by Default: Das Prinzip “Privacy by Default” besagt, dass Datenschutzeinstellungen in einem Produkt oder Dienst von Beginn an aktiviert sein sollten. Wann immer der Benutzer ein neues Produkt verwendet, einen Dienst abonniert oder eine Anwendung zum ersten Mal öffnet, sollten ohne zusätzliche Aktion des Benutzenden nur die absolut notwendigen personenbezogenen Daten für die jeweilige Funktion oder den Dienst gesammelt werden. Beispielsweise sollten in sozialen Netzwerken die Standardeinstellungen immer auf privat gestellt sein, es sei denn, der User entscheidet sich aktiv dafür, den Status seines Profils zu ändern.

4. Welche Pflichten ergeben sich aus dem neuen Datenschutzgesetz für Unternehmen?

Die durch das neue Gesetz notwendigen Anpassungen hängen stark von der aktuellen Datenschutzorganisation des Unternehmens ab. Schweizer Unternehmen, die Daten bereits angepasst an die DSGVO verarbeiten, werden nur kleinere Anpassungen vornehmen müssen. Deutlich mehr Aufwand besteht für Unternehmen, die sich bisher ausschließlich am Schweizer Datenschutzrecht orientiert haben, zum Beispiel hinsichtlich der nun verpflichtenden Erstellung und Pflege eines Datenbearbeitungsverzeichnisses.

5. Wer ist für die Einhaltung des neuen Datenschutzgesetzes verantwortlich?

Für die Einhaltung des neuen Datenschutzgesetzes sind die Unternehmen oder Organisationen verantwortlich, die personenbezogene Daten verarbeiten. Dies betrifft sowohl Unternehmen, die in der Schweiz ansässig sind, als auch internationale Unternehmen, die Güter und Dienstleistungen für Schweizer Bürger bereitstellen oder personenbezogene Daten dieser verarbeiten. Ist ein Unternehmen nicht physisch in der Schweiz präsent, benennt dieses einen Vertreter, der als Kontaktperson für die Aufsichtsbehörden und betroffenen Personen in der Schweiz fungiert. Dieser übernimmt die Verantwortung für alle Belange im Zusammenhang mit der Datenverarbeitung gemäß dem neuen schweizerischen Datenschutzgesetz.

6. Welche Sanktionen drohen bei Verstößen?

Verstößt eine Person gegen die Bestimmungen des DSG, kann diese gemäß Art. 63 des DSG mit einer Geldstrafe von bis zu 250.000 CHF belegt werden. Anders als bei der DSGVO wird die Strafe nicht dem Unternehmen, sondern der betreffenden Einzelperson auferlegt, was ein enormes persönliches Risiko darstellt. In Fällen, in denen die mögliche Strafe 50.000 CHF nicht übersteigt und die Identifikation des Täters im Unternehmen einen unverhältnismäßigen Aufwand bedeuten würde, kann das Unternehmen an Stelle der Einzelperson bestraft werden (Art. 64 DSG). Die Verjährungsfrist für Verstöße beträgt fünf Jahre.

Datenschutz im Recruiting

Auch Recruiter sammeln und verarbeiten täglich persönliche Daten von Kandidatinnen und Kandidaten, zum Beispiel Lebensläufe, Anschreiben oder Zeugnisse. Das neue Datenschutzgesetz verändert die Richtlinien, nach denen diese Daten gesammelt, gespeichert und verwendet werden dürfen.

Bei der Aristo Group verstehen wir uns als Ihr Compliance-Garant: Rechtliche Sicherheit, Compliance, Datenschutz und absolute Diskretion haben für uns höchste Priorität. Auch hinsichtlich des neuen Datenschutzgesetzes in der Schweiz sind wir Ihr vertrauensvoller Partner für alle Projekt- und Recruiting-Fragen und bringen Sie auf sicherem Weg zu Ihrem perfect Match!

Für unseren Newsletter anmelden
Blog teilen
Weitere Beiträge
Rufen Sie uns an!
München
Zürich
Wir freuen uns von dir zu hören!
Initiative krebskranke Kinder München e.V.

Als Mitglied der Life Science Branche ist es uns eine Herzensangelegenheit, auch einen direkten Beitrag für unsere Gesellschaft zu leisten. Die Gesundheit unserer Mitmenschen ist dabei von besonderer Bedeutung für uns und deshalb unterstützen wir die Initiative krebskranke Kinder München e.V.  

KONTAKT

Initiative krebskranke Kinder München e.V.  
Belgradstraße 34 I D- 80796 München I Deutschland I  
Tel. 089/ 534026 I Fax 089/ 531782 I  
Mail buero@krebs-bei-kindern.de I www.krebs-bei-kindern.de

APSCo Deutschland

APSCO Deutschland (Association Professional Staffing Companies) ist der deutsche Verband für die Recruitment Industrie. Mitglieder sind internationale und inländische Personalagenturen mit Sitz in Deutschland.  

Der Verband vertritt die Interessen der Mitglieder hinsichtlich Verhaltenskodex und Lobbyismus und hat sich zum Ziel gesetzt, das Berufsbild des „Personalberaters“ in Deutschland bekannter zu machen.  ARISTO ist Gründungsmitglied von APSCO Deutschland. Unsere Geschäftsführung sitzt im Vertretungssauschuss. 

KONTAKT

APSCo Deutschland GmbH  
Hanauer Landstraße 126-128 I D-60314 Frankfurt am Main I  
Deutschland I Tel. 069/ 50 95 75 591 I  
Mail tremayne.elson@apsco.org I www.apsco.de 

Bundesverband für selbständige Wissensarbeit

Die Allianz für selbständige Wissensarbeit (ADESW) vereint führende Dienstleister für den projektbasierten Einsatz hochqualifizierter, selbständiger Wissensarbeiter sowie hierzu assoziierte Partner wie z.B. den Verband für Maschinen- und Anlagenbau (VDMA). Die Mitgliedsunternehmen beschäftigen intern mehr als 4.500 festangestellte Mitarbeiter.

Der Branchenumsatz mit selbständigen Wissensarbeitern betrug im Jahr 2015 mehr als 15 Mrd. Euro. Im Jahresdurchschnitt besetzen die Allianz-Mitglieder gemeinsam mehr als 20.000 Projekte mit selbständigen Experten. Über 5.000 Kunden, darunter namhafte Dax-Unternehmen, zahlreiche KMUs und Startups sowie Bundesbehörden und andere öffentliche Auftraggeber profitieren von dieser Expertise. 

KONTAKT

Allianz für selbständige Wissensarbeit (ADESW) e.V.  
Karlplatz 7 | D-10117 Berlin | Deutschland I Tel. 030/ 847 884 100 I  
Fax 030/847 884 299 I Mailinfo(at)adesw.com I www.adesw.de