Am 1. September 2023 ist das revidiertes Datenschutzgesetz der Schweiz (revDSG) offiziell in Kraft getreten und bringt zahlreiche neue Regeln und Änderungen mit sich, die jedes in der Schweiz tätige Unternehmen kennen sollte. In diesem Artikel werden wir die größten Aktualisierungen hervorheben und einige der besten Schritte und Ressourcen auflisten, auf die Sie zurückgreifen können, wenn es darum geht, die Einhaltung des revDSG zu erreichen.
Das revidiertes Datenschutzgesetz (revDSG) der Schweiz ist am 1. September 2023 offiziell in Kraft getreten
Was ist das revDSG?
Das revidiertes Datenschutzgesetz, kurz revDSG, ist eine Neufassung des ursprünglichen Schweizer Datenschutzgesetzes.. Diese Gesetzgebung wurde erstmals in den frühen 1990er Jahren als Schutzmaßnahme gegen Datenmissbrauch im Land konzipiert und legte die wichtigsten Verantwortlichkeiten für Unternehmen und Rechte für Verbraucher in Bezug auf den Datenschutz fest.
In seiner Herbstsitzung 2020 hat das Schweizer Parlament das revDSG verabschiedet, um das Datenschutzrahmenwerk (DSG) für das Land zu verbessern. Diese neuen Regelungen umfassen einen breiteren Anwendungsbereich und strengere Anforderungen, die Unternehmen beim Umgang mit personenbezogenen Daten einhalten müssen, und wurden erst kürzlich am 1. September 2023 durch die Datenschutzverordnung umgesetzt.
Wie das revDSG entstand
Sie fragen sich vielleicht, warum eine Aktualisierung des revDSG notwendig ist? Nun, seit der ursprünglichen Einführung im Jahr 1992 hat sich einiges verändert. Es gibt nicht nur mehr Möglichkeiten als je zuvor, Informationen auszutauschen und daraus Kapital zu schlagen, sondern die Verbraucher selbst sind zunehmend sensibler gegenüber dem Gedanken geworden, dass ihre Daten verkauft werden. Dies hat den Gesetzgeber sowohl in der Schweiz als auch weltweit unter Druck gesetzt, strengere Maßnahmen gegen die Verarbeitungspraktiken von Online-Unternehmen zu ergreifen.
Als älteres Gesetz stand das ursprüngliche DSG auch etwas im Widerspruch zu anderen wichtigen Datenschutzgesetzen in Europa, beispielsweise der Datenschutz-Grundverordnung (DSGVO). Diese umfassende Überarbeitung, die nach kleineren Änderungen in den Jahren 2009 und 2019 erfolgt, soll die Dinge auf den neuesten Stand bringen und es den Schweizer Unternehmen gleichzeitig erleichtern, mit Unternehmen innerhalb der Europäischen Union zusammenzuarbeiten.
Was Datenverantwortliche über das revDSG wissen müssen
Mit der Einrichtung des revDSG ergeben sich zahlreiche Veränderungen gegenüber dem so lange bestehenden Status quo in der Schweiz. Im Großen und Ganzen kann man sagen, dass dieses neue Gesetz tatsächlich strenger und weitreichender ist als sein Vorgänger und die Aufmerksamkeit von Organisationen verdient, die bisher möglicherweise einen lockeren Ansatz in Bezug auf Compliance gewählt haben.
Hier sind die wichtigsten Updates, die Sie kennen sollten:
Auftragsverarbeiter- und Datenverarbeitungsvereinbarungen / Data Processing Agreements (DPA)
Unternehmen, die mit Dritten – wie Hosting-Anbietern – zusammenarbeiten, die in ihrem Namen personenbezogene Daten verarbeiten, müssen nun Datenverarbeitungsvereinbarungen mit diesen Partnern abschließen. Dieses Rechtsdokument beschreibt im Wesentlichen die Grundregeln, nach denen zwei Unternehmen beim Umgang mit sensiblen Daten vorgehen. Darin werden die Verantwortlichkeiten beider Seiten für den Schutz der Daten, die Verhinderung unbefugten Zugriffs und der unbefugten Übertragung von Informationen sowie Sicherheitsmaßnahmen zum Schutz der Daten während der Übertragung oder Verarbeitung dargelegt.
Genetischer und biometrischer Datenschutz
Länder wie die Schweiz erkennen in ihren Gesetzen und Richtlinien zunehmend genetische und biometrische Daten als sensible Daten an. Nach dem revDSG wird von Organisationen erwartet, dass sie Dinge wie Fingerabdrücke, Netzhautscans und DNA-Proben wie alle anderen vertraulichen Daten behandeln.
Privacy by Design
Privacy by Design ist kein neues Konzept, sondern wurde gerade erst in die Schweizer Gesetzgebung aufgenommen. Das Prinzip sieht sieben Schlüsselschritte vor, um sicherzustellen, dass der Schutz personenbezogener Daten von Anfang an in jedes Produkt oder jede Dienstleistung integriert ist. Organisationen müssen nachweisen können, dass sie über integrierte Datenschutzmaßnahmen verfügen und wie ihre Benutzer bestimmte Arten der Verarbeitung ablehnen können.
Anforderungen an die Verarbeitung von Aktivitätsregistern
Das Führen eines Verzeichnisses der Datenverarbeitungstätigkeiten ist mit dem revDSG nicht mehr möglich, sondern verpflichtend. Während die Verordnung Ausnahmen für KMU mit Datenverarbeitungsaktivitäten mit geringem Risiko zulässt, müssen sich größere Unternehmen darauf vorbereiten, ihre Verarbeitungsaktivitäten regelmäßig aufzuzeichnen und zu melden.
