Das neue Datenschutzgesetz der Schweiz trat am 01.09.2023 in Kraft. Die Regelungen wurden an die technologischen Entwicklungen (Digitalisierung), an das Konsumverhalten (Online-Shopping) und die internationalen Standards des Datenschutzes angepasst.
Die neuen Regeln machen es u.a. erforderlich, dass Unternehmen ihre Datenschutzerklärungen anpassen und Online-Angebote zur Einhaltung der Vorschriften neu konfiguriert werden.
Nachfolgend finden Sie einen Überblick über einige wichtige Neuerungen.
Geltungsbereich
Datenschutz wird als Persönlichkeitsschutz verstanden. Das Datenschutzgesetz schützt die Persönlichkeit von natürlichen Personen, deren Daten bearbeitet werden. Es gilt nicht für die Bearbeitung von Daten über juristische Personen (Gesellschaften, Vereine, Stiftungen).
Der Geltungsbereich umfasst auch Datenbearbeitung im Ausland, wenn sich diese im Inland auswirkt (Bearbeitung von Daten über Personen innerhalb der Schweiz).
Personendaten
Der Begriff der Personendaten wurde auf natürliche Personen eingegrenzt.
Zu den besonders schützenswerten Personendaten zählen neu genetische Daten und biometrische Daten, sofern letztere eine natürliche Person eindeutig identifizieren.
Privacy by design und by default
Mit den Grundsätzen der Datenbearbeitung „Privacy by design“ (Datenschutz durch Technik) und „Privacy by default“ (Datenschutz durch Voreinstellungen) werden Verantwortliche verpflichtet, angemessene technische und organisatorische Massnahmen treffen und die Privatsphäre von Nutzenden bereits in die Struktur ihrer Produkte oder Dienstleistungen zu integrieren, sofern diese personenbezogene Daten sammeln.
Der Datenschutz durch Technik beziehungsweise Privacy by design verlangt zum Beispiel, dass Applikationen so konfiguriert werden, dass Daten standardmässig anonymisiert oder gelöscht werden.
Der Grundsatz Privacy by default beziehungsweise Datenschutz durch Voreinstellungen verlangt, dass ab Inverkehrbringen eines Produktes oder einer Dienstleistung von Anfang an standardmässig die nötigen Massnahmen für den Datenschutz und die Einschränkung der Datennutzung aktiviert sind. Das ist bereits bei der Planung zu berücksichtigen.
Insbesondere Anbieter von Online-Angeboten sind von diesen neuen Regeln betroffen.
Folgenabschätzungen
Sofern ein hohes Risiko für die Persönlichkeit der betroffenen Personen besteht, müssen neu auch Private eine Datenschutz-Folgenabschätzung durchführen.
Ob ein hohes Risiko besteht, hängt – insbesondere bei der Verwendung neuer Technologien – ab von der Art, dem Umfang, den Umständen und dem Zweck der Bearbeitung. Ein hohes Risiko liegt vor bei der umfangreichen Bearbeitung von besonders schützenswerten Personendaten und bei der systematischen Überwachung umfangreicher öffentlicher Bereiche.
Private können unter gewissen Voraussetzungen von der Erstellung einer Datenschutz-Folgenabschätzung absehen.
Informationspflichten
Datenbeschaffung
Private Verantwortliche müssen grundsätzlich bereits bei jeder Datenbeschaffung (auch bei der Beschaffung bei Dritten) betroffene Personen angemessen informieren. Die Identität und die Kontaktdaten des Verantwortlichen, der Bearbeitungszweck und – bei Weitergabe – der Empfänger sind bekannt zu geben.
Von der Informationspflicht gibt es Ausnahmen. Die Informationspflicht entfällt beispielsweise, wenn die betroffene Person bereits über die entsprechenden Informationen verfügt, eingewilligt hat oder die Bearbeitung gesetzlich vorgesehen ist.
Automatisierte Einzelentscheide
Bei automatisierten Einzelentscheidungen ist den Betroffenen die Möglichkeit zur Anhörung und Überprüfung der Entscheidung zu gewähren.
Verletzung der Datensicherheit
Bei Verletzung der Datensicherheit besteht eine Meldepflicht gegenüber dem EDÖB, wenn die Verletzung voraussichtlich zu einem hohen Risiko für die Persönlichkeit führen kann. Die betroffene Person ist zu informieren, wenn es zu ihrem Schutz erforderlich ist oder dies vom EDÖB verlangt wird.
Auskunftsrecht
Der Anspruch der betroffenen Personen wurde erweitert. Unter Anderem sind alle Informationen herauszugeben, die für die Wahrnehmung der Rechte der betroffenen Person notwendig sind.
Datenherausgabe und -übertragung
Die betroffenen Personen haben neu einen Anspruch darauf, die von ihnen selbst bekannt gegebenen Personendaten in elektronischer Form heraus zu verlangen oder auf einen Dritten übertragen zu lassen, wenn die Daten automatisiert bearbeitet und entweder mit Einwilligung der betroffenen Person oder im Zusammenhang mit dem Abschluss oder der Abwicklung eines Vertrages bearbeitet werden.
Verursacht die Herausgabe einen unverhältnismässigen Aufwand, kann der Verantwortliche eine Kostenbeteiligung der betroffenen Person verlangen.
Verzeichnisse
Die Verantwortlichen und die Auftragsverarbeiter müssen über die Datenbearbeitungen Verzeichnisse führen, welche gewisse Mindestangaben zu enthalten haben.
Unternehmen mit weniger als 250 Mitarbeitenden und natürliche Personen sind von der Führung von Verzeichnissen befreit, sofern besonders schützenswerte Daten nicht in grossem Umfang bearbeitet werden oder kein Profiling mit hohem Risiko durchgeführt wird.