nDSG – machen die Schweizer die selben Fehler? 

12. Januar 2023

Am 1. September 2023 tritt das neue Schweizer Datenschutzgesetz (nDSG oder nCH-DSG) in Kraft. Eine Übergangsfrist wie bei der EU-DSGVO ist nicht vorgesehen. Für Schweizer Unternehmen ist damit zum Stichtag die Erfüllung und Umsetzung vieler neuer Pflichten verbunden. Die Zeit drängt. Setzen Sie sich rechtzeitig mit den Änderungen auseinander, um nicht ähnliche Fehler wie die Kollegen aus den Nachbarländern zu machen.

"Aktuell sind nur die Unternehmen einigermassen auf das neue Schweizer Datenschutzgesetz vorbereitet, die aufgrund der notwendigen Compliance schon heute die EU-DSGVO beachten. Der Grossteil der Schweizer Unternehmen hat das nDSG noch nicht im Fokus. Ich vermute, dass hier ab dem Sommer 2023 eine ähnliche Panik und blinder Aktionismus eintreten wird, wie ich es in Deutschland 2018 erlebt habe. Meiner Meinung nach begehen Schweizer Unternehmen die selben Fehler wie Unternehmen in der EU zur Einführung der EU-DSGVO“, meint René Schaufelberger, Schweizer Datenschutzexperte und Datenschutz-Auditor EU-DSGVO.

Welche Fehler begingen Unternehmen 2018 in der EU genau?

Die meisten Unternehmen haben die Umsetzung der Anforderungen auf die lange Bank geschoben und die Übergangszeit seit 2016 nicht genutzt, um den Datenschutz mit der notwendigen Zeit und in Ruhe strukturiert aufzubauen. Kurz vor Wirksamwerden der EU-DSGVO im Mai 2018 brach dann regelrecht Panik aus, denn es standen hohe Strafen und Bussgelder im Raum. Die Folgen:

  • Teure und ineffiziente Lösungen: Unternehmen die bis dahin unvorbereitet waren, waren gezwungen teilweise überteuerte und unzureichende Lösungen anzunehmen. Dies fing bei unangemessenen Angeboten zahlreicher Datenschutzberater an (wenn man denn überhaupt einen Fachmann noch beauftragen konnte) bis hin zu selbst gestrickten Lösungen mit eigenen Mitarbeitern, die ebenfalls überstürzt zu DSGVO-Kursen geschickt wurden.
  • Mangelnde Struktur & Lehrgeld: Datenschutz ist komplex. Ohne eine entsprechende Strategie und Struktur schaffen Sie höchstens einzelne Insellösungen. Zahlreiche Unternehmen, die den Datenschutz in Eigenregie durchführen wollten, sind am Ende doch bei externen Datenschutzbeauftragten gelandet. Leider erst nachdem Sie interne Ressourcen gebunden und viel Geld für Schulungen ausgegeben haben.
  • Datenschutzbeauftragter: der Markt für DSGVO-Schulungen boomte. Auf einmal gab es ganz viele  "Datenschutzbeauftragte", die jedoch von der Praxis keinerlei Ahnung hatten. Die Spreu hat sich glücklicherweise dann vom Weizen getrennt. Leider für so manches Unternehmen zu spät.

Nutzen Sie bitte die Zeit, um in Ruhe die Umsetzung des DSG zu planen oder nutzen Sie das Angebot einer Datenschutzberatung durch einen Experten.

Jetzt kostenfreies Gespräch vereinbaren und sicherstellen, dass Ihr Unternehmen für das neue Gesetz bereit ist.

Das neue Schweizer Datenschutzgesetz (nDSG)

Bei der Revision des Datenschutzgesetzes für die Schweiz bilden die Anforderungen der EU-DSGVO die Basis. Zahlreiche Anforderungen aus der der EU-DSGVO sind dabei in die neue Gesetzgebung eingeflossen, aber mit einigen eigenen Nuancen. Der Schutz der Persönlichkeits- und Grundrechte von natürlichen Personen und ihrer Daten wird nach dem neuen Gesetz gestärkt. Unternehmen werden verpflichtet, nachweislich für mehr Transparenz im Umgang mit personenbezogenen Daten zu sorgen. Daten von juristischen Personen sind in der neuen Gesetzgebung hingegen nicht mehr geschützt.

Die grössten Änderungen und der Einfluss auf Schweizer Unternehmen

Anwendungsbereich

Es wird das so genannte Auswirkungsprinzip angewandt. Das nDSG wird nun auch relevant sein für Unternehmen, die im Ausland sitzen, wenn sich ihre Bearbeitung von personenbezogenen Daten in der Schweiz auswirkt. Wenn Unternehmen keinen Sitz in der Schweiz haben, müssen diese Unternehmen ggf. zukünftig einen Vertreter in der Schweiz benennen. Kontaktieren Sie uns, wenn Sie hier Unterstützung benötigen.

Besonderer Schutz erweitert

Die besonders schützenswerten personenbezogenen Daten wurden um die Ethnie sowie genetische und biometrische Daten erweitert.

Verzeichnis der Bearbeitungstätigkeiten

Schweizer Unternehmen müssen ein Verzeichnis der Bearbeitungstätigkeiten führen. Dabei müssen alle Datenbearbeitungen des Unternehmens erfasst und mit Mindestangaben versehen werden. Dies fängt bei der Angabe des Verantwortlichen an, über den Bearbeitungszweck, die Kategorien von Personen, die es betrifft, die Datenkategorien bis zu Beschreibung der technischen und organisatorischen Massnahmen.

