Was bedeutet das revidierte Datenschutzgesetz für Ihr Unternehmen?

Das revi­dier­te Daten­schutz­ge­setz wur­de am 25. Sep­tem­ber 2020 durch den Natio­nal- und Stän­de­rat ver­ab­schie­det. Damit ist das Gesetz­ge­bungs­vor­ha­ben zur Revi­si­on des Daten­schutz­ge­set­zes abge­schlos­sen. Das revi­dier­te Daten­schutz­ge­setz wird am 1. Sep­tem­ber 2023 in Kraft tre­ten. Was müs­sen Sie als Unter­neh­men beach­ten, um sich best­mög­lich auf das neue Gesetz vorzubereiten?

Mit unserer Expertise im Bereich Datenschutz helfen wir Ihnen gerne weiter.

Haben Sie Fragen zum revidierten Datenschutzgesetz? 

Dann kon­tak­tie­ren Sie uns. Wir bera­ten Sie ger­ne zu allen Fra­gen rund um die­ses Thema. 

    Unterschiede zwischen dem rDSG und der DSGVO

    Unter­neh­men, wel­che die Vor­schrif­ten der Daten­schutz-Grund­ver­ord­nung der Euro­päi­schen Uni­on (DSGVO) bereits erfül­len, haben einen Vor­sprung bei der Imple­men­tie­rung der Neu­re­ge­lun­gen. Das revi­dier­te Schwei­zer Daten­schutz­ge­setz nähert sich in eini­gen Punk­ten der DSGVO an. Den­noch gibt es im rDSG teil­wei­se abwei­chen­de oder wei­ter­ge­hen­de Rege­lun­gen. Bei­spiels­wei­se wei­chen die Vor­ga­ben der rDSG bei Aus­kunfts­ge­su­chen von Betrof­fe­nen in Bezug auf den Inhalt der Aus­kunfts­er­tei­lung von der DSGVO ab. Auch müs­sen die Mel­de- und Geneh­mi­gungs­pflich­ten beim Daten­ex­port unter der rDSG sepa­rat beur­teilt wer­den. Eine Pflicht zur Ein­set­zung eines Daten­schutz­be­auf­trag­ten ist im Gegen­satz zur DSGVO wei­ter­hin im Grund­satz nicht vorgesehen.

    Die wichtigsten Punkte rund um die Anpassung an das revidierte Datenschutzgesetz

    Unter­neh­men soll­ten früh­zei­tig ihre Daten­schutz­er­klä­rung mit Blick auf die neu­en Vor­schrif­ten des revi­dier­ten Daten­schutz­ge­set­zes anpas­sen. Aus­ser­dem ist zu prü­fen, ob eine Pflicht zur Erstel­lung eines Daten­be­ar­bei­tungs­ver­zeich­nis­ses besteht. Auf­trags­be­ar­bei­tun­gen sind durch das Unter­neh­men zu iden­ti­fi­zie­ren, die Ver­trä­ge sind auf die recht­li­chen Vor­ga­ben hin zu über­prü­fen und gege­be­nen­falls anzu­pas­sen. Eben­so einer Iden­ti­fi­ka­ti­on und Über­prü­fung zugrun­de gelegt wer­den muss sämt­li­cher Aus­lands­trans­fer von per­so­nen­be­zo­ge­nen Daten.

    Wei­ter haben die Unter­neh­men einen Pro­zess zur Daten­schutz-Fol­gen­ab­schät­zung (DSFA) ein­zu­füh­ren, resp. den bestehen­den an die neu­en Vor­ga­ben anzu­pas­sen. Die DSFA soll der Selbst­be­ur­tei­lung eines daten­schutz­recht­li­che rele­van­ten Vor­ha­bens die­nen. Auch in Bezug auf die Mel­dung und die Bear­bei­tung von Ver­let­zun­gen betref­fend die Daten­si­cher­heit haben Unter­neh­men Pro­zes­se ein­zu­füh­ren, resp. gege­be­nen­falls bestehen­de an die neu­en Vor­schrif­ten anzu­pas­sen.

