Bild Quelle: www.mll-news.com
Das Schweizer Datenschutzgesetz (DSG) bezweckt den Schutz der Persönlichkeit und der Grundrechte von Personen, über die Daten bearbeitet werden.
Die erste Fassung des DSG trat 1992 zu einer Zeit in Kraft, als das Internet noch nicht kommerziell genutzt wurde und die digitale Realität von heute nicht vorhersehbar war. Per 1. September 2023 wird nun das neue DSG eingeführt, das den veränderten Bedingungen Rechnung trägt. Zum Beispiel müssen Unternehmen neu begründen, warum sie Informationen über ihre Kunden sammeln, und offenlegen, welchen Dritten sie diese Informationen zugänglich machen. Natürliche Personen haben zudem das Recht zu wissen, wie lange ihre Daten gespeichert und für welche Zwecke sie verwendet werden. Jede Person kann ohne Angabe von Gründen die Berichtigung fehlerhafter Daten verlangen.
Compliance-Anforderungen des nDSG
Dem neuen DSG unterliegen sämtliche in der Schweiz ansässigen und internationalen Unternehmen, die Güter und Dienstleistungen für Schweizer Firmen und BürgerInnen bereitstellen oder sensitive Daten über diese verarbeiten, z.B. medizinische Unterlagen, genetisches Material und politische Ansichten. Ist ein Unternehmen nicht physisch in der Schweiz präsent, unterliegt es trotzdem dem neuen DSG und muss einen Schweizer Vertreter benennen, der für alle Belange im Zusammenhang mit der Datenbearbeitung als Kontaktperson für die Aufsichtsbehörden und betroffene Personen in der Schweiz fungiert.
Revision des DSG
Heute gilt nach wie vor das 1992 in Kraft getretene DSG. Die Schweizer Regierung hat deshalb beschlossen, das Gesetz zu revidieren, um den aktuellen Sicherheitsrisiken Rechnung zu tragen und Unternehmen bessere Leitplanken für den Schutz sensitiver Informationen bereitzustellen. Ein weiteres Ziel war die Harmonisierung des DSG mit der Datenschutz-Grundverordnung (DSGVO) der EU.
Nach mehreren Runden öffentlicher Stellungnahmen sollte das nDSG am 1. Januar 2022 in Kraft treten. Die Inkraftsetzung wurde indes auf den 1. September 2023 verschoben. Das Gesetz ist nun auf die in der EU geltenden Standards abgestimmt und stellt damit sicher, dass der freie Datenverkehr mit der EU weitergeführt werden kann und Schweizer Unternehmen wettbewerbsfähig bleiben.
Fünf wichtige Änderungen, die es zu beachten gilt
Dies sind die fünf wichtigsten Änderungen des DSG, inkl. ihren Auswirkungen auf Schweizer und internationale Unternehmen:
1. Erweiterte Nutzereinwilligung
Im Zentrum des neuen DSG stehen das Bewusstsein der Endnutzer für die Verwendung ihrer Daten und die Zustimmung zur Datenerfassung. Gibt eine betroffene Person ihre Einwilligung, müssen ihr Unternehmen klar kommunizieren, welche Rechte und Möglichkeiten sie hat. Zudem müssen Unternehmen klare Informationen über die Erhebung, Speicherung, Verarbeitung und Nutzung der Daten bereitstellen sowie Massnahmen gemäss den Datenschutzpräferenzen der Person ergreifen, ohne diese nach Gründen zu fragen oder aufzufordern, ihren Entscheid zu überdenken.
