Mit der Einführung der EU-DSGVO am 25.05.2018 welches nach dem Marktortprinzip länderübergreifend ist, wurde die Schweiz gefordert, ihr Datenschutzgesetz, das noch aus dem Jahr 1992 stammt, anzupassen.
In 16 Sitzungen im Stände- und Nationalrat über die Zeit vom 12.06.2018 bis 25.09.2020 hat das Parlament ein neues Datenschutzgesetz entworfen, dass in vielen Punkten ähnlich zum europäischen Gesetz ist.
In einem Überblick zeigen Ihnen die Datenschutzspezialisten von ad notitia die wichtigsten Informationen zum neuen Schweizer Datenschutzgesetz auf.
Ein massgeblicher Unterschied des neuen DSG ist, dass es nicht mehr auf juristische Personen anwendbar ist, sondern dem Schutz von natürlichen Personen dient. Ab 250 Mitarbeitern wird das Führen eines Verzeichnisses aller Datenbearbeitungen obligatorisch. Der Bundesrat darf bei Unternehmen mit weniger Beschäftigten Ausnahmeregelungen erlassen. Ausländische Unternehmen, die auf dem schweizerischen Markt tätig sind, sollen einen Vertreter in der Schweiz benennen.
Durch die Verwendung neuer Technologien, die ein hohes Risiko bergen, soll neu eine proaktive Datenschutz-Folgenabschätzung durchgeführt werden. Gesetzlich werden auch die Prinzipen Privacy by Design und Privacy by Default verankert.
Des Weiteren wird auch ein Recht auf Daten Portabilität eingeführt. Somit kann jede Person verlangen, sie betreffende Personendaten elektronisch herauszugeben oder dass Ihre Daten einem Drittunternehmen übergeben werden.
Das Strafmass soll deutlich erhöht werden, im neuen DSG sind Bussen bis 250’000 Franken vorgesehen.
Der räumliche Geltungsbereich wird auch auf das Ausland ausgedehnt.
‚Marktortprinzip‘, vergleichbar mit der europäischen Datenschutz-Grundverordnung (DSGVO).
Führung eines Verzeichnisses über Datenbearbeitung wird sowohl für den Verantwortlichen als auch für den Auftragsberarbeiter zur Pflicht.
Eine Datenschutz-Folgeabschätzung ist verpflichtend vorzunehmen, wenn der Verantwortliche für eine Datenbearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen sieht.
Meldungen von Verletzungen des Datenschutzes sind so rasch als möglich dem EDÖB mitzuteilen. Der Auftragsbearbeiter muss eine Verletzung der Datensicherheit dem Verantwortlichen (nicht dem EDÖB) so rasch als möglich melden.
Verwaltungssanktionen sind im totalrevidierten Schweizer DSG nicht vorgesehen. Im Gegensatz zur strafrechtlichen Verfolgung würde dabei jede in einer Organisation / Firma feststellbare Pflichtverletzung ins Gewicht fallen werden. Im DSGVO sind diese abhängig von der wirtschaftliche Potenz der betroffenen Organisation und von den allenfalls unter Inkaufnahme von datenschutzrechtlichen Pflichten erzielten Gewinne. Nach der DSGVO drohen Strafen von bis zu 20 Mio. Euro oder 4% des Umsatzes.
Verbands- und Sammelklagen sind nicht vorgesehen.
In Bezug auf die Einführung gehen die Meinungen auseinander. Der Rollout könnte ähnlich wie bei der Einführung der DSGVO, mit einer 2-jährigen Vorlauf-Zeit umgesetzt werden, es kann aber durchaus sein, dass das Gesetz früher in Kraft tritt. Einige meine, schon im Jahre 2021.
Wir werden Sie an dieser Stelle weiter informieren.
Information Parlament: https://www.parlament.ch/de/ratsbetrieb/amtliches-bulletin/amtliches-bulletin-die-verhandlungen?SubjectId=50305
https://datenrecht.ch/ndsg-ohne-botschaft/
6. November 2020, visions.ch