Das Schweizerische Bundesgesetz über den Datenschutz – das DSG – wird dieses Jahr einigen Änderungen unterzogen, um es besser an die GDPR anzupassen. Die Änderungen werden Anfang 2022 in Kraft treten, so dass Organisationen ihre Datenschutz- und Datenerfassungsprozesse an die neuen Anforderungen anpassen müssen.
Lesen Sie weiter, um mehr darüber zu erfahren, was die Änderungen des DSG für Unternehmen in der Schweiz im Jahr 2022 bedeuten.
DSG Schweiz – das Bundesgesetz über den Datenschutz – was sich Mitte 2022 ändert
Das Schweizer DSG | Bundesgesetz über den Datenschutz
Bevor wir uns mit den Änderungen des DSG befassen, wollen wir mit den Grundlagen beginnen: Was ist das DSG?
Das Bundesgesetz über den Datenschutz (DSG) ist ein Datenschutzgesetz in der Schweiz. Es schuf einen Rahmen, um die Rechte der Bürgerinnen und Bürger in Bezug auf die Sammlung von Daten, die Nachverfolgung durch Dritte und andere Datenschutzbelange zu schützen. Das ursprüngliche Gesetz ist jedoch nicht mehr auf der Höhe des europäischen Standards – der GDPR.
Daher überarbeiten die Schweizer Regulierungsbehörden das Gesetz, um es an die GDPR anzupassen. Obwohl das Gesetz die ursprünglichen Konzepte beibehält und in bestimmten Bereichen leicht abweicht, soll es einen ähnlichen Datenschutz- und Sicherheitsstandard wie in der übrigen EU aufrechterhalten.
Mit diesen Änderungen werden die Verpflichtungen zur Information der Nutzer über den Datenschutz ausgeweitet und strengere Sanktionen gegen Unternehmen ermöglicht, die die Vorschriften nicht einhalten.
Die Änderungen sind weitreichend, so dass sie wahrscheinlich fast alle Unternehmen in der Schweiz betreffen werden. Auch scheint es keine Übergangsfrist zu geben – stattdessen werden die neuen Änderungen bereits im Sommer 2022 in Kraft treten.
Dies mag zwar nicht unbedingt überraschen, da die meisten Länder an der Schaffung von Gesetzen arbeiten, die mit der DSGVO übereinstimmen, aber es bedeutet, dass Unternehmen ihre Prozesse so bald wie möglich anpassen müssen, um die Vorschriften einzuhalten.
Hier sind einige der Änderungen, die Sie noch in diesem Jahr erwarten können:
Privacy by Design
Die überarbeitete DSG führt “Privacy by Design” ein, was bedeutet, dass die Sorgfaltspflicht für Datenverarbeiter und Organisationen, die private Informationen speichern, erhöht wird. Es ist nicht mehr akzeptabel, dass Unternehmen den Datenschutz erst bei der Gestaltung ihrer Prozesse berücksichtigen – stattdessen müssen diese unter Berücksichtigung der Einhaltung der Vorschriften erstellt werden.
Dies ist einer der wichtigsten Grundsätze der GDPR, so dass es sinnvoll ist, dass das DSG dies in die Überarbeitungen aufgenommen hat. Das Gesetz befasst sich auch mit dem Datenschutz durch Voreinstellungen – oder der Tatsache, dass Unternehmen die Datenverarbeitung auf das zur Erreichung des Geschäftszwecks erforderliche Minimum beschränken sollten.
Eine der Möglichkeiten, wie Unternehmen den eingebauten Datenschutz erreichen können, ist die Pseudonymisierung. Bei diesem Verfahren werden personenbezogene Daten verschlüsselt oder durch künstliche Identifikatoren ersetzt, um den Zugriff auf nur autorisierte Benutzer zu beschränken.
Cookie Consent Manager | Take a 2 week free trial
Take a 2 week free trial for our paid plans or create a free account …
Informationspflichten
Eine weitere Revision des Schweizerischen Bundesgesetzes über den Datenschutz betrifft die erweiterten Informationspflichten. Unternehmen waren bereits vor diesen Änderungen verpflichtet, den Nutzern Auskunft zu erteilen – allerdings beschränkte sich diese Verpflichtung nur auf sensible personenbezogene Daten.
Das Datenschutzgesetz schreibt nun vor, dass Unternehmen die Benutzer jedes Mal informieren müssen, wenn sie persönliche Daten erhalten. Es gibt zwar einige Ausnahmen, die im Gesetz aufgeführt sind, aber nicht viele. Daher sollten sich Unternehmen darauf vorbereiten, diese Anforderung vor Ende 2022 zu erfüllen.
