Neues Schweizer Datenschutzgesetz (DSG): Alle wichtigen Infos

• Das DSG trat am 1. September 2023 in Kraft und ersetzt das bisherige Gesetz aus dem Jahr 1992, ohne Nachfrist für Datenschutzkonformität.
• Die Einwilligung zur Datenerfassung/-verarbeitung ist nicht unter allen Umständen erforderlich.
• Es gilt für natürliche Personen (nicht mehr für juristische Personen) sowie kommerzielle und nichtkommerzielle Organisationen, die die Daten von Schweizer Bürgern verarbeiten.
• Organisationen sind selbst dann für eine datenschutzkonforme Datenverarbeitung verantwortlich, wenn sie dazu Dritte (wie etwa Lieferanten) einsetzen.
• Alle Verarbeiter müssen angemessene organisatorische und technische Massnahmen ergreifen, um den Datenschutz und die Sicherheit zu gewährleisten.
• Es gilt für Daten in Akten und elektronischen Dateien.
• Extraterritoriales Recht: Organisationen, die personenbezogene Daten verarbeiten, müssen ihren Sitz nicht in der Schweiz haben.
• Es verbietet die Übermittlung personenbezogener Daten aus der Schweiz in Länder, mit denen keine Angemessenheitsvereinbarung besteht, es sei denn, die ausdrückliche Einwilligung des Nutzers wurde eingeholt.

Im Gegensatz zur DSGVO erlaubt das DSG Organisationen die Verarbeitung personenbezogener Daten ohne ausdrückliche Einwilligung zu verarbeiten, es sei denn, die Zustimmung erfüllt bestimmte Kriterien. Die Einwilligung ist in folgenden Fällen erforderlich:

• Bei der Verarbeitung sensibler personenbezogener Daten
• Bei der Verarbeitung im Rahmen einer Hochrisiko-Profilerstellung durch eine Privatperson
• Bei der Verarbeitung im Rahmen einer Profilerstellung durch eine Bundesbehörde (Regierung)
• Bei der Übermittlung von Daten in Drittländer, in denen kein angemessener Datenschutz besteht

Das DSG gestattet neben der Einwilligung andere Rechtsgrundlagen für die Verarbeitung (wie Gesetze oder das vorrangige öffentliche Interesse), jedoch in geringerem Umfang als die DSGVO. Wenn eine Einwilligung erforderlich ist, muss diese vor oder zum Zeitpunkt der Datenerfassung eingeholt werden. Wie auch bei der DSGVO muss die Einwilligung des Nutzers gemäss des DSG granular, informiert und freiwillig erfolgen.

Eine Consent Management Platform ermöglicht datenschutzkonforme Nutzerbenachrichtigungen, z. B. durch die Erstellung einer Datenschutzerklärung, sowie die datenschutzkonforme Erfassung und Speicherung von Einwilligungen. Es können mehrere Konfigurationen mit Geolokalisierung verwendet werden, um die Einhaltung verschiedener Verordnungen mit unterschiedlichen Anforderungen, wie z. B. DSGVO und DSG, je nach Standort des Nutzers sicherzustellen.

Die betroffenen Personen müssen stets vor der Datenerfassung informiert werden, auch wenn für die beabsichtigte Datenverarbeitung keine Einwilligung erforderlich ist.

Unternehmen müssen den Nutzern die folgenden Informationen klar vermitteln, z. B. mithilfe einer Datenschutzerklärung auf der Webseite. Dies sind die gleichen Benachrichtigungskriterien, die auch für eine gültige Einwilligung erforderlich sind:

• Identität des Datenverantwortlichen, sowohl Unternehmen als auch Dritte
• Kontaktdaten des Datenverantwortlichen
• Identität des Datenempfängers und aller weiteren Parteien mit Zugang zur Datendatei
• Empfängerland, falls die Daten über die Landesgrenzen hinaus übermittelt werden
• Zweck(e) der Datenerfassung und -nutzung
• Kategorien erfasster Daten, sofern relevant
• Mittel der Datenerfassung, sofern relevant
• Die Rechtsgrundlage für die Verarbeitung, sofern erforderlich
• Nutzerrechte bezüglich ihrer personenbezogenen Daten gemäss des DSG, einschliesslich des Rechts, die Einwilligung zu verweigern oder zu widerrufen

