Überblick über das neue Datenschutzgesetz 2023 und seine Auswirkungen auf Unternehmen

Im Informationszeitalter ist die Nutzung personenbezogener Daten das Herzstück der meisten Geschäftsmodelle. Mit der Beschleunigung der digitalen Transformation hat sich die Art und Weise, wie Unternehmen Daten sammeln, verarbeiten, speichern und übertragen, rasant entwickelt. Um mit diesen Veränderungen Schritt zu halten, hat die Schweiz ein vollständig überarbeitetes Bundesgesetz über den Datenschutz (DSG oder nDSG) eingeführt, das am 1. September 2023 in Kraft trat.

Dieser neue Rechtsrahmen modernisiert das Schweizer Datenschutzrecht, gleicht es stärker an internationale Standards wie die EU-Datenschutzgrundverordnung (DSGVO) an und führt mehrere neue Rechte für Einzelpersonen (betroffene Personen) und Pflichten für Unternehmen ein. Dieser Artikel gibt einen detaillierten Überblick über die wichtigsten Elemente des revidierten Gesetzes, wen es betrifft, was sich geändert hat und welche Schritte Schweizer und internationale Unternehmen unternehmen müssen, um die Einhaltung der Vorschriften zu gewährleisten.

Die wichtigsten Änderungen auf einen Blick

Das nDSG führt mehrere wichtige Änderungen ein, die es näher an die DSGVO heranführen und gleichzeitig bestimmte Besonderheiten des Schweizer Kontexts beibehalten. Im Folgenden finden Sie einen Überblick über die Aktualisierungen, die wir in den folgenden Abschnitten näher erläutern werden:

• Das Gesetz gilt nur für die Daten von natürlichen Personen.
• Zu den sensiblen Datenkategorien gehören nun auch biometrische, genetische und ethnische Daten.
• Das Auswirkungsprinzip bedeutet, dass das Gesetz auch für ausländische Unternehmen gilt, wenn ihre Datenverarbeitung Auswirkungen auf in der Schweiz ansässige Personen hat.
• Der Schutz der Privatsphäre durch Design und Standardeinstellungen wird zur Pflicht.
• Die Informationspflicht gilt für alle Datenerhebungen.
• Ein Register der Verarbeitungstätigkeiten ist erforderlich (mit Ausnahmen für KMU mit geringem Risiko).
• Profiling und Hochrisikoprofiling sind nun definiert und geregelt.
• Datenschutz-Folgenabschätzungen (DPIA) sind für Verarbeitungen mit hohem Risiko obligatorisch.
• Die Meldung von Verstössen an den EDÖB ist obligatorisch, jedoch ohne ausdrückliche 72-Stunden-Frist.
• Die Rechte der betroffenen Personen werden erweitert (z. B. Datenübertragbarkeit).
• Für vorsätzliche Verstösse durch verantwortliche natürliche Personen gelten Bussen bis zu 250’000 CHF.
• Die internationale Datenübermittlung unterliegt strengeren Anforderungen.

Warum wurde das Gesetz überarbeitet?

Das bisherige Schweizer Datenschutzgesetz stammte aus dem Jahr 1992, einer Zeit, als das Internet noch nicht zum Alltag gehörte. Seither hat sich die Technologie, der elektronische Handel und die soziale Dynamik massiv weiterentwickelt. Daten sind zu einem unverzichtbaren Bestandteil des modernen Handels geworden und werden nicht nur zur Verwaltung von Kundenbeziehungen, sondern auch zum Trainieren von Algorithmen, zur Personalisierung von Dienstleistungen, zur gezielten Werbung und zur Automatisierung von Geschäftsprozessen verwendet.

Zudem hat die EU 2018 mit der neuen Datenschutzgrundverordnung (DSGVO) ihre Datenschutzbestimmungen verschärft und modernisiert, sodass es für die Schweiz unumgänglich wurde, ihre Datenschutzgesetze an die aktuellen gesellschaftlichen Gegebenheiten anzupassen und stärker auf die aktualisierten EU-Gesetze abzustimmen.

