Revision des schweizerischen Datenschutzgesetzes – aktueller Stand
Das schweizerische Datenschutzgesetz (DSG) befindet sich zur Zeit in Revision, wie Sie sicherlich der Presse entnommen haben.
Gegenstand der Revision ist v.a. die Anpassung des etwas in die Jahre gekommenen DSG aus dem Jahr 1992 an die zunehmende Digitalisierung in unserer Gesellschaft. Dabei hat die EU mit der bereits im April 2016 beschlossenen Datenschutz-Grundverordnung (DSGVO) einen neuen europäischen Standard gesetzt. Das schweizerische Parlament hat nun in der Herbstsession 2020 die zweite und vorläufig letzte Etappe der Revision des DSG verabschiedet, welche im Wesentlichen eine Angleichung des DSG an das europäische Recht zum Ziel hatte. Die Referendumsfrist ist im Januar 2021 ungenutzt abgelaufen. Damit steht einem Inkrafttreten des revidierten DSG nur noch die Ausarbeitung und Fertigstellung der zugehörigen Ausführungsverordnungen zum revidierten Gesetz im Wege. Man rechnet mit einem voraussichtlichen Inkrafttreten der Revision in der zweiten Hälfte 2022.
Mit der Revision werden teilweise neue Pflichten für Unternehmen geschaffen, und gleichzeitig auch Privatpersonen neue Rechte eingeräumt. Dabei fallen grundsätzlich alle Unternehmen, die Personendaten natürlicher Personen bearbeiten, in den Anwendungsbereich des revidierten DSG, also auch kleinere KMU.
Zu den neuen Pflichten gehören insbesondere Meldepflichten bei Verletzungen der Datensicherheit (Art. 24 revDSG), das Führen eines Verzeichnisses mit Bearbeitungstätigkeiten (Art. 12 revDSG, mit Ausnahmen), Pflichten zur Durchführung von Datenschutz-Folgeabschätzungen (Art. 22 revDSG), die Einhaltung der Grundsätze «Privacy by Design» und «Privacy by Default» (Art. 7 revDSG) sowie ausgebaute Informationspflichten (Art. 19 bis 21 revDSG), um hier nur einige Beispiele zu nennen.
Ähnlich wie bereits die DSGVO sieht auch das revidierte DSG eine örtliche Ausdehnung des Anwendungsbereichs des DSG auf extraterritoriale Vorgänge vor, womit auch Sachverhalte, die sie bei Unternehmen mit Sitz im Ausland ereignen, in den Anwendungsbereich des revidierten DSG fallen können (Art. 3 revDSG). Bezüglich der Verletzung des revidierten Datenschutzgesetzes sind Bussen bis zu CHF 250’000 vorgesehen, wobei sich die Bussen grundsätzlich gegen die handelnde/verantwortliche natürliche Person und nicht gegen das Unternehmen selbst richtet (mit der in Art. 64 Abs. 2 revDSG vorgesehenen Ausnahme). Strafbar ist dabei nur (eventual-)vorsätzliches Verhalten.
Nach dem Gesagten sind somit vor allem Unternehmen gefordert, sich auf das revidierte DSG vorzubereiten, die bisher ihre Datenschutz-Organisation und entsprechende Vereinbarungen noch nicht an die Vorgaben der DSGVO angepasst haben.
(Mai 2021)
SNPlegal unterstützen und begleiten Sie gerne bei der datenschutzkonformen Ausgestaltung von Verträgen und Vereinbarungen, wie z.B. Datenschutzerklärungen oder Auftragsdatenvereinbarungen. Kontaktieren Sie uns für mehr Informationen und fordern Sie unsere Beratung an:
Ihre Spezialisten: