Startseite ' Ressourcen ' Artikel ' Schweizerisches Bundesgesetz über den Datenschutz...

Erläuterung der Revisionen des Bundesgesetzes über den Datenschutz (DSG)

Abgedeckt durch Termly

von: Anokhy Desai CIPP/US, CIPT, CIPM Anokhy Desai CIPP/US, CIPT, CIPM | Aktualisiert am: 31. Oktober 2024

Die Einhaltung des INLB ist kostenlos
Schweiz-Revidiertes-Bundesgesetz-(DSG)-01

Das schweizerische Bundesgesetz über den Datenschutz (DSG) und die Verordnung zum Bundesgesetz über den Datenschutz (Verordnung) wurden 2023 revidiert, um sie besser an die Datenschutz-Grundverordnung anzupassen.

In diesem Leitfaden beschreibe ich die Anforderungen, die Unternehmen im Rahmen des überarbeiteten schweizerischen DSG erfüllen müssen, und erkläre, wie sich diese Aktualisierungen auf Unternehmen und Verbraucher auswirken.

Inhaltsübersicht
  1. Die wichtigsten Änderungen des schweizerischen INLB
  2. Was ist das schweizerische Bundesgesetz über den Datenschutz (DSG)?
  3. Revidiertes Schweizer INLB im Vergleich zum ursprünglichen INLB
  4. Für wen gilt das revidierte Schweizer INLB?
  5. Wen schützt das revidierte Schweizer INLB?
  6. Wie schneidet das revidierte schweizerische INLB im Vergleich zu DSGVO ab?
  7. Wie kann Termly bei der Einhaltung des schweizerischen FADP helfen?
  8. Zusammenfassung

Die wichtigsten Änderungen des schweizerischen INLB

Die Revision des schweizerischen Bundesgesetzes über den Datenschutz bringt mehrere Änderungen in Bezug auf den räumlichen Geltungsbereich, die Verbraucherrechte und die Pflichten bei der Datenverarbeitung mit sich.

Das überarbeitete INLB umfasst:

  • Ein ausdrücklicher extraterritorialer Geltungsbereich.
  • Eine Ausweitung der sensiblen Daten auf genetische und biometrische Informationen.
  • Die Verpflichtung für ausländische für die Datenverarbeitung Verantwortliche oder Auftragsverarbeiter, einen Schweizer Vertreter zu benennen.
  • Erfassen von natürlichen Personen im Gegensatz zu juristischen Personen.
  • Breitere Rechte für Einzelpersonen.
  • Eine Verpflichtung für Unternehmen, Personen über jede Datenverarbeitung zu informieren.
  • Einige Unternehmen sind verpflichtet, ein Register ihrer Verarbeitungstätigkeiten zu erstellen.
  • Neue Pflichten im Zusammenhang mit der Meldung und Benachrichtigung über eine Datenschutzverletzung.

Was ist das schweizerische Bundesgesetz über den Datenschutz (DSG)?

Das schweizerische Bundesgesetz über den Datenschutz(DSG) ist die wichtigste Datenschutzverordnung des Landes.

Sie schützt das Volk in Verbindung mit der Verordnung zum Bundesgesetz über den Datenschutz, kurz Verordnung, und ist seit 1993 in Kraft.

Warum wurde das schweizerische INLB revidiert?

Der Bundesrat hat das DSG revidiert, um es besser mit dem DSGVO, dem Datenschutzgesetz zum Schutz der Verbraucher in der Europäischen Union (EU)/im Europäischen Wirtschaftsraum (EWR), in Einklang zu bringen.

Die Angleichung des schweizerischen DSG an DSGVO ermöglicht es der Schweiz, ein adäquates Land für internationale Datenübermittlungen aus der EU zu bleiben.

Die Überarbeitungen tragen auch dazu bei, dass das INLB unserer modernen digitalen Landschaft besser Rechnung trägt, denn das Internet sieht heute ganz anders aus als 1993, als das Gesetz geschaffen wurde.

Zu diesem Zweck sieht das überarbeitete DSG neue Verpflichtungen vor, die Unternehmen zum Schutz ihrer Daten erfüllen müssen.

Wann traten die Überarbeitungen des INLB in Kraft?

Das revidierte INLB und die revidierte Verordnung treten am 1. September 2023 in Kraft.

