Datenschutzgesetz Schweiz - DSG 2023
Die Überarbeitung des Schweizer Datenschutzgesetzes (nDSG, revDSG, DSG 2023) änderte ab 01.09.2023 wichtige Bestimmungen über die Bearbeitung von Personendaten in der Schweiz sowie darüber hinaus. Richtlinien und Datenschutzerklärungen von Unternehmen sollten angepasst werden. Verschärfte Regeln bitte für das neue Schweizer Bundesgesetz bezüglich personenbezogenen Daten natürlicher Personen so schnell wie möglich beachten, insbesondere bei Verarbeitung personenbezogener Daten mit hohem Risiko für Betroffene oder wenn besonders schützenswerte Personendaten zur Bearbeitung kommen.
Inhaltsverzeichnis
FAQ
Worum geht es genau beim neuen Bundesgesetz über den Datenschutz (DSG)?
Es soll durch die Revision des DSG sichergestellt werden, dass die EU die Schweiz immer noch als ein Drittstaat mit angemessenem Datenschutzniveau anerkennt ist, und das in der Zukunft eine einfache Datenübermittlung zwischen der Schweiz und der EU möglich bleibt.
Welche zusätzliche Belastung entsteht für Unternehmen durch die Gesamtüberarbeitung des neuen DSG?
Unternehmen, welche bereits den DSGVO Anforderungen entsprechen, benötigen keine erhebliche weitere Anpassung. Unternehmen, die nur in der Schweiz tätig sind und bisher noch nichts unternommen haben, sollten mit einer Analyse beginnen an welchen Stellen im Unternehmen Datenschutz relevant ist.
Was bleibt beim Schweizer Datenschutzgesetz DSG unverändert?
Die Art und Weise der Datenverarbeitung nach Datenschutzgesetz (Schweiz) ändert sich kaum grundlegend, im Vergleich zur DSGVO, die für jede Datenbearbeitung eine Rechtsgrundlage als nötig verlangt. Für die Bearbeitung durch private Unternehmen ist nach dem DSG 2023 wie bisher in der Regel keine Einwilligung bezüglich Personendaten nötig, hingegen bei der DSGVO ein Rechtfertigungsgrund nötig wird. Dies gilt sofern:
· die Bearbeitungsgrundsätze Zweckbindung, Verhältnismäßigkeit, Transparenz – insbesondere die Erfüllung der Informationspflichten- und Datensicherheit eingehalten sind,
· der Betroffene einer Bearbeitung nicht widerspricht
· sowie an Dritten keine besonders schützenswerten Personendaten weitergegeben werden.
Bei Bearbeitungen von besonders schützenswerten Personendaten und beim Profiling mit einem hohen Risiko ist die ausdrückliche Einwilligung des Betroffenen dann vorgeschrieben.
Sind ausländische Firmen dazu verpflichtet sich an das neue Gesetz zu halten?
Ja, das neue Datenschutzgesetz (Schweiz) basiert wie auch die DSGVO auf dem sogenannten räumlichen Ausdehnungs(einfluss)prinzip. Für ausländische Firmen, deren Datenbearbeitung sich in der Schweiz auswirkt, gilt dieses in der Regel auch. Genauso gilt die DSGVO in der Regel für Schweizer Firmen, die im EU-Raum tätig sind. Zudem muss ein Unternehmen mit Sitz im Ausland eine Repräsentanz in der Schweiz als Unternehmensvertreter benennen sollte keine Niederlassung in der Schweiz bestehen, wenn es im Zusammenhang mit der Bereitstellung von Waren, Dienstleistungen oder einer Verhaltenskontrolle wiederholt große Datenmengen von natürlichen Personen aus der Schweiz verarbeitet und diese Verarbeitung hohes Risiko für die betroffenen Personen mit sich bringt. Wenn Schweizer Unternehmen Personendaten von EU-Bewohnern (natürlichen Person) bearbeiten wollen, müssen diese vor Verarbeitung von personenbezogenen Daten immer einen Datenschutzverantwortlichen nach der DSGVO benennen sollte keine Niederlassung in der EU bestehen.
Welche Unternehmen sind einem besonders hohen Risiko ausgesetzt, gegen das neue DSG zu verstoßen?
Unternehmen, die große Mengen an Personendaten oder besonders schützenswerten Personendaten bearbeiten, Profiling durchfuhren, Personendaten ins Ausland übermitteln etc., sind einem hohen Risiko ausgesetzt.
