Alles, was Du über das neue Schweizer Datenschutzgesetz 2023 wissen musst
Das neue Schweizer Datenschutzgesetz 2023 gilt ab Anfang September und betrifft nicht nur Unternehmen, sondern auch Vereine und Privatpersonen, die Personendaten verarbeiten. Als Schweizer Webhosting-Anbieter betrifft dieses neue Datenschutzgesetz einen grossen Teil unserer Kunden bei FireStorm. Aus diesem Grund wollen wir Dir im heutigen Artikel einen kurzen, aber zugleich möglichst umfassenden Überblick zu den neuen Regelungen im Datenschutz geben. Dabei gehen wir nicht nur auf die Änderungen durch das totalrevidierte Datenschutzgesetz (DSG), sondern auch auf die neue Datenschutzverordnung (DSV) sowie die neue Verordnung über Datenschutzzertifizierungen (VDSZ) ein. Natürlich stellt dieser Artikel keine Rechtsberatung dar und dient lediglich zur Erstinformation. – Nun wünschen wir Dir ganz viel Spass beim Lesen des Artikels!
Am 1. September 2023 tritt das neue Schweizer Datenschutzgesetz in Kraft, das wir Dir in diesem Artikel genauer vorstellen.
Einige Allgemeine Informationen zum neuen Schweizer Datenschutzgesetz 2023
Der Schweizer Bundesrat entschied in seiner Sitzung am 31. August 2022 über das Inkrafttreten des neuen Schweizer Datenschutzgesetzes für 2023. Demzufolge sollen nicht nur das totalrevidierte Datenschutzgesetz (DSG) und die neue Datenschutzverordnung (DSV), sondern auch die neue Verordnung über Datenschutzzertifizierungen (VDSZ) ab dem 1. September 2023 gelten. Grund dafür sind vor allem der bessere Schutz von persönlichen Daten sowie die Selbstbestimmung über persönliche Daten. Zudem wurde auch die Transparenz bei der Beschaffung von Personendaten als Grund genannt. Um all dies zu gewährleisten, muss der Datenschutz an die technologischen Entwicklungen angepasst werden – so schrieb es die Schweizer Regierung in der Medienmitteilung vom 31.08.2022.
Für wen gilt das neue Schweizer Datenschutzgesetz?
Vom neuen Gesetz zum Datenschutz in der Schweiz sind sowohl Bundesorgane als auch Private betroffen, die Personendaten bearbeiten. Neben privaten Unternehmen und Vereinen können dies also auch Privatpersonen sein. Dabei spielt es für die Umsetzung des Datenschutzgesetzes 2023 keine Rolle, ob Du Deine Website privat oder kommerziell betreibst. Denn in der Regel wirst Du Personendaten, also Daten, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen, bearbeiten. (Juristische Personen sind im neuen Datenschutzgesetz ausgenommen.) Das Wort „bearbeiten“ schliesst dabei ein breites Spektrum ein und reicht vom Beschaffen über das Speichern bis zum Verwenden, Verändern und Löschen von Daten.
Das neue Schweizer Datenschutzgesetz 2023 gilt sowohl für Unternehmen und Behörden als auch für Vereine und Privatpersonen, die Personendaten bearbeiten.
Was hat sich im neuen Schweizer Datenschutzgesetz 2023 geändert?
Die Grundsätze der Datenbearbeitung bleiben überwiegend unverändert. Sie erfordern, dass Daten nur für den beabsichtigten Zweck verwendet werden und nur rechtmässig und verhältnismässig bearbeitet werden dürfen. Dabei können bestimmte Pflichtverletzungen im Datenschutzrecht nun strafrechtlich verfolgt werden. Dabei wird jedoch nicht das Unternehmen, sondern die verantwortliche natürliche Person mit bis zu CHF 250’000 bestraft. Ansonsten gibt es einige bekannte, andere aktualisierte und wiederum auch neue Pflichten durch das neue Schweizer Datenschutzgesetz 2023. Einige der wichtigsten Pflichten haben wir für Dich im Folgenden kompakt zusammengestellt:
Überblick über wichtige Pflichten durch das neue Schweizer Datenschutzgesetz 2023:
- Jegliche Personendaten müssen anonymisiert oder gelöscht werden, wenn sie nicht mehr für den ursprünglichen Bearbeitungszweck benötigt werden.
- Unternehmen mit mehr als 250 Mitarbeitern müssen ein Inventar aller Datenbearbeitungen führen, während kleinere Unternehmen davon in der Regel befreit sind.
- Benutzer müssen über Umfang und Zweck der Datenbearbeitung durch eine leicht zugängliche und aktuelle Datenschutzerklärung auf der Website informiert werden, ohne sie akzeptieren zu müssen.
- Mit Webhosting-Anbietern wie FireStorm, die Personendaten im Auftrag des Verantwortlichen bearbeiten, sollte ein Auftragsdatenverarbeitungsvertrag abgeschlossen werden.
- Um die Sicherheit der Personendaten zu gewährleisten, sollten nur berechtigte Personen Zugriff haben, technische sowie organisatorische Massnahmen ergriffen werden und die technischen Systeme auf dem aktuellen Stand sein.
- Verletzungen der Vertraulichkeit, Integrität oder Verfügbarkeit von Personendaten müssen dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) gemeldet werden.
- Für die Bekanntgabe von Daten ins Ausland sind angemessene Datenschutzmassnahmen notwendig, auf die Website-Betreiber, die Anbieter im Ausland vor deren Nutzung prüfen sollten.
- Personen, deren Daten verarbeitet werden, haben (mit einigen Einschränkungen) das Recht auf Auskunft, Korrektur und Löschung ihrer Daten, wobei die Auskunft kostenlos innerhalb von 30 Tagen erfolgen sollte.
- Bei einer Datenbearbeitung mit freiwillig erforderlicher Einwilligung, muss die betroffene Person über die Folgen informiert werden, wobei besonders schützenswerten Personendaten eine explizite Einwilligung erfordern.
- Datenschutzbestimmungen müssen technisch und organisatorisch Datenschutzrecht-konform sein und mit datenschutzfreundlichen Voreinstellungen zur Verfügung gestellt werden.
- Datenschutzberater können unter dem neuen Datenschutzrecht freiwillig ernannt werden und Verantwortliche mit Sitz im Ausland müssen teilweise einen Vertreter in der Schweiz bestimmen.
Eis gibt eine ganze Reihe an Pflichten durch das Schweizer Datenschutzgesetz, von denen viele auch für Website-Betreiber äusserst wichtig sind.
Weitere Informationen und Umsetzung des neuen Datenschutzgesetzes 2023
Da Du nur noch bis zum 1. September 2023 Zeit hast, das neue Schweizer Datenschutzgesetz umzusetzen, solltest Du zeitnah damit beginnen. In vielen Fällen ist es sinnvoll, sich dabei rechtliche Unterstützung zu holen – gerade dann, wenn Du Dir sehr unsicher bist. Damit Du selbst noch ein paar weitere Informationen bekommst, haben wir Dir an dieser Stelle nochmal die wichtigsten Links zusammengetragen:
Medienmitteilung des Schweizer Bundesrats
Bundesgesetz über den Datenschutz (DSG)
Verordnung über den Datenschutz (DSV)
Verordnung über Datenschutzzertifizierungen (VDSZ)