nDSG: Alles, was Sie über das neue Datenschutzgesetz in der Schweiz wissen sollten

3G Nachweis Datenschutz Covid 19

Am 1. September 2023 tritt in der Schweiz das totalrevidierte Datenschutzgesetz (nDSG oder revDSG) in Kraft. Dieses ersetzt das Datenschutzgesetz, welches seit 1992 nicht mehr angepasst wurde, somit nicht mehr zeitgemäss ist und dem Datenschutzniveau der EU nicht mehr entspricht. Die wichtigsten Neuerungen, die das neue Datenschutzgesetz mit sich bringt und welche Massnahmen Unternehmen jetzt ergreifen müssen, erfahren Sie in diesem Artikel.

Setzen Sie diese 12 Massnahmen um, um dem neuen Datenschutzgesetz gerecht zu werden.

Das Wichtigste zusammengefasst:

  • Das Schweizer Datenschutzgesetz ist nicht mehr zeitgemäss und entspricht nicht dem Datenschutzniveau der Europäischen Union.

  • Am 1. September 2023 tritt ein neues Datenschutzgesetz in Kraft, welches auf Basis der DSGVO erlassen wird (nDSG).

  • Unternehmen, die Personendaten bearbeiten, müssen Massnahmen treffen, damit sie das neue Datenschutzgesetznicht verletzen.

  • Bei einem Verstoss gegen das nDSG drohen Unternehmen hohe finanzielle Bussen bis zu 250'000 CHF.

Setzen Sie diese 12 Massnahmen um, um dem neuen Datenschutzgesetz gerecht zu werden.

Datenschutzgesetz in der Schweiz

Das schweizerische Datenschutzgesetz von 1992 wurde seit seinem Erlass nicht revidiert. Unterdessen trat die europäische DSGVO in Kraft. Das neue Datenschutzgesetz (nDSG oder revDSG) wurde auf Basis der DSGVO entworfen und dementsprechend angepasst.

Beispiele von Regelungen, die bisher galten:

  • Das schweizerische Datenschutzgesetz betraf bisher nur Datenbearbeitungen in der Schweiz.

  • Bisher waren auch die Daten von juristischen Personen geschützt.

  • Informationspflichten bestanden nur bei der Verarbeitung besonders schützenswerter Daten und bei der Erstellung von Persönlichkeitsprofilen.

nDSG: Einfach erklärt

Das neue Datenschutzgesetz (nDSG), das am 1. September 2023 in Kraft tritt, bietet einen besseren Schutz der persönlichen Daten von natürlichen Personen. Das nDSG ist zudem auf die DSGVO abgestimmt und entspricht dem europäischen Datenschutzniveau. Zwei wichtige Neuerungen sind die verbesserte Transparenz der Datenbearbeitung sowie verbesserter Schutz von betroffenen Personen.

Gut zu wissen: Schweizer Unternehmen sollten bestimmte Anpassungen bis zum 1. September 2023 vornehmen, ansonsten drohen ihnen hohe finanzielle Bussen. 

Checkliste: Auf das REVDSG optimal vorbereiten

Checkliste zur revDSG

Um dem neuen Datenschutzgesetz gerecht zu werden, sollte Ihr Unternehmen diese zwölf Massnahmen prüfen und gemäss der revDSG-Änderungen umsetzen.

Hier Checkliste herunterladen

nDSG: Wer ist betroffen?

Vom neuen Datenschutzgesetz (nDSG) betroffen sind:

  • sämtliche Unternehmen mit Sitz in der Schweiz; 

  • ausländische Unternehmen, die in der Schweiz tätig sind oder 

  • ausländische Unternehmen, deren Datenbearbeitung sich in der Schweiz auswirkt.

Diese Unternehmen stehen in der Pflicht, das neue Datenschutzgesetz (nDSG) zu beachten und umzusetzen.

Hinweis: Privatpersonen müssen das Gesetz nicht beachten, solange die Personendaten ausschliesslich zum persönlichen Gebrauch bearbeitet werden. «Persönlicher Gebrauch» bedeutet, dass Daten nur im engeren Privat- und Familienkreis bearbeitet werden. Betreiben private Personen jedoch eine öffentliche Website, fällt diese bereits unter das neue Datenschutzgesetz (nDSG).

Folgen bei Datenschutzverletzung: Sanktionen

Verletzt ein Unternehmen die neuen Datenschutzbestimmungen, drohen hohe Strafen in Form von Bussen. Diese werden der verantwortlichen, natürlichen Person auferlegt. Die Bussen können bis zu 250'000 CHF betragen.

