Hier findest du die häufigsten Missverständnisse und die wichtigsten Änderungen für Marketing, Vertrieb, HR und IT
In genau 3 Monaten ist es soweit: Das neue Bundesgesetz über den Datenschutz (revDSG) tritt am 1. September 2023 in Kraft und gewährt Schweizer Bürger:innen neue Rechte zwecks Bearbeitung persönlicher Daten. Das totalrevidierte Datenschutzgesetz bringt wichtige Änderungen mit sich, die Unternehmen in der Schweiz beachten sollten. Ebenso dann, wenn Organisationen außerhalb der Schweiz, Dienstleistungen dorthin anbieten. Diese Neuerungen werden finanzielle, zeitliche und personelle Ressourcen in Anspruch nehmen. Bist du dir bewusst, welche Strafen dir künftig drohen, wenn du gegen deine datenschutzrechtlichen Pflichten verstösst? Ich erläutere hier, wie du persönliche Strafbarkeiten bei bestimmten Verletzungen vermeidest:
Was oft im revDSG missverstanden wird
- Keine Einwilligung für Profiling und Tracking-Cookies innerhalb der Schweiz – ausgenommen in der EU. Hier ist oft die Einwilligung ein Rechtsgrund im Marketing.
- Keine Verpflichtung zur Ernennung eines Datenschutzbeauftragten – beruht auf freiwillige Basis.
- Trotz US-Bezug sind Cloud-Lösungen auch zukünftig erlaubt.
- Nicht alle Datenschutzverletzungen müssen dem EDÖB nach Bern gemeldet werden – nur jene mit hohem Risiko für Betroffene und Verletzungen der Datensicherheit.
- Betreffend E-Mail-Verschlüsselung ändert sich nichts.
1. Kontrolle durch EDÖB
Der Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) hat erweiterte Befugnisse gemäß dem revDSG. Er kann von Amts wegen oder auf Anzeige Untersuchungen gegen Unternehmen durchführen und bei Datenschutzverstößen weitreichende Massnahmen wie Anpassung, Unterbrechung oder Löschung von Daten anordnen.
Gemäß dem revDSG haben Betroffene auch zivilrechtliche Rechtsmittel zur Durchsetzung ihrer Ansprüche. Gleichzeitig wurden entsprechende Gerichtsverfahren in der Zivilprozessordnung (ZPO) kostenlos gemacht.
2. Meldepflicht bei Datenschutzverletzungen
Das revidierte DSG führt eine Meldepflicht bei Datenschutzverletzungen ein. Verletzungen der Datensicherheit, wie unbeabsichtigtes oder widerrechtliches Verlieren, Löschen, Vernichten, Verändern oder Unbefugten zugänglich machen von Personendaten, müssen dem EDÖB so rasch als möglich (gemäss DSGVO innerhalb von 72 Stunden) gemeldet werden, wenn sie voraussichtlich zu einem hohen Risiko für die Betroffenen führen.
3. Ausweitung Informationspflicht
3.1 Verbesserte Transparenz
Die Umsetzung der neuen Pflichten zwecks Compliance sowie die Prüfung von Verträgen mit Dienstleistern, Kund:innen und sonstigen Dritten sind das Hauptaugenmerk. Die Informationspflichten sind unter dem neuen Datenschutzgesetz umfassender als in den bisherigen. Diese müssen betroffene Personen angemessen über jede Datenerhebung informieren, nicht nur bei besonders schützenswerten Daten, sondern auch dann, wenn die Daten nicht direkt vom Betroffenen erhoben werden. Ein Beispiel sind Consent Management Banner beim Aufruf von Webseiten. Die Informationen sollten den Verantwortlichen für die Datenverarbeitung, den Zweck der Verarbeitung, die Empfänger oder Empfängerkategorien und das Zielland bei Datenexport ins Ausland enthalten. Das neue revDSG ist in diesem Punkt sogar strenger als die DSGVO.
