Datenschutzgesetz Schweiz 2024: Das müssen Unternehmen wissen

Das Schweizer Datenschutzgesetz (DSG) schützt die Persönlichkeit und die Grundrechte von Personen bei der Bearbeitung von Daten. Das wurde nun grundlegend überarbeitet. Ab dem 1. September 2023 tritt das neue Datenschutzgesetz (nDSG) in Kraft, welches den Schutz der Persönlichkeits- und Grundrechte natürlicher Personen, insbesondere im Kontext von Internetgeschäften, stärkt.

Das nDSG bringt wesentliche Änderungen mit sich, die Unternehmen ohne Übergangsfrist umsetzen müssen. Im Folgenden zeichnen wir ein Bild davon, was Sie als Arbeitgeber beachten müssen.

Key Facts

1. Das neue Schweizer Datenschutzgesetz 2023 (DSG) schützt die Persönlichkeit und die Grundrechte von Personen bei der Bearbeitung von Daten.
2. Das neue Datenschutzgesetz (nDSG) tritt am 01. September 2023 in Kraft und gilt für Private und Bundesorgane, die Personendaten bearbeiten.
3. Wesentliche Änderungen umfassen erweiterte Informationspflichten, Verzeichnis der Bearbeitungstätigkeiten, Sanktionen bei Nichteinhaltung, Privacy by Design und Privacy by Default sowie die Meldung von Datenschutzverletzungen und Datenschutz-Folgenabschätzungen. Es besteht keine Verpflichtung zur Implementierung eines Cookie-Banners.

• Was ist das Datenschutzgesetz?
• Welches Datenschutzgesetz gilt in der Schweiz und warum braucht es ein revidiertes Datenschutzgesetz?
• Wann tritt das neue Datenschutzgesetz in Kraft?
• Für wen gilt das neue Gesetz?
• Was ändert sich mit dem neuen Datenschutzgesetz 2023?
• Was gilt es für Unternehmen zu beachten und welche Massnahmen müssen Unternehmen umsetzen?
• Wie kann eine HR-Software bei der Einhaltung von Datenschutzgesetzen helfen?
• Häufig gestellte Fragen zum neuen Datenschutzgesetz Schweiz

Was ist das Datenschutzgesetz?

Datenschutzgesetz Schweiz

Das Schweizer Datenschutzgesetz (DSG) schützt die Persönlichkeit und die Grundrechte von Personen bei der Bearbeitung von Daten, zum Beispiel in der Personalakte.

📑 Mit dem digitalen Dokumentenmanagement von Factorial sind Sie auf der sicheren Seite, was Datenschutz betrifft.

Welches Datenschutzgesetz gilt in der Schweiz und warum braucht es ein revidiertes Datenschutzgesetz?

Das DSG stammt aus dem Jahr 1992, als digitale Technologien, insbesondere das Internet, noch nicht weit verbreitet waren. Da die digitalen Technologien heute im Alltag der Bevölkerung fest verankert sind, wurde das Gesetz nun grundlegend überarbeitet, um den Veränderungen Rechnung zu tragen.

Neue Datenschutzverordnung Schweiz

Mit dem neuen Gesetz sollen die Persönlichkeits- und Grundrechte natürlicher Personen vor allem im Kontext von Internetgeschäften gestärkt werden.

EU DSGVO – Schweiz

Ein weiterer Grund für die Revision des Gesetzes ist die Kompatibilität mit EU-Recht. Speziell die Kompatibilität mit der EU-weit geltenden Datenschutzgrundverordnung (DSGVO) steht bei der Gesetzesänderung im Vordergrund. Diese regelt so beispielsweise auch den Datenschutz in Deutschland.

Der freie Datenverkehr mit Ländern der EU soll gewährleistet sein. Schweizerische Unternehmen sollen weiterhin wettbewerbsfähig bleiben. Dafür ist eine Anpassung des Gesetzes erforderlich.

Neues Datenschutzgesetz Schweiz Gesetzestext

Der Text ist auf u.a. beim Bundesamt für Justiz abzurufen.

Wann tritt das neue Datenschutzgesetz in Kraft?

Neues Datenschutzrecht ab 1. September 2023

Das neue Datenschutzgesetz (revDSG oder auch nDSG) tritt nun am 01. September 2023 in der Schweiz Kraft.