Diese Ankündigung erfolgte, nachdem das Bundesparlament am 25. September 2020 eine revidierte Fassung des DSG und der Bundesrat am 31. August 2022 die revidierte Fassung der Verordnung verabschiedet hatte.

Revidiertes Schweizer INLB im Vergleich zum ursprünglichen INLB

Das überarbeitete INLB unterscheidet sich von der älteren Fassung des Gesetzes in Bezug auf den Geltungsbereich, die Definitionen, die Rechte und die Pflichten der Unternehmen.

Werfen wir einen genaueren Blick auf das INLB und die Verordnungsrevisionen, die derzeit nur auf Französisch, Deutsch und Italienisch verfügbar sind.

Neuer territorialer Geltungsbereich

Artikel 3 des überarbeiteten INLB sieht ausdrücklich einen extraterritorialen Anwendungsbereich vor.

Mit anderen Worten: Die Anforderungen des Gesetzes gelten auch für Einrichtungen außerhalb der Schweizer Landesgrenzen.

Konkret deckt das revidierte DSG alle Datenbearbeitungen ab, die sich in der Schweiz auswirken können, einschliesslich der Auswirkungen auf die Persönlichkeitsrechte der Personen gemäss Gesetz.

Erweiterte Definition von sensiblen Daten

Das revidierte schweizerische DSG aktualisiert auch die Definition der sensiblen Daten im Gesetz, indem es genetische und biometrische Daten in die offizielle Kategorie aufnimmt.

Breitere Verbraucherrechte

Die Verbraucher haben nach dem überarbeiteten DSG nun umfassendere Rechte in Bezug auf ihren Datenschutz.

Artikel 25 (und folgende) des neuen INLB und Artikel 16 der revidierten Verordnung sehen nun individuelle Rechte vor, die den Grundsätzen der Fairness und Transparenz von DSGVO besser entsprechen.

Zudem schützt das revidierte DSG nur die Daten natürlicher Personen und nicht wie ursprünglich vorgesehen die Daten juristischer Personen.

Aktualisierte Verpflichtungen in Bezug auf ausländische Kontrolleure oder Auftragsverarbeiter

Artikel 14 des revidierten DSG verlangt neu, dass ausländische Unternehmen, die als Verantwortliche die Personendaten von Schweizer Personen bearbeiten, einen Vertreter in der Schweiz haben, wenn:

  • Die Bearbeitung bezieht sich auf das Anbieten von Waren und Dienstleistungen oder die Überwachung des Verhaltens von Personen in der Schweiz.
  • Die Verarbeitung erfolgt in großem Maßstab.
  • Die Verarbeitung wird als regulär angesehen.
  • Die Verarbeitung birgt ein hohes Risiko für die Persönlichkeit oder die Grundrechte des Einzelnen.

Erforderliche Benachrichtigung über die Datenverarbeitung

Eine weitere Änderung, die durch die Revisionen des Schweizer DSG eingeführt wurde, betrifft die Art und Weise, wie Unternehmen Personen über Datenverarbeitungsaktivitäten informieren.

Gemäss Artikel 19 des revidierten DSG und Artikel 13 der revidierten Verordnung müssen die Unternehmen die betroffenen Personen über jede Datenbearbeitung informieren, nicht nur über die Bearbeitung sensibler Daten.

Benachrichtigungspflichten bei Datenschutzverletzungen

Gemäss Artikel 24 des revidierten DSG und Artikel 15 der revidierten Verordnung müssen die Unternehmen neu dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) Datenverletzungen melden.

Das überarbeitete INLB sieht jedoch nach wie vor einen höheren Schwellenwert für die Meldung von Verstößen vor als die DSGVO.

Nach Schweizer Recht sind Sie beispielsweise verpflichtet, Personen zu benachrichtigen, wenn die Verletzung ein hohes Risiko für die Persönlichkeit oder die Grundrechte von Personen darstellt.

Die Website DSGVO verlangt eine Benachrichtigung über eine Datenschutzverletzung, wenn die Rechte und Freiheiten von Personen gefährdet sind .

Gemäss Artikel 24 der revidierten Verordnung müssen die Unternehmen die von einer Sicherheitsverletzung betroffenen Personen auch informieren, wenn:

  • Der EDÖB fordert dies.
  • Diese Informationen sind für den Schutz des Einzelnen von Bedeutung.

