Datenschutzgesetz Schweiz 2023 (revDSG): der praktische Leitfaden

Geschrieben von Beata Moryl

Veröffentlicht Juli 12, 2023

Am 1. September 2023 tritt das revidierte Datenschutzgesetz (Bundesgesetz über den Datenschutz; revDSG) in der Schweiz in Kraft. Der Rechtsakt wird von der neuen Verordnung zum Datenschutz (DSV) begleitet.

Das neue Gesetz konzentriert sich auf den Schutz der Personendaten natürlicher Personen. Deshalb gilt es für alle Unternehmen und Personen, die solche Daten bearbeiten und in der Schweiz ansässig oder geschäftlich aktiv sind.

Es gab einige triftige Gründe, um das aktuelle Datenschutzgesetz der Schweiz zu revidieren. Die Gesetzgebung sollte mit dem technologischen und gesellschaftlichen Wandel Schritt halten. Die Kompetenzen des EDÖB (Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter) sollten erweitert werden, um die Rechte der betroffenen Personen besser zu schützen. Der Gesetzgeber wollte das Gesetz auch mit der EU-Datenschutz-Grundverordnung (GDPR) harmonisieren, damit beim Datenaustausch mit den EU-Unternehmen keine Wettbewerbsnachteile entstehen. Das neue schweizerische Datenschutzgesetz ist jedoch kein Abklatsch der DSGVO und enthält spezifische Vorschriften.

Wir haben für Sie die neuen Regeln im Schweizer Datenschutzgesetz zusammengefasst. Sie erfahren auch, wie Sie sich auf diese Änderungen vorbereiten.

Datenschutzgesetz Schweiz 2023 – was ist neu?

Neuer Geltungsbereich

Das bisherige Datenschutzgesetz betraf auch die Verarbeitung der Daten von juristischen Personen (z. B. kaufmännische Gesellschaften, Vereine oder Stiftungen). Neues Datenschutzgesetz beschränkt sich wie die DSGVO auf den Datenschutz natürlicher Personen.

Neue Begriffe: Verantwortlicher und Auftragsbearbeiter

Wo das bisherige Gesetz über Inhaber einer Datensammlung sprach, kommen jetzt zwei neue Begriffe im Einsatz: Verantwortlicher und Auftragsbearbeiter. Der Verantwortliche ist eine private Person oder Bundesorgan, die oder das allein oder zusammen mit anderen über den Zweck und die Mittel der Bearbeitung entscheidet. Auftragsbearbeiter sind private Personen oder Bundesorgane, die im Auftrag der Verantwortlichen Personendaten bearbeiten. (Art. 5 Buchst. j revDSG). Diese beiden Begriffe ähneln den Begriffen in der DSGVO.

Erweiterter Umfang besonders schützenswerter Personendaten

revDSG erweitert den Katalog der besonders schützenswerten Personendaten um biometrische und genetische Daten, sofern diese eine natürliche Person eindeutig identifizieren (Art. 5 Buchst. c). Sie benötigen eine ausdrückliche Einwilligung der betroffenen Person, um solche Daten bearbeiten zu dürfen.

Neue Rechte für die betroffenen Personen

Das neue Datenschutzgesetz der Schweiz behält die bestehenden Rechte von betroffenen Personen auf Auskunft, Löschung oder Sperrung (Einschränkung) ihrer Personendaten. Es führt einige zusätzliche Vorgaben ein:

  • Die betroffene Person hat Anspruch auf alle Informationen, die erforderlich sind, damit sie ihre Rechte geltend macht und damit ihre Daten transparent verarbeitet werden. (Art. 25 Abs. 2 revDSG)
  • Der Verantwortliche erteilt Auskunft kostenlos, innerhalb von 30 Tagen. (Art. 25 Abs. 6 und 7 revDSG)

Das neue Gesetz fuhr auch ein Recht auf Datenherausgabe oder -übertragung (Datenportabilität) ein (Art. 28 ff. revDSG). Die betroffene Person kann vom Verantwortlichen, der ihre Personendaten auf Basis einer Einwilligung oder eines Vertrags automatisiert bearbeitet, verlangen, dass er die Daten:

  • In einem gängigen elektronischen Format herausgibt
  • Einem anderen Verantwortlichen überträgt

Transparenz und ausgeweitete Informationspflicht

Das revDSG sieht vor, dass die Verantwortlichen und Auftragsbearbeiter obligatorisch ein stets aktualisiertes Verzeichnis sämtlicher Bearbeitungstätigkeiten führen. Die einzige Ausnahme macht es für Unternehmen, die weniger als 250 Mitarbeiter beschäftigen und deren Datenbearbeitung ein geringes Risiko von Verletzungen der Persönlichkeit von betroffenen Personen mit sich bringt.