2. Verbessertes Auskunftsrecht der betroffenen Person
Das neue DSG erleichtert es betroffenen Personen, ihr Auskunftsrecht wahrzunehmen. Denn sie müssen keine persönlichen oder Informationen darüber preisgeben, wie sie mit der Person, die ihre Daten verarbeitet hat, in Verbindung stehen. Jede natürliche Person kann Details zu den Daten verlangen, die ein Unternehmen von ihr erfasst und speichert, insbesondere:
Welche persönlichen Informationen ein Unternehmen über einen Endnutzer besitz
Wie es diese verwendet
An wen es diese weitergibt und
Wie es diese erhebt
Jede Person kann die Verarbeitung ihrer Daten ablehnen, wenn kein berechtigtes Interesse daran besteht oder sie sich gegen die Weitergabe ihrer Daten entscheidet. Unter gewissen Umständen kann eine Person gewisse Arten der Verarbeitung einschränken, z.B. automatisierte Entscheidungsfindung oder Profiling.
3. Härtere Sanktionen
Mit dem neuen DSG erhält der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) mehr Befugnisse, eine höhere Dringlichkeit der Sanktionen gegenüber Unternehmen durchzusetzen, die die neuen Standards nicht erfüllen. Im Gegensatz zu den europäischen Datenschutzbehörden kommen dem EDÖB aber keine Sanktionsbefugnisse zu. Fehlbare Personen werden durch die kantonalen Strafverfolgungsbehörden gebüsst. Der EDÖB kann zwar Anzeige erstatten und im Verfahren die Rechte einer Privatklägerschaft wahrnehmen, ein Strafantragsrecht steht ihm aber nicht zu.
Bei Verstössen drohen privaten Personen Bussen von bis zu CHF 250’000. Strafbar sind vorsätzliches Handeln und Unterlassen wie die Missachtung von Informations- und die Verletzung von Sorgfaltspflichten, nicht aber Nachlässigkeit. Gebüsst wird grundsätzlich die verantwortliche natürliche Person. Jedoch kann auch das Unternehmen selbst bis zu CHF 50’000 gebüsst werden, wenn die Ermittlung der strafbaren natürlichen Person im Unternehmen einen unverhältnismässigen Aufwand erfordern würde.
4. Meldepflicht bei Verletzungen
Nach dem neuen DSG müssen Unternehmen einen Cyberangriff oder eine Verletzung der Datensicherheit dem EDÖB und allen potenziell betroffenen Parteien so schnell wie möglich melden, wollen sie Sanktionen oder andere Komplikationen vermeiden. Bei einem Sicherheitsvorfall müssen die für die Datenverarbeitung verantwortlichen Personen die folgenden Schritte einleiten:
Vorfall unverzüglich dem EDÖB melden
Art der Datenschutzverletzung darlegen
Mögliche Folgen beschreiben
Abhilfemassnahmen erörtern und Risiken für Betroffene minimieren
Betroffene über die Datenschutzverletzung informieren
5. Privacy by Design und by Default
Gemäss revidiertem DSG müssen die aktuellen Datenschutz- und Bearbeitungsgrundsätze bereits in die Planung und das Design von Applikationen einfliessen, um der Privatsphäre der Nutzer Rechnung zu tragen. So entwickeln Unternehmen Applikationen nach dem «Security first»-Prinzip, anstatt die Sicherheits-Features nachträglich oder gar erst nach einem Vorfall zu verbessern.
Weitere wichtige Neuerungen
Das neue DSG deckt nur Daten natürlicher Personen ab.
Die Definition «besonders schützenswerte Personendaten» umfasst auch genetische und biometrische Daten.
Besteht ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person, ist eine Datenschutz-Folgenabschätzung (DSFA) durchzuführen.
Das Führen eines Verzeichnisses der Verarbeitungstätigkeiten ist obligatorisch. Ausnahmen sind möglich für KMU, deren Datenbearbeitung ein geringes Risiko mit sich bringt, die Persönlichkeit von betroffenen Personen zu verletzen.
Warum ist es wichtig, die Bestimmungen des nDSG einzuhalten?
Halten Sie als Unternehmen die Bestimmungen nicht ein, riskieren Sie hohe Bussen sowie einen Reputationsschaden.
