* INSIGHT / DIGITAL STRATEGY/ 01
Neues Datenschutzgesetz (revDSG)
Ab dem 1. September 2023 hat die Schweiz ein neues Gesetz erlassen, um die Daten ihrer Einwohner besser zu schützen, woran sich die Unternehmen im Land anpassen müssen.
* revDSG / Datenschutzerklärung/ 02
Ein notwendiges neues Gesetz
Das erste Bundesgesetz über den Datenschutz stammt aus dem Jahr 1992. In der Zwischenzeit hat die Schweizer Bevölkerung die Nutzung von Internet und Smartphone in ihren Alltag integriert und auch soziale Netzwerke, Cloud-Dienste oder das Internet der Dinge finden immer mehr Zuspruch. Vor diesem Hintergrund ist eine vollständige Überarbeitung des Datenschutzgesetzes unverzichtbar, um der Bevölkerung einen angemessenen und an die technologischen und gesellschaftlichen Veränderungen unserer Zeit angepassten Datenschutz zu garantieren.
Was sind die wichtigsten Veränderungen?
Das revDSG führt folgende wesentliche Veränderungen für Unternehmen ein.
1. Nur noch die Daten natürlicher Personen sind künftig betroffen, die von juristischen Personen nicht mehr.
2. Genetische und biometrische Daten werden in die Definition der besonders schützenswerten Daten aufgenommen.
3. Die Grundsätze "Privacy by Design" und "Privacy by Default" werden eingeführt. Wie der Name bereits andeutet, bedeutet "Privacy by Design" (Datenschutz durch Technikgestaltung) für die Entwickler, den Schutz und den Respekt der Privatsphäre der Nutzerinnen und Nutzer in die Struktur der Produkte oder Dienstleistungen einzubauen, welche personenbezogene Daten sammeln werden. Der Grundsatz "Privacy by Default" (Datenschutz durch Voreinstellung) stellt sicher, dass schon beim Inverkehrbringen des Produktes oder der Dienstleistung die höchste Sicherheitsstufe vorhanden ist, indem standardmässig, also ohne Eingreifen der Nutzer, alle nötigen Massnahmen für den Datenschutz und die Einschränkung der Datennutzung aktiviert sind. Anders gesagt, müssen sämtliche Software, Hardware sowie die Dienstleistungen so konfiguriert sein, dass die Daten geschützt sind und die Privatsphäre der Nutzer gewahrt wird.
4. Folgenabschätzungen müssen durchgeführt werden, sofern ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen besteht.
5. Die Informationspflicht wird ausgeweitet: Bei jeder Beschaffung von Personendaten – und nicht mehr nur von sogenannten besonders schützenswerten Daten – muss die betroffene Person vorgängig informiert werden.
6. Ein Verzeichnis der Bearbeitungstätigkeiten wird obligatorisch. Die Verordnung zum Gesetz sieht jedoch eine Ausnahme für KMU vor, deren Datenbearbeitung nur ein geringes Risiko von Verletzungen der Persönlichkeit von betroffenen Personen mit sich bringt.
7. Eine rasche Meldung ist erforderlich, wenn die Datensicherheit verletzt wurde. Sie ist an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) zu richten.
8. Der Begriff Profiling (die automatisierte Bearbeitung personenbezogener Daten) wurde in das Gesetz aufgenommen.
1. Nur noch die Daten natürlicher Personen sind künftig betroffen, die von juristischen Personen nicht mehr.
2. Genetische und biometrische Daten werden in die Definition der besonders schützenswerten Daten aufgenommen.
3. Die Grundsätze "Privacy by Design" und "Privacy by Default" werden eingeführt. Wie der Name bereits andeutet, bedeutet "Privacy by Design" (Datenschutz durch Technikgestaltung) für die Entwickler, den Schutz und den Respekt der Privatsphäre der Nutzerinnen und Nutzer in die Struktur der Produkte oder Dienstleistungen einzubauen, welche personenbezogene Daten sammeln werden. Der Grundsatz "Privacy by Default" (Datenschutz durch Voreinstellung) stellt sicher, dass schon beim Inverkehrbringen des Produktes oder der Dienstleistung die höchste Sicherheitsstufe vorhanden ist, indem standardmässig, also ohne Eingreifen der Nutzer, alle nötigen Massnahmen für den Datenschutz und die Einschränkung der Datennutzung aktiviert sind. Anders gesagt, müssen sämtliche Software, Hardware sowie die Dienstleistungen so konfiguriert sein, dass die Daten geschützt sind und die Privatsphäre der Nutzer gewahrt wird.
4. Folgenabschätzungen müssen durchgeführt werden, sofern ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen besteht.
5. Die Informationspflicht wird ausgeweitet: Bei jeder Beschaffung von Personendaten – und nicht mehr nur von sogenannten besonders schützenswerten Daten – muss die betroffene Person vorgängig informiert werden.
6. Ein Verzeichnis der Bearbeitungstätigkeiten wird obligatorisch. Die Verordnung zum Gesetz sieht jedoch eine Ausnahme für KMU vor, deren Datenbearbeitung nur ein geringes Risiko von Verletzungen der Persönlichkeit von betroffenen Personen mit sich bringt.
7. Eine rasche Meldung ist erforderlich, wenn die Datensicherheit verletzt wurde. Sie ist an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) zu richten.
8. Der Begriff Profiling (die automatisierte Bearbeitung personenbezogener Daten) wurde in das Gesetz aufgenommen.