Symbol einer Hand mit erhobenem Zeigefinger, was Nummer eins oder Aufmerksamkeit bedeutet.
Mietzinserhöhung erhalten? Informiere dich zu deinen Rechten

Welche Änderungen bringt das revidierte Datenschutzgesetz (revDSG) mit sich?

Am 1. September 2023 tritt das revidierte Datenschutzgesetz in Kraft. Was sich ändert und was Unternehmen dazu wissen müssen, erklärt dir MyRight.

Die Antwort im Detail

Welche Änderungen bringt das neue revDSG mit sich?

Auch wenn das neue Datenschutzgesetz keine fundamentalen Änderungen mit sich bringt, gibt es doch einiges, was sich per 1. September 2023 ändern wird. Wir zeigen auf, was das konkret ist:

  • Daten, die sich auf juristische Personen beziehen, werden nicht mehr vom Datenschutzgesetz (DSG) erfasst. Neu fallen nur noch Daten natürlicher Personen in den Anwendungsbereich des DSG.
  • Die Informationspflichten werden ausgebaut. So muss die verantwortliche Person die betroffenen Personen neu u. a. über seine/ihre Identität, seine/ihre Kontaktdaten, den Bearbeitungszweck sowie die Empfänger bzw. Kategorien von Empfängern der Daten informieren. Das neue DSG führt aber keine abschliessende Liste der notwendigen Informationen auf. Verantwortliche müssen deshalb selbst prüfen, ob den betroffenen Personen zusätzliche Informationen zur Verfügung zu stellen sind, um dem DSG zu genügen. Dieses verlangt die Mitteilung jener Informationen, die erforderlich sind, damit die betroffenen Personen ihre Rechte geltend machen können. Die Informationen müssen zudem in präziser, transparenter, verständlicher und leicht zugänglicher Form mitgeteilt werden.
  • Unternehmen sind neu verpflichtet, eine Datenschutz-Folgenabschätzung durchzuführen, wenn die Datenbearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen mit sich bringt. Diese muss dokumentiert sein.
  • Privacy-by-Design und Privacy-by-Default (Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen) werden eingeführt. Sie verpflichten Unternehmen, die Datenbearbeitungsgrundsätze bereits bei der Planung und Ausgestaltung von Applikationen zu berücksichtigen und z. B. Einwilligungen von Betroffenen, die über die unbedingt notwendige Datenbearbeitung hinausgehen, nicht durch entsprechende Voreinstellungen zu erreichen.
  • Ein Verzeichnis der Bearbeitungstätigkeiten ist für Unternehmen ab 250 Mitarbeitenden obligatorisch. Die Verordnung zum Gesetz sieht jedoch eine Ausnahme für KMU vor, deren Datenbearbeitung nur ein geringes Risiko von Verletzungen der Persönlichkeit von betroffenen Personen mit sich bringt.
  • Das neue DSG führt erstmals eine Meldepflicht für Verletzungen der Datensicherheit ins Schweizer Recht ein: Die verantwortliche Person muss jede Verletzung der Datensicherheit, die voraussichtlich zu einem hohen Risiko für die Persönlichkeitsrechte der betroffenen Personen führt, dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) melden. Diese Meldung muss so rasch wie möglich erfolgen. Im Vergleich zur Meldepflicht unter der DSGVO ist die Schwelle zur Auslösung der Meldepflicht erhöht («hohes Risiko» vs. «Risiko»). Wenn es zum Schutz der betroffenen Personen notwendig ist oder der EDÖB es verlangt, muss die verantwortliche Person zudem die betroffenen Personen informieren.
  • Der Begriff des Profilings wird neu ins Gesetz aufgenommen. Profiling stellt eine automatisierte Datenbearbeitung dar, bei der Aspekte der Persönlichkeit der betroffenen Personen anhand von Daten bewertet werden.
  • Das revidierte DSG unterscheidet begrifflich zwischen Verantwortlichen und Auftragsbearbeitenden. Diese Unterscheidung besteht zumindest sinngemäss bereits unter dem noch geltendem Recht, wird nun aber ausdrücklich im Gesetz so verwendet.
  • Die bisherige Pflicht zur Registrierung von Datensammlungen entfällt.
  • Die Kompetenzen des EDÖB werden erheblich erweitert. Neu ist der EDÖB befugt, von Amtes wegen oder auf Beschwerde hin Untersuchungen durchzuführen und Beweise zu erheben. Zudem erhält er eine Verfügungskompetenz. Anstelle der bisherigen Empfehlungen kann der EDÖB neu verbindliche Anordnungen erlassen. Diese können vom betroffenen Unternehmen angefochten werden.
  • Mit dem neuen DSG werden auch schärfere Sanktionen eingeführt. Neu kann eine Vielzahl von Verstössen Bussen in Höhe von bis zu CHF 250’000 nach sich ziehen.
     

Weitere Rechtstipps und Vorlagen zum Thema Datenschutz:

•    Zu den 12 wichtigsten Punkten
•    Zurück zur Übersicht aller Rechtstipps