Beispiel: Ein Unternehmen würde das nDSG verletzen, wenn kein Vertrag mit Dritten, die Daten bearbeiten, abgeschlossen wurde. Eine Verletzung des nDSG würde zudem vorliegen, wenn Informationspflichten verletzt wurden, indem beispielsweise keine oder nur eine ungenügende Datenschutzerklärung vorliegt.

Tipp: Bis zum 1. September 2023 sollten die neuen Gesetze spätestens umgesetzt worden sein.

nDSG vs. DSGVO

Schweizer Unternehmen mussten bisher die DSGVO beachten, wenn sie

  • personenbezogene Daten von Privaten in der EU bearbeiteten;

  • Privaten in der EU ihre Waren oder Dienstleistungen anboten oder

  • das Verhalten von Personen in der EU beobachteten.

Gut zu wissen: Unternehmen, deren Datenschutz bereits DSGVO-konform ist, werden keine bis wenige Änderungen vornehmen müssen.

Das sind die wichtigsten Unterschiede zwischen dem neuen Datenschutzgesetz (nDSG) und der DSGVO:

 

nDSG

DSGVO

Sanktionen

Das nDSG sieht Bussen bis zu 250'000 CHF vor.

Die DSGVO sieht Bussen bis zu 20 Mio. EUR oder 4 % des weltweiten Jahresumsatzes des Unternehmens vor.

Datenschutzbeauftragter

Gemäss neuem Datenschutzgesetz (nDSG) gibt es keine Pflicht, einen Datenschutzbeauftragten zu ernennen, wird jedoch ausdrücklich empfohlen.

Nach Art. 37 DSGVO besteht in bestimmten Fällen eine Pflicht, einen Datenschutzbeauftragten zu ernennen.

Meldung von Datenschutzverletzungen

Datenschutzverletzungen müssen gemäss nDSG schnellstmöglich gemeldet werden.

Verletzungen müssen der zuständigen EU-Aufsichtsbehörde innerhalb von 72 Stunden gemeldet werden.

Datenschutz-

Folgenabschätzung

Wenn die Persönlichkeit oder Grundrechte der betroffenen Person einem erheblichen Risiko ausgesetzt sind, ist eine Datenschutz-Folgenabschätzung durchzuführen.

Obligatorische Konsultation der Aufsichtsbehörden, wenn trotz Massnahmen ein erhebliches Datenschutzrisiko besteht.

Profiling

Profiling ist die automatisierte Bearbeitung personenbezogener Daten. Nur bei High-Risk-Profiling muss eine Zustimmung eingeholt werden.

Allgemeine Pflicht, die Zustimmung bei Profiling einzuholen.

Sensitive Daten

Der Kreis der sensitiven Daten ist gesetzlich festgelegt und wird erweitert (Details unter «Die wichtigsten Änderungen»).

Besondere Kategorien personenbezogener Daten gemäss Art. 9 GDPR.

Die wichtigsten Änderungen

Im Folgenden finden Sie einen Überblick über die wichtigsten Änderungen im schweizerischen Datenschutzrecht: 

 

Altes Datenschutzgesetz

 

Neues Datenschutzgesetz ab 1. September 2023

Wen schützt das Gesetz?

Juristische (Unternehmen) und natürliche Personen

Nur noch natürliche Personen

Sanktionen

Bussen bis zu 250'000 CHF

 

Informationspflicht

Nur bei besonders schützenswerten Personendaten

Bei jeder Datenbearbeitung

Besonders schützenswerte Personendaten

Daten über die religiösen, weltanschaulichen, politischen Ansichten oder Daten über die Gesundheit

Weitere Kategorien gemäss Art. 3 lit. c DSG

Zusätzlich:

Massnahmen der sozialen Hilfe

genetische und biometrische Daten

Privacy by Design (Datenschutz durch Technik)

Kein verbindlicher Privacy-by-Design-Grundsatz

Der Datenbearbeitende muss Massnahmen ergreifen, um das Risiko von Datenschutzverletzungen während des Datenverarbeitungsprozesses zu reduzieren.

Privacy by Default (datenschutzfreundliche Voreinstellungen)

Kein verbindlicher Privacy-by- Default-Grundsatz

Der Datenbearbeitende ist verpflichtet, sicherzustellen, dass erforderliche personenbezogene Daten nur für den jeweiligen Zweck verarbeitet werden.

Datenschutz-

Folgenabschätzung

Keine Datenschutz-

Folgenabschätzung

Bei hohem Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person ist eine Datenschutz-

Folgenabschätzung durchzuführen.

Verzeichnis der Datenbearbeitungs-tätigkeiten

Pflicht zur Führung eines Verzeichnisses der Datensammlungen

Ab 250 Mitarbeitenden ist ein Verzeichnis der Datenbearbeitungstätigkeiten zu führen.

