Skip to main content

NEUES DATENSCHUTZGESETZ AB 1. SEPTEMBER 2023 IN KRAFT!

Geschrieben von Stefania Guaricci am . Veröffentlicht in News.

Seit dem 1. September 2023 sind in der Schweiz das total revidierte Datenschutzgesetz und die dazugehörigen Verordnungen in Kraft getreten.

Diese Totalrevision des bisherigen Datenschutzgesetzes bringt einige wichtige Neuerungen, über die wir Sie nachfolgend gerne informieren.

Informationspflicht und Datenschutzerklärung

Unternehmen haben neu erweiterte Informationspflichten einzuhalten, um die Personendaten ihrer Kundschaft zu schützen und ihnen darüber Auskunft zu erteilen.

Zu diesem Zweck sind Unternehmen neu verpflichtet, mittels einer Datenschutzerklärung, die sie auf ihrer Website oder an einem anderen geeigneten Ort, wo sie jederzeit eingesehen werden kann, publizieren müssen, ihre Kundschaft über den Umgang und die Verarbeitung ihrer Daten zu informieren.

Die Datenschutzerklärung muss inhaltlich zumindest über die nachfolgenden Punkte informieren:

  • Kategorien der bearbeiteten Personendaten:
    Ein Unternehmen muss angeben, welche Kategorien von Daten bearbeitet werden, z.B. welche persönliche Informationen und Kontaktdaten (Anschrift, Name, Geburtstag, Ausbildung, Telefonnummer) oder Vertragsdaten und finanzielle Informationen (Kunden-, Lieferanten-, Bewerbungsdaten, Bankdaten, Zahlungsdaten) Technische Daten (IP-Adresse, Log-Daten) usw. vom Unternehmen gesammelt werden. 
  • Bearbeitungszweck:
    Weiter muss ein Unternehmen in seiner Datenschutzerklärung angeben, ob es die gesammelten Daten einzig zu internen Zwecken bearbeitet, wie z.B. für die Erfüllung von Verträgen und vereinbarten Dienstleistungen, Rechnungsstellungen, eigene Werbekampagnen etc. oder ob diese auch für externe Zwecke verarbeitet werden, wie z.B. durch externe Dienstleister oder Geschäftspartner.
  • Empfängerinnen und Empfänger der Personendaten:
    Die Empfänger von Daten müssen vom Unternehmen ebenfalls angegeben werden. D.h. z.B. die Namen von Lieferanten, Geschäftspartner (Banken, Versicherungen), Amtsstellen etc., die von Unternehmen gesammelte Daten erhalten.
  • Herkunft der Daten, sofern sie nicht bei der betroffenen Person beschafft wurden:
    Sofern das Unternehmen von Dritten Personendaten beschafft, muss dies transparent kommuniziert werden, indem die entsprechenden Drittquellen, wie z.B. öffentliche Register, angegeben werden.
  • Bei Bekanntgabe von Daten ins Ausland:
    Werden von einem Unternehmen gesammelte Daten ins Ausland übermittelt, muss angegeben werden, an welche Empfänger und in welches Land die Daten übermitteln werden. Zudem muss das Unternehmen vor der Übermittlung sicherstellen, dass die übertragenen Daten im Ausland gleichermassen geschützt sind wie in der Schweiz.
    Datenübertragungen ins Ausland sind in der Datenschutzerklärung laufend zu ergänzen.
  • Identität und Kontaktangaben des Verantwortlichen eines Unternehmens, der für die Datenverarbeitung zuständig ist:
    Ein Unternehmen muss zudem angeben, an wen man sich bei Fragen im Umgang mit Personendaten wenden kann. Für diesen Zweck genügt es, wenn z.B. als Kontakt auf der Webseite eine «info@-Emailadresse» angegeben wird, worüber sich Kunden mit dem Unternehmen in Verbindung setzen können. Selbstverständlich kann auch eine natürliche Person, z.B. ein Mitarbeitender, mit seinen Kontaktangaben angegeben werden.

Die obige Auflistung stellt nur einen Mindestinhalt einer Datenschutzerklärung dar und ist nicht abschliessend. Das Gesetz enthält zusätzliche, weitere Punkte, die gegebenenfalls im Einzelfall von einem Unternehmen im Zusammenhang mit Datenverarbeitungen zu berücksichtigen sind und wir empfehlen daher, sich im Einzelfall entsprechend von einer Fachperson beraten zu lassen.

