Schweizer Datenschutzgesetz (DSG 2023)
Das revidierte Schweizer DSG (nDSG) trat am 1. September 2023 in Kraft und modernisiert den Datenschutz mit DSGVO-ähnlichen Anforderungen für natürliche Personen.
Zusammenfassung
Das revidierte Schweizer Datenschutzgesetz (nDSG) trat am 1. September 2023 in Kraft und löste das Datenschutzgesetz von 1992 ab. Es modernisiert den schweizerischen Datenschutzrahmen erheblich und bringt ihn in Einklang mit dem europäischen Standard (DSGVO), ohne identisch zu sein.
- Fokus auf natürliche Personen: Das nDSG schützt – wie die DSGVO – nur Daten natürlicher Personen. Das alte DSG (1992) schützte als Besonderheit auch juristische Personen; dieser Schutz wurde mit der Revision gestrichen.
- Neue Rechte: Recht auf Auskunft, Berichtigung, Löschung und Datenportabilität.
- Datenschutz durch Technik: Privacy by Design und Privacy by Default sind verpflichtend.
- Meldepflicht: Verletzungen der Datensicherheit müssen dem EDÖB gemeldet werden.
Geschichte
Das ursprüngliche Schweizer Datenschutzgesetz stammte aus dem Jahr 1992. Es war eine internationale Besonderheit, da es neben natürlichen auch juristische Personen schützte. Im digitalen Zeitalter galt es als veraltet. Die Revision wurde 2011 initiiert. Nach langwierigen parlamentarischen Beratungen wurde das revidierte DSG am 25. September 2020 vom Parlament verabschiedet. Die Umsetzungsverordnung (VDSG/DSV) trat gleichzeitig in Kraft. Das Gesetz trat am 1. September 2023 in Kraft, ohne Übergangsfrist. Die Revision war auch notwendig, um die Anerkennung der Schweiz als „sicheres Drittland“ durch die EU zu erhalten.
Geltungsbereich
Das nDSG gilt für die Bearbeitung von Personendaten natürlicher Personen durch private Personen und Bundesorgane in der Schweiz. Es gilt auch für Sachverhalte außerhalb der Schweiz, wenn sie Auswirkungen auf die Schweiz haben (Auswirkungsprinzip). Wie die DSGVO schützt das nDSG ausschliesslich Daten natürlicher Personen (das alte DSG von 1992 schützte noch juristische Personen). Es enthält keine Regelung zu Bußgeldern für Unternehmen (nur Straftatbestand für natürliche Personen).
Kernanforderungen
- Rechtmäßigkeit der Bearbeitung: Daten dürfen nur rechtmäßig, nach Treu und Glauben und verhältnismäßig bearbeitet werden.
- Informationspflicht: Betroffene Personen müssen bei der Datenbeschaffung informiert werden.
- Datenschutz-Folgenabschätzung (DSFA): Pflicht bei hohem Risiko für die Persönlichkeit der betroffenen Personen.
- Verzeichnis der Bearbeitungstätigkeiten: Obligatorisch für Unternehmen ab 250 Mitarbeitenden (Ausnahmen möglich).
- Meldung von Datensicherheitsverletzungen: Schnellstmöglich an den EDÖB zu melden.
- Datenschutzbeauftragter: Nicht obligatorisch, aber empfohlen; Unternehmen können EDÖB-Konsultation beantragen.
- Strafen: Vorsätzliche Verletzungen durch natürliche Personen: bis zu 250'000 CHF Busse.