Nach über drei Jahren hat das Schweizer Parlament Ende September die Totalrevision des Schweizer Datenschutzgesetztes (revDSG) abgeschlossen. Ziel war eine Anlehnung an die europäische DSGVO (engl. GDPR), die seit 2018 in Kraft ist. Bis anhin mussten sich Schweizer Unternehmen an zwei Standards orientieren, wenn sie mit Daten von Personen im Europäischen Wirtschaftsraum (EWR) in Berührung kamen. Das modernisierte, revidierte Schweizer Datenschutzgesetz (revDSG) bringt per Ende 2021 wichtige Änderungen mit sich, die auch für kleinere und mittelgrosse Firmen relevant sind.
Anlehnung aber keine Angleichung an die DSGVO
Zwar lehnt sich das DSG stark an die EU-DSGVO an, doch es wird auch zukünftig wichtige Unterschiede geben. Die DSGVO haben wir bereits zu ihrem Inkrafttreten im Mai 2018 genau unter die Lupe genommen – in unserem Blogartikel können Sie nachlesen, was die DSGVO für Einzelpersonen und für Unternehmen bedeutet.
Nach mehr als zwei Jahren müsste man meinen, das Thema DSGVO sei mittlerweile fest verankert in betroffenen Unternehmen. Doch ein Blick in den e-dialog Consent Management Report zeigt, dass zwar knapp 80% aller Unternehmen in Deutschland, Österreich und der Schweiz Consent Management (Sammlung von Daten) nutzen, jedoch 76% eine mangelhafte Implementierung des Datenschutzes aufweisen und weitere 20% erheblichen Verbesserungsbedarf haben.
Damit Sie sich und Ihr KMU früh genug auf die Änderungen vorbereiten können, haben wir die 6 relevantesten Neuerungen des revidierten Datenschutzgesetzes zusammengefasst.
Die 6 wichtigsten Neuerungen des revidierten Datenschutzgesetzes im Überblick
- Der Geltungsbereich des Datenschutzgesetzes ist nicht mehr auf Daten von juristischen Personen (Firmen) beschränkt, sondern bezieht sich nun auch auf Daten natürlicher Personen (Menschen). Privatpersonen müssen bei Verstössen nun ausserdem mit bis zu 250’000 CHF Bussgeld rechnen im Gegensatz zur vorherigen Maximalstrafe von 10’000 CHF.
- Das revDSG definiert eine erweiterte Liste von besonders schützenswerten Daten:
So werden genetische und biometrische Daten, die eine Person eindeutig identifizieren, ab Ende 2021 ebenfalls als besonders schützenswert angesehen und knüpfen an qualifizierte Rechtsfolgen. - Profiling mit hohem Risiko wird gesetzlich neu geregelt: Wenn es zu einer Verknüpfung von Persönlichkeitsdaten kommt, die eine Beurteilung wesentlicher Aspekte einer natürlichen Person erlauben, dann müssen Firmen klären, ob ihre Datenbearbeitung hochriskant ist und falls ja, von den Betroffenen eine ausdrückliche Einwilligung für die Datenbearbeitung
- «Privacy by Design» sowie «Privacy by Default» sind von nun an gesetzlich verankert: Die Datenverarbeitung muss so ausgestaltet sein, dass die Datenschutzvorschriften ab der Planungeingehalten werden (Privacy by Design). Voreinstellungen von Apps oder Websites müssen so gestaltet sein, dass die Bearbeitung von Personendaten auf das nötige Mindestmass beschränkt ist (Privacy by Default).
- Neues Recht auf Datenübertragbarkeit (Portabilität): Jede Person kann die Herausgabe ihrer Personendaten in einem elektronischen Format beziehungsweise deren Übertragung an ein anderes Unternehmen verlangen. Das gilt seit dem revDSG explizit auch für ausländische Betriebe, die auf dem Schweizer Markt tätig sind.
- Das revDSG schreibt die Führung eines Verzeichnisses der Datenbearbeitung vor. Ausnahmen sind nur für Unternehmen mit weniger als 250 Mitarbeitenden vorgesehen und für Firmen, deren Datenbearbeitung ein geringes Risiko für Verletzungen der Persönlichkeitsrechte der betroffenen Person mit sich bringt.
Early Birds mit Vorsprung
Noch haben Schweizer Unternehmen über ein Jahr Zeit, um sich auf die Änderungen des revidierten Datenschutzgesetzes vorzubereiten sowie im Hinblick auf das neue Gesetz ihre bestehenden Prozesse und Richtlinien zu prüfen und bei Bedarf anzupassen. Nutzen Sie die Zeit sinnvoll und gewähren Sie Ihrem KMU einen Vorsprung vor der Konkurrenz. Wir unterstützen Sie gerne – sprechen Sie uns an!