Am 1. September 2023 tritt die total revidierte Fassung des DSG und der DSV in Kraft. Hier erfahren Sie, wer betroffen ist, was es zu beachten gilt und wann die Verletzung von Pflichten eine Strafbarkeit begründet.
Wer ist vom neuen Gesetz betroffen?
Das neue Gesetz und die damit verbundene Verordnung betreffen die Verarbeitung personenbezogener Daten. Sie gelten für Private und Bundesbehörden.
💡Unter Private sind Firmen, Vereine und grundsätzlich auch Privatpersonen zu verstehen. Wenn Sie als Einzelperson und für private Zwecke personenbezogene Daten verbreiten und bearbeiten, sind Sie jedoch davon ausgenommen.
✅ Hier erfahren Sie mehr zu den personenbezogenen Daten.
Was sind die wichtigsten datenschutzrechtlichen Pflichten?
Das Datenschutzrecht verpflichtet alle, die mit personenbezogenen Daten arbeiten, zu bestimmten Handlungsweisen.
Einige dieser Pflichten sind neu, während andere bereits existieren. Im Folgenden finden Sie eine Zusammenfassung der wichtigsten Pflichten.
Prinzipien der Datenverarbeitung
Die Revision des Datenschutzrechts ändert die Grundprinzipien der Datenverarbeitung nicht wesentlich. Die bisherigen Datenverarbeitungspraktiken sollten weiterhin erlaubt sein.
💡Es ist wichtig zu beachten, dass Daten nur für den Zweck verarbeitet werden dürfen, für den sie gesammelt wurden.
☝️Eine Verletzung dieser Prinzipien kann zu einer Persönlichkeitsverletzung führen. Sie kann aber auch gerechtfertigt sein, wenn ein überwiegendes privates oder öffentliches Interesse besteht oder die betroffene Person zustimmt.
Löschung personenbezogener Daten
Personenbezogene Daten müssen gelöscht oder anonymisiert werden, sobald sie für den ursprünglichen Zweck nicht mehr benötigt werden.
Verzeichnis der Verarbeitungen
Unternehmen und Organisationen mit mehr als 250 Mitarbeitern müssen ein Verzeichnis aller Datenverarbeitungsprozesse führen.
✅KMU sind in der Regel davon befreit. Davon ausgenommen sind namentlich jene, die in grossem Umfang besonders schützenswerte personenbezogene Daten verarbeiten.
Informationspflichten und Datenschutzerklärung
Wenn personenbezogene Daten verarbeitet werden, müssen die betroffenen Personen darüber informiert werden. Dies erfolgt in der Regel über eine Datenschutzerklärung. Es ist wichtig, dass diese Erklärung leicht auf einer Website zu finden ist und dass sie nicht notwendigerweise vom Benutzer akzeptiert werden muss.
✅Die Informationspflicht ist mit dem neuen DSG viel umfassender. Das bedeutet, dass Ihre bestehende Datenschutzerklärung möglicherweise angepasst werden muss. Mit unserer Datenschutzerklärung zum Fixpreis sind Sie diesbezüglich bestens beraten.
Externer Provider
Wenn Sie mit Providern arbeiten, welche die personenbezogene Daten in Ihrem Auftrag verarbeiten, sollten Sie einen Vertrag zur Auftragsverarbeitung abschliessen.
✅ Unsere DatenschutzrechtsspezialistInnen unterstützen Sie bei der Erstellung eines entsprechenden Vertrags.
Datensicherheit
Der Zugriff auf personenbezogene Daten sollte nur denjenigen gewährt werden, die ihn tatsächlich benötigen. Dies sollte durch technische und organisatorische Massnahmen sichergestellt werden.
☝️Falls die Sicherheit von personenbezogenen Daten in Bezug auf Vertraulichkeit, Integrität oder Verfügbarkeit verletzt wird und ein grosses Risiko für die betroffenen Personen besteht, sollte die Verletzung dem Bundesbeauftragten für Datenschutz und Öffentlichkeit (EDÖB) gemeldet werden.
Übermittlung von Daten ins Ausland
Wenn Daten ins Ausland übermittelt werden, muss das Empfängerland entweder ein angemessenes Datenschutzniveau aufweisen oder es müssen zusätzliche Schutzmassnahmen getroffen werden.
💡Diese Regel gilt bereits nach aktuellem Recht und beinhaltet nicht nur das aktive Senden von Daten, sondern auch Remote-Zugriffe.
Rechte der Betroffenen
Die von der Datenbearbeitung betroffenen Personen haben das Recht, Auskunft über ihre eigenen Daten zu erhalten und diese gegebenenfalls korrigieren oder löschen zu lassen.
Zustimmung
Wenn eine Zustimmung für die Datenverarbeitung erforderlich ist, muss die betroffene Person freiwillig zustimmen und sie muss über die Folgen der Einwilligung informiert werden.
Kleines Berufsgeheimnis
Im Datenschutzgesetz ist ein “kleines Berufsgeheimnis” vorgesehen. Das bedeutet, dass Sie geheime Personendaten, die Ihnen während der Arbeit anvertraut werden, geheim bleiben müssen.
💡Informationen über Einzelpersonen, die nicht öffentlich zugänglich sind und bei denen die betroffene Person ein legitimes Interesse an ihrer Vertraulichkeit hat, gelten als geheime Personendaten.
☝️ Falls Sie keine Gewährleistung dafür übernehmen möchten oder können, sollten Sie dies im Vorfeld eindeutig kommunizieren und angeben, mit wem Sie die Informationen eventuell austauschen könnten.
Strafbarkeit
Ab dem 1. September 2023 begründet die Verletzung gewisser Pflichten eine Strafbarkeit. Dabei wird nicht das Unternehmen bestraft, sondern die für den Datenschutz verantwortliche Person. Damit sind beispielsweise Mitglieder der Geschäftsleitung, sonstige zur Entscheidung befugte Personen oder aber diejenige Person, welche die strafbare Handlung vorgenommen hat, gemeint.
💡Folgende Handlungen können zum Beispiel mit einer Busse von bis zu CHF 250’000 bestraft werden:
- Keine oder eine ungenügende Datenschutzerklärung
- Verletzung der Vertraulichkeit, Verfügbarkeit, Integrität
- Verletzung von Auskunftspflichten
- Verletzung des kleinen Berufsgeheimnisses
☝️ Voraussetzung für die Strafbarkeit ist eine vorsätzliche Begehung.
Wir helfen Ihnen
Die Erstellung einer Datenschutzerklärung kann sich als zeitaufwendige und komplexe Aufgabe erweisen. Daher haben wir eine Lösung entwickelt, die Ihnen den Prozess so einfach wie möglich gestaltet. Mit dem Jurata®-Rechtspaket zum Fixpreis gehen Sie keine Kompromisse beim Datenschutz ein und haben volle Kostentransparenz.
Zudem stehen Ihnen unsere DatenschutzspezialistInnen bei weiteren Fragen rund ums Thema Datenschutz oder Ihre Datenschutzerklärung gerne zur Verfügung.