Neues Datenschutzgesetz: Das müssen Firmen wissen
Das revidierte Schweizer Datenschutzgesetz tritt voraussichtlich auf den
1. September 2023 in Kraft. Unternehmen sollten die nötigen Anpassungen bereits heute in die Wege leiten.
Dominik Buholzer
Im Zentrum des neuen Datenschutz- gesetzes (DSG) steht der Schutz für die Bürgerinnen und Bürger: Die Selbst- bestimmung über deren Daten soll mit der Gesetzesänderung gestärkt werden. Daten von juristischen Personen sind neu nicht mehr geschützt. Künftig gilt eine strengere Informationspflicht bei der Beschaffung von Personendaten sowie eine Meldepflicht bei Verletzung der Datensicherheit. Gleichzeitig wurden die Bestimmungen der europäischen Datenschutzgesetzgebung angeglichen. Anpassungen gibt es unter anderem bei der automatisierten Einzelfallent- scheidung (Entscheidungen, die nur computergestützt getroffen werden) oder der Datenschutz-Folgenabschätz- ung (Massnahme, um Risiken für die Privatsphäre von Betroffenen zu identi- fizieren und mit geeigneten Massnah- men zu reduzieren). Mit dem neuen DSG werden die Sanktionen verschärft. Verstösse können Bussen in Höhe von bis zu 250’000 Franken zur Folge haben.
Die wichtigsten Änderungen sind:
– Unternehmen sind künftig ver-
pflichtet, die betroffenen Personen über jede Datenbeschaffung angemessen zu informieren.
– Die Definition der besonders schützenswerten Personendaten wurde erweitert. Sie umfasst
neu auch genetische sowie bio- metrische Daten, die eine Person eindeutig identifizieren.
– Unternehmen sind künftig ver- pflichtet, eine Datenschutz-Folgen- abschätzung durchzuführen, wenn die Bearbeitung der Daten ein hohes Risiko für die Persönlichkeit oder
die Grundrechte der betroffenen
Person mit sich bringen kann.
– Firmen sind verpflichtet, die Daten-
bearbeitungsgrundsätze bereits bei der Planung und Ausgestaltung von Applikationen zu berücksichtigen. Es dürfen insbesondere nur die- jenigen Personen Zugriff auf die Daten haben, die dies müssen, um ihre Aufgabe erfüllen zu können. Und es sollen zum Beispiel keine Einwilligungen von Betroffenen,
die über die unbedingt notwendige Datenbearbeitung hinausgehen, durch entsprechende Vorein- stellungen erreicht werden können.
– Werden automatisierte Einzel- entscheidungen vorgenommen, das heisst, Entscheidungen in Bezug auf eine Person, die der Computer alleine trifft – ohne dass ein Mensch
in den Prozess eingreift – muss
die betroffene Person vorgängig darüber informiert werden. Zudem wird der betroffenen Person das Recht eingeräumt, die Entscheidung einem Menschen vorzulegen.
– Firmen sind verpflichtet, ein Ver- zeichnis der Datenbearbeitungs- tätigkeiten zu führen. Eine Ausnahme hiervon besteht für Unternehmen
mit weniger als 250 Mitarbeitenden, falls deren Datenbearbeitung ein geringes Risiko für Verletzungen der Persönlichkeit der betroffenen Personen mit sich bringt.
– Bei Verletzung der Datensicherheit muss rasch eine Meldung an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) erfolgen, wenn diese voraussichtlich zu einem hohen Risiko für die Be- troffenen führt. In der Regel muss der Verantwortliche auch eine Meldung an die betroffenen Personen machen, wenn dies zu deren Schutz nötig
ist oder der EDÖB dies erfordert.
– Die neue Datenschutzgesetzgebung
gilt unter bestimmten Voraus- setzungen auch für ausländische Firmen, die im Schweizer Markt tätig sind und Daten von Personen mit Wohnsitz in der Schweiz bearbeiten.
NEUES DATENSCHUTZGESETZ
25