Schweizer Datenschutzgesetz: Das musst du jetzt wissen und tun

Immer häufiger wird derzeit nach den Änderungen und Neuerungen des im September 2023 in Kraft tretenden Datenschutzgesetzes gefragt. Damit du dich nicht durch den ganzen Paragraphen-Dschungel kämpfen musst, haben wir an dieser Stelle die wichtigsten Punkte für dich zusammengefasst. Diese Dinge musst du als Unternehmer*in jetzt zum DSG wissen: 

Die 7 wichtigsten Änderungen mit dem neuen DSG

1. Erweiterung der «besonders schützenswerten Personendaten» um biometrische und genetische Daten sowie Angaben zur Ethnie. Diese dürfen nicht nur ausschliesslich zweckgebunden gespeichert und genutzt werden, sondern unterliegen auch der Pflicht gelöscht zu werden, wenn der Zweck entfällt.
2. Verankerung des Begriffs «Profiling» im Gesetz, wobei eine ausdrückliche Einwilligung erforderlich ist, wenn Persönlichkeitsrechte betroffen sind. Sobald aus Daten ein Profil des Kunden erstellt wird, muss genau geprüft werden, ob eine ausdrückliche Einwilligung vorliegt.
3. Einführung von «Privacy-By-Default» und «Privacy-By-Design» als Grundsätze, um den Schutz personenbezogener Daten sicherzustellen.
   1. «Privacy-by-Default bezeichnet die Vorgabe, dass die tatsächlich verarbeiteten Personendaten mit dem Verwendungszweck in eindeutigem Einklang stehen müssen.
   2. Privacy-by-Design umfasst eine Reihe von vorgegebenen Bearbeitungsgrundsätzen, die bereits bei der Aufnahme von Daten umgesetzt sein muss.» [1]
4. Einführung der Benachrichtigungspflicht bei Datenverlusten, wobei sowohl die Aufsichtsbehörden als auch die betroffenen Personen informiert werden müssen, sofern Persönlichkeits- oder Grundrechte gefährdet sind.
5. Erweiterte Informationspflichten für Unternehmen, einschließlich Offenlegung der Identität des Verantwortlichen, des Zwecks der Datenverarbeitung, der Empfänger der Daten und des Hinweises auf automatische Datenerhebung.
6. Der Schutz dieses Gesetzes gilt nur noch für natürliche Personen, nicht für juristische Personen.
7. Erforderliche Risikoplanung und -abschätzung bei besonders risikoreichen Datenverarbeitungen. Informationspflicht an alle Betroffenen und die Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) bei Data-Breaches.

Was müssen Unternehmen jetzt mit dem neuen DSG anpassen?

Um die neuen Bestimmungen einzuhalten, sollten Unternehmer*innen grundlegend folgende Maßnahmen ergreifen:

• Überblick über die Datenverarbeitung und deren Zweck behalten. Am besten sind diese schriftlich festgehalten und allen bekannt, die damit arbeiten. 
• Erfassung persönlicher Daten kritisch überprüfen und auf das Notwendige beschränken. Unnötige Datenspeicherung vermeiden.
• Internen Datenzugriff nur relevante Personen ermöglichen und diese Mitarbeiter durch Schulungen für Datenschutzvorschriften sensibilisieren.
• Fristgerechte Löschung der Daten auf Anfrage bzw. gemäss Verpflichtung (auch technisch) ermöglichen.
• Datenschutzerklärungen überprüfen und anpassen. Mindestens folgende Punkte sollten erfüllt sein – weitere (vor allem inhaltliche) Details am besten mit einer Rechtsberatung klären. 
  • Zweck der Bearbeitung
  • Identität und Kontaktdaten der verantwortlichen Stelle oder Person
  • Allfällige Empfänger, denen die Personendaten bekannt gegeben werde
  • Bei Datenbekanntgabe ins Ausland: den Staat, in welchen die Daten weitergegeben werden
  • Zudem müssen in der Erklärung auch Informationen über allfällige Datenverarbeitungen enthalten sein, die nichts mit der Website zu tun haben
• Technische Voreinstellungen verbessern und Benutzerfreundlichkeit erhöhen. In fraglichen Fällen empfehlen wir die Implementierung eines Cookie-Banners mit expliziter Zustimmung und Opt-out-Möglichkeit, welche aber weiterhin nicht in allen Fällen notwendig ist. Wir unterstützen Unternehmen bei der Umsetzung dieser Maßnahme, um den rechtlichen Anforderungen gerecht zu werden. Insbesondere für Unternehmen mit Standorten oder Kund*innen im europäischen Ausland empfiehlt sich eine komplexere Umsetzung mithilfe einer IP-Weiche, um den unterschiedlichen Datenschutzbestimmungen gerecht zu werden.

Quellen

• [1]  https://kmu-digitalisierung.agency/neues-datenschutzgesetz-schweiz/
  
• Podcast zum DSG: Bedeutung und Praxis des neuen Schweizer Datenschutzgesetzes im Online Marketing.
  Podcast von Neaccess mit iqual-CEO Lukas Baumgartner und Domenig & Partner Rechtsanwälte AG, 25.05.2023