Grundsätzlich stehen einer Person folgende Rechte zu:

• Auskunftsrecht: Recht, eine Auskunft darüber zu verlangen, ob die eigenen Personendaten bearbeitet werden. Niemand kann im Voraus auf das Auskunftsrecht verzichten.
• Datenportabilität: Recht auf Datenherausgabe in einem gängigen elektronischen Format oder Datenübertragung.
• Recht auf Berichtigung und Löschung

• Erstelle oder aktualisiere deine Datenschutzerklärungen und stelle sicher, dass sie an dein Unternehmen, deine Nutzer, die Verarbeitungszwecke und die von dir verwendeten Daten angepasst wurden.
  • Betroffene Personen sind über die Verarbeitung stets zu benachrichtigen, auch wenn keine Einwilligung erforderlich ist.
  • Mit einer Consent Management Platform kannst du deine Datenschutzerklärung erstellen und anpassen sowie aktualisieren.
• Stelle sicher, dass in den Benachrichtigungen auch darüber informiert wird, in welche Länder personenbezogene Daten übermittelt werden.
  • Wenn es keine Angemessenheitsvereinbarung mit den jeweiligen Ländern gibt, mache dies deutlich und hole die ausdrückliche Einwilligung für die Weitergabe der Daten ein.
• Falls erforderlich, beispielsweise zur Verarbeitung schützenswerte Personendaten, hole die Einwilligung des Nutzers ein und speichere diese auf sichere Art und Weise.
• Erstelle oder aktualisiere interne Datenverarbeitungsrichtlinien und sorge dafür, dass diese angemessen kommuniziert werden.
• Richte ein internes Register der Datenverarbeitungsaktivitäten ein und pflege es.
• Führe ein Verfahren ein, mit dem die berechtigten Anliegen betroffener Personen (die Ausübung ihrer Rechte) effizient entgegengenommen, bestätigt und bearbeitet werden, z. B. Anfragen bzgl. Kopien, Berichtigung oder Löschung personenbezogener Daten.
  • Sorge dafür, dass die Daten in einem zugänglichen Format, etwa als Ausdruck oder in einem gebräuchlichen elektronischen Format, vorhanden sind.
• Führe eine Datenschutz-Folgenabschätzung durch – vor allem dann, wenn das Unternehmen in grossem Umfang sensible Daten verarbeitet.
• Führe ein Verfahren zum Umgang mit Datenschutzverletzungen ein, einschliesslich der unverzüglichen Benachrichtigung des EDÖB und der betroffenen Personen, falls erforderlich. Dieser Prozess muss auch für Dritte gelten, die auf Daten zugreifen oder diese verarbeiten.
• Überprüfe und aktualisiere Verträge mit Dritten (wie etwa Lieferanten) und stelle so sicher, dass die Anforderungen an Sicherheit und Datenschutz in angemessener Weise erfüllt werden. (Die Einhaltung der Rechtskonformität liegt bei dem Verantwortlichen.)
• Bewahre die Daten nur so lange auf, wie es gemäss der angegebenen Benachrichtigung erforderlich ist, und ausschliesslich für den angegebenen Verarbeitungszweck. Lösche oder anonymisiere Daten, sobald sie für diesen Zweck nicht mehr benötigt werden.
• Ernenne einen Datenschutzbeauftragten, der im Kontakt mit Nutzern und dem EDÖB steht und zudem Richtlinien und Verfahren verwaltet sofern erforderlich für dein Unternehmen nach DSG.
• Wende dich bezüglich der Pflichten deines Unternehmens im Rahmen des DSG und der Möglichkeiten, diesen nachzukommen, an einen qualifizierten Rechtsberater. Webrepublic bietet keine Rechtsberatung, sondern lediglich Hinweise zu Informationszwecken.