Halten Sie die Bestimmungen ein, fördern Sie das Vertrauen Ihrer Kunden und zeigen Ihr Engagement für den Datenschutz.
Sie gewährleisten zudem, dass personenbezogene Daten verantwortungsvoll und sicher gehandhabt werden und der Einzelne die Kontrolle über deren Verwendung hat.
Übereinstimmung mit EU-Vorgaben: Das neue DSG stellt sicher, dass der freie Datenverkehr mit der EU weitergeführt werden kann und Schweizer Unternehmen wettbewerbsfähig bleiben.
Was sollten Unternehmen im Hinblick auf das neue DSG als Erstes tun?
Räumen Sie dem Datenschutz Priorität ein.
Führen Sie eine Gap-Analyse zum Datenschutz durch:
Analysieren Sie Ihre aktuelle Datenschutzsituation.
Ermitteln Sie allfällige Schwächen und Risiken in Bezug auf den Datenschutz.
Erstellen Sie eine Roadmap, um Massnahmen einzuleiten und die Risiken zu minimieren.
Ernennen Sie einen Data Protection Officer (DPO), der die Einhaltung des Schweizer DSG und anderer Datenschutzgesetze überwacht sowie Beratung und Orientierung zum Datenschutz bietet.
Führen Sie ein Verzeichnis aller Verarbeitungstätigkeiten (Verzeichnis der Bearbeitungstätigkeiten).
Definieren Sie interne Praktiken und Verfahren für das Speichern, Nutzen, Übermitteln und Löschen von Daten im Einklang mit dem Gesetz.
Definieren Sie Prozesse für das Auskunftsrecht, den Umgang mit Datenschutzverletzungen und die Datenschutz-Folgeabschätzung.
Schulen Sie alle Mitarbeitenden zum neuen DSG und zu Datenschutzthemen.
Quelle der DSG & nDSG Zusammenfassung: Was ist das DSG? Das neue Schweizer Datenschutzgesetz 2023 im Überblick (adnovum.com)
Was hat nun das mit der Sonio AG zu tun?
Die Sonio AG ist der grösste Veritas Partner in der Schweiz mit über 20 Jahren Erfahrungen.
Die Veritas hat im Laufe der Jahre Produkte entwickelt, welche Sie bei der Umsetzung zur Einhaltung des Datenschutzgesetzes unterstützt.
Das integrierte Portfolio an Daten-Compliance-Funktionen von Veritas fasst Informationen aus verschiedenen Datenquellen zusammen, um den Zugriff zu optimieren, die Einhaltung gesetzlicher Vorschriften zu gewährleisten, Einblicke zu gewähren, Analysen zu unterstützen und das Unternehmensrisiko zu minimieren.
Der integrierte Ansatz von Veritas zur Verwaltung von Compliance- und Unternehmensdaten verwandelt grosse Datenmengen in verwertbare Erkenntnisse. Darüber hinaus ermöglichen es die Berichts- und Visualisierungsfunktionen mit den Veritas Insight Produkten den Unternehmen, risikobehaftete Daten zu klassifizieren, Dateneigentümer einzubeziehen und den Zugriff auf sensible personenbezogene Daten zu sperren oder gar zu löschen, um die Daten-Compliance und die Entscheidungsfindung zu verbessern.
Darüber hinaus beseitigt die Veritas Integrated Classification Engine die Herausforderungen der Datensicherheit und der Compliance. Als Gartner Magic Quadrant Leader ist Veritas ein Marktführer im Bereich Unternehmensinformations-Archivierung. Die Benutzer können ihre Daten archivieren und von überall abrufen.
Veritas bietet ein integriertes Insight-Produktportfolio, das auf dem Markt einzigartig ist. Sie wird von einem umfassenden und robusten Technologie-Ökosystem unterstützt. Kein anderer Anbieter kommt an den Umfang und die Vielseitigkeit der Veritas Enterprise Data Services heran.
Erfahren Sie mehr über die Insight Produkte von Veritas und kontaktieren uns.