Darüber hinaus müssen die Unternehmen nun besondere Aufzeichnungen über die Speicherung, Änderung, Abfrage, Übermittlung und Löschung personenbezogener Daten führen.

Gemäß dem revidierten Artikel 4 der Verordnung sind solche Aufzeichnungen erforderlich:

  • Für jede automatisierte Verarbeitung von sensiblen Daten in großem Umfang.
  • Für die Erstellung von Profilen mit hohem Risiko.
  • Wenn präventive Maßnahmen nicht ausreichen, um den Schutz der Daten zu gewährleisten.

Datenschutz-Folgenabschätzungen (DPIAs)

Gemäss dem revidierten Schweizer DSG müssen Unternehmen für bestimmte Datenverarbeitungsaktivitäten Datenschutz-Folgenabschätzungen (Data Protection Impact Assessments, DPIA) durchführen.

Gemäss Artikel 22 des DSG und Artikel 14 der Verordnung müssen Unternehmen eine Datenschutzfolgenabschätzung durchführen, wenn die Datenverarbeitung wahrscheinlich zu einem hohen Risiko für die Persönlichkeit und die Grundrechte von Personen führt.

Aktualisierte Pflichten zur Aufbewahrung von Unterlagen

Ähnlich wie Artikel 30 der DSGVO verlangt auch der revidierte Artikel 12 des DSG und Artikel 24 der Verordnung von einigen Unternehmen, dass sie ein Verzeichnis ihrer Verarbeitungstätigkeiten führen.

Unternehmen, die mehr als 250 Mitarbeiter beschäftigen oder personenbezogene Daten in einer Weise verarbeiten, die ein Risiko für die Persönlichkeit natürlicher Personen darstellt, müssen ein Verzeichnis ihrer Verarbeitungstätigkeiten führen.

Diese Aufzeichnung muss alle folgenden Angaben enthalten:

  • Identität des für die Verarbeitung Verantwortlichen
  • Zweck der Verarbeitung
  • Kategorien von betroffenen Personen und Kategorien von verarbeiteten personenbezogenen Daten
  • Kategorien von Drittparteien
  • Wenn möglich, die Aufbewahrungsfrist der Daten oder die Kriterien zur Bestimmung der Aufbewahrungsfrist
  • wenn möglich, eine Beschreibung der Maßnahmen, die zur Gewährleistung der Sicherheit der personenbezogenen Daten getroffen wurden
  • Bei internationaler Übermittlung: Name des Landes und der verwendete Übermittlungsmechanismus

Interne Richtlinien für die Verarbeitung sensibler Daten in großem Maßstab

Eine weitere Änderung, die durch die Revisionen des DSG und der Verordnung eingeführt wurde, betrifft die internen Richtlinien eines Unternehmens in Bezug auf sensible Daten.

Gemäss Artikel 5 der revidierten Verordnung müssen die Unternehmen neu interne Richtlinien und Verfahren für die automatisierte Verarbeitung von Daten erstellen und beibehalten:

  • Sensible Daten in großem Umfang.
  • Profiling mit hohem Risiko.

Für wen gilt das revidierte Schweizer INLB?

Jede Stelle, die Daten von Personen in der Schweiz verarbeitet, muss das revidierte DSG befolgen.

Wenn die Verarbeitung der Daten eine tatsächliche oder potenzielle Auswirkung in der Schweiz haben könnte, dann muss diese Verarbeitung den Verpflichtungen des revidierten DSG entsprechen.

Die Überarbeitungen berücksichtigen alle Auswirkungen, die die Verarbeitung auf die Rechte des Einzelnen haben könnte, daher der aktualisierte Anwendungsbereich des INLB.

Wen schützt das revidierte Schweizer INLB?

Das revidierte DSG schützt die Daten natürlicher Personen in der Schweiz, womit grundsätzlich jeder lebende Mensch gemeint ist, unabhängig von seiner Staatsangehörigkeit.

Das revidierte INLB schützt jeden Menschen in der Schweiz.

Dies stellt eine große Veränderung dar, denn das alte INLB schützte juristische Personen, d. h. es stützte sich auf den Staatsangehörigkeitsstatus.

Wie schneidet das revidierte schweizerische INLB im Vergleich zu DSGVO ab?