Welche Übergangsfristen für das DSG gelten?
Es enthalt keine Übergangsfristen, seit dem 01.09.2023 ist das DSG in Kraft.
Was sind die Konsequenzen, wenn ein Unternehmen die DSG-Vorschriften nicht bis zum 01.09.2023 umgesetzt hat?
Die Befugnisse des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten zur Durchsetzung des neuen Datenschutzgesetzes DSG wurden sehr erheblich erweitert. Dieser kann nun selbständig oder auf Grundlage einer Meldung eine Untersuchung gegen ein Unternehmen einleiten und bei einem Verstoß gegen datenschutzrechtliche Vorschriften umfassende Maßnahmen einleiten, bis hin zur Anpassung oder Unterbrechung der Datenverarbeitung oder sogar zur Datenlöschung.
Was versteht man unter DSGVO vs. revidiertes DSG?
Das Revidierte Schweizer Datenschutzgesetz wurde im September 2020 vom National- und Ständerat erlassen. Das revidierte Datenschutzgesetz der Schweiz gleicht in vielen der Punkte der DSGVO. Wesentliche Unterschiede bleiben aber dennoch zwischen den Regelungen bestehen.
Mit welchen Strafen muss ein Unternehmen bei Verstoß gegen das nDSG rechnen?
Bei vorsätzlichem Verstoß gegen das DSG 2023 können Privatpersonen mit Bußgeld bis zu CHF 250‘000 Bestrafung rechnen: Verletzung von Auskunfts-, Informations- oder Mitwirkungspflichten. Sofern eine Geldstrafe in Höhe von bis zu CHF 50‘000 für sie in Betracht gezogen werden könnte und die Identifizierung der verantwortlichen Personen mit einem unverhältnismäßigen Aufwand verbunden wäre, können Unternehmen in Fällen von Verstößen in geschäftlichen Betrieben mit einer Strafe von bis zu CHF 50‘000 belegt werden. Die DSGVO, welche nicht die natürlichen Personen, sondern Unternehmen gilt bestraft mit wesentlich höheren Bußgeldern und unterscheidet sich in einigen Punkten damit wesentlich von denen des neuen DSG.
Was sind die wichtigsten Änderungen für Unternehmen im neuen DSG was ist privacy by Design?
1. Neuer Geltungsbereich: Statt wie bisher sich auf Daten juristischer Personen zu beschränken, beschränkt sich das nDSG wie auch die DSGVO nur auf den Datenschutz von natürlichen Personen.
2. Erweiterter Umfang des neuen DSG: Als besonders schützenswert gelten jetzt auch genetische und biometrische Daten.
3. Privacy by Default und Privacy by Design (Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen): Verpflichten Unternehmen, bereits bei der Ausgestaltung sowie Planung von Applikationen die Datenbearbeitungsgrundsätze zu berücksichtigen und beispielsweise Einwilligungen von der jeweils betroffenen Person vor Erhebung der Daten einzuholen. Die Einstellungen, die über zwingend erforderliche Datenverarbeitungen hinausgehen, dürfe nicht durch (vor-) eingestellte Konfigurationen z.B. beim Cookie-Einwilligungsmanagement zur Verarbeitung von Daten erreicht werden.
4. Verbesserte Transparenz für natürliche Personen auch wenn nur geringes Risiko bei der Datenverarbeitung : Die Informationspflichten für Unternehmen wurden ausgeweitet um natürliche Personen zur Datenverarbeitung des Verantwortlichen hinsichtlich Verarbeitung personenbezogener Daten sowie verwendete technische und organisatorische Maßnahmen besser zu unterrichten. Die Unternehmen müssen jetzt die betroffenen Personen über jede Datenbeschaffung informieren, im Vergleich zu bisher, wo sie nur bei besonders schützenswerten Daten informierten. Die Betroffenen müssen informiert werden, auch wenn die Daten nicht beim Betroffenen selbst erhoben werden. Anzugeben sind die Identität und Kontaktdaten des für die Verarbeitung Verantwortlichen, die Zwecke der Verarbeitung, die Empfänger oder Kategorien von Empfängern sowie das Empfängerland, in das die Daten ins Ausland exportiert werden. In dieser Hinsicht ist das nDSG strenger als die DSGVO.
5. Verzeichnis der Bearbeitungstätigkeiten: Ein Verzeichnis der Bearbeitungstätigkeiten mit den vorgeschriebenen Angaben muss von Unternehmen geführt werden. Die Pflicht zur Führung eines Verzeichnisses der Datensammlungen kann auch in einigen Fällen entfallen.
6. Datenschutz-Folgenabschätzung: Wenn die Datenverarbeitung ein hohes Risiko für die Persönlichkeit bzw. die Grundrechte der betroffenen Person (natürliche Person) mit sich bringt, sind Unternehmen in der Regel verpflichtet, eine Datenschutz-Folgenabschätzung nach der DSGVO sowie nach dem DSG durchzuführen. Diese muss dann auch dokumentiert sein.
7. Profiling: Das Profiling wird auch von nDSG geregelt. Darunter fällt unter anderem automatisierte Datenbearbeitung, um bestimmte persönliche Aspekte einer Person wie Verhalten, Gesundheit, wirtschaftliche Lage, Interessen, Aufenthaltsort usw. zu bewerten. Eine Einholung einer Einwilligung besteht nach DSG Schweiz jedoch nur beim Profiling mit hohem Risiko, die DSGVO sieht das jedoch etwas anders.
8. Eine schnelle Meldung an den EDÖB: Verletzungen der Datensicherheit, wie etwa der versehentliche oder unrechtmäßige Verlust, die Löschung, die Zerstörung, die Veränderung oder der unbefugte Zugriff auf personenbezogene Daten, müssen nun schnellstmöglich dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) gemeldet werden. Dies muss gemäß DSGVO innerhalb von 72 Stunden erfolgen, wenn das Risiko für die betroffene Person voraussichtlich hoch ist. Nach der DSGVO ist ein einfaches Risiko ausreichend. Der Verantwortliche ist in der Regel ebenfalls dazu verpflichtet, die betroffene Person zu informieren, wenn dies zu ihrem Schutz nötig ist oder der EDÖB es verlangt.
Warum war die Revision des neuen DSG so wichtig?
Wenn die Angemessenheit des schweizerischen Datenschutzniveaus nicht mehr anerkannt wird, könnten in der Zukunft den Schweizer Unternehmen im Wettbewerb benachteiligt werden, da der Datenaustausch zwischen Unternehmen in der EU und in der Schweiz erschwert werden würde.
Seit wann ist das neue DSG in Kraft?
Das Schweizer Bundesgesetz DSG zusammen mit der Datenschutzverordnung (VDSG) wurde vom Bundesrat erlassen und seit 1. September 2023 in Kraft.
Bis wann sind die Vorschriften zum Datenschutzgesetz (Schweiz) umzusetzen?
Die Unternehmen mussten bis zum Inkrafttreten des Bundesgesetz über den Datenschutz, also bis 1. September 2023.
Was bedeuten die Abkürzungen DSG, nDSG, VDSG, DSGVO?
DSGVO: Die Datenschutz-Grundverordnung der Europäischen Union, diese ist seit dem 25.05.2018 für alle EU-Staaten geltend und unter gewissen Voraussetzung auch auf Schweizer Unternehmen anwendbar.
DSG: Schweizerische Datenschutzgesetz ist seit dem 01.09.2023 überarbeitet (Bundesgesetz über den Datenschutz).
nDSG: Das neue DSG ist das totalrevidierte neue Datenschutzgesetz im Vergleich zum vorherigen DSG.
VDSG: Die Verordnung des Bundesrats zum Schweizer Datenschutzgesetz DSG. In dem VDSG sind Ausführungs- und Detailbestimmungen zum DSG zu finden.
Muss jedes Unternehmen einen Datenschutzberater zu ernennen?
Obwohl man weiß, dass die Ernennung eines Datenschutzberaters gewisse Vorteile bringen kann, ist es trotzdem freiwillig im Vergleich zur DSGVO. Einerseits ist er Ansprechpartner für Datenschutzanliegen von Mitarbeitern, Kunden und Behörden. Andererseits kann die Pflicht zur Konsultation des EDÖB bei hohen Datenschutzrisiken entfallen, wenn stattdessen der Datenschutzberater hinzugezogen wird.
Gibt es Vorlagen für ein Datenschutzkonzept bei KMU?
Wenn im Unternehmen entsprechende Kompetenzen vorhanden sind, wie z.B. ein kompetenter Datenschutzverantwortlicher nach Schweizer Bundesgesetz (DSG) oder eine Rechtsabteilung, ist es möglich. Falls dem nicht der Fall ist, wird es empfohlen, externe Unterstützung zu suchen.
Hilfreiche Vorlagen mittels Generator individualisiert können Sie auf folgenden Webseiten finden:
Maßnahmen für Firmen die neuen Schweizer Datenschutzbestimmungen einzuhalten?
· Erstellung eines Datenbearbeitungsverzeichnisses durchführen..
· Ein Prozess einführen um Betroffenenrechte rechtzeitig abzuarbeiten
· Es muss eine Sicherstellung der Datensicherheit durch geeignete technische und organisatorische Maßnahmen durchgeführt werden. Darunter: Verletzung der Datensicherheit vermeiden. Die Mindestanforderung muss noch vom Bundesrat festgelegt.
· Einführung eines Verfahrens zur Meldung von Datenschutzverletzungen.
· Einführung eines Verfahrens zur Datenschutz-Folgenabschätzung, insbesondere von besonders schützenswerten Daten oder wenn eine umfangreiche systematische Überwachung von öffentlichen Bereichen stattfindet sowie neue Bearbeitungstechnologien zum Einsatz gelangen die ein erhebliches Risiko für Persönlichkeitsrechte mit sich bringen.
· Überprüfung, in welche Länder die Personendaten fließen und somit absichern, dass es nur Länder sind die ein ausreichendes Datenschutz-Niveau and Schutz der Personendaten gewährleisten. Wenn sich die Länder nicht auf der Liste vom Bundesrat befinden, welche ein ausreichendes Datenschutz-Niveau bieten, dürfen Daten nur unter besonderen Bedingungen exportiert werden z.B. bedarf der Datenexport eines ausdrücklichen Einverständnis des Betroffenen.
· Die Verträge müssen überprüft werden. Die Aufnahme einer Meldepflicht bei Datenschutzverletzungen und bei der Weitergabe an Unterauftragnehmer ist besonders empfohlen.
· Es muss abgesichert werden, dass die Personendaten gelöscht werden wenn diese zum Zweck der Bearbeitung nicht mehr erforderlich sind, somit ein Löschverfahren eingeführt sein welches die Löschfristen beachtet.
· Erstellung oder Anpassung von Datenschutzerklärungen auf Vertragsdokumenten und im Internet.
· Erstellung oder Anpassung interner Richtlinien zur Datenbearbeitung.
· Da die Datenübermittlung per E-Mail unsicher sein kann, sollte insbesondere bei besonders schützenswerten Daten eine E-Mail-Verschlüsselung zur Verfügung stehen.
· Einen Datenschutzberater ernennen. Die Kontaktdaten des Datenschutzberaters müssen laut DSGVO veröffentlicht werden.
Was ist bisher beim DSG neu der Schweiz geschehen?
Ab dem 1. September 2023 trat das neue Schweizer Bundesdatenschutzgesetz (nDSG, DSG neu CH oder auch revDSG Schweiz) in Kraft, welches das bestehende Schweizer Bundesdatenschutzgesetz (DSG) ersetzte. Mit der Totalrevision wurde ein neues Datenschutzgesetz für Personen in der Schweiz im Datenverkehr geschaffen, welches den Datenschutz in der Schweiz an die sich verändernden technologischen und gesellschaftlichen Bedingungen im Umgang mit Informationen betreffend personenbezogener Daten angepasst. Gerade werden die Transparenz von Datenbearbeitungen im Datenschutz der Schweiz verbessert und die Selbstbestimmung der betroffenen Personen bzw. Bürgerinnen und Bürgern über ihre Daten gestärkt wird. Die Umsetzung des neuen DSG kann mittels eines Datenschutz-Generators wie unter datenbuddy.de zu finden sowie mit Hilfe eines Informationssicherheitsbeauftragten, Datenschutzberater, Datenschutzbeauftragten und/oder Fachanwalt für IT-Recht erfolgen.
Was ist der Grund für die Totalrevision des DSG Schweiz?
Durch die Totalrevision im Datenschutz wird es der Schweiz ermöglicht, das revidierte Datenschutzübereinkommen SEV 108 des Europarats einzuhalten sowie die Schengen-relevante Richtlinie (EU) 2016/680 über den Datenschutz in Strafsachen umzusetzen. Die Revision soll auch die Schweizer Datenschutzgesetzgebung den Anforderungen der Verordnung (EU) 2016/679 im Datenschutz annähern. Diese Anpassungen sind wegen der Neuerungen der Technik in Bezug auf den Verkehr mit Waren und Dienstleistungen zwischen der Schweiz und der EU insbesondere wegen des durch die DSGVO angehobenen Datenschutzniveaus notwendig, damit die EU die Schweiz im Einklang mit einem angemessenen Datenschutzniveau anerkennt und die grenzüberschreitende Datenübermittlung mit Blick auf den Datenschutz ohne zusätzliche Hürden in Bezug auf Personendaten möglich bleibt.