    Um Betrof­fe­nen­rech­te zu gewäh­ren, soll­ten Unter­neh­men eine zustän­di­ge Stel­le bestim­men. Zudem hat das Unter­neh­men auto­ma­ti­sier­te Ein­zel­ent­schei­de inner­halb der Orga­ni­sa­ti­on zu iden­ti­fi­zie­ren und, wenn nötig, neu zu regeln. Nicht zuletzt sind Unter­neh­men gut bera­ten, ihre Mit­ar­bei­ter im Kon­text des Daten­schut­zes und all­fäl­li­ger dro­hen­der Sank­tio­nen zu schu­len und peri­odisch weiterzubilden.
    Stellt eine durch die Daten­be­ar­bei­tung betrof­fe­ne Per­son eine Anfra­ge bezüg­lich der in Bezug auf ihre Per­son statt­fin­den­de Daten­be­ar­bei­tung, muss das Unter­neh­men die Anfra­ge nach den Vor­ga­ben des rDSG (und allen­falls der DSGVO) bear­bei­ten. Auch hier hat das Unter­neh­men die neu­en Vor­schrif­ten in sei­nen Pro­zes­sen abzu­bil­den. Das revi­dier­te Daten­schutz­ge­setz bie­tet jedoch einen gewis­sen Spiel­raum, um gegen miss­bräuch­li­che Aus­kunfts­be­geh­ren vor­ge­hen zu können. 
    Das revi­dier­te Daten­schutz­ge­setz führt eine per­sön­li­che Straf­bar­keit ein. Wäh­rend die DSGVO Bus­sen gegen die Unter­neh­men vor­sieht, kann nach rDSG der ver­ant­wort­li­che Mit­ar­bei­ter straf­recht­lich zur Ver­ant­wor­tung gezo­gen wer­den. Die Ver­let­zung von daten­schutz­recht­li­chen Infor­ma­ti­ons-, Aus­kunfts- und Mit­wir­kungs­pflich­ten kann mit Bus­sen von bis zu CHF 250’000.- bestraft wer­den. Wei­ter gere­gelt sind die Kon­se­quen­zen bei Ver­let­zung der Sorg­falts­pflich­ten, der beruf­li­chen Schwei­ge­pflicht, des Miss­ach­tens von Ver­fü­gun­gen (alle­samt eben­so bestraf­bar mit Bus­se von bis zu CHF 250’000.-) und bei Wider­hand­lun­gen in Geschäftsbetrieben.
    Set­zen Schwei­zer Unter­neh­men auf ihrer Web­sei­te Coo­kies ein, haben die­se im Mini­mum zwin­gend die Vor­ga­ben des DSG (resp. ab Inkraft­tre­ten im 2023 die­je­ni­gen des rDSG) sowie Art. 45c lit. b FMG zu beach­ten. Zum heu­ti­gen Stand ist es nach Schwei­zer Rechts­la­ge grund­sätz­lich aus­rei­chend, wenn über den Ein­satz von Coo­kies pau­schal in der Daten­schutz­er­klä­rung auf­ge­klärt wird (Aus­nah­me: bei beson­ders schüt­zens­wer­te Per­so­nen­da­ten und Per­sön­lich­keits­pro­fi­len). Auch mit dem revi­dier­ten Daten­schutz­ge­setz, wel­ches im 2023 in Kraft tre­ten wird, wur­den die Rege­lun­gen zu den Coo­kies der EU, wel­che dort insb. in der ePri­va­cy-Richt­li­nie ent­hal­ten sind, nicht ins Schwei­ze­ri­sche Recht über­nom­men. Aber Vor­sicht: Vor­ge­nann­tes gilt nicht, wenn das Schwei­zer Unter­neh­men, wel­ches die Web­sei­te betreibt, auch der DSGVO untersteht!

