- Datenschutz
- Recruiting
- 14. August 2023
nDSG: So ändert sich das Datenschutzgesetz in der Schweiz
Die wesentlichen Neuerungen ab September
Für mehr Datensicherheit und neue Rechte für Bürgerinnen und Bürger hat das Parlament das Datenschutzgesetz in der Schweiz angepasst. Ab dem 1. September 2023 gelten im Rahmen des nDSG daher neue Verpflichtungen und Regelungen für Unternehmen. Mehr über die wesentlichen Neuerungen lesen Sie hier.
Das alte und geltende Datenschutzgesetz der Schweiz (DSG) war in die Jahre gekommen – es geht ursprünglich auf das Jahr 1992 zurück. Allein im Hinblick auf die technologische Entwicklung und die Digitalisierung war es demnach selbstverständlich nicht mehr zeitgemäss. Daraufhin wurde das Datenschutzrecht grundlegend überarbeitet. Ziel war es, das Datenschutzgesetz der Schweiz wieder an das Niveau der EU und die modernisierten Datenschutzkonventionen des Europarates anzupassen. Das nDGS sowie die neue Datenschutzverordnung (DSV) treten nun zum 1. September 2023 in Kraft.
nDSG: die wichtigsten Regelungen im Überblick
Das revidierte Datenschutzgesetz der Schweiz konzentriert sich auf folgende Veränderungen: Neue Anforderungen wurden eingeführt und bestehende Rechte von betroffenen Personen gestärkt. Hinzu kommen jedoch auch Einschränkungen bei bereits existierenden Regelungen. Zudem soll die Revision des DSG die Transparenz für die Bearbeitung von Daten verbessern.
Die wichtigsten Neuerungen sind:
1. Ausschliesslicher Schutz von natürlichen Personen
Nur die Daten natürlicher Personen werden im nDSG geschützt – somit entfällt das gleiche Recht für juristische Personen.
2. Besonders schützenswerte Personendaten im nDSG
Zu den besonders schützenswerten Personendaten gelten von nun an auch genetische und biometrische Daten (Fingerabdruck, Retina-Scan) sowie Daten über die ethnische Herkunft von natürlichen Personen. Es gelten in Zukunft Rechtsfolgen bei der Datenschutz-Folgenabschätzung, Einwilligung oder Datenbekanntgabe an Dritte.
3. Erweiterte Informationspflicht
Bei der Beschaffung von Personendaten ist es Pflicht, die betroffenen Personen zu informieren. Ihnen muss unter anderem der Bearbeitungszweck mitgeteilt werden, wer die Verantwortlichen sind und wie man sie kontaktieren kann.
4. Datenschutzfreundliche Voreinstellung und technischer Datenschutz
Im neuen Datenschutzgesetz der Schweiz liegt eine strengere Sorgfaltspflicht vor. Dabei wird zwischen zwei Begriffen unterschieden: Privacy by Design und Privacy by Default. Der Begriff Privacy by Design bezieht sich auf die Einhaltung der Datenschutzvorschriften bei der Datenbearbeitung. Bereits bei der Planung müssen diese Vorschriften und Grundsätze eingehalten werden, um das Risiko gering zu halten. Bei Privacy by Default wird durch eine Voreinstellung sichergestellt, dass die Personendaten nur für den spezifischen Verwendungszweck bearbeitet werden können.
5. Datenschutz-Folgenabschätzung
Es kann durchaus vorkommen, dass eine Datenbearbeitung ein hohes Risiko birgt – vor allem für das Grundrecht einer betroffenen Person oder der Persönlichkeit. Dann ist laut nDSG eine Datenschutz-Folgenabschätzung verpflichtend: In dieser müssen die geplante Arbeit, eventuelle Risiken und Massnahmen dagegen dargelegt werden.
6. Meldung von Verletzungen des Datenschutzes
Liegt eine Verletzung des Datenschutzes vor, ist die verantwortliche Person zu einer schnellen Meldung verpflichtet. Dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) muss zudem mitgeteilt werden, ob ein Risiko für die Persönlichkeit der betroffenen Person besteht. Ausserdem muss die betroffene Person ebenfalls informiert werden, falls erforderlich.
7. Strafbestimmungen im neuen Datenschutzgesetz
- Strafbestimmungen und deren Katalog wurden im neuen Datenschutzgesetz der Schweiz erweitert: Das nDSG sieht wesentlich strengere strafrechtliche Sanktionen vor – dabei wurde die Busse auf bis zu CHF 250.000 erhöht. Die Bussenerhöhung ist besonders beachtlich, weil jeweils die verantwortliche natürliche Person haftbar gemacht werden kann – und nicht wie in der DSGVO das Unternehmen oder dessen Verantwortliche.
- Es besteht bereits und weiterhin der Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB), der verwaltungsrechtliche Massnahmen ausführt. Dieser kann beispielsweise die Bearbeitung von Personendaten untersagen oder die Löschung von spezifischen Datensätzen beantragen.
- Im neuen Datenschutzgesetz der Schweiz spricht das EDÖB nicht mehr nur unverbindliche Empfehlungen aus, sondern verfügt nun auch über eine Verfügungsmacht.
- Darüber hinaus kann der EDÖB ein verwaltungsrechtliches Untersuchungsverfahren eröffnen und verbindliche Verfügungen erlassen – diese müssen von betroffenen Unternehmen unter anderem vor dem Bundesverwaltungsgericht angefochten werden.
8. Profiling
Dieser Begriff wurde zusätzlich in das Gesetz aufgenommen. Profiling beschreibt die automatisierte Bearbeitung personenbezogener Daten.
Das Handbuch zum nDSG
Sie wissen nun zwar, welche Veränderung auf Sie zukommen, aber sind sich unsicher, was Sie jetzt in Sachen Datenschutz im Recruiting konkret tun sollen?
Dafür haben wir die Lösung: Mit unserem Handbuch erhalten Sie alle relevanten Informationen zu den drei wichtigsten Pflichten im Recruiting in Bezug auf das neue Schweizer Datenschutzgesetz in kompakter Form sowie hilfreiche Tipps, wie Sie die neu gewonnen Erkenntnisse auch in Ihren Rekrutierungsprozess integrieren.
Ihr Vorteil: Sie sparen sich die Zeit, aufwendige Gesetzestexte zu lesen. Dabei hilft Ihnen die Checkliste, die Sie im Handbuch finden.