Wie erfolgte der Revisionsablauf des Schweizer DSG?
Das Parlament hat die Gesetzesvorlage des Bundesrates bei der Überarbeitung des Bundesgesetz über den Datenschutz (DSG der Schweiz) in zwei Etappen aufgeteilt. In der ersten Etappe wurde nur die Schengen-relevante Richtlinie (EU) 2016/680 zum Datenschutz in Strafsachen umgesetzt. In der zweiten Etappe wurde die Totalrevision des DSG beraten, welche auch der Verordnung (EU) 2016/679 und dem revidierten Datenschutzübereinkommen SEV 108 des Europarats Rechnung trägt. Ein Teil der Anpassungen der ersten Etappe wird auch in die Totalrevision des DSG der Schweiz integriert.
Wie lief die Vorgeschichte des revDSG der Schweiz ab?
Das Schweizer Datenschutzgesetz (DSG) wurde bereits im Jahr 2011 evaluiert und der Bundesrat beauftragte das Eidgenössische Justiz- und Polizeidepartement (EJPD) damit, gesetzgeberische Maßnahmen zur Stärkung des Datenschutzes zu prüfen.
Begleitgruppe für neues DSG der Schweiz eingesetzt
Um das notwendige Fachwissen und die Interessen der betroffenen Personengruppen zu berücksichtigen, wurde eine Begleitgruppe eingesetzt, die von September 2012 bis Oktober 2014 den Handlungsbedarf zum Datenschutz insbesondere beim DSG erörterte.
EJPD erstellte Vorentwurf für DSG der Schweiz
Im April 2015 nahm der Bundesrat den Bericht der Begleitgruppe zur Kenntnis und beauftragte das EJPD, bis spätestens Ende August 2016 einen Vorentwurf für eine Revision des DSG vorzulegen.
Erste Vernehmlassung und Totalrevision des neuen Schweizer DSG
Im Dezember 2016 schickte der Bundesrat den Vorentwurf zur Totalrevision des DSG und zur Änderung weiterer Erlasse zum Datenschutz in die Vernehmlassung und im September 2017 verabschiedete er die Botschaft zur Totalrevision des DSG. Am 1. März 2019 setzte der Bundesrat bereits die Datenschutzbestimmungen für die Schengener Zusammenarbeit in Strafsachen in Kraft.
Zweite Vernehmlassung und Totalrevision des neuen Schweizer DSG
Im Juni 2021 wurde die Vernehmlassung zur Totalrevision der Verordnung zum Bundesgesetz über den Datenschutz eröffnet und am 31. August 2022 setzte der Bundesrat das totalrevidierte Datenschutzgesetz (revDSG) sowie die Ausführungsbestimmungen in der neuen Datenschutzverordnung (DSV) und der neuen Verordnung über Datenschutzzertifizierungen (VDSZ) per 1. September 2023 in Kraft.
Wo findet das neue Schweizer DSG Anwendung?
Das neue Datenschutzgesetz (revDSG), ähnelt der Datenschutz Grundverordnung (DSGVO) und dient dem Schutz der Persönlichkeitsrechte von natürlichen Personen, deren personenbezogene Daten verarbeitet werden. Es enthält Regeln für die Verarbeitung von Daten, die Verantwortlichkeiten von Auftragsbearbeitern und Verantwortlicher sowie die Rechte betroffener Personen bei der Verarbeitung von Daten.
Achtung! Neues DSG gilt auch über Grenzen der Schweiz hinaus!
Das Gesetz gilt nicht nur in der Schweiz selbst, sondern auch, wenn Sachverhalte im Ausland Auswirkungen auf die Schweiz im Datenschutzrecht haben, z.B. wenn ein Online-Händler in die Schweiz liefert oder ein Auftragsverarbeiter Schweizer Kundendaten verarbeitet.
Welche Strafen drohen durch das neue DSG Schweiz?
