Neues Datenschutzrecht ab 1. September 2023
Das totalrevidierte Datenschutzgesetz (DSG) und die Ausführungsbestimmungen in der neuen Datenschutzverordnung (DSV) und der neuen Verordnung über Datenschutzzertifizierungen (VDSZ) treten am 1. September 2023 in Kraft. Das hat der Bundesrat an seiner Sitzung vom 31. August 2022 entschieden. Damit erhält die Wirtschaft genügend Zeit, die notwendigen Vorkehrungen für die Umsetzung des neuen Datenschutzrechts zu treffen.
Das totalrevidierte DSG und die entsprechenden Bestimmungen in den Verordnungen sorgen künftig für einen besseren Schutz der persönlichen Daten. Insbesondere werden der Datenschutz den technologischen Entwicklungen angepasst, die Selbstbestimmung über die persönlichen Daten gestärkt sowie die Transparenz bei der Beschaffung von Personendaten erhöht.
Um den Ergebnissen der Vernehmlassung zu den Ausführungsbestimmungen Rechnung zu tragen, hat der Bundesrat den Entwurf der DSV in mehreren Punkten angepasst. So hat er das Kapitel zu den Pflichten der Verantwortlichen eingehend überarbeitet und insbesondere die Privaten von gewissen Informationspflichten bei der Bekanntgabe von Personendaten befreit. Auch die Modalitäten zum Auskunftsrecht wurden vereinfacht und namentlich die Dokumentationspflicht gestrichen. Im Bereich der Datensicherheit hat der Bundesrat seinen ursprünglichen Vorschlag aufgrund der kritischen Rückmeldungen in der Vernehmlassung teilweise angepasst. So wurde die Dauer zur Aufbewahrung der Protokolle über die Datenbearbeitung auf mindestens ein Jahr festgelegt. Ausserdem wurde eine neue Bestimmung eingefügt, welche die Schutzziele im Bereich der Datensicherheit mit dem neuen Informationssicherheitsgesetz vom 18. Dezember 2020 harmonisiert. So wie die Schutzziele heute definiert sind entsprechen diese den internationalen Normen in der Informationssicherheit.
Wichtige Umsetzungfrist
Mit der Inkraftsetzung des neuen Datenschutzgesetzes und der Verordnungen auf den 1. September 2023 kommt der Bundesrat einem Anliegen aus der Wirtschaft nach. Mit der Umsetzungsfrist von einem Jahr erhalten die Datenschutzverantwortlichen genügend Zeit, um die notwendigen Vorkehrungen für die Umsetzung des neuen Datenschutzrechts zu treffen.
Neues Datenschutzrecht stärkt den Wirtschaftsstandort
Das Parlament hat die Totalrevision des Datenschutzgesetzes am 25. September 2020 verabschiedet (Link). Das neue Datenschutzrecht stellt die Vereinbarkeit mit dem europäischen Recht sicher und ermöglicht es, die modernisierte Datenschutzkonvention 108 des Europarats zu ratifizieren. Diese Anpassungen im neuen Datenschutzrecht sind wichtig, damit die EU die Schweiz weiterhin als Drittstaat mit einem angemessenen Datenschutzniveau anerkennt und die grenzüberschreitende Datenübermittlung auch künftig ohne zusätzliche Anforderungen möglich bleibt. Dies ist für den Wirtschaftsstandort und die Wettbewerbsfähigkeit der Schweiz zentral. Die EU anerkennt das Datenschutzniveau der Schweiz seit dem Jahr 2000. Diese Anerkennung wird zurzeit überprüft.
Nützliche Links
Verordnungen
Am 1. September 2023 tritt dastotalrevidierte Datenschutzgesetz (DSG) und die Ausführungsbestimmungen in der neuen Datenschutzverordnung (DSV) in Kraft. Es stellt sich jetzt die Frage was ist den eine Verordnung und welche Rechtswirksamkeit hat sie. Dazu gibt es eine gute Ausführung unter parlament.ch, welche wir hier gerne zusammenfassen (Link).
Verordnungen sind rechtsetzende Erlasse, welche der Verfassung und dem Gesetz nachgeordnet sind. Sie führen die gesetzlichen Bestimmungen aus und ergänzen und vervollständigen diese.
Verordnungen können von der Regierung, den Gerichten und dem Parlament erlassen werden. Die Datenschutzverordnung wurde vom Bundesrat, also der Regierung erlassen. Wie die meisten Verordnungen ist die Datenschutzverordnung eine unselbständige Verordnung, welche unterhalb der Verfassungsstufe, dem Datenschutzgesetz, erlassen wurde.
Im Gegensatz zum Bundesgesetz über den Datenschutz, vom 25. September 2020, welches einer Referendumsfrist bis zum 14. Januar 2021 unterstand, kann gegen einer Verordnung kein Referendum ergriffen werden.
Gesetz - Verordnung - erläuternder Bericht
Das Bundesgesetz über den Datenschutz, vom 25. September 2020, wird zusammen mit der Verordnung am 1. September 2023 rechtswirksam. In der Verordnung können wir die Ausführungsbestimmungen und Konkretisierungen nachlesen.
Als Beispiel einer solchen Konkretisierung sei hier die Pflicht zum Führen eines Verzeichnis der Bearbeitungstätigkeiten erwähnt.
Im Art 12 des nDSG wird bereits definiert, das Unternehmen mit weniger als 250 Mitarbeiter und einem geringen Risiko von dieser Pflicht befreit werden. In den Ausführungsbestimmungen wird nun konkretisiert, welche Voraussetzungen vorhanden sein müssen, dass wir von einem geringen Risiko sprechen können.
Neben der Bedingung der Anzahl Mitarbeiter, dürfen keine besonders schützenswerte Personendaten im grossem Umfang bearbeitet werden und kein Profiling mit hohem Risiko durchgeführt wird.
Was bedeutet aber der Begriff "hohes Risiko". Dazu können wir im erläuternden Begriff der VDSZ nachlesen. Der Katalog orientiert sich dabei teilweise an der Umschreibung des Begriffs des hohen Risikos bei der Datenschutz-Folgenabschätzung in Art 22 Absatz 2 nDSG.
Um deshalb von der Pflicht der Führung eines Verzeichnis der Bearbeitungstätigkeiten befreit zu werden, muss zumindest über eine Datenschutz-Folgenabschätzung geprüft werden, dass kein Profiling mit hohem Risiko durchgeführt wird. Es dürfen keine besonders schützenswerten Personendaten im grossen Umfang bearbeitet werden und am 1. Januar waren weniger als 250 Mitarbeiter in der Unternehmung beschäftigt.
Fazit
Im Rahmen der Terminangaben empfiehlt es sich, sich frühzeitig auf dieses neue Datenschutzgesetzt (nDSG) vorzubereiten, Schulungen im eigenen Betrieb zu planen, Prozesse zu überdenken und auch ihre Webseiten zu kontrollieren. Sollten Sie weitergehende Fragen haben, steht das Team der datenschutzguide.ch gerne zur Verfügung.
Wir unterstützen Sie!
Sie haben Fragen zum nDSG? Oder Sie benötigen Unterstützung bei der Vorbereitung auf das Inkrafttreten? Wir unterstützen Sie und beraten Sie zu Ihren Möglichkeiten sowie den kommenden Anforderungen des nDSG.