Das überarbeitete INLB weist einige bemerkenswerte Unterschiede zum DSGVO auf.

Rechtliche Grundlagen

Nach dem revidierten schweizerischen DSG ist die Bearbeitung von Personendaten grundsätzlich zulässig und bedarf keiner Rechtsgrundlage wie einer Einwilligung.

Nach DSGVO ist jedoch für jede Datenverarbeitung eine Rechtsgrundlage erforderlich, was einen bemerkenswerten Unterschied zwischen den beiden Rechtsakten darstellt.

Datenschutzbeauftragte (DSB)

Gemäss Artikel 10 des revidierten DSG und Artikel 23 der revidierten Verordnung müssen Unternehmen keinen Datenschutzbeauftragten (DSB) ernennen.

Unter DSGVO werden jedoch mehrere Gründe genannt, warum ein für die Verarbeitung Verantwortlicher und ein Auftragsverarbeiter einen solchen benennen müssen, wie in Artikel 37 erläutert.

Geldbußen und Sanktionen

Das revidierte DSG passte die Strafbestimmungen an, indem es sie ziemlich stark erhöhte - von CHF 10'000 (€9'980/$11'391) auf einen neuen Höchstbetrag von CHF 250'000 (€249'460/$284'906).

Dies ist jedoch immer noch viel niedriger als die Höchststrafen für Verstöße gegen die DSGVO.

Gemäß DSGVO beträgt die Höchststrafe 20 Millionen Euro (19 Millionen CHF, 22 Millionen USD).

Bei Unternehmen beträgt die Strafe bis zu 4 % des weltweiten Gesamtjahresumsatzes des vorangegangenen Geschäftsjahres oder 20 Millionen Euro, je nachdem, welcher Betrag höher ist.

Im Gegensatz zu DSGVO zielen die Geldbußen im Rahmen des überarbeiteten INLB eher auf die für den Verstoß verantwortlichen Mitarbeiter als auf das Unternehmen selbst ab, was ein weiterer bemerkenswerter Unterschied ist.

Datenschutzverletzungen

Nach dem überarbeiteten DSG müssen die Unternehmen Datenschutzverletzungen so schnell wie möglich melden.

Im Gegensatz dazu bietet die Website DSGVO ein Zeitfenster von 72 Stunden.

Profiling und Verarbeitung von Hochrisikodaten

Im Gegensatz zu DSGVO fällt die Verarbeitung personenbezogener Daten zum Zwecke der Profilerstellung nach dem überarbeiteten DSG nicht unter die Rechtsgrundlage oder das Erfordernis der Einwilligung.

Sie fällt vielmehr unter das Erfordernis eines risikoreichen Profilings, d. h. einer Verarbeitung, die ein hohes Risiko für die Persönlichkeit und die Grundrechte des Einzelnen mit sich bringen kann.

Definition von sensiblen Daten

Interessanterweise ist die Definition von sensiblen Daten im überarbeiteten INLB weiter gefasst als in der DSGVO.

Das schweizerische INLB enthält Daten über Verwaltungs- oder Strafverfahren und Sanktionen sowie Maßnahmen der sozialen Sicherheit, die in der Definition von DSGVO nicht enthalten sind.

Wie kann Termly bei der Einhaltung des schweizerischen FADP helfen?

Termly bietet von unserem Rechtsteam und unseren Datenschutzexperten geprüfte Tools und Ressourcen, die es Ihrem Unternehmen erleichtern, die in Gesetzen wie dem DSG festgelegten Anforderungen zu erfüllen.

Unser Datenschutzerklärung Generator stellt Ihnen einfache Fragen zu Ihrem Unternehmen, seinen Datenverarbeitungsaktivitäten und den rechtlichen Rahmenbedingungen, unter die Sie fallen, einschliesslich des revidierten Schweizer DSG und der DSGVO.

Auf der Grundlage Ihrer Antworten wird dann eine eindeutige Datenschutzrichtlinie erstellt, die Sie einfach auf Ihrer Website oder App veröffentlichen können.

Zusammenfassung

Das revidierte schweizerische Bundesgesetz über den Datenschutz enthält mehrere wichtige Änderungen in Bezug auf die Pflichten der Unternehmen und die Rechte der Verbraucher und ist besser auf die DSGVO abgestimmt.