Drei Hauptfaktoren haben die Überarbeitung ausgelöst:

1. Technologische und gesellschaftliche Entwicklung: Die explosionsartige Zunahme von digitalen Diensten, Cloud Computing, sozialen Netzwerken, intelligenten Geräten und künstlicher Intelligenz erforderte einen aktualisierten Rechtsrahmen für den Datenschutz.
2. Internationale Angleichung: Die im Mai 2018 in Kraft getretene EU-Datenschutz-Grundverordnung hat die Messlatte für den Datenschutz weltweit höher gelegt. Die Schweiz musste ihre eigene Gesetzgebung mit den globalen Standards in Einklang bringen, um ihren Status als Land mit einem angemessenen Datenschutzniveau aufrechtzuerhalten und dadurch den freien Fluss personenbezogener Daten zwischen der Schweiz und der EU zu erleichtern.
3. Transparenz und individuelle Rechte: Die Konsumentinnen und Konsumenten sind sich ihres „digitalen Fussabdrucks“ zunehmend bewusst, und die Sorge um den angemessenen Schutz und die Kontrolle der persönlichen Daten hat in den letzten Jahren stark zugenommen. Das revidierte Gesetz zielt darauf ab, die „informationelle Selbstbestimmung“ (das Recht, die eigenen persönlichen Daten zu kontrollieren) zu stärken, indem Transparenz und Rechenschaftspflicht verbessert werden.

Wen und was schützt das neue Gesetz?

Das neue schweizerische Datenschutzgesetz schützt ausdrücklich natürliche Personen, nicht juristische Personen. Dies ist ein entscheidender Unterschied zum ursprünglichen Bundesgesetz über den Datenschutz (DSG) von 1992, das auch Unternehmen und anderen Organisationen Datenschutz bot.

Das nDSG zielt in erster Linie auf den Schutz der Persönlichkeit und der Grundrechte von Personen ab, deren Daten verarbeitet werden. Es stärkt den Grundsatz, dass der Einzelne die Kontrolle darüber behalten sollte, wie seine personenbezogenen Daten erhoben, verwendet und weitergegeben werden (Stärkung der „Selbstbestimmung“ über personenbezogene Daten). Sie erhöht auch die Transparenz der Datenverarbeitung, so dass die Menschen besser darüber informiert sind, welche personenbezogenen Daten erhoben und wie sie verwendet werden.

Darüber hinaus hat das Gesetz den Umfang der „sensiblen personenbezogenen Daten“ erweitert. Zusätzlich zu Daten über Gesundheit, religiöse oder politische Überzeugungen und Vorstrafen (die alle im ursprünglichen DSG als sensible personenbezogene Daten anerkannt wurden), erkennt das überarbeitete Gesetz auch diese an:

• Biometrische Daten (z. B. Fingerabdruck oder Gesichtserkennung)
• Genetische Daten (z. B. DNA-Analyse)
• Ethnische Herkunft
• Sozialhilfemassnahmen und verwaltungs- oder strafrechtliche Sanktionen

Diese umfassendere Definition bietet einen noch grösseren Schutz für Einzelpersonen und hat Auswirkungen darauf, wie Unternehmen ihre Datenrisiken und Compliance-Verpflichtungen bewerten.

Wer muss das nDSG einhalten?

Das nDSG gilt für:

• Private Unternehmen und Bundesorgane in der Schweiz, die Personendaten bearbeiten.
• Ausländische Unternehmen, deren Datenbearbeitung sich auf die Schweiz auswirkt. Zum Beispiel solche, die Waren oder Dienstleistungen für Personen in der Schweiz anbieten oder Daten über sie sammeln und bearbeiten.

