New Swiss data protection law from 1 September 2023: What companies need to know
19. September 2023
Dr. Thomas Nagel
On September 1, 2023, Switzerland's new Data Protection Act (DPA) came into force, bringing with it some important changes.
In this blog post, we will explain why these changes are of great importance for companies in Switzerland and what steps they need to take immediately.
Am 1. September 2023 trat das neue Datenschutzgesetz (DSG) der Schweiz in Kraft, das einige wichtige Änderungen mit sich brachte.
Wichtig ist, dass die Änderung des DSG praktisch jedes Unternehmen bzw. jeden Unternehmer in der Schweiz betrifft und dass es keine Übergangsfrist für die meisten Pflichten gibt. Dennoch haben einige Unternehmen in der Schweiz den Knall noch nicht gehört und die Änderungen im DSG verschlafen. Für diese Unternehmen ist sofortiges Handeln angezeigt.
In diesem Blogbeitrag werden wir aufzeigen, warum diese Neuerungen für Unternehmen in der Schweiz von grosser Bedeutung sind und welche Schritte sie unverzüglich umsetzen müssen.
Warum ist das neue DSG wichtig für Unternehmen in der Schweiz?
Höhere Datenschutzstandards: Das neue DSG hebt die Datenschutzstandards in der Schweiz auf ein höheres Niveau und soll sie in Einklang mit der europäischen Datenschutz-Grundverordnung (DSGVO) bringen. Dies ist wichtig, da Schweizer Unternehmen weiterhin Daten von EU-Bürgern verarbeiten und ihre Leistungen grenzüberschreitend erbringen.
Bussgelder: Das Gesetz sieht nun Bussgelder bei Datenschutzverstössen vor. Diese betreffen die beim Unternehmen für den Datenschutz verantwortlichen Personen direkt. Bereits das Unterlassen der Informationspflichten kann solche Bussen in der Höhe von bis zu CHF 250’000 nach sich ziehen.
Stärkere Rechte für Betroffene: Das Gesetz stärkt die Rechte von Einzelpersonen in Bezug auf ihre persönlichen Daten. Unternehmen müssen transparenter darüber informieren, wie sie Daten sammeln und verwenden, und den Betroffenen mehr Kontrolle über ihre Daten geben.
Die wichtigsten Pflichten für Unternehmen:
Erheben des Ist-Status: Unternehmen sollten erheben, welche Daten sie bearbeiten (d.h. speichern, analysieren usw.) und welche Dokumentation zum Datenschutz bereits vorhanden ist.
Datenschutzerklärung: Alle Unternehmen sollten eine Datenschutzerklärung haben, die klar und verständlich ist und die betroffenen Personen über die Art und den Umfang der Datenbearbeitung informiert und die Datenschutzrechte der Betroffenen erläutert.
Dokumentation und Auskunft: Alle Datenschutzaktivitäten sollten sorgfältig dokumentiert werden. Jede betroffene Person hat das Recht, Auskunft über alle erhobenen Daten zu erhalten. Die Abläufe und IT-Systeme müssen so eingerichtet sein, dass diese Auskunft jederzeit erteilt werden kann.
Meldung von Datenschutzverletzungen: Wenn es zu einer Datenschutzverletzung kommt, müssen Unternehmen dies dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) melden und, sofern dies zum Schutz der Personendaten nötig ist oder vom EDÖB verlangt wird, die betroffenen Personen informieren.
Sicherheitsmassnahmen: Die Sicherheit personenbezogener Daten ist von entscheidender Bedeutung. Unternehmen müssen angemessene technische und organisatorische Massnahmen ergreifen, um Daten vor Verlust, Diebstahl oder Missbrauch zu schützen.
Weitere Pflichten: Je nach Grösse des Unternehmens und der Bearbeiteten Daten können zusätzliche Regeln und Pflichten zur Anwendung kommen. Dies sind bspw. die folgenden:
Einwilligung: Für die Bearbeitung gewisser Daten benötigen Unternehmen neu eine ausdrückliche Einwilligung. Allenfalls ist diese nachzuholen.
Datenschutzbeauftragter: Gewisse Unternehmen sollten einen Datenschutzbeauftragten ernennen, sofern sie personenbezogene Daten verarbeiten.
Datenschutz-Folgenabschätzung: Gewisse Unternehmen müssen Datenschutz-Folgenabschätzungen durchführen.
Verzeichnis: Gewisse Unternehmen (solche die 250 Mitarbeiter oder mehr beschäftigen und deren Datenbearbeitung ein gewisses Risiko von Verletzungen mit sich bringt) müssen ein Verzeichnis ihrer Bearbeitungstätigkeiten erstellen und führen.
Datenübertragung an Dritte: Sofern Daten durch Dritte bearbeitetet werden (z.B. Hilfspersonen, Service-Provider, Hoster von Servern usw.), müssen mit diesen Personen Auftragsbearbeitungsverträge abgeschlossen werden. Damit ist sicherzustellen, dass Dritte Daten nur in dem Umfang bearbeiten, wie das Unternehmen selbst, das die Daten erhalten hat.
Datenübertragung ins Ausland: Bei Lieferungen ins Ausland ist zu analysieren, welche Daten wohin gehen und welches Schutzniveau das Recht der Empfängerstaaten haben.
Anwendbarkeit der DSGVO: Je nach Geschäftsmodell ist es zwingend oder empfehlenswert, die Vorgaben der DSGVO umzusetzen, die in gewissen Aspekten vom Schweizer DSG abweichen.
FINMA–Regeln zum Outsourcing: Für viele Rechtsunterworfene gelten Sonderregeln, so z.B. das FINMA-Rundschreiben 2018/3 zum Outsourcing. Dieses gilt für Banken, Versicherungsunternehmen und ausgewählte Finanzinstitute nach FINIG.
Die Einhaltung des neuen DSG der Schweiz ist von entscheidender Bedeutung, um rechtliche Probleme oder gar Bussen zu vermeiden und das Vertrauen der Kunden zu erhalten. Unternehmen sollten daher unverzüglich Massnahmen ergreifen, um sicherzustellen, dass sie den neuen Bestimmungen entsprechen. Dies ist nicht nur eine gesetzliche Verpflichtung, sondern auch ein wichtiger Schritt zur Sicherung der Daten und zur Aufrechterhaltung eines positiven Unternehmensimages.
Die Anwälte von Advoro stehen Ihnen bei der Umsetzung Ihrer Datenschutz-Pflichten jederzeit gerne zur Verfügung. Im Einzelnen bieten wie Ihnen folgendes an:
Erstgespräch und Einschätzungen zur DSG Ist-/Soll-Situation
Prüfung des Datenschutz-Konzeptes und der vorhandenen Dokumente
Erstellung oder Aktualisierung der nötigen Dokumentation (Datenschutzerklärung, Weisungen usw.) in Übereinstimmung mit den Gesetzen
Unterstützung bei komplexen rechtlichen Fragen und der laufenden Einhaltung aller Datenschutzvorschriften