Das neue Schweizer Datenschutzgesetz revDSG tritt in Kraft: Was Unternehmen beachten müssen

Das letzte Schweizer Datenschutzgesetz wurde noch vor der Verbreitung des Internets ausgearbeitet. Höchste Zeit also für eine Neuauflage: Das revDSG tritt am 1. September 2023 in Kraft. In diesem Artikel lesen Sie, was sich für Ihr Unternehmen ändert und was Sie im Umgang mit Daten in und aus der Schweiz künftig beachten müssen.

Worum geht es bei dem revidierten Datenschutzgesetz 2023?

Mit dem neuen Datenschutzgesetz nähert sich die Schweiz dem Datenschutzniveau der Europäischen Union an. Das ist einer der wesentlichen Gründe für die vollständige Überarbeitung des Gesetzes. Seitdem die DSGVO 2018 in der EU in Kraft getreten ist, gelten dort wesentlich strengere Datenschutzbestimmungen als im Umgang mit Daten in und aus der Schweiz. Damit die EU die Schweiz weiterhin als Drittstaat mit angemessenem Niveau zum Schutz von Daten anerkennt, muss die Schweiz nachziehen. Entsprechend orientiert sich das Gesetz in vielen Punkten an der DSGVO, weicht aber gelegentlich auch davon ab.

Sind Sie bereit für das neue Schweizer Datenschutzgesetz? Jetzt Handbuch herunterladen!

Doch auch ohne DSGVO wäre es an der Zeit gewesen, den Datenschutz für Schweizer:innen zu verbessern, denn das bisherige Gesetz stammt aus dem Jahr 1992 – einer Zeit vor Smartphone, Internet und all den damit verbundenen Massenübertragungen persönlicher Daten.

Das revDSG (Englisch: nFADP, New Federal Act on Data Protection) wurde bereits 2020 verabschiedet. Deshalb tritt es am 1. September 2023 ohne Umsetzungsfrist in Kraft und Unternehmen müssen bereits ab diesem Zeitpunkt das Gesetz erfüllen.

Diese Änderungen im Schweizer Datenschutz sollten Sie kennen

Wer bereits mit der Datenschutzgrundverordnung (DSGVO) der EU vertraut ist, für den ergeben sich mit dem revDSG nur wenige Neuerungen. Die acht wichtigsten Änderungen für Schweizer Unternehmen sind die folgenden:

1. revDSG betrifft: Daten natürlicher Personen

Das revDSG betrifft nur noch natürliche Personen, Daten juristischer Personen unterstehen dem neuen Schweizer Gesetz nicht mehr.

Die Rechte natürlicher Personen werden mit dem Gesetz gestärkt und Unternehmen müssen sicherstellen, dass die betroffenen Personen einfachen Zugang zu ihren Daten haben sowie diese ändern und löschen können, wenn sie dies wünschen.

2. Genetische und biometrische Daten

Neu in der Definition besonders schützenswerter Daten sind genetische und biometrische Daten.

3. „Privacy by Design“ und „Privacy by Default“

Mit diesen Konzepten übernimmt die Schweiz einen Grundsatz der DSGVO. Demnach sollen Daten nicht nur geschützt werden, sondern von vornherein so wenige Daten wie möglich überhaupt gesammelt werden.

„Privacy by Design“ – Datenschutz durch Gestaltung der Technik – besagt, dass Entwickler den Schutz der Daten von Anwender:innen direkt in die Produkte einbauen, die Daten sammeln werden.

Dem vorgelagert ist „Privacy by Default“, das besagt, dass bereits jedes Produkt und jede Dienstleistung, die überhaupt in den Verkehr gebracht werden, so erstellt werden müssen, dass Daten und Privatsphäre der Anwender geschützt sind.

4. Folgenabschätzung

Auch diese Anforderung ist an die DSGVO angelehnt. Verantwortliche müssen, noch bevor personenbezogene Daten überhaupt verarbeitet werden, die Folgen abschätzen („Datenschutzfolgenabschätzung“, DSFA).

Das gilt, sofern ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person besteht. Es muss geprüft werden, was die geplante Datenverarbeitung für den Datenschutz bedeutet und wie die Risiken der Verarbeitung minimiert werden können.

5. Informationspflicht

Bisher galt: Nur wenn so genannte besonders schützenswerte Daten erfasst wurden, musste die betroffene Person darüber informiert werden.

Nun ist diese Informationspflicht ausgeweitet worden und es gilt, dass grundsätzlich bei jeder Verarbeitung personenbezogener Daten die betroffene Person informiert werden muss, sowohl darüber, dass die Daten erfasst werden als auch darüber, welche rechtlichen Auswirkungen das für sie haben kann.