Dies wird als „Auswirkungsprinzip“ bezeichnet und ist vergleichbar mit dem „Marktortprinzip“ der DSGVO. Es fügt im Grunde einen extraterritorialen Anwendungsbereich zu dem Gesetz hinzu, was bedeutet, dass es auch für Datenverarbeitungen im Ausland gilt, wenn sie sich auf Personen in der Schweiz auswirken.

Mit anderen Worten: Werden Personendaten ausserhalb der Schweiz bearbeitet, betreffen sie aber Personen im Inland, so untersteht auch der ausländische Datenbearbeiter dem neuen Datenschutzgesetz. In solchen Fällen kann er auch verpflichtet sein, einen gesetzlichen Vertreter in der Schweiz zu benennen, wie dies in den Artikeln 14 und 15 nDSG vorgesehen ist.

KMU sind zwar nicht generell von der Einhaltung der Vorschriften ausgenommen, doch können sie von begrenzten Ausnahmen profitieren – insbesondere in Bezug auf die Verpflichtung zur Führung eines Verarbeitungsverzeichnisses -, sofern sie nicht in grossem Umfang sensible Daten verarbeiten oder ein risikoreiches Profiling betreiben.

Was sind die neuen Verpflichtungen für Unternehmen?

1.      Datenschutz durch Technik und Voreinstellungen

Artikel 7 des revDSG verpflichtet Unternehmen, den Datenschutz von Anfang an in Systeme und Prozesse zu integrieren (Datenschutz durch Technik) und sicherzustellen, dass die Standardeinstellungen eines Produkts oder einer Dienstleistung automatisch das höchste Datenschutzniveau bieten (Datenschutz durch Voreinstellungen). Dies bedeutet:

• Minimierung Erfassung von personenbezogenen Daten.
• Produkte und Dienste so konfigurieren, dass standardmässig die strengsten Datenschutzeinstellungen verwendet werden.
• Sicherstellung, dass nur notwendige Daten für einen bestimmten Zweck verarbeitet werden.

2.      Informationspflichten

Um eine transparente Datenverarbeitung zu gewährleisten und den Einzelnen in die Lage zu versetzen, ihre Datenschutzrechte wahrzunehmen, gelten strengere Informationspflichten für die Betroffenen bei der Erhebung personenbezogener Daten (Artikel 19 revDSG).

Unternehmen müssen Einzelpersonen zum Zeitpunkt der Datenerhebung informieren, unabhängig davon, ob die Daten direkt oder von einem Dritten erhoben werden. Das Gesetz legt nicht ausdrücklich fest, wie Unternehmen die Informationen weitergeben müssen, sondern nur, welche Informationen sie zur Verfügung stellen müssen. Zu den Mindestangaben gehören:

• Identität und Kontaktinformationen des für die Verarbeitung Verantwortlichen
• Zweck der Verarbeitung
• Kategorien von Daten und Empfängern
• Zielland, wenn Daten ins Ausland übermittelt werden

3.      Register der Verarbeitungstätigkeiten

Verantwortliche und Auftragsverarbeiter müssen ein Verzeichnis aller Datenverarbeitungstätigkeiten führen (Art. 12 nDSG). Das Register muss Angaben enthalten wie den Zweck der Erhebung und Verarbeitung, die Empfänger der Daten und die Empfängerländer bei Übermittlung ins Ausland, die Kategorien der betroffenen Personen und der erhobenen/verarbeiteten Daten, die Aufbewahrungsfristen der Daten und die Massnahmen zur Gewährleistung der Datensicherheit.

Unternehmen mit weniger als 250 Beschäftigten (die meisten KMU) sind von diesen Anforderungen ausgenommen, sofern ihre „Datenverarbeitung ein vernachlässigbares Risiko der Beeinträchtigung der Persönlichkeit der betroffenen Personen darstellt“ (Art. 12, Abs. 5 nDSG). Mit anderen Worten: Sie verarbeiten keine sensiblen Daten in grossem Umfang und führen kein risikoreiches Profiling durch.