Zumindest müssen die betroffenen Personen über den Zweck der Datenverarbeitung, die Empfänger der Informationen und die Kontaktdaten der für diesen Prozess verantwortlichen Person informiert werden.
IT-Implikationen
Die erweiterten Offenlegungspflichten haben auch erhebliche IT-Auswirkungen. Sie werden diese Revision des DSG nicht erfüllen können, wenn Sie nicht über ein definiertes Verfahren für die Übermittlung und Speicherung der von Ihnen erhobenen Daten verfügen.
Denken Sie so: Sie können die Betroffenen nicht darüber informieren, wohin ihre Daten gehen und wer sie verwaltet, wenn Sie unstrukturierte Datenprozesse haben!
Die überarbeitete DSG verlangt auch, dass Organisationen eine Liste der Datenverarbeitungstätigkeiten in einem Verzeichnis führen. Diese Vorschrift ist Teil der Datenschutz-Grundverordnung, aber die Schweizer Behörden haben eine Ausnahme für Unternehmen vorgesehen, die Daten mit geringem Risiko verarbeiten und weniger als 250 Mitarbeiter haben.
Diese Vorschrift wird sich auch auf Ihre IT-Strategie auswirken, da Sie über Systeme verfügen müssen, um das Verzeichnis zu erstellen und es kontinuierlich zu aktualisieren, wenn sich die Dinge ändern. Aus dem Verzeichnis sollte hervorgehen, wie die Informationen verarbeitet werden, warum sie gesammelt wurden und welche Daten untersucht werden. Ebenso muss es enthalten, an wen die Daten weitergegeben werden.
Das DSG verlangt von den für die Datenverarbeitung Verantwortlichen auch, dass sie eine Datenschutzverletzung so schnell wie möglich melden, vor allem, wenn dadurch ein hohes Risiko für die betroffenen Personen besteht, gefährdet zu werden. Die Datenschutz-Grundverordnung verlangt diese Meldung innerhalb von 72 Stunden, so dass zu erwarten ist, dass die Schweizer Aufsichtsbehörden sich ebenfalls an diesen Zeitrahmen halten werden.
Are your an agency, webdesigner or another reseller?
Earn 30% commission, take a look at our reseller model or contact us for numbers larger than 500 clients
Eindeutig definierte Sanktionen
Mit der Einführung der neuen Änderungen des DSG ist auch mit strengeren Sanktionen zu rechnen. Das revidierte Gesetz erweitert die Befugnisse des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB), um sicherzustellen, dass er die Vorschriften angemessen durchsetzen kann.
Die Revision sieht nicht nur schärfere Sanktionen vor, sondern definiert diese auch klarer. So sind beispielsweise vorsätzliche Unterlassungen und Handlungen nach dem DSG strafbar, nicht aber Fahrlässigkeit. Wer die Informationspflicht gegenüber den betroffenen Personen verletzt oder die Zusammenarbeit verweigert, wird mit einer Busse von bis zu 250’000 CHF bestraft.
Diese Strafe kann auch auf Personen angewendet werden, die eine Sorgfaltspflicht verletzen, die Vertraulichkeit verletzen oder eine bestimmte Anordnung der Kommission missachten.
Was ist mit der Einwilligung / Consent?
Vielleicht ist Ihnen aufgefallen, dass die Einwilligung nicht zu den Themen gehört, die in den Überarbeitungen des DSG enthalten sind. Nach der GDPR muss die Zustimmung zur Datenerhebung freiwillig und in Kenntnis der Sachlage erteilt werden. Das bedeutet, dass Sie die Erhebung oder Weitergabe privater Daten nur dann rechtfertigen können, wenn der Nutzer Ihnen ausdrücklich seine Zustimmung dazu erteilt hat.
Während das überarbeitete DSG die Tatsache festschreibt, dass die Einwilligung spezifisch, frei und in Kenntnis der Sachlage gegeben werden muss, um gültig zu sein, werden die Anforderungen für die Einholung der Einwilligung nicht erweitert. Obwohl es viele parlamentarische Debatten über die Einwilligung und ihre Auswirkungen gab, wurde keine zusätzliche Anforderung für die Einwilligung hinzugefügt.
Mit anderen Worten: Das DSG verlangt nur dann eine Einwilligung, wenn eine Organisation ein risikoreiches Profiling rechtfertigen muss, das nicht mit den Grundsätzen der fairen Verarbeitung übereinstimmt. Eine rechtliche Verpflichtung oder ein übergeordnetes Interesse kann auch hier eine gültige Rechtfertigung sein.
Es wird keine allgemeine Verpflichtung eingeführt, die Einwilligung für ein risikoreiches Profiling einzuholen.