    Wichtige Erweiterung des Berufsgeheimnisses im revidierten Datenschutzgesetz

    Eine bemer­kens­wer­te Neu­re­ge­lung stellt der Aus­bau der bis­he­ri­gen Schwei­ge­pflicht ein­zel­ner Berufs­grup­pen (Rechts­an­wäl­te, Ärz­te, etc.) zu einer all­ge­mei­nen Schwei­ge­pflicht für alle Berufs­tä­ti­gen dar. Wäh­rend die Pflicht zur Geheim­hal­tung von Per­so­nen­da­ten bis­lang übli­cher­wei­se auf die Geschäfts- und Fabri­ka­ti­ons­ge­heim­nis­se des Arbeit­ge­bers beschränkt waren, sind Arbeit­neh­mer durch die Neu­re­ge­lung z.B. auch in Bezug auf die Kun­den des Arbeit­ge­bers zur Geheim­hal­tung ver­pflich­tet. Bei Ver­let­zung der Bestim­mun­gen dro­hen Bus­sen von bis zu CHF 250’000.- zulas­ten der ver­ant­wort­li­chen natür­li­chen Person.

    Eine baldige Anpassung an das revidierte Datenschutzgesetz lohnt sich

    Das neue Gesetz tritt am 1. Sep­tem­ber 2023 in Kraft. Das rDSG sieht jedoch kei­ne Über­gangs­fris­ten vor. Wir emp­feh­len des­halb die Zeit bis zum Inkraft­tre­ten zu nut­zen und recht­zei­tig die not­wen­di­gen Schrit­te in die Wege zu lei­ten. Unter­steht das Unter­neh­men sowohl der DSGVO als auch der rDSG ist sicher­zu­stel­len, dass auch die­se Vor­schrif­ten stets ein­ge­hal­ten werden.

    Sie benötigen noch mehr Infos zum neuen Datenschutzgesetz? 

    Dann schi­cken wir Ihnen sehr ger­ne unse­re Fach­bei­trä­ge dazu. Sie müs­sen nur Ihre E-Mail-Adres­­se ange­ben und die Arti­kel wer­den Ihnen per PDF zugesendet. 

      Haben wir Ihr Inter­es­se geweckt oder haben Sie Fra­gen zum The­ma Daten­schutz? Ger­ne hel­fen wir Ihnen weiter. 

      Kontaktieren Sie uns jederzeit!

      E-Mail: contact@hueberli.com
      Tele­fon: +41 71 988 30 00

      Möchten Sie noch mehr erfahren?

      Dann schau­en Sie sich auch unse­re Fach­bei­trä­ge zum The­ma an. 

      Cookies: Überblick über die geltende schweizerische/europäische Rechtslage

      Coo­kies haben die Gerich­te und natio­na­len Daten­schutz­be­hör­den in der jüngs­ten Ver­gan­gen­heit des Öfte­ren beschäf­tigt. Am 12. August 2020 schloss die fran­zö­si­sche Daten­schutz­be­hör­de Com­mis­si­on Natio­na­le de l’Informatique et des Liber­tés („CNIL“) eine Unter­su­chung gegen Goog­le ab. Der Euro­päi­sche Gerichts­hof („EuGH“) [...]

      Neuer Bundesgerichtsentscheid: Konkretisierung des missbräuchlichen Herausverlangens von Personaldossiers (Datenschutzrecht)

      Mit Urteil vom 18. Novem­ber 2020 (4A_277/2020) hat das Bun­des­ge­richt das Rechts­miss­brauchs­ver­bot in Bezug auf Art. 8 des Daten­schutz­ge­set­zes kon­kre­ti­siert. Nach wie vor ist der Ein­blick ins Per­so­nal­dos­sier grund­sätz­lich ohne Grund­an­ga­be mög­lich. Aller­dings recht­fer­tigt sich in gewis­sen Konstellationen [...]

      Revidiertes Schweizer Datenschutzgesetz: Verschärfte Vorschriften zur Schweigepflicht für Unternehmen

      Das revi­dier­te Daten­schutz­ge­setz wur­de am 25. Sep­tem­ber 2020 durch die Räte ver­ab­schie­det. Eine bemer­kens­wer­te Neu­re­ge­lung stellt der Aus­bau der bis­he­ri­gen Schwei­ge­pflicht zu einer all­ge­mei­nen Schwei­ge­pflicht für alle Berufs­tä­ti­gen dar. Bei Ver­let­zung der neu­en Bestim­mun­gen dro­hen Bus­sen von bis zu CHF 250’000.- zulas­ten der ver­ant­wort­li­chen natür­li­chen Person.