Das Gesetz hat nun einen ausdrücklichen extraterritorialen Geltungsbereich, schützt alle natürlichen Personen in der Region und schließt biometrische und genetische Daten in die Definition der sensiblen Daten ein.

Außerdem wurde die Verpflichtung für ausländische für die Verarbeitung Verantwortliche oder Auftragsverarbeiter eingeführt, einen Schweizer Vertreter zu benennen, und den geschützten Personen wurden erweiterte Rechte in Bezug auf ihre personenbezogenen Daten eingeräumt.

Sie können Ihre Datenschutzrichtlinien leicht aktualisieren, um die Standards des revidierten Schweizer DSG zu erfüllen, indem Sie Termly's Datenschutzerklärung Generator benutzen.

Anokhy Desai CIPP/US, CIPT, CIPM
Mehr über die Autorin

Geschrieben von Anokhy Desai CIPP/US, CIPT, CIPM

Anokhy ist Anwältin für Datenschutz mit Erfahrung in den Bereichen Datenschutz und Cybersicherheit im öffentlichen und privaten Sektor. Als ehemalige Westin Fellow bei der IAPP veröffentlichte sie mehrere Artikel, White Papers und Infografiken und leitete, koordinierte und moderierte Webinare und Diskussionsrunden zu den Themen Datenschutz und Datenschutztechnologie in den USA. Anokhy erwarb ihren Master an der Carnegie Mellon University und ihren Juris Doctor an der University of Pittsburgh. Mehr über die Autorin
termly-dashboard-add-privacy-policy-screenshot-with-green-checkmark

Erfüllen Sie das FADP kostenlos

Termly erstellt innerhalb von MINUTEN eine FADP-fähige Lösung für den Datenschutz und die Einwilligung!
Kostenlose FADP-Einhaltung

Verwandte Artikel

  1. 5-Best-DSGVO-WordPress-Plugins-für-DSGVO-Einhaltung-01
    Die 5 besten DSGVO WordPress-Plugins für DSGVO Compliance
    Artikel

    20. Dezember 2024
    Etienne Cussol CIPP/E, CIPM
  2. 10-Beste-DSGVO-CRM-Compliance-Lösungen-01
    10 beste DSGVO-konforme CRM-Lösungen
    Artikel

    20. Dezember 2024
    Etienne Cussol CIPP/E, CIPM
  3. Was ist ein Datenschutzcenter und braucht man eines
    Was ist ein Datenschutzcenter und brauchen Sie eines?
    Artikel

    20. Dezember 2024
    Ali Talip Pınarbaşı, CIPP/E, & LLM
  4. EU-US-Datenschutz-Rahmenwerk-(DPF)-Programm-Übersicht-01
    Was ist das EU-US Data Privacy Framework (DPF) Programm?
    Artikel

    20. Dezember 2024
    Masha Komnenic CIPP/E, CIPM, CIPT, FIP
  5. Datenschutz-Ausblick-Prognosen und unser Plan für 2025-01
    Datenschutz: Ausblick, Prognosen und unser Plan für 2025
    Artikel

    19. Dezember 2024
    Masha Komnenic CIPP/E, CIPM, CIPT, FIP
  6. Ist-Verhaltenswerbung-konform-mit-Datenschutzgesetzen-01
    Ist verhaltensbasierte Werbung mit den Datenschutzgesetzen vereinbar?
    Artikel

    13. Dezember 2024
    Etienne Cussol CIPP/E, CIPM
  7. Was-ist-Website-Tracking
    Leitfaden für gesetzeskonformes Website-Tracking: Wie man Nutzer rechtmäßig verfolgt
    Artikel

    13. Dezember 2024
    Masha Komnenic CIPP/E, CIPM, CIPT, FIP
  8. Browsewrap-vs-Klickwrap-01
    Clickwrap- vs. Browsewrap-Vereinbarungen und wann sie zu verwenden sind
    Artikel

    13. Dezember 2024
    Etienne Cussol CIPP/E, CIPM
  9. Was sind personenbezogene Daten im Rahmen der Datenschutzgesetze
    Was sind persönliche Informationen im Sinne der Datenschutzgesetze?
    Artikel

    13. Dezember 2024
    Masha Komnenic CIPP/E, CIPM, CIPT, FIP

Weitere Artikel ansehen