Wichtige Informationen zum Schweizer Datenschutzgesetz
Das Schweizer Datenschutzgesetz (DSG neu) wurde überarbeitet: Seit dem 1. Septemer 2023 gelten die neuen Bestimmungen. Die Regeln zur Bearbeitung von Personendaten wurden verschärft. Deshalb solltest du als Unternehmerin bzw. Unternehmer deine bestehenden Richtlinien und Datenschutzerklärungen prüfen und gegebenenfalls anpassen. MyRight gibt dir Antworten zu den wichtigsten Fragen rund um das neue DSG.
Was versteht man unter dem neuen DSG?
Das Schweizer Datenschutzgesetz besteht seit den 1990er Jahren und ist veraltet. Die neue digitale Welt macht eine Überarbeitung des DSG notwendig. Zudem muss es an das Datenschutzrecht der europäischen Union (DSGVO) angepasst werden. Das Ziel ist es, sicherzustellen, dass in Zukunft länderübergreifend Daten ausgetauscht werden können und gleichzeitig die Personendaten geschützt werden.
Was ist wichtig zu wissen?
Es werden sich einige Punkte ändern. Die zwei wichtigsten Änderungen sind:
- Neu wird in erster Linie nicht mehr nur das Unternehmen selbst, sondern auch die verantwortliche Person (Inhaberinnen bzw. Inhaber und Mitarbeitende) Ziel von Strafverfahren sein. Die maximale Bussenhöhe erhöht sich dabei von bisher CHF 10'000.– auf CHF 250'000.–.
- Der Geltungsbereichs des revidierten DSG beschränkt sich wie die DSGVO auf den Datenschutz natürlicher Personen – statt wie bisher auch auf Daten juristischer Personen.
Weitere Infos zum Thema Datenschutz findest du hier.
Wann wurde das neue Datenschutzgesetz (DSG neu) in der Schweiz eingeführt?
Das neue Schweizer Datenschutzgesetz ist am 1. September 2023 in Kraft getretten.
Kann ich warten bis das DSG neu eingeführt wird und mich danach um den Datenschutz kümmern?
Nein. Schon heute sind viele Schweizer Unternehmen erhöhten Datenschutzanforderungen ausgesetzt. Zum Beispiel Firmen, die Geschäftstätigkeiten mit Bezug zur EU nachgehen. Für alle anderen wird sich spätestens dann Handlungsbedarf ergeben, wenn die Inkraftsetzung des neuen Datenschutzgesetzes bevorsteht. Es gibt keine Übergangsfristen, d.h. ab dem festgelegten Startdatum tritt das neue Datenschutzgesetz in Kraft und muss eingehalten werden.
Was bedeutet das neue Datenschutzgesetz für mich als Unternehmen? Was muss ich tun, um konform mit dem neuen DSG zu sein?
Um konform mit dem DSG zu sein, musst du sicherstellen, dass:
- die Daten von Kundinnen und Kunden, Mitarbeitenden sowie anderen Personen mit modernen – dem Stande der Technik entsprechenden – Mitteln verwaltet und bearbeitet werden
- die Mitarbeitenden auf die Themen Datenschutz und Datensicherheit sensibilisiert und geschult sind
- verschiedene Informations- und Dokumentationspflichten, wie zum Beispiel das Erstellen eines Datenbearbeitungsverzeichnisses oder der Datenschutzhinweis auf der Webseite, erfüllt werden.
Gibt es Konsequenzen bei einem Verstoss gegen das neue DSG?
Neben möglichen Sanktionen durch den eidgenössischen Datenschutzbeauftragten stehen vor allem Bussen bis zu einer Höhe
von CHF 250´000 und Strafverfahren im Fokus. Als verantwortlich gilt dabei aber nicht jeder unmittelbar Handlungsverantwortliche, der Fokus liegt hier auf den Organisationsverantwortlichen, also vor allem Leitungspersonen, die für die Umsetzung eines wirksamen unternehmensinternen Datenschutzes zuständig sind.
Wichtig ist: Die Strafandrohung trifft jeden Mitarbeitenden (insb. leitende Mitarbeitende), die oder der vorsätzlich gegen das Gesetz verstösst. Das bedeutet, die Busse wird nicht gegen dich als Unternehmerin bzw. Unternehmer ausgesprochen, sondern gegen deine Mitarbeitenden, die für die Verletzung des neuen DSG verantwortlich sind.
Wenn du keine Massnahmen zu den Themen Informationspflichten, Auskunftsersuchen, Technische & Organisatorische Massnahmen und Internationale Datentransfers triffst, handelst du vorsätzlich oder nimmst zumindest Gesetzesverletzungen in Kauf (Eventualvorsatz) und kannst bestraft werden.
Wann bin ich dem Risiko einer Verurteilung nach dem neuen DSG ausgesetzt?
Strafen nach dem neuen DSG werden grundsätzlich nur bei vorsätzlichen Verletzungen der Vorschriften ausgesprochen. Aber Vorsicht: Eine vorsätzliche Verletzung kann dann angenommen werden, wenn sogenannter Eventualvorsatz besteht (das bedeutet, dass man eine Verletzung in Kauf genommen hat). Dies ist der Fall, wenn du nach Inkrafttreten des neuen Gesetzes keine Massnahmen triffst und deshalb – sei es auch aus Unwissen – gegen dieses Gesetz verstösst.
Bin ich mit meinem Unternehmen einem hohen Risiko ausgesetzt, gegen das neue DSG zu verstossen?
Wenn Du keine Vorkehrungen triffst, sind die Chancen sehr gross, dass du gesetzeswidrig Daten auslagerst oder ins Ausland transferierst, gesetzeswidrig Auskunft erteilst oder ungenügende technische und organisatorische Massnahmen triffst.
Bis wann muss ich die neuen Vorschriften zum Datenschutz umsetzen?
Der Bundesrat hat am 31. August 2022 darüber informiert, dass das neue DSG per 1. September 2023 in Kraft. Damit gibt er der Wirtschaft ein Jahr Zeit um die notwenigen Vorkehrungen zu treffen. Das bedeutet, ab dem 1. September 2023 muss man sich ans neue DSG halten.
Gibt es Übergangsfristen?
Nein. Der Bundesrat hat festgelegt, dass das neue DSG ab dem 1. September 2023 gilt. Ab diesem Zeitpunkt müssen alle Unternehmen die neuen Vorschriften erfüllen.
Gibt es Konsequenzen, wenn wir die Massnahmen bis zum Startzeitpunkt noch nicht umgesetzt haben?
Die Aufsichtsbehörden werden tätig, wenn sie selbst Unregelmässigkeiten feststellen oder auf solche von Kundinnen bzw. Kunden, Mitarbeitenden oder Mitbewerbenden aufmerksam gemacht werden. Zuerst wenden sie sich meist mit einem Fragebogen an das betroffene Unternehmen. Sie können aber auch sogenannte Zwangsmittel einsetzen, um die Situation zu untersuchen. Ab Einführung des neuen DSG können Kundinnen bzw. Kunden, Mitbewerbende oder die Behörden eine Untersuchung fordern und im schlimmsten Fall Strafanzeige erstatten.
Wie kann ich mich auf das neue DSG vorbereiten und wie kann ich mich schützen?
Um einen (eventual-)vorsätzlichen Verstoss zu verhindern, empfehlen wir dir, rechtzeitig Massnahmen zur Umsetzung des neuen Datenschutzgesetzes zu ergreifen. Am besten triffst du bereits jetzt Massnahmen, um die Anforderungen, wie zum Beispiel Informationspflichten oder Auskunftsersuchen, des neuen Gesetzes zu erfüllen.