6. Verzeichnis der Bearbeitungstätigkeiten

Künftig gilt, dass Verantwortliche und Auftragsverarbeiter jede Datenbearbeitung dokumentieren müssen. Ein Verzeichnis von Bearbeitungstätigkeiten wird damit obligatorisch.

Eine Ausnahme gilt für kleinere und mittlere Unternehmen, wenn deren Datenbearbeitung nur ein geringes Risiko der Verletzung von persönlichen Daten betroffener Personen bedeutet. Allerdings entfällt mit dem revDSG, dass der Inhaber von Datensammlungen diese beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten anmelden muss. Dies war bisher der Fall.

7. Meldepflicht bei Datenpannen

Datenpannen müssen dem Bundesbeauftragten für Datenschutz und die Informationsfreiheit in Zukunft sofort gemeldet werden. Auch hier lehnt sich das revDSG an die DSGVO an. Allerdings gilt die Meldepflicht nur für Vorfälle, die ein hohes Risiko für die betroffene Person darstellen, außerdem gilt keine konkrete Frist, in der eine Datenpanne gemeldet werden muss.

Wichtig zu wissen für Unternehmen: Nicht Auftragsbearbeiter müssen die Vorfälle melden, sondern die Verantwortlichen, also als Auftraggeber, meist die Unternehmen. Auftragsbearbeiter sind lediglich verpflichtet, ihrerseits den Verantwortlichen zu informieren.

8. Der Begriff des „Profiling“

Unter „Profiling“ versteht man die automatisierte Bearbeitung personenbezogener Daten. Eine Einwilligung dazu ist weiterhin nicht grundsätzlich notwendig. Neu ist, dass das revDSG den Begriff „Profiling mit hohem Risiko“ einführt.

Wenn also durch eine Verknüpfung von Daten eine Beurteilung wesentlicher Aspekte der Persönlichkeit einer betroffenen Person möglich wird, muss diese Person der Verarbeitung zuvor zustimmen.

Unverändert geblieben sind wiederum im Wesentlichen die Regelungen zur Datenübertragung ins Ausland. Doch natürlich betrifft die neue Schweizer Datenschutzverordnung auch Unternehmen im Ausland sowie Schweizer Unternehmen, die mit ausländischen Firmen zusammenarbeiten.

Wer muss das neue Datenschutzgesetz anwenden?

Ebenfalls neu ist, dass das revidierte Datenschutzgesetz sowohl für Unternehmen in der Schweiz als auch außerhalb gilt, wenn sie Daten von Schweizer:innen verarbeiten. Damit müssen auch Unternehmen, die in der EU ansässig sind, aber Daten von Schweizer:innen verarbeiten, dem revDSG entsprechen.

Wichtig zu wissen ist ebenfalls, dass Unternehmen, die einen Sitz im Ausland haben und Daten von Personen in der Schweiz verarbeiten, eine Vertretung in der Schweiz benennen müssen. Hierfür gelten gewisse Regelungen, je nach Risiko und Umfang der Datenverarbeitung. Auch hier orientiert sich das neue Schweizer Datenschutzgesetz an der europäischen DSGVO, die ebenfalls eine Vertretung in einem EU-Staat verlangt.

Wie unterscheiden sich DSGVO und revDSG der Schweiz?

Im Wesentlichen orientiert sich die neue Datenschutzverordnung der Schweiz an der DSGVO der EU. Unterschiede ergeben sich in den Details.

• In der EU sind Unternehmen verpflichtet, einen Datenschutzbeauftragten zu benennen; in der Schweiz ist das weiterhin optional.
• Das revidierte Datenschutzgesetz sieht nun vor, dass betroffene Personen Auskunft verlangen können über Daten, die über sie erfasst und verarbeitet wurden; allerdings ist nicht im Detail geklärt, welche Informationen das umfasst.
• Es wird künftig auch in der Schweiz eine Meldepflicht bei Datenpannen geben, allerdings ohne konkrete zeitliche Frist.
• Strenger als die DSGVO ist das revDSG dann, wenn Daten ins Ausland übermittelt werden: Dann müssen sämtliche Empfängerstaaten und die möglicherweise genutzten Garantien angegeben werden.
• Im DSG ist die Datenverarbeitung grundsätzlich erlaubt; das ist in der DSGVO nicht der Fall. Allerdings darf die Datenverarbeitung die Persönlichkeit der betroffenen Personen nicht verletzen.

Erfüllen Sie die DSG bereits? Jetzt Handbuch herunterladen und DSG-Konformität prüfen!

Das bedeutet das revidierte DSG für Unternehmen

Der Aufwand für Unternehmen, den Anforderungen der neuen Schweizer Datenschutzverordnung zu entsprechen, hängt davon ab, wie der aktuelle Stand des Datenschutzes ist. Erfüllt ein Unternehmen bereits die DSGVO, hält sich der Aufwand in Grenzen.

