Iubenda logo
Generator starten

Anleitungen

INHALTSÜBERSICHT

DSG Updates – Was Sie wissen müssen

Das neue Bundesgesetz über den Datenschutz (DSG) ist das Ergebnis einer vollständigen Überarbeitung des bisherigen Schweizer Datenschutzgesetzes, das am 25. September 2020 verabschiedet wurde und trat im September 2023 in Kraft.

Das DSG enthält ähnliche Bestimmungen wie die DSGVO mit einigen Unterschieden in Bezug auf die Rechtsgrundlagen und Sanktionen.

In der Schweiz gibt es ein Gesetz zum Datenschutz, das Bundesgesetz über den Datenschutz, das aus dem Jahr 1992 stammt und 2019 teilweise aktualisiert wurde.

Das Schweizer Parlament hat daher eine vollständig überarbeitete Version des Gesetzes verabschiedet, die besser mit der DSGVO übereinstimmt. Ziel ist es, ein Datenschutz- und Sicherheitsniveau zu gewährleisten, das mit dem in der übrigen EU vergleichbar ist, auch wenn es die ursprünglichen Konzepte beibehält und in einigen Bereichen leicht abweicht.

Aktualisierungen des DSG

Im aktualisierten DSG wird der „Datenschutz durch Technikgestaltung“ eingeführt, was zu strengeren Sorgfaltspflichten für Auftragsverarbeiter und Unternehmen führt, die private Daten speichern. Unternehmen müssen ihre Verfahren jetzt mit Blick auf die Compliance gestalten.

  • Biometrische und genetische Informationen gelten jetzt als sensible Daten.
  • Wenn ein erhebliches Risiko für die Rechte oder die Privatsphäre der Betroffenen besteht, muss eine Folgenabschätzung durchgeführt werden.
  • Die Verpflichtung zur Offenlegung von Informationen wurde ausgeweitet.
  • Es ist nun notwendig, ein Register der Verarbeitungstätigkeiten zu führen. Die Verordnung erlaubt jedoch Ausnahmen für KMU, deren Umgang mit personenbezogenen Daten nur ein geringes Risiko für den Betroffenen darstellt.
  • Im Falle eines Verstoßes gegen die Datensicherheit muss sofort eine Meldung an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) erfolgen.
  • Profiling, also die automatisierte Verarbeitung personenbezogener Daten, ist heute ein anerkannter Rechtsbegriff.
  • Das DSG verlangt keine Rechtsgrundlage für die Verarbeitung personenbezogener Daten gemäß dem allgemeinen Rechtsgrundsatz, der besagt, dass die Datenverarbeitungstätigkeiten grundsätzlich rechtmäßig sind und eine Rechtsgrundlage nur dann erforderlich ist, wenn der Verantwortlicher die Verarbeitung rechtfertigen muss. 
  • Der Opt-in/Opt-out-Mechanismus funktioniert anders, da die (vorherige) Zustimmung in weniger Situationen erforderlich sein kann. 
    • die Verarbeitung besonders schützenswerter personenbezogener Daten, 
    • Hochrisiko-Profiling durch Privatpersonen, 
    • Profiling durch eine Bundesbehörde.
  • Die Sanktionen richten sich direkt gegen natürliche Personen, auch innerhalb von Organisationen.
  • Schließlich enthält das DSG weitere Kategorien sensibler Daten

Stellen Sie sicher, dass Ihr Unternehmen auf dem neuesten Stand der wichtigsten internationalen Gesetzgebungen ist. Mit dem Generator für Datenschutz- und Cookie-Richtlinien von iubenda können Sie Ihre Dokumente einfach erstellen und verwalten. 

Aktualisierungen des DSG und der DSGVO: Was sind die wichtigsten Unterschiede?

