Am 1. September 2023 tritt das neue Datenschutzgesetz (revDSG) in der Schweiz in Kraft.

Das bedeutet für Personen mehr Transparenz und Rechte in Bezug auf die eigenen Personendaten. Für Unternehmen heisst es, die Verbreitung und Speicherung der Daten von Kund:innen und Mitarbeitenden entsprechend revidiertem Gesetz anzupassen.

Wir fassen die wichtigsten Veränderungen für Sie zusammen:

1. Es sind nur die Daten natürlicher Personen betroffen, juristische Personen (Betriebe) finden ihre Rechte in Rechtsgrundlagen wie ZGB oder UWG.

2. Bisher galten Daten zu Herkunft, gesundheitsrelevante Aspekte oder Angaben über Religionszugehörigkeit oder politischer Meinung zu "besonders schützenswerten Daten". Zusätzlich sind es biometrische Daten wie Fingerabdruck oder Retina-Scan, genetische Daten sowie Angaben zur Zugehörigkeit einer Ethnie.

3. Die Grundsätze "Privacy by Design" (das bedeutet, dass der Datenschutz bei der Entwicklung von Soft- und Hardware bereits von Anfang an berücksichtigt wird, sobald Personendaten verarbeitet werden sollen) und "Privacy by Default" (das bedeutet, dass der Datenschutz durch datenschutzfreundliche Voreinstellungen bereits gewahrt werden soll). Auf diese Weise sollen auch weniger technik-affine Nutzer:innen geschützt werden, die selbst keine Datenschutzeinstellungen nach ihren Bedürfnissen vornehmen können. Eine genaue interne Planung datenschutzrechtlicher Voreinstellungen ist essenziell und erspart späteren Ärger.

4. Die Folgen der Datenverarbeitung von Personendaten sind vorab zu bewerten, sofern ein Risiko für die Persönlichkeits- oder Grundrechte besteht.

5. Ausweitung der Informationspflicht: Bei der Erfassung jeglicher Personendaten muss die betroffene Person informiert werden. (Bsp. Zustimmungs-Banner beim Aufruf von Websites)

6. Obligatorisches Verzeichnis der Datenbearbeitungsaktivitäten. Hier besteht eine Ausnahme für KMUs (weniger als 250 MA), wenn von einem geringen Risiko der Verletzung von Persönlichkeitsrechten auszugehen ist.

7. Unmittelbare Meldung an den Eidgen. Datenschutz- und Öffentlichkeits-beauftragten (EDÖB) bei Verletzung der Datensicherheit.

8. Aufnahme des Begriffs "Profiling" in das DSG. Darunter versteht man die automatisierte Verarbeitung von Personendaten.

Folgende Aspekte sind wichtig

Eine Gap-Analyse eignet sich sehr gut, um bestehende Lücken zu schliessen:

• Als Unternehmen sollten Sie den Überblick haben, welche Daten für welchen Zweck verarbeitet werden.

• Überprüfen und hinterfragen Sie die Erfassung persönlicher Daten kritisch. Welche Daten sind notwendig? Und können Sie darüberhinausgehende Datenerfassung erklären?

• Reduzieren Sie Abfragekriterien auf ein Mindestmass.

• Schränken Sie den Datenzugriff innerhalb des Unternehmens auf möglichst wenige Personen ein.

• Führen Sie eine Bestandesaufnahme der technischen Voreinstellungen durch und verbessern Sie diese. Gleichzeitig können Sie die Benutzer-freundlichkeit von datenbezogenen Abfragungen prüfen und Anwendern:innen einen Einblick auf die Nutzung von Pflichtdaten geben (Transparenz schaffen).

• Führen Sie Schulungen im Unternehmen durch, um ALLE für die Wichtigkeit des Themas zu sensibilisieren.