Als Verantwortlicher müssen Sie die betroffenen Personen jedes Mal vorgängig angemessen informieren, wenn Sie beabsichtigen, ihre Personendaten zu beschaffen. Sie tun es auch, wenn Sie die Daten nicht direkt bei diesen Personen beschaffen.

Es gibt einige Ausnahmen von der Regel, die Sie im Artikel 20 revDSG finden. Für die anderen bedeutet dies Änderungen an den Datenschutzerklärungen auf Webseiten, Apps und in Formularen. Wir besprechen diese im Kapitel: Wie sollen Sie sich auf das neue Datenschutzgesetz in der Schweiz vorbereiten?

Privacy by Design & Privacy by Default

Neues Datenschutzgesetz der Schweiz lehnt sich ebenfalls an die DSGVO an, indem es Grundsätze von Privacy by Design (Datenschutz durch Technik) und Privacy by Default (Datenschutz durch Voreinstellung) einführt.

Wenn Sie mehr zu diesem Thema erfahren möchten, empfehlen wir unseren Blogbeitrag: Was sind Privacy by Design & Privacy by Default unter der DSGVO

Profiling und Profiling mit hohem Risiko

Mit dem Begriff Profiling meinen die Gesetzgeber jede Art automatisierte Bearbeitung von Personendaten, die diese Daten verwendet, um bestimmte persönliche Merkmale einer natürlichen Person zu bewerten. Das neue Datenschutzgesetz unterscheidet zwischen Profiling und Profiling mit hohem Risiko. (Artikel 5, Absatz g revDSG)

Zum Profiling mit hohem Risiko kommt es, wenn Sie Daten so verknüpfen, dass Sie „wesentliche Aspekte der Persönlichkeit einer natürlichen Person“ beurteilen können. In solchen Fällen werden Sie verpflichtet, eine ausdrückliche Einwilligung der betroffenen Personen einzuholen. In der Regel werden Sie auch diesen Vorgang um eine Datenschutz-Folgenabschätzung erweitern.

Datenschutz-Folgenabschätzung (DSFA)

Die DSFA wird zur Pflicht, wenn Sie Daten mit neuen Technologien bearbeiten und es ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person darstellt. Im Fall eines privaten Unternehmens kommt es dazu vor allem, wenn Sie besonders schützenswerte Personendaten umfangreich bearbeiten.

In einer DSFA beschreiben Sie, was genau Sie mit Daten machen möchten, bewerten Sie die Risiken für die betroffenen Personen und definieren Maßnahmen zum Schutz ihrer Rechte.

Diese Anforderungen gelten nicht für Unternehmen, wenn sie:

  • ein System, ein Produkt oder eine Dienstleistung einsetzen, die nach Art. 13 revDSG zertifiziert sind oder
  • ein Verhaltenskodex nach Art. 11 revDSG einhalten, der auf einer Datenschutz-Folgenabschätzung beruht.

Datentransfer ins Ausland

Hier geht das neue Datenschutzgesetz weiter als die DSGVO. Wenn Sie Personendaten ins Ausland übertragen, ziehen Sie in erster Linie die Länder in Betracht, die auf der Liste des Bundesrates stehen. Dazu zählen auch solche Situationen, wenn Sie Daten in einer ausländischen Cloud speichern.

Im Juli 2020 erklärte der Europäische Gerichtshof den Privacy Shield für ungültig. Dieser legte die Regeln für den Transfer von Daten zwischen der EU und den USA fest.

Im September 2020 folgte EDÖB mit seiner Stellungnahme, dass der Privacy Shield kein adäquates Schutzniveau für Datenbekanntgaben von der Schweiz an die USA bietet. Der Verweis auf einen “angemessenen Datenschutz unter bestimmten Bedingungen” für die USA in der Staatenliste des EDÖB wurde gestrichen.

Dies bedeutet, dass Sie bei einem Datenexport in die USA zusätzliche Sorgfaltspflichten tragen. Und das sind keine seltenen Fälle. Zum Beispiel das beliebte Tool: Google Analytics sammelt personenbezogene Daten und übermittelt sie in die USA laut den Urteilen der europäischen Datenschutzbehörden. Berücksichtigen Sie es, wenn Sie die Software verwenden.

Falls das Land nicht auf der Liste des Bundesrates steht, sind Sie verpflichtet, einen geeigneten Datenschutz auf andere Weise sicherzustellen. Hier haben Sie die Wahl. Infrage kommen z. B. ein völkerrechtlicher Vertrag, Datenschutzklauseln, verbindliche Unternehmensregeln (BCR) oder EU-Standardvertragsklausel.

