Die Schweiz verabschiedet ein neues Gesetz, um die Daten ihrer Einwohner besser zu schützen. Unternehmen im Land müssen die Vorschriften ab dem 1. September 2023 einhalten. Während der Herbstsitzung 2020 verabschiedete das Parlament das neue Bundesdatenschutzgesetz (nLPD). Es verbessert die Verarbeitung personenbezogener Daten und gewährt Schweizer Bürgern neue Rechte. Mit dieser wichtigen Gesetzesänderung gehen auch eine Reihe von Pflichten für Unternehmen einher.
Die Gesamtrevision des Datenschutzgesetzes (nLPD) und die dazugehörigen Ausführungsbestimmungen in der neuen Datenschutzverordnung (DSG) und der neuen Datenschutzzertifizierungsverordnung (DSG) treten am 1. September 2023 in Kraft.
Es braucht ein neues Gesetz
Das erste Bundesgesetz zum Datenschutz stammt aus dem Jahr 1992. Mittlerweile hat die Schweizer Bevölkerung die Nutzung von Internet und Smartphones in ihren Alltag eingeführt und nutzt zunehmend soziale Netzwerke, Clouds oder das Internet der Dinge. In diesem Zusammenhang ist eine vollständige Überprüfung des Datenschutzrechts und nicht mehr nur eine Teilüberprüfung wie in den Jahren 2009 und 2019 unerlässlich, um der Bevölkerung einen angemessenen, an die technologische und gesellschaftliche Entwicklung unserer Zeit angepassten Datenschutz zu gewährleisten.
Die Vereinbarkeit des Schweizer Rechts mit europäischem Recht, insbesondere mit der europäischen Datenschutzverordnung (DSGVO), ist ein weiterer Schwerpunkt des neuen Gesetzes. Die nLPD soll es ermöglichen, den freien Datenverkehr mit der Europäischen Union (EU) aufrechtzuerhalten und so den Verlust der Wettbewerbsfähigkeit von Schweizer Unternehmen verhindern.
Was sind die wichtigsten Änderungen? Die nLPD führt die folgenden acht wichtigen Änderungen für Unternehmen ein.
1) Ab sofort werden nur noch die Daten natürlicher Personen erfasst, nicht mehr die Daten juristischer Personen.
2) Genetische und biometrische Daten fallen unter die Definition sensibler Daten.
3) Die Grundsätze „Privacy by Design“ und „Privacy by Default“ werden eingeführt. Wie der Name schon sagt, impliziert das Prinzip „Privacy by Design“ (Datenschutz von Anfang an), dass Entwickler den Schutz und die Achtung des Privatlebens der Benutzer in die Struktur des Produkts oder der Dienstleistung integrieren, mit der personenbezogene Daten erfasst werden sollen. Das Prinzip „Privacy by Default“ (Datenschutz durch Voreinstellungen) gewährleistet hingegen ein Höchstmaß an Sicherheit ab dem Zeitpunkt, an dem das Produkt oder die Dienstleistung in Verkehr gebracht wird, indem alle Maßnahmen automatisch, also ohne Benutzereingriff, aktiviert werden zum Schutz der Daten und zur Beschränkung ihrer Nutzung erforderlich. Mit anderen Worten: Sämtliche Software, Materialien und Dienste müssen so konfiguriert sein, dass sie Daten schützen und die Privatsphäre der Benutzer respektieren.
4) Bei hoher Gefährdung der Persönlichkeit oder der Grundrechte der betroffenen Personen ist eine Wirkungsanalyse durchzuführen.
5) Das Auskunftsrecht wird erweitert: Die Erhebung aller personenbezogenen Daten – und nicht nur der sogenannten sensiblen Daten – muss zur Vorabinformation des Betroffenen führen.
6) Die Erstellung eines Verzeichnisses der Verarbeitungstätigkeiten wird verpflichtend.
7) Im Falle einer Datenschutzverletzung ist eine sofortige Benachrichtigung erforderlich, die an den Federal Information and Data Protection Commissioner (IDT) gesendet werden muss.
8) Der Begriff Profiling (also die automatisierte Verarbeitung personenbezogener Daten) wird gesetzlich verankert.
Die Website des EDÖB (Neues Bundesdatenschutzgesetz) bietet genauere und detailliertere Informationen zu den durch die nLPD eingeführten Änderungen.
Unterschiede zur EU – Unternehmen, die bereits die Datenschutz-Grundverordnung (DSGVO) der EU eingehalten haben, werden kaum Änderungen vornehmen müssen. Der Verein SwissPrivacy.Law hat einen veröffentlicht Vergleichstabelle zwischen der nLPD und den europäischen Vorschriften (auf Französisch).
Quelle: Eidgenössisches Departement für Wirtschaft, Bildung und Forschung der Schweizerischen Eidgenossenschaft
„Kann mit Boxhandschuhen nicht tippen. Speckfan. Entdecker. Möchtegern-Bierkenner. Preisgekrönter Alkoholspezialist. Webjunkie.“