Data Quality
Lesezeit

Neues Datenschutzgesetz in der Schweiz: Wichtige Änderungen (revDSG)

neues-datenschutzgesetz-in-der-schweiz_header.jpg

Was ist neu?


Ab 01.09.2023 gilt das grundlegend revidierte Datenschutzgesetz in der Schweiz. Die folgenden Hinweise sind nicht als Rechtsberatung gedacht. Nachfolgend erhalten Sie einen Überblick über die wichtigsten Änderungen rund um das neue Datenschutzgesetz (nDSG bzw. revDSG) in der Schweiz - einfach und kompakt. Setzen Sie die Änderungen direkt um, vermeiden Sie Bußgelder und werfen Sie bei dieser Gelegenheit einen Blick auf die Datenqualität Ihrer Kundendaten. 
 

Wen betrifft das neue Datenschutzgesetz (revDSG)?


Das neue Datenschutzgesetz (revDSG) betrifft zunächst alle Unternehmen mit Sitz in der Schweiz. Es gilt aber auch für ausländische Unternehmen, die in der Schweiz tätig sind oder deren Datenbearbeitung Auswirkungen auf die Schweiz hat. Im schweizerischen Datenschutzrecht gilt ab September das Marktortprinzip (Art. 3 Abs. 1 revDSG). Dies bedeutet, dass das schweizerische Recht auch auf Sachverhalte anwendbar ist, die sich in der Schweiz auswirken, auch wenn sie im Ausland veranlasst wurden. Es kommt also nicht auf den Sitz des Unternehmens an. Für die Anwendbarkeit des schweizerischen Datenschutzrechts genügt es, wenn z.B. Waren oder Dienstleistungen an Kundinnen und Kunden in der Schweiz angeboten werden.

Das neue Schweizer Gesetz orientiert sich an der europäischen Datenschutz-Grundverordnung (DSGVO). Es ist daher von einem erhöhten Handlungsbedarf auszugehen, wenn noch nicht DSGVO-konform gearbeitet wird.

 

Die wichtigsten Änderungen auf einen Blick

Geltungsbereich und Umfang:


Das revDSG beschränkt sich, vergleichbar mit der DSGVO der Europäischen Union, auf den Datenschutz von natürlichen Personen. Bisher umfasste das Datenschutzgesetz in der Schweiz auch juristische Personen. Zudem sind genetische und biometrische Daten besonders sensible Daten und als besonders schützenswert anzusehen.

Datenschutz-Folgenabschätzung:


Mit der revDSGO sind Unternehmen zudem dazu verpflichtet, eine dokumentierte Datenschutz-Folgenabschätzung durchzuführen, wenn die Datenbearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen mit sich bringt.

Verbesserte Transparenz:


Die Informationspflichten der Unternehmen sind deutlich umfangreicher als bisher. Nach dem neuen Gesetz müssen Personen über jede Datenerhebung angemessen informiert werden, auch wenn die Daten nicht beim Betroffenen selbst erhoben werden. Bisher galt dies nur für besonders schützenswerte Daten. Im Sinne der Transparenz müssen ein für die Datenverarbeitung Verantwortlicher, der Zweck der Verarbeitung, der Empfänger und bei einem Datenexport ins Ausland das Empfängerland genannt werden.

Profiling:


Eine generelle Pflicht zur Einholung einer Einwilligung sieht die revDSGVO nicht vor. Die Einwilligung muss jedoch eingeholt werden, wenn eine automatisierte Datenbearbeitung erfolgt, die eine Beurteilung wesentlicher Aspekte der Persönlichkeit einer natürlichen Person ermöglicht (Art. 5 Abs. g revDSG). Dies ist der Fall, wenn Daten ausgewertet werden, die persönliche Aspekte einer Person betreffen, wie z.B. Gesundheit, Verhalten, Interessen, Aufenthaltsort etc. Es handelt sich um ein hohes Profiling-Risiko.

Schnelle Meldung an den EDÖB:


Neu und mit der EU-DSGVO vergleichbar ist auch die Meldepflicht bei Verletzungen der Datensicherheit. Dem EDÖB ist so schnell wie möglich zu melden, wenn Daten unbeabsichtigt oder widerrechtlich verloren gegangen sind, vernichtet, gelöscht oder verändert wurden oder wenn Unbefugten Personendaten zugänglich gemacht wurden und dies voraussichtlich ein hohes Risiko für die betroffenen Personen zur Folge hat. Der Verantwortliche muss in der Regel auch die betroffenen Personen informieren, wenn der EDÖB dies verlangt oder wenn es zum Schutz der betroffenen Personen notwendig ist.

Privacy-by-Design und Privacy-by-Default
(Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen):


Der Datenschutz muss bereits bei der Planung und Konzeption berücksichtigt werden. So müssen z.B. Einwilligungen der Nutzer, die über die unbedingt notwendige Datenverarbeitung hinausgehen, explizit eingeholt werden. Entsprechende Voreinstellungen sind nicht zulässig.

Was muss ich zudem beachten, um die Datenschutzbestimmungen des revDSG einzuhalten?


Künftig muss ein Verzeichnis über die Bearbeitung von Personendaten im Unternehmen geführt werden. Alle Unternehmen mit Sitz in der Schweiz und/oder Unternehmen, die an Datenübermittlungen in die Schweiz oder aus der Schweiz beteiligt sind, müssen ein solches Verzeichnis führen. Darin ist zu dokumentieren, welche Personendaten wie und zu welchem Zweck gesammelt werden.

Als Personendaten gelten „alle Angaben, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen“ (Art. 5 Bst. a revDSG). Mit Hilfe einer Risikobeurteilung können die Anforderungen an die Datenschutzkonformität überprüft werden. Im Rahmen einer Gap-Analyse können anschliessend die notwendigen Schritte identifiziert werden.

Vergleichbar mit der EU-DSGVO ist auch die Anforderung, dass mit jedem Drittanbieter ein entsprechender Vertrag abgeschlossen werden muss. Wie bei der EU-DSGVO gibt es hierfür einen standardisierten Auftragsverarbeitungsvertrag (AVV) bzw. ein Data Processing Agreement (DPA).

 

Fazit:


Ohne eine einheitliche Sicht auf die Daten ist es für Unternehmen grundsätzlich schwierig, die Anforderungen des revDSG zu erfüllen. Insbesondere der Aspekt der Transparenz und der damit verbundenen Meldung an den EDÖB - müssen die Daten erst mühsam zusammengetragen werden, besteht immer die Gefahr, dass nicht alles erfasst wird. So bleibt immer ein Restrisiko, die Vorgaben zu verletzen - mit finanziellen und Image-Folgen. Daher ist es unerlässlich, dass die Kundendaten eine hohe Qualität aufweisen, aktuell sind und keine Dubletten enthalten. Darüber hinaus sind Kundenstammdaten häufig in unterschiedlichen Systemen vorhanden und/oder werden in Silos gehalten. Ein Golden Profile könnte dann eine echte 360-Grad-Sicht auf den Kunden ermöglichen. Das schafft letztlich die notwendige Rechtssicherheit im Hinblick auf den nationalen und internationalen Datenschutz.

360°-Kundensicht: Ihr Starter Guide


Das ‚Tante-Emma-Prinzip‘ – nie war es so wertvoll wie heute! Wetten? Denn was Tante Emma im Kleinen aus dem Effeff instinktiv beherrscht hat – die 360 Grad Sicht auf jeden einzelnen Kunden, müssen Sie heute digital umsetzen. Als Schlüssel für Personalisierung im Customer Experience Management innerhalb der Customer Journey.

In unserem Starter Guide ‚360°-Kundensicht‘ erfahren Sie, wie Sie aus konsolidierten Kundendaten das volle Umsatz- und Ertragspotenzial schöpfen:


Jetzt Paper downloaden

Artikel teilen:

Das könnte Sie auch interessieren:

Data Quality
Qualitativ optimierte Daten sind eine zentrale Voraussetzung für den Erfolg Ihres Unternehmens. Verstehen, pflegen, schützen und überwachen Sie daher Ihre Daten über alle Phasen ihres Lebenszyklus.
Dublettenprüfung
Finden und bereinigen Sie doppelt vorhandene Datensätze Ihrer Kunden und Interessenten, mit fehlertoleranter Präzisionsidentifizierung, auf der Basis länderspezifischer Wissensbasen, für ein sauberes System ohne Duplikate.
Data Cleansing
Bereinigen Sie Ihre Daten gezielt, als zentraler Bestandteil jeder Initiative für Datenqualität, mit einer Initialbereinigung zu Beginn, periodisch in der Data Maintenance (Anti Aging) oder laufend im First Time Right (Data Quality Firewall).