Das neue Datenschutzgesetz der Schweiz ist schon längere Zeit in aller Munde. Mit über einem Jahr Verspätung soll es nunmehr zum 01. September 2023 in Kraft treten. Dataloft informiert Sie über die wichtigsten Änderungen.
Revision des Datenschutzgesetzes mit Verspätung
Der Grund für die verspätet erscheinende Revision geht aus einer Erklärung des Bundesamtes für Justiz (BJ) hervor. Ursprünglich erwartete man das neue Schweizer Datenschutzgesetz noch Ende 2022. Die entsprechende Vorlage des Bundesrats erstreckte sich über zwei Etappen, die einzeln auf den Prüfstand gestellt wurden.
Schliesslich gibt es viele Umstände, denen das neue Datenschutzgesetz (DSG) gerecht werden muss. Bei dem aktuell geltenden DSG handelt es sich um die Fassung von 1992. Seitdem hat sich viel geändert, nun sollen Regelungen her, die dem technologischen Fortschritt entsprechen.
Darüber hinaus wird es mehr als Zeit, eine gewisse Konformität mit der Datenschutzgrundverordnung (DSGVO) und somit den Regelungen der EU, zu erreichen.
Das neue Datenschutzgesetz der Schweiz im Detail
Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) hat ein umfassendes Dossier zum neuen Datenschutzgesetz (dessen angepasste Abkürzung im übrigen nDSG lautet) der Schweiz veröffentlicht. Wir heben die wichtigsten Änderungen für Sie hervor und zeigen Ihnen einen schnellen Vorher-Nachher-Vergleich.
- Das neue Schweizer Datenschutzgesetz betrifft nur noch die Daten von natürlichen Personen.
- Neue Definition von besonders schützenswerten Daten.
- Neue Grundsätze „Privacy by Design“ sowie „Privacy by Default“. Dies verpflichtet datenverarbeitende Unternehmen dazu, für den Nutzer Voreinstellungen anzuwenden, die datenschutzrechtlich nicht nachteilig sind.
- In Ergänzung dazu müssen datenverarbeitende Unternehmen Nutzer künftig im Vorfeld darüber informieren, wie genau die Daten beschafft und verarbeitet werden.
- „Private Verantwortliche“ müssen künftig eine Datenschutz-Folgenabschätzung erstellen. Geht daraus eine Gefährdung besonders schützenswerter Personendaten hervor, ist eine Vorlage beim EDÖB erforderlich.
- Das Auskunftsrecht wurde hinsichtlich der Mindestinformationen erweitert.
- Darüber hinaus haben Nutzer künftig das Recht, ihre Daten in einem „gängigen elektronischen Format“ zu erhalten oder an Dritte weiterleiten zu lassen.
- Es gibt eine neue Meldepflicht über Verletzungen der Datensicherheit. Dies betrifft insbesondere Verletzungen von Persönlichkeits- und Grundrechten.
- Der EDÖB erhält ein neues Verfügungsrecht, sodass er im Bedarfsfall anordnen kann, die Datenverarbeitung anzupassen oder ganz einzustellen.
- Bisher galt das DSG auch für die Daten bestimmter juristischer Personen, wie kaufmännische Gesellschaften oder Vereine.
- „Genetische“ sowie „biometrische“ Daten waren nicht enthalten.
- Gemäss dem bisherigen DSG mussten Daten nicht per Voreinstellung anonymisiert oder gelöscht werden.
- Im früheren DSG bestand keine konkrete Vorgabe, zu welchem Zeitpunkt die Informationspflicht zu erfüllen ist.
- Bisher waren nur Bundesorgane zur Erstellung sogenannter Datenschutz-Folgenabschätzungen verpflichtet.
- Unter den Mindestinformationen befindet sich nun auch die Aufbewahrungsdauer bzw. Kriterien dazu.
- Nutzer konnten ihre Daten zwar abfragen, das Format oder die Weiterleitung waren im DSG jedoch nicht klar definiert.
- Artikel 24 zur Meldepflicht wurde ganz neu aufgenommen. Bisher gab es keine konkreten Regelungen dazu.
- Der EDÖB hatte bisher lediglich das Recht, Empfehlungen auszusprechen.