4.      Datenschutz-Folgenabschätzungen (DPIAs)

Unternehmen müssen Datenschutzrisiken durch eine Datenschutz-Folgenabschätzung (DPIA) bewerten, wenn eine geplante Datenverarbeitung voraussichtlich ein hohes Risiko für die Persönlichkeit oder die Grundrechte von Personen darstellt (Art. 22 revDSG). Dazu gehört die grossflächige Bearbeitung von sensiblen Personendaten oder die systematische Überwachung von öffentlichen Räumen (z.B. Überwachungskameras in einem Einkaufszentrum zum Zweck des Behavioral Tracking).

Die Datenschutzfolgenabschätzung muss die beabsichtigte Verarbeitung beschreiben, die damit verbundenen Risiken bewerten und Massnahmen zur Minderung dieser Risiken darlegen. Unternehmen sind von dieser Verpflichtung ausgenommen, wenn die Verarbeitung gesetzlich vorgeschrieben ist. Darüber hinaus ist eine Datenschutz-Folgenabschätzung nicht verpflichtend, wenn das System oder der Dienst für seinen Verwendungszweck zertifiziert ist (Artikel 13 revDSG) oder wenn es einem Verhaltenskodex folgt (Artikel 11 revDSG):

• basiert auf einer vorherigen DPIA,
• Ausreichende Sicherheitsvorkehrungen zum Schutz der Daten,
• Wurde dem EDÖB vorgelegt.

5.      Pflicht zur Meldung von Verstössen gegen die Datensicherheit

Im Falle einer Verletzung der Datensicherheit, die ein hohes Risiko für die betroffenen Personen darstellt, müssen die Unternehmen den EDÖB „so rasch wie möglich“ informieren (Art. 24 revDSG).

Das Unternehmen muss die Art der Verletzung, deren Folgen und die getroffenen oder geplanten Schutzmassnahmen darlegen. Die Unternehmen müssen auch die betroffenen Personen informieren, wenn dies zu ihrem Schutz notwendig ist oder wenn der EDÖB dies verlangt.

Im Gegensatz zur Datenschutz-Grundverordnung sieht das Gesetz keine 72-Stunden-Frist vor, aber Verzögerungen können dennoch Durchsetzungsmassnahmen und Strafen nach sich ziehen.

6.      Datenübermittlung ins Ausland

Personendaten dürfen nur dann ins Ausland übermittelt werden, wenn das Bestimmungsland ein angemessenes Schutzniveau bietet, wie es vom Schweizerischen Bundesrat anerkannt wird (Art. 16 revDSG).

Ist dies nicht der Fall, müssen die Unternehmen einen angemessenen Datenschutz gewährleisten:

• Standardvertragsklauseln
• Verbindliche Unternehmensregeln
• Vom EDÖB genehmigte spezifische vertragliche Garantien

Die für die Verarbeitung Verantwortlichen müssen die betroffenen Personen auch über die Empfängerländer und die angewandten Schutzmassnahmen informieren.

Erweiterte Rechte für betroffene Personen

Das überarbeitete Gesetz stärkt die Rechte des Einzelnen und verbessert die Transparenz. Zu den wichtigsten Rechten gehören:

• Recht auf Information: Der Einzelne kann Auskunft darüber verlangen, wie und warum seine Daten verarbeitet werden.
• Recht auf Berichtigung: Einzelpersonen können verlangen, dass unrichtige oder unvollständige personenbezogene Daten unverzüglich berichtigt werden.
• Recht auf Datenübertragung: Einzelpersonen können eine Kopie ihrer Daten in einem standardisierten elektronischen Format anfordern oder verlangen, dass sie direkt an einen anderen Anbieter übertragen werden, sofern dies keinen unangemessenen Aufwand erfordert. Wenn ein Kunde beispielsweise beschliesst, den Steuerberater zu wechseln, kann er verlangen, dass sein derzeitiger Berater alle relevanten personenbezogenen Daten – wie Einkommensnachweise, frühere Steuererklärungen und Korrespondenz mit Behörden – in einem strukturierten elektronischen Format an den neuen Berater übermittelt. Dies gewährleistet die Kontinuität der Dienstleistung und vermeidet die Notwendigkeit, historische Daten manuell neu zusammenzustellen.
• Recht auf Widerspruch gegen automatisierte Entscheidungen: Eine Person kann gegen Entscheidungen, die ausschliesslich durch automatisierte Verarbeitung getroffen werden, Einspruch erheben und eine Überprüfung durch einen Menschen verlangen (z. B. automatische Kreditwürdigkeitsprüfungen oder Versicherungsbewertungen).