Es gibt zwar Ausnahmen für KMU, jedoch sollten auch diese Unternehmen ein Verzeichnis führen um einen Nachweis erbringen zu können, dass sie sich um den Datenschutz gekümmert haben.

Die Erstellung des Verzeichnisses wird für viele Unternehmen einen grossen zeitlichen Aufwand bedeuten.

Transparenz

Die Informationspflichten von Unternehmen in der Schweiz wurden erweitert. Neben einer Informationsbereitsstellungspflicht müssen Betroffene nun über jede Informationsbeschaffung von Daten informiert werden. Hier spielt es keine Rolle ob diese Daten direkt beim Betroffenen oder indirekt über Dritte erhoben werden.

Mitteilungspflichten:

  • Identität und Kontaktdaten des Verantwortlichen
  • Bearbeitungszweck
  • Empfänger der Daten / Kategorien von Empfängern
  • ggf. Auslandstransfer
  • Bei Erhebung der Daten über Dritte: Datenkategorien, die bearbeitet werden
  • Informationen falls ein Profiling stattfindet

Weitere Betroffenenrechte

Ein neues Recht wird eingeführt. Betroffene haben nun das Recht von einem Verantwortlichen zu verlangen ihre personenbezogenen Daten in maschinenlesbarer Form an einen anderen Verantwortlichen zu übertragen.

Datenschutz-Folgeabschätzung

Das Instrument der Datenschutz-Folgeabschätzung wird in ähnlicher Ausgestaltung wie bei der EU-DSGVO eingeführt. Dabei müssen Prozesse, in denen voraussichtlich ein hohes Risiko für die Betroffenen besteht, besonders betrachtet werden.

Profiling

Bei einem „Profiling mit hohem Risiko“, in dem wesentliche Aspekte der Persönlichkeit beurteilt werden, muss eine ausdrückliche Einwilligung vorhanden sein. Ansonsten ist wie bisher keine Einwilligung notwendig.

Meldung an den EDÖB

Falls es im Unternehmen zu einer Datenpanne kommt und ein hohes Risiko für die Betroffenen besteht, muss das Unternehmen „so rasch wie möglich“ eine entsprechende Meldung an den Eidgenössischen Datenschutz- und Öffentlichtkeitsbeauftragten (EDÖB) machen.

Privacy by Design / Privacy by Default

Wie bereits in der EU-DSGVO sind nun die beiden Grundsätze “Privacy by Design” und “Privacy by Default” im nDSG verankert. Hierbei hat der Verantwortliche von Anfang an Sorge zu tragen, dass schon technische Voreinstellungen gewährleistet ist, dass nur ein Minimum an personenbezogenen Daten verarbeitet wird und der Datenschutz im Prozess berücksichtigt wird.

Sanktionen

Bei den Sanktionen stehen anders als in der EU-DSGVO nicht Unternehmen im Fokus, sondern private Personen. Natürliche Personen können mit Geldbussen bis zu 250.000 Franken belegt werden, wenn sie gegen die Informations- oder Auskunftspflichten verstossen oder ihre Sorgfaltspflichten verletzen.

 Was sollten Schweizer Unternehmen jetzt machen?

Schweizer Unternehmen sollten schnellstens damit beginnen, eine GAP-Analyse durchzuführen, um mögliche Risiken zu identifizieren und zu minimieren.

Unsere Handlungsempfehlung:

  • Analysieren Sie alle relevanten Datenverarbeitungsprozesse und Systeme im Unternehmen. Sie sollten sich einen Überblick verschaffen welche Daten genau für welchen Zweck verarbeitet werden
  • Überprüfen Sie, ob Sie die erweiterten Betroffenenrechte einhalten und ob Sie in der Lage sind auf Anfragen von Betroffenen rechtzeitig und angemessen nachzukommen. Erarbeiten Sie entsprechende Konzepte und Richtlinien.
  • Stellen Sie sicher, ob Sie die erweiterten Informations- und Transparenzpflichten, insbesondere bei der Erhebung von Daten über Dritte erfüllen.
  • Identifizieren Sie besonders risikoreiche Prozesse und führen Sie dafür die Datenschutz-Folgeabschätzungen durch.
  • Halten Sie die Anforderungen an Privacy by Design und Privacy by Default ein? Überprüfen Sie.
  • Prüfen Sie, ob Sie einen Vertreter in der Schweiz nach Artikel 27 EU-DSGVO benennen müssen, ggf. fällt Ihnen dabei auf, dass Sie vielleicht auch einen Vertreter in der EU benennen müssten.
  • Prüfen Sie, ob Sie in Ihrem Unternehmen Mitarbeiter haben die Zeit und das Know-How haben, um sich um das Thema zu kümmern oder ob nicht sinnvoller wäre, sich von einen externen Datenschutzbeauftragten oder Datenschutzberater unterstützen zu lassen.

Schließen Sie die Lücken in jedem Fall rechtzeitig!

Machen Sie es besser als viele EU-Unternehmen und begehen Sie einfach nicht die selben Fehler.

Machen Sie es besser - vereinbaren Sie jetzt einen Termin mit einem Datenschutzexperten