Neues Datenschutzgesetz der Schweiz – besser spät als nie

Das neue Datenschutzgesetz der Schweiz ist seit einiger Zeit in aller Munde. Mit über einem Jahr Verspätung trat es am 1. September 2023 in Kraft. Dataloft fasst die wichtigsten Änderungen zusammen.

Revision des Datenschutzgesetzes mit Verspätung

Der Grund für die verspätete Revision geht aus einer Erklärung des Bundesamtes für Justiz (BJ) hervor. Ursprünglich erwartete man das neue Schweizer Datenschutzgesetz noch Ende 2022. Die Vorlage des Bundesrats umfasste zwei Etappen, die einzeln geprüft wurden.

Das aktuell bis dahin geltende DSG stammte aus dem Jahr 1992. Seitdem hat sich technologisch viel verändert — das neue Gesetz soll diesen Realitäten gerecht werden.

Und es wird mehr als Zeit: Eine gewisse Konformität mit der Datenschutzgrundverordnung (DSGVO) der EU war längst überfällig.

Das neue Datenschutzgesetz der Schweiz im Detail

Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) hat ein umfassendes Dossier zum neuen Datenschutzgesetz (kurz: nDSG) veröffentlicht. Hier sind die wichtigsten Änderungen — mit einem schnellen Vorher-Nachher-Vergleich.

1. Das nDSG betrifft nur noch die Daten natürlicher Personen.
2. Neu definiert: besonders schützenswerte Daten.
3. Neue Grundsätze «Privacy by Design» und «Privacy by Default»: Datenverarbeitende Unternehmen müssen datenschutzfreundliche Voreinstellungen für Nutzer anwenden.
4. Unternehmen müssen Nutzer künftig vorab informieren, wie ihre Daten beschafft und verarbeitet werden.
5. «Private Verantwortliche» sind zur Datenschutz-Folgenabschätzung verpflichtet. Ergibt sich daraus eine Gefährdung besonders schützenswerter Personendaten, ist eine Vorlage beim EDÖB erforderlich.
6. Das Auskunftsrecht wurde um Mindestinformationen erweitert.
7. Nutzer haben das Recht, ihre Daten in einem «gängigen elektronischen Format» zu erhalten oder an Dritte weiterzuleiten.
8. Neue Meldepflicht bei Verletzungen der Datensicherheit — insbesondere bei Verletzungen von Persönlichkeits- und Grundrechten.
9. Der EDÖB erhält ein Verfügungsrecht: Er kann bei Bedarf anordnen, die Datenverarbeitung anzupassen oder einzustellen.

1. Bisher galt das DSG auch für Daten bestimmter juristischer Personen wie kaufmännische Gesellschaften oder Vereine.
2. «Genetische» und «biometrische» Daten waren nicht erfasst.
3. Daten mussten nicht per Voreinstellung anonymisiert oder gelöscht werden.
4. Es gab keine konkrete Vorgabe, zu welchem Zeitpunkt die Informationspflicht zu erfüllen ist.
5. Nur Bundesorgane waren zur Datenschutz-Folgenabschätzung verpflichtet.
6. Die Aufbewahrungsdauer — oder Kriterien dazu — war kein Teil der Mindestinformationen.
7. Nutzer konnten ihre Daten abfragen, Format und Weiterleitung waren im DSG aber nicht klar geregelt.
8. Artikel 24 zur Meldepflicht war neu — konkrete Regelungen fehlten bisher vollständig.
9. Der EDÖB hatte lediglich das Recht, Empfehlungen auszusprechen.