Entdecken Sie den neuen Google Consent Mode v2! Jetzt mehr erfahren »
Recht

Das Schweizer Bundesgesetz über den Datenschutz (DSG)


eine Landkarte von der Schweiz mit einem weißen Kreuz darauf

Was ist das DSG?

Das Schweizer Datenschutzgesetz (DSG) ist nun eine überarbeitete Version des ersten DSG, das 1992 in Kraft trat. Ab dem 1. September 2023 wird das neue Gesetz mit den überarbeiteten und aktualisierten Änderungen in Kraft treten, um den aktuellen Anforderungen der heutigen Internetumgebung zu berücksichtigen. Ziel dieser Verordnung ist der Schutz der Persönlichkeit und Grundrechte der Personen, deren Daten verarbeitet werden.

“Dieses Gesetz bezweckt den Schutz der Persönlichkeit und der Grundrechte von natürlichen Personen, über die Personendaten bearbeitet werden.”

Die wichtigsten Änderungen im Vergleich zur ersten Veröffentlichung sind, dass Unternehmen nun erklären müssen, warum sie personenbezogene Daten ihrer Kunden sammeln, und dass sie klar angeben müssen, welche Dritten an der Weitergabe ihrer personenbezogenen Daten beteiligt sind. Einzelpersonen haben jetzt auch das Recht zu wissen, wie lange ihre Daten gespeichert werden und zu welchem Zweck.

Für wen gilt das DSG?

Das DSG gilt für natürliche Personen (ehemals für juristische Personen) und für kommerzielle und nicht-kommerzielle Organisationen, die personenbezogene Daten von Schweizer Bürger/innen verarbeiten.

Der räumliche Geltungsbereich des DSG funktioniert ähnlich wie der der DSGVO. Die genaue Definition lautet hier, dass diese Verordnung für Angelegenheiten des Datenschutzes gilt, die „Auswirkungen in der Schweiz haben, auch wenn sie im Ausland veranlasst werden“.

…“die sich in der Schweiz auswirken, auch wenn sie im Ausland veranlasst werden”.

Pflichten nach dem DSG

Pflichten der Verantwortlichen und Auftragsverarbeiter

Vergleichbar mit den Anforderungen der DSGVO verlangt das DSG nun von den Unternehmen, ein „Verzeichnis der Verarbeitungstätigkeiten“ zu erstellen (Art. 12 DSG). Dafür ist in erster Linie der Verantwortliche und der Auftragsbearbeiter zuständig. Dieses muss Folgendes enthalten:

  • Identität der verantwortlichen Personen
  • Zweck der Datenverarbeitung
  • Beschreibung der Kategorien von betroffenen Personen und personenbezogenen Daten
  • Kategorie von Empfängern
  • wenn möglich, die Aufbewahrungsfrist der personenbezogenen Daten oder die Kriterien für die Festlegung dieser Frist;
  • wenn möglich, eine allgemeine Beschreibung der Maßnahmen, die zur Gewährleistung der Datensicherheit durchgeführt werden
  • falls die Daten ins Ausland übermittelt werden, die Angabe des Landes und der Garantien, durch die ein angemessener Datenschutz gewährleistet wird.

Rechte der betroffenen Person

Wie bereits erwähnt, konzentriert sich dieses Gesetz auf den Schutz der persönlichen Daten der betroffenen Person. Somit ist die betroffene Person mit den folgenden Rechten geschützt:

  • das Recht, Informationen über die Verarbeitung seiner personenbezogenen Daten zu erhalten (Art. 25-27 revDSG),
  • das Recht, von dem Verantwortlichen die Übergabe seiner personenbezogenen Daten zu verlangen oder sie in maschinenlesbarer Form kostenfrei an einen anderen Verantwortlichen zu übermitteln. (Art. 28 und 29 revDSG),
  • das Recht, dass seine Daten nicht für automatisierte Einzelentscheidungen verwendet werden, bei denen Algorithmen eingesetzt werden, ohne dass ein Mensch in den Prozess eingreift (Art. 21 revDSG),
  • wenn sensible personenbezogene Daten verarbeitet werden oder Persönlichkeitsprofile erstellt werden, muss die Einwilligung ausdrücklich erteilt werden. Die Einwilligung der betroffenen Person ist erforderlich.