Beim Datentransfer ins Ausland teilen Sie auch der betroffenen Personen folgende Informationen:

  • In welches Land Sie die Daten übertragen
  • Wie Sie den Datenschutz gewährleisten
  • Auf welche Ausnahmen nach Art. 17 revDSG Sie sich beziehen (falls Sie sie anwenden)

Meldepflicht bei Verletzungen der Datensicherheit

Bei Datenschutzverletzungen hat der Verantwortliche einige neue Pflichten nach Art. 24 Abs. 1 revDSG:

  • Er informiert den EDÖB so rasch wie möglich über Verletzungen der Datensicherheit, die ein hohes Risiko für die betroffenen Personen darstellen. Dazu zählen z. B. der Diebstahl von Personendaten durch Cyberangriff, Datenverlust durch Viren oder Nutzerfehler.
  • Er informiert die betroffene Person, wenn es zu ihrem Schutz erforderlich ist oder der EDÖB es verlangt.
  • Er dokumentiert auch die Verletzungen und informiert dabei über die Art der Verletzung, deren Folgen und die ergriffenen oder vorgesehenen Maßnahmen.

Strafen

Das neue Datenschutzgesetz der Schweiz sieht deutlich höhere Bußen vor als der bisherige Rechtsakt. Wahrend die DSGVO die Sanktionen ausschließlich gegen juristische Personen richtet, sieht das revDSG Bußen für natürliche Personen bis zu CHF 250.000 (knapp 256.000 EUR) vor. Das heißt, dass Verantwortliche im Unternehmen wie CEOs, CFOs oder CIOs sanktioniert werden können.

Strafbar auf Antrag sind:

  • Verletzung von Informations-, Auskunfts- und Mitwirkungspflichten
  • Nichteinhaltung der Mindestanforderungen an die Datensicherheit
  • Unzulässiger Transfer der Personendaten ins Ausland
  • Auftragsbearbeitung, welche nicht den gesetzlichen Vorgaben entspricht
  • Verletzung der beruflichen Schweigepflicht

Missachten von Verfügungen des EDÖB wird von Amts wegen verfolgt.

Der EDÖB kann Anzeige erstatten und im Verfahren die Rechte der Privatkläger wahrnehmen. Die Strafverfolgung wird durch kantonale Behörden geführt. Dies ist ein weiterer Unterschied zu EU-Lösungen, bei denen die Datenschutzbehörden hohe Bußen verhängen können.

Wie sollen Sie sich auf das neue Datenschutzgesetz in der Schweiz vorbereiten?

Dokumentieren Sie, wie Sie die Daten bearbeiten

Sie sind verpflichtet, ein Verzeichnis der Bearbeitungstätigkeiten zu führen, wenn Ihr Unternehmen mehr als 250 Personen beschäftigt. Prüfen Sie, ob Ihre Unterlagen folgende Informationen enthalten:

  • Wie Sie die Informationen verarbeiten
  • Der Bearbeitungszweck
  • Die Art der verarbeiteten Daten
  • Wo die Verarbeitung stattfindet
  • An wen Sie die Daten weitergeben

Definieren Sie schriftlich, wie Sie die erhobenen Daten übermitteln und speichern.

Gestalten Sie Ihre Datenbearbeitung technisch und organisatorisch so, dass die Maßnahmen den Prinzipien Privacy by Design und Privacy by Default entsprechen.

Prüfen Sie bei der Gelegenheit die internen Richtlinien zur Datenbearbeitung.

Stellen Sie fest, ob Sie besonders schützenswerte Personendaten erheben oder Profiling mit hohem Risiko ausüben.

In jedem dieser Fälle benötigen Sie eine ausdrückliche Einwilligung der betroffenen Personen. Dies bedeutet, dass Sie möglicherweise einen Consent Manager benötigen, wenn Sie noch keinen verwenden.

Überprüfen Sie den Internetauftritt Ihres Unternehmens.

Analysieren Sie die Elemente Ihres Internetauftritts und beantworten Sie die folgenden Fragen.

1. Beinhaltet Ihre Datenschutzerklärung folgende Informationen?

  • Die Identität und die Kontaktdaten des VerantwortlichenDen Bearbeitungszweck
  • Beschreibung der Kategorien betroffener Personen und der Kategorien bearbeiteter Personendaten
  • Kategorien der Empfänger, denen Personendaten bekannt gegeben werden
  • Aufbewahrungsdauer der Personendaten oder die Kriterien zur Festlegung dieser Dauer
  • Beschreibung der Datensicherheitsmaßnahmen
  • Die Länder, in welche die Personendaten übermittelt werden und auf welcher Rechtsgrundlage dies geschieht.