Sorgen Sie für rechtskonforme Personalprozesse

Digitale Personalakte Ansichtsrechte

Speichern Sie Bewerber- und Mitarbeiterdaten nach Vorschrift, stellen Sie sicher, dass Mitarbeitende und Führungskräfte nur die Daten sehen, die sie sehen sollen, und bleiben Sie so rechtskonform: Alles mit Personio. 

Personio kostenlos testen

Was müssen Unternehmende beachten?

Handlungsempfehlungen

Es sind technische Massnahmen, organisatorische Massnahmen sowie Massnahmen zur Gewährung der Datensicherheit zu treffen.

Technische Massnahmen:

Bei den technischen Massnahmen handelt es sich um die physische Sicherheit, die sichergestellt werden muss. 

Beispiele: Zugangskontrollen, Sicherstellung der Arbeitsplatzsicherheit durch Vorkehrungen wie Sperrbildschirme und Antivirenprogramme.

Mit der geeigneten Digitalisierungsstrategie behalten Sie den Überblick über Ihre Datenbearbeitungen. Lesen Sie hier mehr dazu: Digitalisierungsstrategie

Organisatorische Massnahmen: 

Organisatorische Massnahmen beziehen sich auf die Mitarbeitenden im Unternehmen.

Beispiele: Sensibilisierung und Schulung der Mitarbeitenden und Erarbeitung interner Richtlinien.

Massnahmen zur Datensicherheit 

Die Datensicherheit wird unter anderem mit folgenden Mitteln erzielt:

  • Regelmässige Risikobewertungen

  • Definition von Risikobereitschaft und -toleranz

  • Verschlüsselung vertraulicher Datenfelder

  • Einsatz geeigneter Identitäts- und Zugangskontrollen

  • Sicherheitsüberwachung bei risikobehafteten Situationen

  • Verträge über die ordnungsgemässe Bearbeitung von personenbezogenen Daten mit Drittpersonen

Möchten Sie eine digitale Signatur in Ihrem Unternehmen einführen? Hier lesen Sie, wie Sie diese datenschutzkonform umsetzen: Qualifizierte elektronische Signatur.

Checkliste zur Umsetzung des nDSG

Ist Ihr Unternehmen bereit für das nDSG? Mit dieser Checkliste erhalten Sie einen Überblick über die Datensicherheit und den erforderlichen Handlungsbedarf in Bezug auf Ihre Datenbearbeitungen:

  • Bestandsaufnahme der Bearbeitung von Personendaten durchführen:

Welche Personendaten werden wofür und wie gesammelt?

  • Risikobewertung durchführen: Welche Anforderungen müssen an die Datenschutz-Compliance gestellt werden?

  • Sind die betroffenen Personen informiert, deren Daten bearbeitet werden?

  • Liegen Prozesse vor, um auf Anfragen von Betroffenen reagieren zu können?

  • Sind Meldeprozess und Handlungsbedarf bei Datenschutzvorfällen definiert?

  • Liegt ein Verzeichnis der Verarbeitungstätigkeiten vor?

  • Ist ein Datenschutzvertreter in der Schweiz erforderlich?

  • Liegt für jeden Drittanbieter ein Auftragsverarbeitungsvertrag vor? 

Hier erhalten Sie weitere Massnahmen, um sich auf das neue Gesetz vorzubereiten.

Fazit

Bis zum 1. September 2023 sollten Sie die erforderlichen Anpassungen an das Datenschutzgesetz vornehmen. Sind Sie unsicher, ob Sie alle Regelungen einhalten? Lassen Sie sich von Personio beraten, um auf der sicheren Seite zu sein und hohe Strafzahlungen zu vermeiden. 

Mit der geeigneten Digitalisierungsstrategie behalten Sie den Überblick über Ihre Datenbearbeitungen. Lesen Sie mehr dazu hier: Digitalisierungsstrategie

Häufig gestellte Fragen

Was ist das nDSG Schweiz?

Das neue Datenschutzgesetz, das ab 1. September 2023 in Kraft tritt. 

Für wen gilt das neue Datenschutzgesetz Schweiz?

Sämtliche Unternehmen mit Sitz in der Schweiz sowie ausländische Unternehmen, die in der Schweiz tätig sind oder ausländische Unternehmen, deren Datenbearbeitung sich in der Schweiz auswirkt, stehen in der Pflicht, das neue Datenschutzgesetz (nDSG) zu beachten und umzusetzen. 

Welche Strafen drohen bei Datenschutzverletzungen?

Es drohen Bussen bis zu 250'000 CHF.

Disclaimer

Checkliste: Bereiten Sie sich auf das nDSG vor

Checkliste zur revDSG