Was Unternehmen über revDSG wissen müssen

Für Unternehmen in der Schweiz bringt der 1. September 2023 eine signifikante Änderung mit sich: das neue Datenschutzgesetz (revDSG). Hier ist ein Leitfaden für Unternehmen, um zu verstehen, was das neue Gesetz bedeutet und wie sie sich darauf vorbereiten können.

Was ist das revDSG und warum ist es wichtig?

Das revDSG ist das Ergebnis einer Gesetzesänderung, die das Parlament in seiner Herbstsession 2020 beschlossen hat. Es wurde entworfen, um die Bearbeitung persönlicher Daten zu verbessern und den Schweizer Bürgern neue Rechte zu gewähren. Die Überarbeitung des Datenschutzgesetzes war unerlässlich, da Technologien wie Smartphones, soziale Netzwerke, Cloud-Dienste und das Internet der Dinge immer mehr in unseren Alltag Einzug halten. Ein weiterer zentraler Antrieb für diese Änderung war die Notwendigkeit, die Kompatibilität des Schweizer Rechts mit dem EU-Recht sicherzustellen. Insbesondere sollte sichergestellt werden, dass der freie Datenverkehr mit der Europäischen Union aufrechterhalten wird, sodass Schweizer Unternehmen nicht an Wettbewerbsfähigkeit verlieren.

2. Wichtige Änderungen, die Unternehmen kennen sollten

Das revDSG führt zahlreiche Änderungen ein, von denen einige besonders hervorstechen:

Personenbezogene Daten: Künftig sind nur noch die Daten natürlicher Personen betroffen, Daten juristischer Personen fallen nicht mehr darunter.

Besonders schützenswerte Daten: Genetische und biometrische Daten sind jetzt Teil dieser Kategorie.

Privacy by Design und Privacy by Default: Diese Grundsätze sollen sicherstellen, dass Datenschutz von Anfang an in Produkte und Dienstleistungen integriert wird.

Informationspflicht
: Unternehmen müssen Personen informieren, wenn sie ihre Daten sammeln – und das nicht nur bei besonders schützenswerten Daten.

Meldung von Sicherheitsverletzungen: Bei einer Verletzung der Datensicherheit ist eine rasche Meldung an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) erforderlich.

Profiling: Der Begriff wurde ins Gesetz aufgenommen und bezieht sich auf die automatisierte Bearbeitung personenbezogener Daten.

3. Unterschiede zum EU-Datenschutz (DSGVO)

Für Unternehmen, die sich bereits an die Datenschutzgrundverordnung (DSGVO) der EU angepasst haben, dürften die Änderungen weniger drastisch sein. Eine detaillierte Vergleichstabelle zwischen dem revDSG und der EU-Verordnung wurde vom Verband SwissPrivacy.Law publiziert und kann hier eingesehen werden.

4. Gefährliche Gewässer: Die verschärften Strafbestimmungen des revDSG

Das überarbeitete Datenschutzgesetz (revDSG) der Schweiz hat die Strafbestimmungen erheblich verschärft, was sowohl für Unternehmen als auch für Einzelpersonen weitreichende Folgen haben kann.

Zunächst solltest du wissen, dass bereits bestehende Pflichten wie die Informationspflichten, Auskunftspflichten, Mitwirkungspflichten und die berufliche Schweigepflicht fortbestehen. Eine Verletzung dieser Pflichten kann zu Strafen führen. Zum Beispiel, wenn du die Nutzer deiner Website nicht über Datenverarbeitungsaktivitäten informierst oder wenn du bei einer behördlichen Untersuchung falsche Informationen bereitstellst.

Zu den neuen strafbaren Tätigkeiten im revDSG gehören unter anderem die Verletzung der Sorgfaltspflichten, wie beispielsweise die Weitergabe von Personendaten an Dritte obwohl dies vertraglich untersagt ist.

Darüber hinaus werden Entscheidungen des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) oder höheren Instanzen wie dem Bundesverwaltungsgericht strafrechtlich durchgesetzt. Ein weiterer kritischer Punkt ist die Höhe der möglichen Strafen. Eine Verletzung einer dieser Bestimmungen kann zu einer Geldstrafe von bis zu CHF 250'000 führen. Im internationalen Vergleich mag das zunächst bescheiden erscheinen, insbesondere im Hinblick auf die EU-Datenschutzgrundverordnung (DSGVO), die Geldstrafen von bis zu 20 Millionen Euro oder 4% des globalen Jahresumsatzes vorsieht. 

Doch hier liegt der Haken: Während in der EU in der Regel die Unternehmen bestraft werden, trägt in der Schweiz die verantwortliche Person persönlich die Kosten.

Ein Risiko, dass unserer Meinung nach niemand eingehen sollte. Wichtig ist auch, zu betonen, dass nicht nur die ausführende Person bestraft werden kann, sondern auch andere Beteiligte, einschliesslich solcher, die beratende Funktionen wahrnehmen. Dies bedeutet, dass sich beispielsweise auch betriebliche Datenschutzbeauftragte strafbar machen können. Das revDSG zielt darauf ab, vorsätzliche Datenschutzverstösse zu bestrafen. Das bedeutet, dass du bestraft werden kannst, wenn du absichtlich gegen das Gesetz verstösst. Allerdings reicht auch der sogenannte Eventualvorsatz, d.h. wenn du potenzielle Verstösse billigend in Kauf nimmst.

5. Benötigst du Unterstützung?

Falls du dich nicht selbst mit der Aktualisierung deiner Datenschutzerklärung beschäftigen möchtest, unterstützen wir dich gerne dabei (revDSG-konform).

Hier findest du mehr Informationen zu unserem Angebot.