2. Sind Ihre AGB, Einwilligungserklärungen und Newsletter auch datenschutzkonform?
3. Wenden Sie einen DSGVO- und revDSG-konformen Cookie-Banner ein?

Legen Sie eine Prozedur fest, um die Rechte der betroffenen Personen zu wahren.

  1. Wie realisieren Sie zeitlich und technisch das Recht auf Datenportabilität? (wie prüfen und erledigen Sie die eventuellen Anträge der betroffenen Personen)
  2. Wie erfüllen Sie Ansprüche der betroffenen Personen an zusätzliche Informationen gemäß Art. 25 Abs. 2 revDSG
  3. Planen Sie, Anfragen der betroffenen Personen manuell oder mit einem speziellen Tool, z. B. einem Data Request Manager, zu bearbeiten?

Überprüfen Sie, ob Sie Personendaten ins Ausland übermitteln.

Dies gilt besonders, wenn Sie irgendwelche datenbezogene Dienstleistungen outsourcen und der Dienstleister seinen Sitz im Ausland hat (IT-Services, Hosting etc.). Wenn der grenzüberschreitende Datentransfer stattfindet, prüfen Sie, ob das Land einen gleichwertigen Datenschutz leistet. Fehlt eine solche Lösung, sichern Sie zusätzliche Garantien, z. B. in der Form von EU-Standardvertragsklauseln (SCC).

Sie können für den ganzen Vorgang die Anleitung des EDÖB nutzen.

Oder ersparen Sie sich die Mühe und verwenden Sie Tools, die keine Daten in Länder mit unzureichendem Datenschutzniveau senden. Dann benötigen Sie nicht darüber nachzudenken, ob die vorhandenen Sicherheitsmaßnahmen ausreichend sind.

Überprüfen Sie die Verträge mit den Auftragsbearbeitern.

Als Verantwortlicher müssen Sie sich vergewissern, dass die Datensicherheit gewährleistet ist. Das Schweizer Datenschutzgesetz konkretisiert keine inhaltlichen Vorgaben für solche Verträge. Sie können sich aber dabei nach einem standardisierten Data Processing Agreement (DPA) lehnen, den die europäische DSGVO vorgibt.

Führen Sie eine DSFA durch, falls erforderlich.

Der Datenschutzbeauftragte des Kantons Zürich bietet einen Leitfaden mit dem fertigen Formular für die DSFA.

Erarbeiten Sie das Verfahren zur Meldung einer Datensicherheitsverletzung.

  1. Wer informiert den EDÖB und ggf. die betroffenen Personen?
  2. Wann informieren Sie den EDÖB? (Bitte beachten Sie, dass das neue Datenschutzgesetz den Termin als „so rasch als möglich” definiert)
  3. In welcher Form wird die Information weitergegeben? Eine Vorlage oder nutzen Sie den Online-Dienst zur Meldung von Datensicherheitsverletzungen des EDÖB?
  4. Wie und wann informieren Sie die betroffenen Personen, falls es erforderlich ist.

Erwägen Sie, ob Sie einen Datenschutzberater ernennen möchten.

Das neue Datenschutzgesetz der Schweiz verpflichtet Sie dazu zwar nicht (im Gegensatz zur DSGVO), aber Sie ziehen daraus einige Vorteile:

  • Mitarbeiter und Kunden Ihres Unternehmens sowie Behörden haben eine zentrale Anlaufstelle zu Datenschutzthemen.
  • Sie benötigen keine Konsultation des EDÖB, falls Sie eine DSFA bei hohen Risiken durchführen. Sie dürfen dann stattdessen den Datenschutzberater konsultieren.

Datenschutzgesetz Schweiz 2023 – Fazit

Das neue Datenschutzgesetz der Schweiz stellt Unternehmen vor neuen Aufgaben, aber auch Chancen, ihre Datenschutzpraktiken zu verbessern und das Vertrauen ihrer Kunden zu stärken.

Sie können Ihre Daten datenschutzkonform erfassen, ohne eine Revolution inIhrem Tech-Stack vorzunehmen. Wählen Sie einen Web-Analytics Anbieter, bei dem der Datenschutz im Vordergrund steht und dessen Produkt sich problemlos in verschiedene Softwares integrieren lässt.

Mit Piwik PRO Analytics Suite gehen sie Pflichten des neuen DSG leichter nach:

Und wenn Sie weitere Unterstützung benötigen

Wir beantworten gerne alle Ihre Fragen.