Das revidierte Datenschutzgesetz (DSG) wird am 1. September 2023 in Kraft treten. Das sind die wichtigsten Änderungen:
- Personendaten: Das DSG gilt nur noch für die Daten von natürlichen Personen, nicht mehr für diejenigen von juristischen Personen.
- Genetische und biometrische Daten gelten neu als besonders schützenswerten Daten.
- Die Grundsätze «Privacy by Design» und «Privacy by Default» kommen zu den bisherigen Grundsätzen dazu, d.h. sämtliche Software, Hardware und Dienstleistungen müssen so konfiguriert sein, dass die Daten geschützt sind und die Privatsphäre der Nutzer gewahrt wird.
- Die Informationspflicht wird verschärft,h. bei jeder Datenbeschaffung oder -bearbeitung muss der Verantwortliche die betroffene Person im Vorfeld angemessen informieren.
- Erhöhte Transparenz wird geschaffen, indem sich künftig die Informations-, Auskunfts- und Meldepflicht auf alle Beschaffungen von Personendaten bezieht, unabhängig davon, wie schützenswert sie sind.
- Ein Verzeichnis der Bearbeitungstätigkeiten wird obligatorisch, mit Ausnahmen für KMU, deren Datenbeabeitung nur ein geringes Risiko einer Persönlichkeitsverletzung mit sich bringt. Die Führung eines solchen Verzeichnisses empfiehlt sich aber auch dann, wenn eine Ausnahme vorliegen sollte.
- Datenschutzfolgeabschätzungen müssen gemacht werden, sofern ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen besteht.
- Eine rasche Meldung an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) muss erfolgen, wenn die Datensicherheit verletzt wurde und ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person besteht.
- Profiling: Die Automatisierte Bearbeitung von Personendaten wird neu in Profiling und Profiling mit hohem Risiko unterteilt, wobei bei letzterem eine ausdrückliche Einwilligung der betroffenen Person erforderlich ist.
- Die Auskunftsrechte der betroffenen Personen werden verstärkt und das Recht auf Datenherausgabe und Übertragung, die sog. Datenportabilität, eingeführt.
- Neue Meldepflichten: Im Falle einer Datensicherheitsverletzung sind die Unternehmen nun verpflichtet, dies dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) so rasch als möglich mitzuteilen.
- In Auftragsdatenbearbeitungsvereinbarungen mit Subunternehmern ist die Einhaltung der datenschutzrechtlichen Vorschriften zu regeln.
- Bei vorsätzlichen Verstössen droht eine Busse von bis zu CHF 250’000.
- Die Untersuchungsrechte und Entscheidkompetenzen des EDÖB werden erhöht.
Die Verpflichtungen betreffend Datenschutz gehen also weit über einige Angaben auf Ihrer Webseite hinaus.
Wir empfehlen Ihnen zu prüfen, wo und welche Personendaten Sie zu welchem Zweck bearbeiten, an wen und in welche Länder diese Daten weitergegeben werden und welche technischen und organisatorischen Massnahmen Sie zum Schutz der Personendaten ergreifen. Dies ist dann in den Datenschutzerklärungen und Ihren internen Dokumentationen, insbesondere dem Datenbearbeitungsverzeichnis, festzuhalten und allenfalls in den Verträgen mit Ihren Subunternehmern abzubilden.
Falls Sie diesbezüglich juristische Unterstützung möchten, stehen wir Ihnen gerne zur Verfügung. Wir sind sehr KMU-orientiert und pragmatisch.