Für wen gilt das neue Gesetz?

Geltungsbereich neues Datenschutzgesetz Schweiz 2023

Das neue Datenschutzgesetz gilt für Private und Bundesorgane, die Personendaten bearbeiten. Somit sind alle Unternehmen, aber auch Vereine oder Privatpersonen, die bspw. eine Webseite betreiben, betroffen.

Das Schweizer Bundesgesetz über den Datenschutz gilt auch für internationale, aber in der Schweiz ansässige Unternehmen.

Was ändert sich mit dem neuen Datenschutzgesetz 2023?

Neues Datenschutzgesetz Schweiz 2023 Änderungen

Die wesentlichen Änderungen des nDSG sind

• Neuer Geltungsbereich

Wie die DSGVO der EU auch beschränkt sich der Anwendungsbereich des neuen Datenschutzgesetzes auf natürliche Personen. Juristische Personen werden nicht mehr erfasst.

• Stärkerer Datenschutzschutz

Das Gesetz gibt Einzelpersonen mehr Kontrolle darüber zu entscheiden, ob, wie und in welchem Ausmaß ihre Daten verarbeitet werden.

• Transparenz

Unternehmen sind verpflichtet, genau darüber zu informieren, welche Daten sie verarbeiten und wie lange sie gespeichert werden.

• Meldung Datenschutzverletzungen

Unternehmen sind verpflichtet eine Datenschutzverletzung zu melden.

• Ernennung von Datenschutzbeauftragten

Ähnlich wie bei der DSGVO müssen Unternehmen ein*e Datenschutzbeauftragte*n ernennen. Diese sollen die Einhaltung der Datenschutzvorschriften in einem Unternehmen sicherstellen.

• Recht auf Löschung von Daten

Einzelpersonen haben nun das Recht zu verlangen, dass ihre Daten gelöscht werden sollen.

• Profiling

Das nDSG regelt das Profiling, d.h. die automatisierte Datenverarbeitung zur Bewertung persönlicher Aspekte wie wirtschaftliche Lage, Gesundheit, Interessen, Verhalten und Aufenthaltsort. Im Gegensatz zur DSGVO besteht im nDSG keine allgemeine Einwilligungspflicht, sondern nur bei Profiling mit hohem Risiko.

• Sanktionen

Bei Nichteinhaltung der neuen Vorschriften drohen hohe Geldbußen.

Ausführliche Informationen zu allen Änderungen finden sich auf der Seite des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB).

Was gilt es für Unternehmen zu beachten und welche Maßnahmen müssen Unternehmen umsetzen?

Was heißen diese Änderungen konkret für Unternehmen? Die wichtigsten Neuerungen für Unternehmen im Überblick finden Sie hier:

• Erweiterte Informationspflicht

Verantwortliche müssen nun bei der Beschaffung von Personendaten in den meisten Fällen die betroffenen Personen über

• den Bearbeitungszweck,
• Identität und Kontaktdaten,
• mögliche Empfänger*innen der Daten
• sowie den Schutz bei internationaler Datenübermittlung über das Datenschutzniveau informieren.

Unternehmen müssen daher auf Ihrer Webseite eine Datenschutzerklärung erstellen, die diese Mindestangaben enthält. Die Informationspflichten im Schweizer Datenschutzgesetz sind weniger umfassend als die der DSGVO, jedoch strenger in Bezug auf die Datenbekanntgabe ins Ausland.

Online finden Unternehmen mittlerweile zahlreiche Muster-Datenschutzerklärungen.

• Verzeichnis der Bearbeitungstätigkeiten

Das nDSG legt fest, dass Verantwortliche ein Verzeichnis ihrer Datenbearbeitungstätigkeiten führen müssen. Die Angaben darin müssen aktuell und präzise sein.

Ausnahme: Das neue Datenschutzgesetz sieht Ausnahmen für Unternehmen mit weniger als 250 Mitarbeitenden vor, wenn ihre Datenbearbeitungen ein geringes Risiko für Datenschutzverletzungen darstellen.

