Das neue Datenschutzgesetz in der Schweiz ab 1.9.2023 – worauf Sie achten müssen!

30.08.2023
|
Lesedauer: 7 min.
Das neue Datenschutzgesetz in der Schweiz ab 1.9.2023 – worauf Sie achten müssen!

Management Summary

In der Schweiz tritt mit 1. September das revidierte Datenschutzgesetz in Kraft. Was sich u.a. für natürliche und juristische Personen, genetische und biometrische Daten und die Informationspflicht ändert und was bei den neuen Grundsätzen der Datenverarbeitung beachtet werden muss, haben wir für Sie zusammengefasst.

Dieser Artikel bietet einen Überblick über die wichtigsten Veränderungen durch das neue Schweizer Datenschutzgesetz für Unternehmen. Neben einem Schnell-Überblick haben wir eine Checkliste für Unternehmen zusammengestellt, die Sie einfach herunterladen können.

Die wichtigsten Veränderungen im Überblick

Durch das neue Datenschutzgesetz werden für Schweizer Unternehmen per 1. September 2023 Änderungen schlagend. In der folgenden Auflistung ermöglichen wir einen Überblick, was berücksichtigt werden muss, um sein Unternehmen sicher aufzustellen. 

  1. Das neue Datenschutzgesetz berücksichtigt ausschließlich nur noch die Daten natürlicher Personen, jene von juristischen Personen sind ausgenommen.
  2. Als besonders schützenswert gelten nun auch die genetischen und biometrischen Daten und sind daher im neuen Datenschutzgesetz berücksichtigt.
  3. Pflichten zu “Privacy by Design”  und “Privacy by Default” wird auch aus der DSGVO übernommen und führen dazu, dass der Verantwortliche nicht nur die Datenschutzvorschriften und die Grundsätze der Datenbearbeitung einhalten muss, sondern sicherstellen muss, dass mittels geeigneter technischer Voreinstellung die Bearbeitung von Personendaten auf ein Minimum reduziert wird.
  4. Wenn in der Datenbearbeitung Risiken betreffend der Persönlichkeit oder der Grundrechte betroffener Personen bestehen, müssen Folgenabschätzungen realisiert werden.
  5. Die Informationspflicht wird umfangreicher: Im Zuge jeder Beschaffung von Personendaten muss die betroffene Person im Vorhinein in Kenntnis gesetzt werden. Somit sind nicht mehr nur die sogenannten besonders schützenswerten Daten davon betroffen.
  6. Ein Verzeichnis über Bearbeitungstätigkeiten wird nun obligatorisch, sowohl für den Verantwortlichen, als auch für den Auftragsbearbeiter. Der Mindestinhalt ist im Gesetz aufgelistet. Eine Ausnahme gilt für KMU (weniger als 250 Mitarbeitende), deren Datenbearbeitung weniger Risiko für Verletzungen der Persönlichkeit betroffener Personen darstellt. Großunternehmen sind von dieser Verzeichnispflicht weiter nicht ausgenommen.
  7. Bei einer vorliegenden Verletzung gegen die Datensicherheit (Data Breach) ist eine rasche Meldung notwendig. Unter diesem Aspekt ist der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) in Kenntnis zu setzen.
  8. Der Terminus Profiling, gemeint ist damit die automatisierte Bearbeitung von Personendaten, ist neuer Bestandteil des Gesetzes. Betroffene Personen sind in diesem Fall zu informieren und bei Profiling mit hohem Risiko sogar eine Einwilligung einzuholen.

Sind Sie schon für das neue Datenschutzgesetz in der Schweiz aufgestellt?

In diesem Webinar erklären unsere Digital Business Consultants Sandra Wojciechowska und Lisa Weichselbaum, was Werbetreibende in der Schweiz ab sofort beachten müssen


Jetzt mehr erfahren

Die wesentlichen Unterschiede zwischen nDSG und DSGVO

Das neue Schweizer DSG ist als Annäherung zur DSGVO zu verstehen. Aber das neue DSG  ist keine “Nachahmung” der DSGVO. Es gibt auch Unterschiede zwischen den zwei Rechtsakten, nämlich: 