Weitere Rechte der betroffenen Personen

Die neuen Datenschutzbestimmungen räumen den von der Datenbearbeitung betroffenen Personen umfassende Rechte ein. Darunter auch das Recht Auskunft darüber zu erhalten, ob und wie Personendaten über sie von einem Unternehmen bearbeitet werden, wie z.B. über den Zweck der Bearbeitung oder die Dauer der Speicherung. Betroffene Personen können zudem die Berichtigung und Löschung ihrer Personendaten verlangen und haben das Recht auf Einschränkung der Bearbeitung.

Das Gesetz sieht im Einzelfall jedoch auch Ausnahmen vor, die es den betroffenen Unternehmen erlauben, bestimmte Rechte wie das Auskunftsrecht der Betroffenen einzuschränken, z.B. zum Schutz des Berufsgeheimnisses oder wenn das Auskunftsgesuch offensichtlich unbegründet ist oder einen datenschutzwidrigen Zweck verfolgt.

Datenbearbeitungstätigkeiten

Das neue Datenschutzrecht sieht für Unternehmen mit mehr als 250 Mitarbeitenden die Pflicht vor, ein Verzeichnis der Bearbeitungstätigkeiten der gesammelten Daten zu führen. Das Gesetzt legt auch hier gewisse Mindestinhalte fest, die das Unternehmen in das Verzeichnis aufnehmen muss. Zu nennen sind beispielsweise die Pflicht zur Angabe des Bearbeitungszwecks, die Nennung der Kategorien der bearbeiteten Personendaten und deren Empfängerinnen und Empfänger (zu den Kategorien vgl. auch die Ausführungen im Rahmen der Datenschutzerklärung).

Meldeplichten und Datenschutz-Folgenabschätzung (DSFA)

Neu verlangt das revidierte Datenschutzgesetz generell eine erhöhte Datensicherheit. Dies bedeutet für Unternehmen, dass sie vorgängig eine DSFA erstellen müssen, wenn bei der Bearbeitung von Personendaten ein hohes Risiko einer Grundrechtsverletzung für die betroffenen Personen droht. Ein hohes Risiko ergibt sich z.B. bei der Verwendung neuer Technologien oder bei einer sehr umfangreichen Datenbearbeitung.

Verletzungen der Datensicherheit (z.B. durch ein Datenleck) müssen so rasch wie möglich dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) gemeldet werden.

Auftragsbearbeitung

Wird die Bearbeitung von Personendaten an Dritte übertragen, z.B. durch den Einsatz externer IT-Dienstleister, entsteht ein Auftragsbearbeitungsverhältnis, wobei das auftraggebende Unternehmen für die Auswahl, Instruktion und Überwachung/Kontrolle des Auftragsbearbeiters verantwortlich bleibt. Das Unternehmen muss sicherstellen, dass auch der Auftragsbearbeiter alle datenschutzrechtlichen Anforderungen erfüllt. Dies kann z.B. durch den Abschluss eines Vertrags über die Auftragsbearbeitung erreicht werden, in dem folgende Mindestinhalte geregelt werden sollten: Vertragsdauer; Ort der Datenbearbeitung; Art, Zweck, Gegenstand und Umfang der Datenbearbeitung sowie die Zweckbindung der Datenbearbeitung; Geheimhaltungsverpflichtungen; Unterauftragsverhältnisse; Kontroll- und Auditrechte des Auftraggebers; Auflösung der Vereinbarung (Rückgabe/Vernichtung der Daten).

Auch im Zusammenhang mit dem Einsatz von Auftragsbearbeitern empfehlen wir Ihnen, sich im Einzelfall von einer Fachperson beraten zu lassen.

Verschärfte Sanktionen

Neu werden vorsätzliche Verstösse gegen Bestimmungen des Datenschutzgesetzes härter bestraft. Unternehmen die Auskunfts-, Information-, Mitwirkungs- oder Sorgfaltspflichten verletzen, können auf Antrag mit Busse bis zu CHF 250’000 bestraft werden.

Nicht zuletzt im Hinblick auf drohende Reputationsschäden, die bei einem Datenschutzvorfall entstehen können, ist den datenschutzrechtlichen Anforderungen mit der Einführung der neuen Datenschutzbestimmungen hohe Beachtung zu schenken und eine entsprechende Sensibilisierung auch innerhalb des Unternehmens zu pflegen.

Gerne stehen wir Ihnen jederzeit für Fragen oder eine Beratung zu diesem Thema zur Verfügung.

Stefania Guaricci
Substitutin
Guaricci@bihrerlaw.ch
Tel. +41 44 212 30 00

Datenschutzgesetz, Unternehmen