Durchsetzung des DSG

Die Rolle des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB)

Der EDÖB ist für die Anwendung und Einhaltung des DSG verantwortlich. Zudem ist er für die Aufklärung, Beratung und den Schutz personenbezogener Daten in der Schweiz zuständig. Die Agentur wird vom Bundesrat (dem Exekutivorgan der Schweizer Bundesregierung) ernannt. 

Sanktionen und Bußgelder bei Rechtsverstößen

Sollte eine Person gegen die Gesetze des DSG verstoßen, wird sie mit einer Geldstrafe von bis zu 250.000 CHF belegt. Wie bei der DSGVO ist die Strafe nicht an das Unternehmen gebunden, sondern an die verantwortliche natürliche Person.

Was Sie tun sollten, um das DSG einzuhalten

Beginnen Sie jetzt und stellen Sie sicher, dass Sie bereit sind, bevor das DSG im September 2023 in Kraft tritt. Unternehmen mit Sitz in der Schweiz, oder wenn Sie in der Schweiz geschäftlich tätig sind, sollten folgende Maßnahmen ergreifen:

  • Erfassen Sie alle Ihre Datenverarbeitungsaktivitäten, die für das Gesetz relevant sind.
  • Verfügen Sie über eine gültige Datenschutzerklärung, die alle Anforderungen des DSG erfüllt.
  • Stellen Sie sicher, dass Sie einen Datenschutzbeauftragten (DSB) ernennen, der Richtlinien und Verfahren in Übereinstimmung mit dem EDÖB festlegt.
  • Stellen Sie sicher, dass Sie, wenn Sie eine Einwilligung zur Verarbeitung personenbezogener Daten einholen müssen, eine CMP verwenden, die es ermöglicht, gültige Einwilligungen zu erfassen und zu speichern. Die Einwilligung, die eingeholt werden muss, kann in Form eines Einwilligungsbanners angezeigt werden, das beim ersten Besuch des Nutzers in Ihrem Online-Shop oder auf Ihrer Unternehmens-Website erscheinen sollte.

Fazit

Es ist nicht überraschend, dass die aktuelle Version des DSG überarbeitet wird, um mit den technologischen Entwicklungen mitzuhalten. Und selbst wenn Sie bereits DSGVO-konform sind, müssen Sie möglicherweise noch einige Maßnahmen ergreifen. Stellen Sie sicher, dass Ihr Unternehmen die Anforderungen erfüllt und ein rechtskonformes Einwilligungs-Tool installiert.

Sie sind sich nicht ganz sicher, ob Ihr Unternehmen die kommenden Anforderungen des DSG erfüllt? Sprechen Sie mit einem unserer Experten oder überprüfen Sie es mit unserem Einwilligungsmanagement-Tool hier


Weitere Beiträge

EDPB opinion on pay or consent model
Neues, Recht

Die jüngste Entscheidung der EDSA zu „Consent or Pay“-Modellen für Online-Plattformen

Die Regulierungsbehörden der Niederlande, Norwegens und Deutschlands (Hamburg) haben den Europäischen Datenschutzausschuss (EDSA) um eine Stellungnahme zu der Frage gebeten, ob große Online-Plattformen „Consent or Pay“-Modelle für verhaltensbezogene Werbung verwenden dürfen, die auf einer gültigen und freiwilligen Einwilligung der Nutzer basieren. Der Hintergrund war die Einführung eines Abonnementmodells durch Meta im Oktober 2023, bei dem […]
New regulations US 2024
Recht

Neue US-Datenschutzgesetze treten 2024 in Kraft: Aktualisieren Sie Ihre US-spezifischen Datenschutzeinstellungen

In den Vereinigten Staaten treten in der zweiten Jahreshälfte 2024 neue Datenschutzgesetze in Kraft – in Florida, Texas, Oregon und Montana. Unternehmen, die in diesen Bundesstaaten tätig sind oder Kunden in diesen Bundesstaaten haben, müssen ihre Datenschutzpraktiken überprüfen, um die Einhaltung der neuen Datenschutzgesetze sicherzustellen. Um Ihnen diesen Prozess zu erleichtern, erklären wir Ihnen in […]

CMP

Ihre Fragen zu CMP & Co.

Wenn Sie sich nicht sicher sind, ob Sie ein CMP brauchen oder nicht, treten Sie gern in Kontakt mit uns – wir werden Ihnen helfen die richtige Lösung für Ihr Unternehmen zu finden.