Sofortige Benachrichtigung
Organisationen müssen Datenschutzverletzungen schnellstmöglich dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) melden. Sie müssen Einzelheiten darüber angeben, was passiert ist, wann es passiert ist, wie viele Personen betroffen waren und welche Schritte sie unternommen haben, um den Verstoß zu beheben.
Profiling-Regeln
Das Konzept des Profilings wurde in die Gesetzgebung aufgenommen und verpflichtet Verarbeiter personenbezogener Daten dazu, sicherzustellen, dass automatisierte Entscheidungen nicht dazu genutzt werden, die Rechte und Freiheiten von Menschen erheblich zu beeinträchtigen.
Höhere Bußgelder
Die vielleicht unwillkommenste Änderung des revDSG für Unternehmen besteht darin, dass die Schweizer Datenschutzbehörde nun ermächtigt ist, hohe Strafen gegen Organisationen zu verhängen, die gegen das Gesetz verstoßen – bis zu 250.000 CHF.
Cookie Consent Manager | 2-wöchige kostenlose Testversion
Starten Sie eine 2-wöchige kostenlose Testversion für unsere kostenpflichtigen Pläne oder erstellen Sie ein Kostenloses Konto. …
Einhaltung des revDSG erreichen
Die gute Nachricht über das aktualisierte Datenschutzgesetz der Schweiz ist, dass viele Organisationen aufgrund seiner Ähnlichkeit mit der EU-DSGVO die neuen Regeln entweder bereits einhalten oder kurz davor stehen. Dennoch ist es wichtig, dass Sie Ihre Website auf offensichtliche Probleme im Zusammenhang mit Folgendem überprüfen:
Datenschutzerklärungen – revDSG
Ihre Datenschutzerklärung muss den Nutzern klar und deutlich erläutern, welche Daten Sie erheben, warum und wie diese gespeichert und verarbeitet werden.
Cookies – revDSG
Das revDSG schreibt in der Schweiz keinen Einsatz eines Cookie Banners vor. Aus Gründen der Transparenz und aus Respekt vor den Website-Besuchern Ihrer Website empfehlen wir jedoch dennoch deren Implementierung. Lösungen wie CookieFirst CMP sind ein einfaches und unkompliziertes Tool zur Verwaltung der Cookie Consent auf Ihrer Website.
Datensicherheit
Sie müssen sicherstellen, dass Ihre Website über ausreichende Sicherheitsmaßnahmen zum Schutz der persönlichen Daten der Benutzer verfügt und über regelmäßige Sicherheits- und Funktionsupdates auf dem Laufenden bleibt. Für WordPress-Websites ist das Schlüsselwort hier „Wartungsvertrag“.
Kontaktformulare
Wenn Sie auf Ihrer Website Kontaktformulare nutzen, müssen Sie die Nutzer darüber informieren, welche personenbezogenen Daten Sie zu welchem Zweck erfassen. Sie müssen außerdem die Möglichkeit haben, Ihre Einwilligung zur Datenspeicherung und -verarbeitung jederzeit zu widerrufen.
Weitere Ressourcen und Best Practices
Datenschutzgesetze sind alles andere als einfach – und die Risiken, die mit einem Verstoß einhergehen, lohnen sich nie. Wir empfehlen Ihnen, sich eingehender mit dem Thema zu befassen und Ihre Compliance mithilfe der folgenden hilfreichen Ressourcen und Tools sicherzustellen.
Kurzfassung des revDSG: Vischer.com bietet eine kurze und klare Erklärung des revDSG.
Compliance-Checklisten: Datenrecht.ch hat hilfreiche Checklisten für kleine und mittlere Unternehmen zusammengestellt.
Medizinbranche: Fmh.ch stellt nützliche Tools und Musterdokumente für Arztpraxen zur Verfügung.
Erstellen einer Datenschutzseite: Mit dem DSAT.ch-Tool von VISCHER und Walder Wyss können Sie Ihre revDSG-konforme Datenschutzseite erstellen. Dieses Tool steht unter einer Creative Commons-Lizenz und kann kostenlos genutzt werden. Die einzige Einschränkung besteht darin, dass Sie dies in Ihrer Datenschutzerklärung ausdrücklich erwähnen müssen. Außerdem kann die Vorlage nicht unverändert verwendet werden. Es muss vor der Veröffentlichung überprüft, angepasst und ergänzt werden.
Zum Erstellen einer Cookie Erklärung oder einer Cookie-Tabelle mit Beschreibungen (für Ihre Datenschutzrichtlinienseite) können Sie den CookieFirst Cookie Hinweis Generator verwenden.
Die einzige Konstante in der Datenschutzlandschaft ist der Wandel. Unternehmen können es nicht riskieren, mit den verschiedenen Gesetzen und Erwartungen, die an sie gestellt werden, zufrieden zu sein, egal wie kompliziert und mühsam der Prozess auch erscheinen mag. Vor diesem Hintergrund ist ein klares Verständnis des Schweizer revidiertes Datenschutzgesetz (revDSG) heute ein guter erster Schritt, um die Einhaltung Ihrer Datenschutzbestimmungen sicherzustellen. Wenn Sie Hilfe bei der Wartung benötigen, werfen Sie einen Blick auf die Lösungssuite von CookieFirst. Wir sind hier, um Ihnen dabei zu helfen, mit weniger Zeit und Aufwand den Überblick über sich entwickelnde Standards zu behalten.
