Das in Kraft getretene geänderte Schweizer Datenschutzgesetz – Datenschutz

Heute, am 1. September 2023, sind das überarbeitete Datenschutzgesetz („revDSG“) und seine Durchführungsverordnung („revDSG“) in Kraft getreten und schließen einen sechsjährigen Gesetzgebungsprozess ab. Die Revision reagiert auf den technologischen Fortschritt, gleicht das Schweizer Datenschutzrecht an die aktuellen internationalen Datenschutzstandards, einschliesslich der Datenschutz-Grundverordnung, an und ermöglicht es der Schweiz, ihre Position als Land zu behaupten, das personenbezogene Daten aus EU-Sicht angemessen schützt.

Kernaspekte von revDPA für den privaten Sektor:

Kein Schutz mehr für Daten juristischer Personen: Nach dem revDPA sind personenbezogene Daten juristischer Personen nicht mehr geschützt (im Einklang mit den wichtigsten internationalen Datenschutzstandards, einschließlich der DSGVO).

Fördern Sie die Rechte des Einzelnen:

• Betroffene Personen profitieren von erweiterten Informationsrechten. Insbesondere müssen die Verantwortlichen betroffene Personen über die Erhebung personenbezogener Daten informieren und bestimmte Mindestinformationen bereitstellen (z. B. Identität und Kontaktdaten des Verantwortlichen, Zweck der Verarbeitung, Kategorien von Empfängern, Datenexporte usw.), mit begrenzten Ausnahmen.




• Betroffene Personen haben das Recht auf Datenübertragbarkeit (d. h. das Recht, ihre personenbezogenen Daten unter bestimmten Voraussetzungen in einem gängigen elektronischen Format zu erhalten).




• Im Falle einer automatisierten Entscheidungsfindung können betroffene Personen grundsätzlich verlangen, dass die automatisierte Entscheidung durch eine natürliche Person überprüft wird.

Erweiterte Governance- und Dokumentationsregeln:

• Verantwortliche und Auftragsverarbeiter müssen Aufzeichnungen über die Verarbeitungstätigkeiten führen (KMU mit weniger als 250 Mitarbeitern und risikoarmen Verarbeitungstätigkeiten – wie in der revDSV definiert – können von der Ausnahme profitieren).




• Verantwortliche müssen unter Berücksichtigung dieser Tatsache eine Datenschutz-Folgenabschätzung („DSFA“) durchführen Hohes RisikoDatenverarbeitungstätigkeiten und ggf. Meldung an den Eidgenössischen Datenschutzbeauftragten („EDÖB“).




• Datenschutzverletzungen (1) sind dem EDÖB zu melden, wenn ihr Auftreten wahrscheinlich ist Hohes Risiko an betroffene Personen und (ii) an betroffene Personen, wenn dies zu ihrem Schutz erforderlich ist (oder wenn der EDÖB dies verlangt).




• Verantwortliche mit Sitz im Ausland, die in der Schweiz Waren und Dienstleistungen erbringen oder das Verhalten von betroffenen Personen in der Schweiz überwachen, müssen einen Vertreter in der Schweiz ernennen, wenn sie die Daten regelmässig und in grossem Umfang bearbeiten und die Bearbeitung ein hohes Risiko für die betroffenen Personen mit sich bringt.

Erweitern Sie die Befugnisse des EDÖB: Der EDÖB ist befugt, verbindliche Verwaltungsentscheidungen zu treffen (einschließlich der Verpflichtung von Verantwortlichen oder Auftragsverarbeitern, ihre Verarbeitungstätigkeiten zu ändern, auszusetzen oder einzustellen oder personenbezogene Daten zu löschen oder zu vernichten). Anders als ihre EU-Pendants verfügt die Bundeskommission (noch) nicht über die Befugnis, Bußgelder zu verhängen.

