Ab dem 1. September 2023 tritt das totalrevidierte Datenschutzgesetz (DSG) in Kraft, welches erhöhte Auskunfts-, Informations- und Meldepflichten mit sich bringt und zu einem besseren Schutz von persönlichen Daten führen soll. Ziel der Revision ist es, das Schweizer Datenschutzgesetz dem europäischen Recht anzugleichen. Es besteht keine Übergangsfrist, somit muss die eigene Datenbearbeitung bis zum 1. September 2023 angepasst werden.
Strafrechtliche Sanktionen
Neu gilt für die bewusste Verletzung gewisser Pflichten eine Strafbarkeit, welche nicht das Unternehmen, sondern die dafür verantwortliche Person betrifft. Verantwortlich können, je nach Unternehmensform, Mitglieder des Verwaltungsrates, die Geschäftsleitung oder weitere entscheidungsbefugte Personen sein. Strafbar sind unter anderem die Verletzung von Informationspflichten, der Datensicherheit oder von Auskunftspflichten.
Neue Informationspflichten
Natürliche Personen müssen in einer Datenschutzerklärung angemessen über die Bearbeitung ihrer Daten informiert werden. Neu müssen die betreffenden Personen detaillierter über den Umfang und den Zweck der Datenverarbeitung informiert werden. Eine einfache Erklärung, dass Personendaten gesammelt werden, reicht somit nicht mehr.
Gestärkte Betroffenenrechte
Personen, deren Daten bearbeitet werden, haben gegenüber dem Unternehmen verschiedene Rechte («Betroffenenrechte»). Unter anderem haben sie das Recht, Auskunft über ihre Daten zu erhalten sowie fehlerhafte Daten korrigieren zu lassen. Dies sollte innerhalb von 30 Tagen und ohne Kostenfolge für die betroffene Person erfolgen. Zusätzlich kann, unter gewissen Umständen, auch eine Löschung der Daten verlangt werden.
Stärkung der Datensicherheit
Unternehmen mit mehr als 250 Mitarbeitenden müssen ein Verzeichnis aller Aktivitäten führen, bei denen Personendaten bearbeitet werden. Unternehmen mit weniger als 250 Mitarbeitenden sind von dieser Pflicht ausgenommen, sofern es sich nicht um «besonders schützenswerte Daten» handelt. Zudem wird generell eine Datenschutz Folgeabschätzung («DSFA») nötig, wenn Datenverarbeitungen geplant werden, welche für die Betroffenen risikoreicher sein können. Eine DSFA beinhaltet insbesondere eine Dokumentation des genauen Vorhabens sowie entsprechender Schutzmassnahmen.
Generell gilt es hervorzuheben, dass mit angemessenem Aufwand keine hundertprozentige Sicherheit gewährleistet werden kann. Dies wird auch vom neuen Datenschutzgesetz anerkannt. Kleinere Datenschutzverletzungen werden somit nicht sanktioniert, sofern sorgfältig und nach bestem Wissen und Gewissen gehandelt wurde.
