Was ist das DSG?
Das Schweizer Datenschutzgesetz (DSG) ist nun eine überarbeitete Version des ersten DSG, das 1992 in Kraft trat. Ab dem 1. September 2023 wird das neue Gesetz mit den überarbeiteten und aktualisierten Änderungen in Kraft treten, um den aktuellen Anforderungen der heutigen Internetumgebung zu berücksichtigen. Ziel dieser Verordnung ist der Schutz der Persönlichkeit und Grundrechte der Personen, deren Daten verarbeitet werden.
“Dieses Gesetz bezweckt den Schutz der Persönlichkeit und der Grundrechte von natürlichen Personen, über die Personendaten bearbeitet werden.”
Die wichtigsten Änderungen im Vergleich zur ersten Veröffentlichung sind, dass Unternehmen nun erklären müssen, warum sie personenbezogene Daten ihrer Kunden sammeln, und dass sie klar angeben müssen, welche Dritten an der Weitergabe ihrer personenbezogenen Daten beteiligt sind. Einzelpersonen haben jetzt auch das Recht zu wissen, wie lange ihre Daten gespeichert werden und zu welchem Zweck.
Für wen gilt das DSG?
Das DSG gilt für natürliche Personen (ehemals für juristische Personen) und für kommerzielle und nicht-kommerzielle Organisationen, die personenbezogene Daten von Schweizer Bürger/innen verarbeiten.
Der räumliche Geltungsbereich des DSG funktioniert ähnlich wie der der DSGVO. Die genaue Definition lautet hier, dass diese Verordnung für Angelegenheiten des Datenschutzes gilt, die „Auswirkungen in der Schweiz haben, auch wenn sie im Ausland veranlasst werden“.
…“die sich in der Schweiz auswirken, auch wenn sie im Ausland veranlasst werden”.
Pflichten nach dem DSG
Pflichten der Verantwortlichen und Auftragsverarbeiter
Vergleichbar mit den Anforderungen der DSGVO verlangt das DSG nun von den Unternehmen, ein „Verzeichnis der Verarbeitungstätigkeiten“ zu erstellen (Art. 12 DSG). Dafür ist in erster Linie der Verantwortliche und der Auftragsbearbeiter zuständig. Dieses muss Folgendes enthalten:
- Identität der verantwortlichen Personen
- Zweck der Datenverarbeitung
- Beschreibung der Kategorien von betroffenen Personen und personenbezogenen Daten
- Kategorie von Empfängern
- wenn möglich, die Aufbewahrungsfrist der personenbezogenen Daten oder die Kriterien für die Festlegung dieser Frist;
- wenn möglich, eine allgemeine Beschreibung der Maßnahmen, die zur Gewährleistung der Datensicherheit durchgeführt werden
- falls die Daten ins Ausland übermittelt werden, die Angabe des Landes und der Garantien, durch die ein angemessener Datenschutz gewährleistet wird.
Rechte der betroffenen Person
Wie bereits erwähnt, konzentriert sich dieses Gesetz auf den Schutz der persönlichen Daten der betroffenen Person. Somit ist die betroffene Person mit den folgenden Rechten geschützt:
- das Recht, Informationen über die Verarbeitung seiner personenbezogenen Daten zu erhalten (Art. 25-27 revDSG),
- das Recht, von dem Verantwortlichen die Übergabe seiner personenbezogenen Daten zu verlangen oder sie in maschinenlesbarer Form kostenfrei an einen anderen Verantwortlichen zu übermitteln. (Art. 28 und 29 revDSG),
- das Recht, dass seine Daten nicht für automatisierte Einzelentscheidungen verwendet werden, bei denen Algorithmen eingesetzt werden, ohne dass ein Mensch in den Prozess eingreift (Art. 21 revDSG),
- wenn sensible personenbezogene Daten verarbeitet werden oder Persönlichkeitsprofile erstellt werden, muss die Einwilligung ausdrücklich erteilt werden. Die Einwilligung der betroffenen Person ist erforderlich.
Durchsetzung des DSG
Die Rolle des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB)
Der EDÖB ist für die Anwendung und Einhaltung des DSG verantwortlich. Zudem ist er für die Aufklärung, Beratung und den Schutz personenbezogener Daten in der Schweiz zuständig. Die Agentur wird vom Bundesrat (dem Exekutivorgan der Schweizer Bundesregierung) ernannt.
Sanktionen und Bußgelder bei Rechtsverstößen
Sollte eine Person gegen die Gesetze des DSG verstoßen, wird sie mit einer Geldstrafe von bis zu 250.000 CHF belegt. Wie bei der DSGVO ist die Strafe nicht an das Unternehmen gebunden, sondern an die verantwortliche natürliche Person.
Was Sie tun sollten, um das DSG einzuhalten
Beginnen Sie jetzt und stellen Sie sicher, dass Sie bereit sind, bevor das DSG im September 2023 in Kraft tritt. Unternehmen mit Sitz in der Schweiz, oder wenn Sie in der Schweiz geschäftlich tätig sind, sollten folgende Maßnahmen ergreifen:
- Erfassen Sie alle Ihre Datenverarbeitungsaktivitäten, die für das Gesetz relevant sind.
- Verfügen Sie über eine gültige Datenschutzerklärung, die alle Anforderungen des DSG erfüllt.
- Stellen Sie sicher, dass Sie einen Datenschutzbeauftragten (DSB) ernennen, der Richtlinien und Verfahren in Übereinstimmung mit dem EDÖB festlegt.
- Stellen Sie sicher, dass Sie, wenn Sie eine Einwilligung zur Verarbeitung personenbezogener Daten einholen müssen, eine CMP verwenden, die es ermöglicht, gültige Einwilligungen zu erfassen und zu speichern. Die Einwilligung, die eingeholt werden muss, kann in Form eines Einwilligungsbanners angezeigt werden, das beim ersten Besuch des Nutzers in Ihrem Online-Shop oder auf Ihrer Unternehmens-Website erscheinen sollte.
Fazit
Es ist nicht überraschend, dass die aktuelle Version des DSG überarbeitet wird, um mit den technologischen Entwicklungen mitzuhalten. Und selbst wenn Sie bereits DSGVO-konform sind, müssen Sie möglicherweise noch einige Maßnahmen ergreifen. Stellen Sie sicher, dass Ihr Unternehmen die Anforderungen erfüllt und ein rechtskonformes Einwilligungs-Tool installiert.
Sie sind sich nicht ganz sicher, ob Ihr Unternehmen die kommenden Anforderungen des DSG erfüllt? Sprechen Sie mit einem unserer Experten oder überprüfen Sie es mit unserem Einwilligungsmanagement-Tool hier.