3.2 Stärkere Rechte für Betroffene
Das revidierte DSG stärkt die Rechte der betroffenen Personen. Es enthält umfangreichere Informationspflichten für Datenverarbeiter und erweiterte Betroffenenrechte wie das Recht auf Datenportabilität und das Recht auf Vergessenwerden. In den meisten Organisationen gibt es bereits Prozesse für Betroffenenrechte wie Auskunftsrecht, Löschrecht, Korrekturrecht oder Datenherausgabe. Falls nicht, sollte dies dringend nachgeholt werden.
4. Geltungsbereich
Text
Fazit
Diese Top 12 Neuerungen im revidierten Datenschutzgesetz haben das Ziel, den Datenschutz in der Schweiz zu stärken und den Schutz personenbezogener Daten zu gewährleisten. Unternehmen und Organisationen sollten diese Neuerungen sorgfältig prüfen und sicherstellen, dass sie den Anforderungen des revidierten DSG entsprechen, um potenzielle Sanktionen und Bußgelder zu vermeiden. Unternehmer:innen müssen verstehen, welche Rolle sie inne haben, denn viele der Pflichten des revDSG knüpfen daran an, ob Unternehmen Verantwortlicher (Controller), Auftragsverarbeiter (Processor) oder gemeinsamer Verantwortlicher (Joint Controller) sind. Ob ein KMU ein Datenschutzkonzept allein entwickeln kann, hängt von den vorhandenen Kompetenzen ab, z. B. einem Datenschutzverantwortlichen oder einer Rechtsabteilung. Andernfalls empfehlen wir externe Unterstützung. Dein Geschäft, der Schutz der dir anvertrauten Daten und deine Reputation hängen davon ab. Bei den Anforderungen an Datentransfer in Länder ausserhalb des EWR und von UK unterstützt Servus Data gerne.
FAQs
Q1. Wie setze ich Google Analytics rechtskonform ein?
- Informiere die betroffene Person über die Datenübermittlung und hole die Einwilligung ein.
- Stelle sicher, dass der Nutzungsvertrag von Google Analytics (einschließlich der Datenverarbeitungsvereinbarung) mit Google Ireland Limited und nicht mit Google LLC geschlossen wird. Überprüfe ältere Verträge und aktualisiere sie gegebenenfalls.
- Nutze Google Analytics-Verträge mit Google Ireland Limited.
- Aktiviere und implementiere die IP-Anonymisierung.
- Deaktiviere die Datenfreigabeoption in Google Analytics.
- Deaktiviere die Option „Signale“ in Google Analytics.
- Stelle sicher, dass proprietäre Benutzer-IDs keine Benutzeridentifikation ermöglichen und überprüfe die Datenübertragungsvereinbarungen.
Q2. Gilt das revDSG für ausländische Unternehmen?
Ausländischen Unternehmen, welche umfangreiche Daten von Bürger:innen in der Schweiz bearbeiten, müssen einen Schweizer Vertreter ernennen, der diese Aktivitäten regulieren kann.
Q3. Wie garantiert man Datensicherheit?
Schutz vor Angreifern bieten geeignete technische und organisatorische Massnahmen (TOM), welche die Datensicherheit garantieren. Das EDÖB hat dazu einen entsprechenden Leitfaden veröffentlicht.
Q4. Bei welchen Verstössen genau drohen Bussen ?
Es drohen Bussen bsw. bei Verrat von vertraulich beruflichen Personendaten, fehlende Datensicherheit, inkorrekte und/oder unvollständige Auskünfte an Betroffene. Ebenso für unzureichende Datenschutzerklärungen sowie Providerverträgen, als auch fehlender Schutz beim Datenexport in sogenannte unsichere Drittländer.
Q5. Warum wurde das Schweizer Datenschutzgesetz revidiert?
Das Datenschutzgesetz wird angepasst, um den veränderten technologischen und gesellschaftlichen Bedingungen gerecht zu werden (Cloud Computing, Big Data, Internet of Things, soziale Netzwerke, etc.) und die Selbstbestimmung der betroffenen Personen über ihre Daten zu stärken. Gleichzeitig soll das DSG an die europäischen Datenschutzregeln angeglichen werden, um sicherzustellen, dass die EU die Schweiz weiterhin als Drittstaat mit angemessenem Datenschutzniveau anerkennt und eine unkomplizierte Datenübermittlung zwischen der Schweiz und der EU auch in Zukunft möglich bleibt.