Wie werden die neuen Datenschutzgesetze durchgesetzt?

Das nDSG stärkt die Durchsetzung des Gesetzes durch verstärkte behördliche Aufsicht, persönliche Verantwortlichkeit und mögliche Geldstrafen. Unternehmen und Einzelpersonen müssen diese Änderungen ernst nehmen, da Verstösse zu Ermittlungen, Anordnungen und hohen persönlichen Geldbussen führen können.

Einer der bemerkenswertesten Unterschiede zwischen dem nDSG und der DSGVO ist die Frage, wer mit einer Geldstrafe belegt werden kann:

• Nach dem nDSG können natürliche Personen (z.B. Geschäftsführer, Manager oder Angestellte) bei vorsätzlichen Verstössen mit einer Geldstrafe von bis zu 250.000 CHF belegt werden.
• Unternehmen können nur dann mit einer Geldstrafe von bis zu 50.000 CHF belegt werden, wenn die Ermittlung der verantwortlichen Person einen unverhältnismässigen Aufwand erfordert.

Das Gesetz konzentriert sich auf die persönliche Verantwortlichkeit, um sicherzustellen, dass der Datenschutz auf jeder Ebene einer Organisation ernst genommen wird. Im Gegensatz dazu sieht die DSGVO in erster Linie Sanktionen für das Unternehmen oder den für die Datenverarbeitung Verantwortlichen als juristische Person vor, mit Geldbussen von bis zu 20 Mio. EUR oder 4 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist .

Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) hat erweiterte Befugnisse, unter anderem:

• Erteilung verbindlicher Aufträge
• Durchführung von Untersuchungen und Inspektionen
• Empfehlung von Abhilfemassnahmen

Der EDÖB kann zwar nicht direkt Bussen verhängen, aber er kann Fälle an die zuständigen kantonalen Strafverfolgungsbehörden weiterleiten.

Was sollten Schweizer Unternehmen jetzt tun, um die Einhaltung des nDSG zu gewährleisten?

Das neue schweizerische Datenschutzgesetz macht einen rigorosen Datenschutz zu einer Priorität für Unternehmen. Unternehmen müssen einen strukturierten und kontinuierlichen Ansatz zum Datenschutz verfolgen, um die Einhaltung der Vorschriften zu gewährleisten und Strafen zu vermeiden. Im Folgenden finden Sie einige praktische Schritte und Massnahmen, die Unternehmen bereits jetzt ergreifen können:

• Durchführung eines Datenschutz-Audits oder einer Lückenanalyse zur Ermittlung von Lücken in der Einhaltung der Vorschriften
• Aktualisierung interner Datenschutzrichtlinien, Verträge und Website-Hinweise
• Ernennung eines Datenschutzberaters (fakultativ, aber bei risikoreicher Verarbeitung dringend empfohlen)
• Schulung der Mitarbeiter zum Thema Datenschutz und Verantwortlichkeiten
• Überprüfung der Verarbeitungstätigkeiten und Erstellung eines Registers, falls gesetzlich vorgeschrieben
• Sicherstellen, dass geeignete technische und organisatorische Massnahmen für die Speicherung, Nutzung, Übermittlung und Löschung von Daten im Einklang mit dem Gesetz getroffen werden
• Entwicklung eines Plans zur Reaktion auf Sicherheitsverletzungen, um Vorfälle schnell zu erkennen, zu bewerten und zu melden
• Bewertung und Dokumentation der internationalen Datenübermittlung und der angewandten Sicherheitsvorkehrungen

Welche Vorteile hat die Einhaltung des neuen Datenschutzgesetzes?