  • Keine Auflistung von Rechtsgrundlagen 
    Im Gegensatz zur DSGVO sieht das nDSG keine spezifische Rechtsgrundlage für die Bearbeitung von Daten. Es ist ausreichend, wenn  die Bearbeitung den Grundsätzen von Rechtmäßigkeit, Treu und Glauben, Verhältnismäßigkeit und Zweckbindung entspricht.
  • Keine explizite und freiwillige Einwilligung
    Im Unterschied zur DSGVO bedarf die Bearbeitung von persönlichen Daten des Nutzers keiner Einwilligung. Laut dem neuen DSG ist eine dem Transparenzprinzip entsprechende Erklärung, in der darüber informiert wird, zu welchem Zweck der Verantwortliche mit Personendaten umgehen will, ausreichend. Eine Einwilligung ist erst dann notwendig, wenn es um besonders schützenswerte Personendaten geht oder wenn Profiling mit hohem Risiko für die betroffene Person stattfindet.
  • Meldepflicht von Data Breach
    Wie auch unter der DSGVO muss ein Data Breach dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) gemeldet werden. Allerdings, anders als in der DSGVO, welche eine Meldepflicht innerhalb von 72 Stunden vorsieht, ist die Meldepflicht laut nDSG  möglichst rasch zu erfolgen, aber nur wenn der Data Breach ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person ist.
  • Geringere Bußgelder:
    Bei einem Verstoß gegen die Bestimmungen des nDSGs drohen Bußgelder bis zu 250.000 Franken (Art. 60 bis 63 nDSG) im Vergleich zu bis zu 4% bzw. 20 Millionen Euro (je nachdem, was höher ist). 

Die wichtigsten Änderungen in der Schweiz

im Schnell-Überblick:

InformationspflichtDurch die verstärkte Informationspflicht wird eine klare und transparente Bearbeitung der Daten sichergestellt.

Die betroffene Person muss über folgendes informiert werden:

  • Kontakts- und Identitätsinformationen des/der Bearbeitenden
  • Bearbeitungsgrund
  • Drittländer und -empfänger, die die Daten erhalten

AuskunftspflichtAlle Personen haben gegenüber dem Verantwortlichen das Recht, informiert zu werden, ob und welche ihrer Daten bearbeitet werden.
EDÖBNeben neuen Befugnissen, kommen auch neue Aufgaben auf den EDÖB zu. Zu seiner Aufsichtstätigkeit gehört sowohl die Untersuchung von Verstößen gegen die Datenschutzvorschriften als auch die Anordnung von Verwaltungsmaßnahmen zur Durchsetzung dieser Vorschriften.
Reformen gibt es daher nicht nur für betroffene Personen und Datenbearbeitende.StrafbestimmungenGeldbußen bis zu 250.000 Franken drohen, wenn gegen die Informations- oder Auskunftspflichten verstoßen oder Sorgfaltspflichten verletzt werden.Folge-AbschätzungSobald die Persönlichkeit oder die Grundrechte betroffener Personen gefährdet sind, haben Datenbearbeitende eine Datenschutz-Folgeabschätzung zu erstellen.

Das betrifft private und öffentliche Datenbearbeitende gleichermaßen.GebührenMit dem Stichtag 1. September 2023 werden vom EDÖB Zahlungen für ausgewählte Dienstleistungen erhoben.
Previous slide
Next slide

Unser Angebot

Consent Quick Check & Best Practices

Obwohl das revidierte Datenschutzgesetz nicht ganz so streng ist wie die DSGVO gibt es für Unternehmen in der Schweiz einiges zu beachten im Umgang mit personenbezogenen Daten. Falls Sie hier noch unsicher sind oder Unterstützung benötigen, empfehlen wir unseren Consent Quick Check mit Head of Privacy Sandra Wojciechowska, der folgende Punkte umfasst:

e-dialog Sandra Wojciechowska

  • Überprüfung der aktuellen Umsetzung und notwendige Anpassungen
  • Änderungen des nDSG und was diese bedeuten
  • Consent Management Toolübersicht – welches ist das Richtige?
  • DSG, nDSG oder DSGVO wann gilt was?
  • Consent als Vorbereitung auf die Post Cookie Ära


Kontaktieren Sie uns direkt!

Was ist für Schweizer Unternehmen zu tun – unsere Checkliste gibt eine erste Orientierung.

e-dialog office Vienna
Keine Herausforderung ist wie die andere. Sprich jetzt mit unseren Expert*innen, um deine individuelle Lösung zu finden.

Noch Fragen? Sprich mit uns.

Jetzt Kontakt aufnehmen
Relevante Inhalte

Mehr zum Thema Strategie

Strategie

Is Your Company Actually Ready for AI? 7 Things the Top Players Do Differently

Mehr erfahren
Strategie

Datenwertschöpfungskette: In 4 Phasen zum Erfolg

Mehr erfahren
Kampagnen

Was der Launch von Google AI Mode für deine Marketingstrategie bedeutet

Mehr erfahren
Cookie-Banner 2025: Was Schweizer Webseitenbetreiber wissen müssen|Beispiel Consent Banner Schweiz 2025
Analytics

Cookie-Banner 2025: Was Schweizer Webseitenbetreiber wissen müssen

Mehr erfahren