Das erste Bundesgesetz über den Datenschutz stammt aus dem Jahr 1992. In der Zwischenzeit haben die Nutzung von Internet und Smartphone, aber auch von sozialen Netzwerken oder Cloud-Dienste unser Leben radikal verändert. Vor diesem Hintergrund sei eine vollständige Überarbeitung des Datenschutzgesetzes unverzichtbar gewesen, informiert der Bund über das KMU-Portal .
Das neue Gesetz soll einen angemessenen und an die technologischen und gesellschaftlichen Veränderungen unserer Zeit angepassten Datenschutz garantieren. Auch ein Abgleich mit EU-Recht ist Teil des neuen Gesetzes. Für Unternehmen gelten damit verschärfte Regeln. Die bestehenden Richtlinien und Datenschutzerklärungen sollten also per 1. September 2023 angepasst worden sein.
Bussen bis 250’000 Franken
Beachten Sie bitte besonders Punkt 5 der Änderungen unten. Auch wenn Sie auf ihrer Internetseite nur einen Blog oder ein Kontaktformular führen, einen Newsletter verteilen oder Bestellungen aufnehmen, beschaffen sie damit Personendaten und sind also dazu verpflichtet vorgängig über diese Datensammlung zu informieren.
Bei Verletzung von Informations-, Auskunfts- und Mitwirkungspflichten durch verantwortliche Personen, können Bussen bis zu 250'000 Schweizer Franken ausgesprochen werden. Das Gesetz tritt am 1. September 2023 in Kraft. Es gibt keine Übergangsfrist.
Die wichtigsten Änderungen des revidierten Datenschutzgesetzes (DSG)
1. Neuer Geltungsbereich: Das revidierte DSG beschränkt sich auf den Schutz natürlicher Personen, nicht mehr auf die von juristischen Personen.
2. Erweiterter Umfang: neue gelten auch genetische und biometrische Daten als besonders schützenswert.
3. "Privacy by Design" und "Privacy by Default" (Schutz durch Technikgestaltung und durch Voreinstellungen): Unternehmen verpflichten sich den Datenschutz bereits in die Produkte, wie Handy-Applikationen, einzubauen. Auch wenn diese Produkte dann verwendet werden, muss bereits standardmässig die höchste Sicherheitsstufe eingestellt sein. Der Nutzer muss diesen Schutz also nicht zuerst selbst manuell einstellen.
4. Datenschutz-Folgenabschätzungen: Unternehmen sind neu verpflichtet, eine Datenschutz-Folgenabschätzung durchzuführen, sofern ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen besteht.
5. Verbesserte Transparenz: Mit diesem Punkt wird die Informationspflicht ausgeweitet. Bei jeder Beschaffung von Personendaten – und nicht mehr nur von sogenannten besonders schützenswerten Daten – muss die betroffene Person vorgängig informiert werden.
6. Verzeichnis der Bearbeitungstätigkeiten: Unternehmen sind neu verpflichtet, ein Verzeichnis der Bearbeitungstätigkeiten zu führen. Die Verordnung zum Gesetz sieht jedoch eine Ausnahme für KMU vor, deren Datenbearbeitung nur ein geringes Risiko von Verletzungen der Persönlichkeit von betroffenen Personen mit sich bringt.
7. Rasche Meldung bei Verletzung: Eine Verletzung der Datensicherheit muss so rasch als möglich gemeldet werden. Diese Meldung ist an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) zu richten.
8. Profiling: Das Profiling, also die automatisierte Bearbeitung personenbezogener Daten, wurde in das Gesetz aufgenommen. Mit dieser Bearbeitung werden bestimmte persönliche Aspekte einer Person wie wirtschaftliche Lage, Gesundheit, Interessen, Verhalten, Aufenthaltsort usw. bewertet.