Sowohl Verantwortliche als auch Auftragsbearbeiter haben bestimmte Mindestinhalte für das Verzeichnis vorgegeben. Dadurch entfällt die bisherige Pflicht zur Registrierung von Datensammlungen. Diese Dokumentation dient der Verbesserung der Transparenz bei Datenbearbeitungen.

• Sanktionen für Unternehmen

Das neue Gesetz sieht klarere Sanktionen vor, wobei vorsätzliches Handeln und Unterlassen bestraft werden, jedoch nicht Fahrlässigkeit. Die Strafbestimmungen wurden im Vergleich zur bestehenden Regelung erheblich erweitert und verschärft.

Bei Verletzung von Auskunfts-, Informations- oder Mitwirkungspflichten kann auf Antrag eine Geldstrafe von bis zu CHF 250.000 verhängt werden. Unternehmen müssen daher sicherstellen, dass Auskunftsbegehren korrekt beantwortet werden.

Auch Verstöße gegen die berufliche Schweigepflicht, Missachtung von Anordnungen oder Verletzung von Sorgfaltspflichten können mit Geldstrafen von bis zu CHF 250.000 geahndet werden. Dies umfasst die Missachtung der Regeln für Datenbekanntgabe ins Ausland, den Einbezug von Auftragsbearbeiter*innen und die Mindestanforderungen an die Datensicherheit.

• Privacy by Design und Privacy by Default:

Unter Privacy by Design versteht man, Datenschutz bereits bei der Projektplanung zu berücksichtigen und technische und organisatorische Maßnahmen zu ergreifen, um die Datenschutzvorschriften einzuhalten.

Das Konzept Privacy by Default meint, standardmäßig nur die für den Verwendungszweck erforderlichen personenbezogenen Daten zu verarbeiten und die Datenverarbeitung auf das notwendige Minimum zu beschränken.

• Meldung von Datenschutzverletzung und Folgeabschätzung

Datenschutzverletzungen müssen bei der EDÖP gemeldet werden.

Darüber hinaus müssen Unternehmen vor geplanter Datenbearbeitung mit hohem Risiko Datenschutz-Folgenabschätzungen durchgeführt werden. Eine genaue Definition, was «hohes Risikos» hier heißt, liefert das Gesetz allerdings nicht.

Die Folgenabschätzung erfolgt in der Planungsphase mit Risikobeschreibungen und Maßnahmen, und bei anhaltendem hohem Risiko ist eine Stellungnahme des EDÖB erforderlich.

Datenschutzgesetz Schweiz – Bis wann müssen Unternehmen das neue Gesetz umsetzen?

Umsetzungsfrist Datenschutzgesetz Schweiz

Die Umsetzung muss bis zur Implementierung des neuen Gesetzes erfolgen, d. h. bis zum 01. September 2023. Es gibt keine Übergangsfristen.

Wie kann eine HR-Software bei der Einhaltung von Datenschutzgesetzen helfen?

Eine zuverlässige HR-Software kann bei der Einhaltung von Datenschutzgesetzen eine wertvolle Rolle spielen. Durch die Implementierung von Datensicherheit und Verschlüsselung, die Anwendung von Benutzerzugriffskontrollen und die Datenminimierung trägt sie dazu bei, personenbezogene Daten vor unbefugtem Zugriff zu schützen.

Die Software ermöglicht auch die Einholung von Einwilligungserklärungen und die Bereitstellung transparenter Datenschutzerklärungen, um die Transparenz für Mitarbeiter*innen zu erhöhen. Die Überwachung und Protokollierung von Aktivitäten unterstützen die frühzeitige Erkennung und Behebung von Datenschutzverletzungen. Automatisierte Compliance-Prüfungen und Schulungsverfolgung gewährleisten zusätzlich die Einhaltung der gesetzlichen Vorschriften.

Zusammenfassend ermöglicht eine gut entwickelte HR-Software wie Factorial eine effektive Datenschutz-Compliance und reduziert das Risiko von Datenschutzverstößen.

Häufig gestellte Fragen zum neuen Datenschutzgesetz Schweiz

Was sind Personendaten und was bedeutet «bearbeiten»?

Personendaten sind Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dabei kann es sich um Daten wie Name, Adresse, Geburtsdatum, E-Mail-Adresse, IP-Adresse, Telefonnummer, biometrische Daten, finanzielle Informationen oder andere Informationen handeln, die es ermöglichen, eine Person direkt oder indirekt zu identifizieren.

