Langsam wird es ernst mit dem „neuen“ Schweizer Datenschutzgesetz: In der Sitzung vom 31.08.2022 hat der Bundesrat die neue Datenschutzverordnung (DSV) und die neue Verordnung über Datenschutzzertifizierungen (VDSZ) verabschiedet. Die revidierte Fassung des DSG (nDSG) sowie die zugehörige Verordnung werden am 01.09.2023 in Kraft treten, ohne weitere Übergangsfrist.
Der EDÖB hat Anfang Februar 2023 angekündigt, dass bis dahin die Website der Behörde überarbeitet wird und Meldeprotale für Unternehmen und Bundesorgane eingerichtet werden.
Wie z.B. ein Meldeportal für das Bearbeitungsverzeichnis (Art. 12 Abs. 4 nDSG nur Bundesorgane) und Datensicherheitsverletzungen (Art. 24 nDSG, Art. 15 DSV). Außerdem sind Informationen und Erläuterungen zu den einzelnen Instrumenten wie z.B. die Datenschutz-Folgenabschätzung angedacht.
Anpassung des Schweizer Datenschutzrechts
Die Anpassung des Schweizer Datenschutzrechts war aufgrund der DS-GVO erforderlich, welche seit Mai 2018 in der Europäischen Union in Kraft ist. Die Schweiz verfügt über einen Angemessenheitsbeschluss der (ABl. EG v. 25.08.2000, Nr. L 215/1), welcher regelmäßig von der EU-Kommission überprüft wird. Die Anpassung des Datenschutzgesetzes war zur Erhaltung des Angemessenheitsbeschlusses folglich zwingend erforderlich, um weiterhin einen einfachen Datenaustausch zwischen EU-Mitgliedsländern und der Schweiz zu ermöglichen.
Das nDSG wird gerne als die „kleine Schwester“ der DS-GVO bezeichnet, d.h. die Gesetze sind sich (zwangsläufig) sehr ähnlich, aber wie so oft liegt die Anforderung im Detail.
Nachstehend ein paar Unterschiede:
- Sachlicher Anwendungsbereich:
Wie die DS-GVO gilt dieser nur noch für natürliche Personen. Juristische Personen sind zukünftig nicht mehr durch das Datenschutzrecht geschützt. - Geographischer Geltungsbereich:
Der Geltungsbereich wird mit dem nDSG erweitert. Zukünftig gilt nicht nur das Standort-Prinzip, sondern auch das Marktort-Prinzip. - Bearbeitungsgrundsätze:
- Es gilt weiterhin Rechtmäßigkeit, Verhältnismäßigkeit und Zweckbezogen.
- Das nDSG definiert ebenfalls die Pflicht zu „privacy by design“ und „privacy by default“. Sie ist aber moderater als die DS-GVO.
- Pflicht zur Führung eines Bearbeitungsregisters. Die inhaltlichen Mindestanforderungen sind definiert.
- Profiling: Es wird zwischen „Profiling“ und „Profiling mit hohem Risiko“ unterschieden. Bei hohem Risiko besteht eine Informationspflicht, des weiteren ist eine Einwilligung erforderlich.
- Einwilligung und Informationspflicht:
Das nDSG ist hier weniger streng als die DS-GVO. Es gibt zwar eine Informationspflicht, eine Einwilligung zur Datenerhebung ist in der Schweiz nicht notwendig (mit Ausnahmen). - Auskunftsrecht:
Die Auskunft hat kostenlos zu erfolgen und wie bisher binnen 30 Tagen. Der Inhalt dieser Auskunft ist im nDSG klar definiert und wurde erweitert. - ….um nur einige Neuerungen und Änderungen aufzulisten.
Handlungsempfehlung
Eine Benennungspflicht eines Datenschutzbeauftragten (Datenschutzberater) sieht das nDSG nicht vor, wird aber empfohlen. Für die Umsetzung und Einhaltung bedarf es eines Experten.
Wir empfehlen jetzt zu beginnen und ein Projektteam zusammenstellen, um einen Status Quo zu analysieren und Maßnahmen zu definieren – denn alles bedarf seiner Zeit. Für die Umsetzung und Einhaltung bedarf es eines Experten. Am 01.09.2023 zu reagieren ist zu spät.
Weitere Informationen zum Datenschutz in der Schweiz: Datenschutztag 2023 https://www.edoeb.admin.ch/edoeb/de/home/aktuell/aktuell_news.html#-1930896782
AdOrga Solutions GmbH – Ihre Datenschutz-Diplomaten.
Wenn Sie Fragen haben, kontaktieren Sie uns: consulting@AdOrgaSolutions.de.
Seit 2007 Lösungen für professionellen und fachkundigen Datenschutz.