Das gilt auch für EU-Unternehmen, die in der Schweiz aktiv sind und auch bisher bereits an die DSGVO gebunden waren. Es ist in jedem Fall dennoch sinnvoll, mindestens eine Selbsteinschätzung vorzunehmen.

Neu im Datenschutz? So fangen Sie an

Erfüllt ein Unternehmen hingegen die DSGVO noch nicht, besteht dringender Handlungsbedarf. Beginnen Sie in diesem Fall damit, alle Prozesse, in denen personenbezogene Daten erfasst oder verarbeitet werden, zusammenzufassen.

Dann können Sie identifizieren, wo und welche dritten Parteien beteiligt sind und welche Prozesse die größten Risiken bergen. Erst dann ist es sinnvoll, Maßnahmen zu ergreifen und Ihr Unternehmen revDSG-konform aufzustellen.

Das droht bei Verstößen gegen das neue Datenschutzgesetz

Verstöße gegen die EU-Datenschutzgrundverordnung können mit bis zu 20 Millionen Euro oder 4% des Jahresumsatzes geahndet werden.

Hier ist das Schweizer Parlament bei Verstößen gegen das revDSG zurückhaltender, es drohen lediglich Geldbußen von bis zu 250 000 CHF. Allerdings werden in der Schweiz natürliche Personen sanktioniert, so dass die Verantwortlichen ein sehr hohes persönliches Risiko tragen. Ist allerdings die strafbare Person im Unternehmen unklar und wird eine Strafe von maximal 50 000 CHF verhängt, können auch Unternehmen zur Zahlung verurteilt werden.

Wie gelingt Unternehmen DSG-konforme interne Kommunikation?

Nicht nur Fremdgeschäfte sind von der DSG-konformen Kommunikation betroffen, auch die internen Kommunikationssysteme innerhalb eines Unternehmens werden von der DSGVO beeinflusst. Um sowohl den internen als auch externen Datenschutz gewährleisten zu können, müssen Sie eventuell die Kommunikationsstrategie und -software Ihres Unternehmens anpassen. 

Im Alltag greifen Mitarbeitende bei der internen Kommunikation auf das einfachste Mittel zurück, wenn sie keine Alternative haben. Oft bedeutet das: WhatsApp oder andere Messenger. Für Unternehmen ist das äußerst kritisch, insbesondere wenn auf diesem Wege personenbezogene Daten ausgetauscht werden. Wenn es zum Beispiel um Datenschutz und Mitarbeiterkommunikation im Gesundheitswesen geht, müssen Unternehmen besonders vorsichtig sein. Ein Handyfoto vom Röntgenbild oder eine schnelle Info über den Patienten in Zimmer 3 – keine Seltenheit in Krankenhäusern, aber fatal für den Datenschutz. 

WhatsApp ist nicht datenschutzkonform 

Unternehmen sollten den Gebrauch insbesondere von WhatsApp, aber auch anderer privater Messenger untersagen, wenn es um interne Unternehmenskommunikation geht und stattdessen eine Lösung anbieten, die sicher und trotzdem praktikabel ist.

Dabei geht es nicht nur top-down um die Kommunikation von Führungskräften an ihre Mitarbeitenden, sondern auch um die tägliche Kommunikation von Mitarbeitenden, die dezentral nicht am selben Ort arbeiten, aber miteinander in Kontakt stehen wollen oder müssen.

Beekeeper erfüllt Datenschutzbestimmungen seit 2018

Die Produkte und Dienstleistungen von Beekeeper sind seit 2018 konform mit der DSGVO und haben seit 2020 externe Zertifizierungen wie ISO 27017 und 27018 erhalten, die datenschutzbezogene Bewertungen beinhalten.

Auf der Grundlage einer Selbsteinschätzung wurden derzeit keine Bereiche identifiziert, in denen der Schweizer Rahmen für die Datenverarbeitung von Beekeeper für unsere Produkte und Dienstleistungen nicht eingehalten wird.

Die Lösung von Beekeeper erfüllt daher die Datensicherheit auch für die interne Unternehmenskommunikation und bietet eine sichere Alternative zu WhatsApp und weiteren Messengern.

Für DSGVO-konforme Unternehmen ändert sich mit dem revDSG wenig

Mit dem revDSG nähert sich die Schweiz dem EU-Standard im Datenschutz. Das ist für den Wirtschaftsstandort Schweiz wichtig, damit grenzüberschreitende Datenübermittlung auch künftig möglich bleibt.

Für Unternehmen und Organisationen, die bereits die DSGVO erfüllt haben, ändert sich wenig. Wer diesen Standard noch nicht übernommen hat, sollte jedoch schnellstmöglich handeln.