Neues Datenschutzrecht ab 1. September 2023

Das neue Datenschutzgesetz gilt für alle Personendaten, die von Unternehmen, Vereinen oder Bundesorganen gesammelt und verarbeitet werden, ausser für Privatpersonen, die Daten nur für ihren eigenen Gebrauch sammeln und verarbeiten. Bei Datenschutzverletzungen muss nicht jede Verletzung gemeldet werden, sondern nur, wenn die betroffenen Personen einem hohen Risiko ausgesetzt sind.

Das Wichtigste auf einen Blick

Zukünftig sind lediglich Daten von natürlichen Personen betroffen, wohingegen juristische Personen nicht mehr betroffen sein werden.
Es werden Grundsätze wie Privacy by Design und Privacy by Default etabliert, um den Datenschutz bei Produkten und Dienstleistungen technisch umzusetzen und als Voreinstellung zu definieren.
Die Informationspflicht wird erweitert, sodass jede betroffene Person bei der Beschaffung von Personendaten informiert werden muss. Früher war dies nur bei besonders schützenswerten Daten der Fall.
Unternehmen müssen nun ein Bearbeitungsverzeichnis führen, es sei denn, sie sind kleine oder mittlere Unternehmen, die nur ein geringes Risiko für Persönlichkeitsverletzungen durch ihre Bearbeitung verursachen.
Es wird eine Meldepflicht für Unternehmen eingeführt, um den Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) unverzüglich zu informieren, falls es zu Verletzungen der Datensicherheit kommt.
In die Definition der besonders schützenswerten Daten werden genetische und biometrische Daten aufgenommen.

Wen betrifft das neue Datenschutzgesetz?

Das neue Datenschutzgesetz und die zugehörige Verordnung gelten für alle Personendaten, die von privaten Unternehmen, Vereinen oder Bundesorganen gesammelt und verarbeitet werden. Dies bedeutet, dass alle diese Organisationen sich an die datenschutzrechtlichen Vorgaben halten müssen. Privatpersonen sind nur dann von diesen Regeln ausgenommen, wenn sie Personendaten ausschliesslich für ihren eigenen Gebrauch sammeln und verarbeiten. Die Ausnahme «zu persönlichem Gebrauch» gilt jedoch nur für Datensammlung und -verarbeitung im engeren Privat- und Familienkreis (also nur für nahe Familienmitglieder und Freunde), was eine öffentliche Website im Normalfall nicht ist. Private Website-Betreiber unterliegen deshalb denselben Regeln wie kommerzielle Betreiber.

Zur Medienmitteilung

Grundsätze der Datenbearbeitung

Die Revision der Datenbearbeitungsgrundsätze wird hauptsächlich dafür genutzt, um sicherzustellen, dass die bisher zulässigen Datenbearbeitungen auch weiterhin unter dem neuen Recht zulässig sind. Personendaten dürfen nur rechtmässig und verhältnismässig bearbeitet werden. Es ist wichtig, dass die Daten nur für den Zweck bearbeitet werden, für welchen sie erhoben wurden. Bearbeitet man die Daten entgegen den datenschutzrechtlichen Grundsätzen, kann dies zu einer Persönlichkeitsverletzung der betroffenen Person führen. Eine solche ist jedoch gerechtfertigt, wenn ein überwiegendes privates oder öffentliches Interesse besteht oder die betroffene Person einwilligt.

Informationspflicht bei Benutzerdaten

Die betroffenen Personen müssen immer über den Umfang und den Zweck der Datenbearbeitung informiert werden. Dies erfolgt in der Regel durch eine Datenschutzerklärung. Alle Personen haben das Recht von Auskunft, Berichtigung und Löschung ihrer Daten. Diese Ansprüche sollten in der Regel kostenlos und innert 30 Tagen erfüllt werden. Allerdings gibt es Ausnahmen, welche die absoluten Rechte einschränken.

Datensicherheit

Nur diejenigen Personen, welche den Zugriff auch wirklich benötigen, sollten auf Personendaten zugreifen können – wie zum Beispiel Mitarbeiter oder Vereinsmitglieder. Dies sollte mit technischen und organisatorischen Massnahmen sichergestellt werden. Websites und sonstige IT-Systeme sollten technisch auf dem aktuellsten Stand gehalten werden, damit keine Sicherheitslücken entstehen, die unter Umständen verheerende Auswirkungen haben könnten.

Was heisst Privacy by Design und Privacy by Default?

Das «Privacy-by-Design-Prinzip», welches bereits in der DSGVO bekannt ist, wird nun auch im Schweizer Datenschutzgesetz umgesetzt. Dieses Prinzip besagt, dass die technische und organisatorische Ausgestaltung der Datenbearbeitung so erfolgen muss, dass von Anfang an die Einhaltung der datenschutzrechtlichen Vorschriften gewährleistet ist.

«Datenschutz durch Technikgestaltung» – Privacy by Design ist ein Ansatz, bei dem Datenschutz schon bei der Planung eines Datenverarbeitungsvorgangs technisch integriert wird. Dieser Grundgedanke soll verhindern, dass man sich später an den Datenschutz halten muss.

Privacy by Default bedeutet, dass die «Werkseinstellungen» datenschutzfreundlich auszugestalten sind. Dies soll vor allem Nutzer schützen, die weniger technikaffin und somit geneigt sind, datenschutzrechtliche Einstellungen nicht anzupassen. Beispielsweise kann dies im Cookie-Banner dadurch umgesetzt werden, dass der User aktiv verschiedene Cookies auswählt, aber in der Grundeinstellung nur die «Notwendige» ankreuzt. Da grundsätzlich befürwortet wird, den Schutz der Privatsphäre zu gewährleisten, ist es ratsam, ein solches Banner zu implementieren.

Datenschutzverbrechen

Es besteht keine Verpflichtung, jede Datenverletzung dem EDÖB zu melden. Nur wenn es wahrscheinlich ist, dass die betroffenen Personen einem hohen Risiko ausgesetzt sind, muss dies geschehen. Zum Beispiel kann dies der Fall sein, wenn besonders sensible Daten wie Gesundheitsdaten betroffen sind oder wenn die Datenverletzung schwerwiegende Auswirkungen wie Jobverlust haben kann. Es gibt verschiedene Faktoren, die bei der Bewertung des Risikos zu berücksichtigen sind, einschliesslich der Art und Menge der verletzten Daten sowie der Schwere der Auswirkungen für die betroffenen Personen.