Das neue Schweizer Datenschutzgesetz muss nicht nur als zusätzliche Belastung für die Unternehmen angesehen werden, und bei Investitionen in einen guten Datenschutz geht es nicht nur darum, rechtliche Risiken zu vermeiden.

Unternehmen, die proaktiv Massnahmen zur Verbesserung ihrer Datenverarbeitungssysteme und zur Erhöhung der Datensicherheit ergreifen, profitieren von grösserem Kundenvertrauen, höherer Effizienz und geringerem Risiko. Im Gegenzug werden die Wirtschaft und die Unternehmenslandschaft der Schweiz durch einheitliche, transparente Datenpraktiken gestärkt.

Vorteile für Unternehmen

• Stärkeres Kundenvertrauen: Kunden sind eher bereit, mit Unternehmen Geschäfte zu machen, die den Datenschutz respektieren, vor allem in sensiblen Sektoren wie dem Gesundheitswesen, dem Finanzwesen und der Technologiebranche.
• Verbesserte betriebliche Effizienz: Ein strukturierter Ansatz für die Datenverwaltung hilft, Redundanzen zu reduzieren, Ineffizienzen zu erkennen und interne Arbeitsabläufe zu verbessern.
• Geringere Risikoexposition: Die Einhaltung der Vorschriften verringert die Wahrscheinlichkeit von Durchsetzungsmassnahmen, kostspieligen Strafen oder Rufschädigung.
• Ermöglicht internationale Partnerschaften: Die Einhaltung der Schweizer und EU-Datenschutzstandards erleichtert den grenzüberschreitenden Datentransfer und die reibungslose Erfüllung der Erwartungen internationaler Kunden.
• Wettbewerbsvorteil: Unternehmen, die über eine solide Datensicherheit verfügen, gewinnen oft einen Ruf für Professionalität, was ihnen auf wettbewerbsintensiven Märkten einen Vorteil verschaffen kann.

Vorteile für die Schweizer Wirtschaft insgesamt

• Angleichung an EU-Standards: Die Einhaltung der internationalen Standards stellt sicher, dass die Schweiz weiterhin als Land mit einem angemessenen Datenschutzniveau anerkannt wird, was für einen reibungslosen Datenaustausch mit den EU-Partnern unerlässlich ist.
• Fördert die digitale Innovation: Ein klarer Rechtsrahmen ermutigt Start-ups und KMU, neue technologiegestützte Lösungen zu entwickeln.
• Internationale Investitionen werden angezogen: Multinationale Unternehmen investieren oder gründen eher Niederlassungen in Ländern mit soliden Datenschutzgesetzen.
• Hebt die allgemeinen Unternehmensstandards an: Die branchenweite Einhaltung von Vorschriften hebt die Basis für Unternehmensverantwortung, Cybersicherheit und Transparenz.

Abschliessende Überlegungen

Das revidierte Datenschutzgesetz der Schweiz bringt den rechtlichen Rahmen des Landes in Einklang mit der modernen Datenrealität. Während die Verpflichtungen für Unternehmen gestiegen sind, bietet es auch mehr Möglichkeiten, Vertrauen aufzubauen, Professionalität zu zeigen und in einer zunehmend datengesteuerten Wirtschaft sicher zu agieren.

Unabhängig davon, ob Sie ein kleines Startup oder ein etabliertes internationales Unternehmen sind, ist das Verständnis und die Umsetzung der Anforderungen des nDSG eine wertvolle Investition in den langfristigen Erfolg und ein wesentlicher Aspekt der Corporate Compliance.