  • Informationen zur automatisierten Entscheidungsfindung;
  • die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten, falls vorhanden, an die personenbezogene Daten weitergegeben wurden;
  • die Länder oder internationalen Organisationen, an die die personenbezogene Daten weitergegeben wurden, falls vorhanden.
  • DSG DSGVO
    Anwendbarkeit Das DSG gilt für Sie, wenn Ihr Unternehmen entweder in der Schweiz oder außerhalb der Schweiz ansässig ist und Sie Daten von Schweizer Betroffenen verarbeiten (mit Ausnahme von Verarbeitungen für persönliche Tätigkeiten). Die DSGVO gilt für Sie, wenn Ihr Unternehmen in der EU ansässig ist oder Daten von Betroffenen in der EU verarbeitet (mit Ausnahme von Verarbeitungen, die für persönliche oder inländische Tätigkeiten durchgeführt werden)
    Sensible Daten Zu den sensiblen Daten im Rahmen des DSG gehören:
    • Daten über religiöse, philosophische, politische oder gewerkschaftliche Meinungen oder Aktivitäten;
    • Daten über Gesundheit, Privatsphäre, Rasse oder ethnische Herkunft;
    • genetische Daten;
    • biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person;
    • administrative und strafrechtliche Verfolgung und Sanktionen;
    • Daten über Sozialhilfemaßnahmen.
    Gemäß der DSGVO gehören zu den sensiblen Daten:
    • Daten über religiöse oder philosophische Überzeugungen, politische oder gewerkschaftliche Meinungen;
    • Daten über Gesundheit, sexuelle Orientierung, Rasse oder ethnische Herkunft;
    • genetische Daten;
    • biometrische Daten
    Verantwortlicher/Auftragsverarbeiter Der Verantwortlicher und der Auftragsverarbeiter können eine Vereinbarung abschließen, um die Verarbeitung der Daten zu regeln. Auftragsverarbeitungsvereinbarung (AVV) erforderlich
    Verarbeitungsbedingungen Im Hinblick auf die Privatsphäre ist eine ausdrückliche Einwilligung nur erforderlich für:
    • die Verarbeitung besonders schützenswerter personenbezogener Daten;
    • die Verarbeitung von sensiblen persönlichen Daten;
    • Hochrisiko-Profiling durch Privatpersonen
    • Profiling durch eine Bundesbehörde.
    Bundesbehörde haben das Recht, personenbezogene Daten nur dann zu verarbeiten, wenn es eine gesetzliche Verpflichtung dazu gibt. Dazu gehören:
    • die verarbeiteten Daten bestehen aus Sensible personenbezogene Daten
    • Profiling wird durchgeführt;
    • Der Zweck der Verarbeitung oder die Art der Verarbeitung kann zu einem schwerwiegenden Eingriff in die Grundrechte der Betroffenen führen.
    Opt-in-Prinzip.
    Verpflichtungen zur Offenlegung

    Der Verantwortlicher muss innerhalb von 30 Tagen nach dem Antrag der Betroffenen auf Zugang (zur Verarbeitung der personenbezogenen Daten der Betroffenen) die folgenden Informationen zur Verfügung stellen:

    • Die Identität und die Kontaktdaten des Verantwortlichen;
    • die Kategorien der verarbeiteten personenbezogenen Daten;
    • Zwecke der Verarbeitung
    • die Dauer der Speicherung dieser personenbezogenen Daten oder die Kriterien, die zur Bestimmung dieser Dauer verwendet werden, wenn diese nicht zur Verfügung stehen;
    • falls die personenbezogenen Daten nicht direkt bei der Betroffenen erhoben wurden, die Quelle dieser personenbezogenen Daten;
    Die DSGVO enthält dieselben Elemente wie die DSGVO, beinhaltet jedoch auch die Verpflichtung, die Rechtsgrundlage für die Verarbeitung offenzulegen, sowie die Rechte, die den Betroffenen gewährt werden, wie das Recht auf eine Kopie der Daten, das Recht, eine Beschwerde einzureichen und das Recht, die Einwilligung zur Datenverarbeitung widerrufen.
    Übermittlung von personenbezogenen Daten ins Ausland Personenbezogene Daten dürfen nur an ausländische Länder oder internationale Einrichtungen übermittelt werden, die nach Prüfung durch den Schweizer Bundesrat ein angemessenes Schutzniveau bieten. Ohne einen solchen Angemessenheitsbeschluss können personenbezogene Daten ins Ausland übermittelt werden aufgrund:eines internationalen Abkommens;vertraglicher Bestimmungen zwischen dem Verantwortlichen und dem Auftragsverarbeiter und seinem Vertragspartner, die dem EDÖB zuvor mitgeteilt wurden;spezifischer Garantien, die vom zuständigen Bundesorgan ausgearbeitet und dem EDÖB zuvor mitgeteilt wurden;Standarddatenschutzklauseln, die der vorherigen Genehmigung durch den EDÖB unterliegen; und verbindlicher Unternehmensregeln, die zuvor vom EDÖB genehmigt wurden. Das DSG sieht auch mehrere Ausnahmen für die Übermittlung von personenbezogenen Daten ins Ausland vor. Dazu gehören: die ausdrückliche Einwilligung des Betroffenen in die Übermittlung personenbezogener Daten;die Übermittlung personenbezogener Daten steht im Zusammenhang mit der Erfüllung oder dem Abschluss eines Vertrags zwischen dem Verantwortlichen und dem Betroffenen oder dem Verantwortlichen und einem Vertragspartner im Interesse des Betroffenen; die Übermittlung zur Wahrung eines überwiegenden öffentlichen Interesses, zur Durchsetzung eines Rechtsanspruchs vor einem Gericht, zum Schutz des Lebens des Betroffenen oder eines Dritten erforderlich ist, wenn es nicht möglich ist, die vorherige Einwilligung des Betroffenen innerhalb einer angemessenen Frist einzuholen, der Betroffene Zugang zu den Daten gewährt und die Verarbeitung nicht ausdrücklich untersagt hat und die Daten aus einem öffentlich zugänglichen Rechtsregister oder von Personen stammen, die ein berechtigtes Interesse an einem solchen Register haben.
    • Angemessenheitsbeschlüsse der EU-Kommission;
    • Standardvertragsklauseln; und
    • Verbindliche interne Datenschutzvorschriften
    Datenschutzbeauftragter (DSB) Nach dem DSG sind Sie nicht verpflichtet, einen Datenschutzbeauftragten zu haben, dies ist optional. Die DSGVO verlangt die Ernennung eines Datenschutzbeauftragten für Privatunternehmen
    Benachrichtigungen über Datenschutzverletzungen Der EDÖB muss nur im Falle einer hochriskanten Sicherheitsverletzung so schnell wie möglich informiert werden. Eine Benachrichtigung der Betroffenen erfolgt nur, wenn dies zum Schutz der Betroffenen erforderlich ist oder der EDÖB dies verlangt. Datenpannen müssen innerhalb von 72 Stunden an die AVV gemeldet werden. Im Falle eines hohen Risikos muss der Betroffene informiert werden.
    Sanktionen bei Nichteinhaltung Geldbußen von bis zu 250.000 CHF gegen die verantwortlichen Personen oder Unternehmen. Geldbußen von bis zu 10/20 Millionen Euro oder 2/4% des weltweiten Jahresumsatzes des Unternehmens.

    Gelten diese Änderungen auch für mein Unternehmen? 

    Dieses Gesetz gilt für die Verarbeitung personenbezogener Daten von Personen durch:

    👉 Privatpersonen;

    👉 Bundesbehörden.

    Sie gilt nicht für die Verarbeitung personenbezogener Daten durch Einzelpersonen für ausschließlich persönliche Zwecke. 

    iubenda wird Sie weiterhin über Änderungen des DSG auf dem Laufenden halten. In der Zwischenzeit sollten Sie, falls noch nicht geschehen, sicherstellen, dass Sie eine aktualisierte und gesetzeskonforme Datenschutz- und Cookie-Richtlinie eingeführt haben. 

    💡
    Wie Sie sich auf das DSG vorbereiten können

    Das revidierte Schweizer Bundesgesetzes über den Datenschutz (DSG) wird im September 2023 in Kraft treten. Es ist wichtig, dass Sie sich auf die Veränderungen vorbereiten.

    👉 Lesen Sie unseren Leitfaden zur Wie Sie sich auf das DSG vorbereiten können, um zu sehen, welche Schritte Sie noch heute unternehmen können!