Der Begriff «bearbeiten» im Kontext des Datenschutzes bezieht sich auf jegliche Art von Umgang mit Personendaten. Dies umfasst das Erheben, Aufzeichnen, Organisieren, Speichern, Anpassen, Verändern, Abfragen, Nutzen, Offenlegen, Übermitteln, Verbreiten, Löschen von Personendaten. Die Datenverarbeitung kann sowohl automatisiert als auch manuell erfolgen.

Was beinhaltet das «Privacy by Design-Prinzip»?

Das «Privacy by Design-Prinzip» ist ein Konzept des Datenschutzes, das darauf abzielt, den Schutz personenbezogener Daten bereits bei der Gestaltung von Systemen, Produkten oder Dienstleistungen zu berücksichtigen.

Es beinhaltet die Integration von Datenschutzmaßnahmen von Anfang an, anstatt sie nachträglich hinzuzufügen. Das Prinzip «Privacy by Design» wurde entwickelt, um die Privatsphäre und den Datenschutz zu stärken und den Datenschutz als grundlegenden Aspekt bei der Entwicklung neuer Technologien zu etablieren.

Das «Privacy by Design-Prinzip» umfasst mehrere Kernprinzipien:

• Proaktiver Datenschutz: Es geht darum, Datenschutzmaßnahmen bereits in den Entwurfsprozess zu integrieren, um potenzielle Datenschutzrisiken zu identifizieren und ihnen vorbeugend zu begegnen.

• Standardmäßiger Datenschutz: Datenschutzmaßnahmen sollten als Standard implementiert werden, um den Schutz personenbezogener Daten zu gewährleisten. Dies beinhaltet beispielsweise die Begrenzung der Datenerhebung auf das notwendige Minimum oder die Anonymisierung von Daten, wenn möglich.

• Ganzheitlicher Ansatz: «Privacy by Design» erfordert eine ganzheitliche Betrachtung des Datenschutzes, bei der sowohl technische als auch organisatorische Maßnahmen zum Einsatz kommen. Es geht darum, Datenschutz als integralen Bestandteil der Unternehmenskultur und des Geschäftsmodells zu etablieren.
• Transparenz und Benutzerkontrolle: Nutzer*innen sollten über die Erhebung und Verwendung ihrer personenbezogenen Daten informiert werden und die Möglichkeit haben, ihre Einwilligung zu erteilen oder zu widerrufen. Es geht darum, den Nutzern mehr Kontrolle über ihre eigenen Daten zu geben.

Wer ist für die Einhaltung des neuen Datenschutzgesetzes verantwortlich?

Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) ist die Datenschutz-Aufsichtsbehörde für Private und Bundesbehörden in der Schweiz. Gemäß dem neuen DSG hat
der EDÖB das Recht, Hausdurchsuchungen durchzuführen und Zeugenaussagen von Einzelpersonen einzuholen.

Ist mein Unternehmen datenschutzkonform?

Auf verschiedenen Portalen online können Unternehmen mit ein paar Klicks überprüfen, ob und inwieweit das Unternehmen bereits datenschutzkonform ist.

Darüber hinaus gibt es unzählige Firmen, die Unternehmen bei der praktischen Umsetzung des Gesetzes unterstützen können.

Wie schnell müssen mögliche Verstöße dem EDÖB gemeldet werden?

Verletzungen der Datensicherheit (auch Data Breach oder Datenpanne genannt) müssen laut Art. 24 nDSG dem EDÖB so schnell wie möglich gemeldet werden, wenn sie voraussichtlich ein hohes Risiko für die betroffenen Personen darstellen.

Die Meldung kann online über ein Online-Formular erfolgen.

In der Regel ist der*die Verantwortliche auch verpflichtet, die betroffene Person zu informieren, wenn dies zu ihrem Schutz erforderlich ist oder vom EDÖB verlangt wird.

Existiert im nDSG der Schweiz ein Obligatorium für Cookie-Banner?

Anders als bei der DSGVO der EU besteht laut nDSG keine Verpflichtung zur Implementierung eines Cookie-Banners.