Hohe Geldstrafen: Vorsätzliche Verstöße gegen einige Bestimmungen des revDSG werden neu mit einer Busse von bis zu 250.000 Schweizer Franken geahndet. Für die Verfolgung solcher Verstösse sind ausschliesslich die kantonalen Strafverfolgungsbehörden (nicht der EDÖB) zuständig. Bußgelder richten sich grundsätzlich gegen den Verantwortlichen und nicht gegen die juristische Person, die als Verantwortlicher oder Auftragsverarbeiter handelt.

Hauptaspekte von revDPO für den privaten Sektor:

DatensicherheitVerantwortliche und Auftragsverarbeiter müssen das erforderliche Schutzniveau bestimmen und geeignete technische und organisatorische Maßnahmen ergreifen (die gegebenenfalls überprüft und angepasst werden müssen) in einem risikobasierten Ansatz, wobei sie Folgendes berücksichtigen müssen: (1) die Arten der verarbeiteten Daten, (2) Zweck, Art, Umfang und besondere Umstände der Verarbeitung, (3) die Risiken für die betroffenen Personen, (4) die aktuelle Situation und (5) die Kosten der Umsetzung.

Verarbeitungs- und Datenaufzeichnungsvorschriften: Bei der Verarbeitung sensibler Daten in großem Umfang oder der Implementierung von Hochrisikoprofilen müssen Verantwortliche und Auftragsverarbeiter (1) Verarbeitungsvorschriften erlassen (und regelmäßig aktualisieren) (mit Informationen zur internen Organisation, Datenverarbeitungs- und Kontrollverfahren sowie Maßnahmen zur Gewährleistung der Datensicherheit). und (2) Wenn Schutzmaßnahmen den Datenschutz nicht gewährleisten können, führen Sie Aufzeichnungen über die Verarbeitung (und bewahren Sie diese ein Jahr lang auf).

Unterverarbeitung: Die Autorisierung des Unterauftragsverarbeiters (erforderlich durch revDPA) kann spezifisch oder allgemein sein. Im Falle einer Allgemeingenehmigung muss der Auftragsverarbeiter den Verantwortlichen über voraussichtliche Änderungen bei seinen Unterauftragsverarbeitern informieren und der Verantwortliche kann diesen widersprechen.

Datenexport: Der revDSB fügt nun eine Liste von Ländern bei, die für grenzüberschreitende Übermittlungszwecke über angemessene Datenschutzgesetze verfügen (der EDÖB kann dies nicht mehr angeben, wird aber konsultiert).

Nächste Schritte für den privaten Sektor:

Verantwortliche und Auftragsverarbeiter, die der revDSG (und revDSG) unterliegen, insbesondere:

• Überprüfen Sie diese regelmäßig und bewahren Sie sie auf Aufzeichnungen über Verarbeitungstätigkeiten Aktualität, da sie für das Verständnis und die Einhaltung aller datenschutzrechtlichen Pflichten unerlässlich sind;




• Überprüfen Sie diese regelmäßig und bewahren Sie sie auf Datenschutzhinweise und -richtlinien Aktualisiert, da es das wirksamste Mittel zur Einhaltung erweiterter Informationspflichten ist;




• Sorgen Sie für jeden Anlass Daten Datenschutzbestimmungen und/oder Datenverarbeitungsvereinbarungen Es wird in allen neuen Kunden-Lieferanten-Beziehungen umgesetzt;




• Überprüfen und aktualisieren Sie regelmäßig Prozesse Ansprechen Anfragen der betroffenen PersonImplementieren
  Folgenabschätzung von Umweltschäden (falls erforderlich) und reagieren (und sofort benachrichtigen) Datenschutzverletzungen;




• Bilden Sie alle ständig weiter Angestellte Angelegenheit Zu Fragen des Datenschutzes.

Der Inhalt dieses Artikels soll einen allgemeinen Leitfaden zum Thema bieten. In solchen Fällen wird empfohlen, den Rat eines Spezialisten einzuholen.