Das Gesetz gilt für private Personen und kann auch einzelne Mitarbeiter für Datenschutzgesetzes Verstöße gegen das DSG sanktionieren. Bußgelder von bis zu 250.000 CHF werden für Verletzungen von Pflichten, berufliche Schweigepflichten oder das Missachten von Verfügungen verhängt. Das Gesetz erfordert jedoch vorsätzliches Handeln für eine Sanktionierung bei datenschutzrechts Verstößen, um versehentliche Fehler von Mitarbeitern für diese nicht zu bestrafen. Für Widerhandlungen in Geschäftsbetrieben wird auf das Schweizer Verwaltungsstrafrecht verwiesen, und die Verfolgungsverjährung beträgt fünf Jahre.
Was müssen Verantwortliche und Auftragsbearbeiter durch das revDSG beachten?
Mit dem neuen Schweizer Datenschutzgesetz (nDSG), gibt es einige wichtige Änderungen für Verantwortliche und Auftragsbearbeiter bzw. Auftragsverarbeiter zu beachten. Wie auch bei der europäischen Datenschutz-Grundverordnung (DSGVO) werden die Begriffe „Verantwortlicher“ und „Auftragsbearbeiter“ (entspricht „Auftragsverarbeiter“ in der DSGVO) im neuen DSG der Schweiz legaldefiniert.
Was wird im neuen Schweizer DSG konkret zu beachten sein?
Verantwortliche und Auftragsbearbeiter müssen gemäß Art. 12 des neuen nDSG ein Verzeichnis der Bearbeitungstätigkeiten führen. Der Verantwortliche hat außerdem eine Informationspflicht gegenüber betroffenen Personen gemäß Art. 19-21 des neuen DSG der Schweiz. Wenn eine Bearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringen kann, muss der Verantwortliche eine Datenschutz-Folgenabschätzung erstellen gemäß Art. 22-23 des neuen DSG Schweiz. Verletzungen der Datensicherheit müssen dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) gemäß Art 24. des nDSG „so rasch als möglich“ gemeldet werden. Allerdings ist diese Meldefrist im Vergleich zur DSGVO weniger streng geregelt.
Was gilt nach dem neuen Schweizer DSG für Verarbeitungsverzeichnisse, Datenschutzerklärungen und Auftragsbearbeitungsverträge?
Das Verhältnis zwischen Verantwortlichem und Auftragsbearbeiter ist im Art. 9 des DSG neu CH geregelt. Der Verantwortliche muss sicherstellen, dass der Auftragsverarbeiter die Datensicherheit gewährleisten kann (Abs. 2) und die Daten nur so bearbeitet, wie es auch der Verantwortliche dürfte (Abs. 1 lit. a). Obwohl die DSGVO in Art 28ff. mehr ins Detail geht, unterliegt ein Auftragsverarbeitungsverhältnis nach dem nDSG auch an einigen Stellen strengeren Vorgaben. Wenn ein Verantwortlicher oder Auftragsverarbeiter bereits DSGVO-konform arbeitet, müssen dennoch vereinzelte Pflichten im nDSG im Unterschied zur DSGVO bei der Datenverarbeitung beachtet werden, insbesondere Informationspflichten bei der Erstellung von Verarbeitungsverzeichnissen, Datenschutzerklärungen und Auftragsdatenbearbeitungsverträgen.
Fazit zum neuen Schweizer DSG
Das totalrevidierte Bundesdatenschutzgesetz der Schweiz, ist ein Schritt hin zur Anpassung an die Datenschutzvorschriften der DSGVO. Verantwortliche, die personenbezogene Daten aus der Schweiz verarbeiten und bisher nicht der DSGVO unterlagen, müssen sich um eine angemessene Datenschutzdokumentation und ggf. um eine Beratung durch einen Informationssicherheitsbeauftragten, Datenschutzberater, Datenschutzbeauftragten oder Fachanwalt für IT-Recht kümmern. Wenn das nDSG weniger spezifisch ist als die DSGVO, können die Vorschriften der DSGVO als Orientierung dienen, aber die Besonderheiten des DSG neu der Schweiz bei Informationspflichten und beim Datenaustausch insbesondere bei Auftragsbearbeitung müssen die Regelungen des nDSG bei der Datenbearbeitung beachtet werden. Es bleibt abzuwarten, ob das neue Datenschutzgesetz der Schweiz nach seinem Inkrafttreten 01.09.2023 durch Rechtsprechung für Unternehmen anders interpretiert wird und welche Entwicklungen diesbezüglich durch Entscheidungen des EDÖB das neue Schweizer DSG nehmen wird.