Das neue Datenschutzgesetz in der Schweiz (nDSG)

Das alte und geltende Datenschutzgesetz der Schweiz (DSG) ist in die Jahre gekommen – es geht ursprünglich auf das Jahr 1992 zurück. Allein im Hinblick auf die technologische Entwicklung und die Digitalisierung ist es nicht mehr zeitgemäss. Die Schweiz folgt nun mit der Überarbeitung beziehungsweise der Revision des Datenschutzgesetzes (DSG-Revision) dem Europarat der EU – für die EU wurden die datenschutzrechtlichen Bestimmungen ebenfalls überarbeitet. Das Ziel: Die Angleichung des Datenschutzgesetzes der Schweiz an das Niveau der EU – sowie die Anpassung an die modernisierte Datenschutzkonvention des Europarates. Dabei fand eine Annäherung am europäischen Standard statt. Schweizer Eigenheiten wurden aber dennoch beibehalten oder Neue eingeführt. 
Bereits im September 2020 wurde das neue Datenschutzgesetz der Schweiz vom Parlament verabschiedet – das Inkrafttreten wird wohl frühestens Anfang 2022 stattfinden. Zusätzlich Druck erhielt das Parlament durch die 2018 verabschiedete EU-Datenschutzgrundverordnung (DSGVO): Die Revision des DSG ist eine Angleichung daran, behält aber weiterhin eine eigene Grundkonzeption.

Neues Datenschutzgesetz in der Schweiz: Wichtigste Regelungen im Überblick 

Das revidierte Datenschutzgesetz der Schweiz konzentriert sich auf folgende Veränderungen: Neue Anforderungen wurden eingeführt und bestehende Rechte von betroffenen Personen gestärkt. Hinzu kommen jedoch auch Einschränkungen bei bereits existierenden Regelungen. Zudem soll die Revision des DSG die Transparenz von Datenbearbeitungen verbessern.
Die wichtigsten Neuerungen sind:

1. Ausschliesslicher Schutz von natürlichen Personen

Nur natürliche Personen und deren Daten werden im neuen Datenschutzgesetz in der Schweiz geschützt – somit entfällt das gleiche Recht für juristische Personen.

2. Besonders schützenswerte Personendaten im Datenschutzgesetz der Schweiz 
Im geltenden DSG sind die Regelungen enger definiert – das neue Datenschutzgesetz wird deswegen um einige Aspekte erweitert: So gehören zu den besonders schützenswerten Personendaten auch genetische und biometrische Daten (Fingerabdruck, Retina-Scan) sowie Daten über die ethnische Herkunft von natürlichen Personen. Es gelten in Zukunft Rechtsfolgen bei der Datenschutz-Folgenabschätzung, Einwilligung oder Datenbekanntgabe an Dritte.

3. Erweiterte Informationspflicht
Bei der Beschaffung von Personendaten müssen neuerdings die betroffenen Personen informiert werden. Ihnen muss unter anderem der Bearbeitungszweck mitgeteilt werden, wer die Verantwortlichen sind und wie man sie kontaktieren kann. 
 

4. Datenschutzfreundliche Voreinstellung und technischer Datenschutz
Im neuen Datenschutzgesetz der Schweiz liegt eine strengere Sorgfaltspflicht vor. Dabei wird zwischen zwei Begriffen unterschieden: Privacy by Design und Privacy by Default. Der Begriff Privacy by Design bezieht sich auf die Einhaltung der Datenschutzvorschriften bei der Datenbearbeitung. Bereits bei der Planung müssen diese Vorschriften und Grundsätze eingehalten werden, um das Risiko gering zu halten. Bei Privacy by Default wird durch eine Voreinstellung sichergestellt, dass die Personendaten nur für den spezifischen Verwendungszweck bearbeitet werden können. 
 

5. Datenschutz-Folgenabschätzung
Es kann durchaus vorkommen, dass eine Datenbearbeitung ein hohes Risiko birgt – vor allem für das Grundrecht einer betroffenen Person oder der Persönlichkeit. Dann ist laut dem neuen Datenschutzgesetz der Schweiz eine Datenschutz-Folgenabschätzung verpflichtend: In dieser müssen die geplante Arbeit, eventuelle Risiken und Massnahmen dagegen dargelegt werden. 
 

6. Meldung von Verletzungen des Datenschutzes
Wird der Datenschutz verletzt, ist die verantwortliche Person zu einer schnellen Meldung verpflichtet. Dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) muss zudem mitgeteilt werden, ob ein Risiko für die Persönlichkeit der betroffenen Person besteht. Ausserdem muss die betroffene Person ebenfalls informiert werden, falls erforderlich. 
 

7. Strafbestimmungen im neuen Datenschutzgesetz 

• Strafbestimmungen und deren Katalog wurden im neuen Datenschutzgesetz der Schweiz erweitert: Das nDSG sieht wesentlich strengere strafrechtliche Sanktionen vor – dabei wurde die Busse auf bis zu CHF 250'000 erhöht. Die Bussenerhöhung ist besonders beachtlich, weil jeweils die verantwortliche natürliche Person haftbar gemacht werden kann – und nicht wie in der DSGVO das Unternehmen oder dessen Verantwortliche. 
• Es besteht bereits und weiterhin der Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB), der verwaltungsrechtliche Massnahmen ausführt. Dieser kann beispielsweise die Bearbeitung von Personendaten untersagen oder die Löschung von spezifischen Datensätzen beantragen. 
• Im neuen Datenschutzgesetz der Schweiz spricht das EDÖB nicht mehr nur unverbindliche Empfehlungen aus, sondern verfügt nun auch über eine Verfügungsmacht. 
• Darüber hinaus kann der EDÖB ein verwaltungsrechtliches Untersuchungsverfahren eröffnen und verbindliche Verfügungen erlassen – diese müssen von betroffenen Unternehmen unter anderem vor dem Bundesverwaltungsgericht angefochten werden.

Das Datum der Einführung des neuen Datenschutzgesetzes steht inzwischen fest: September 2023. Achtung, das neue Gesetz kennt keine Übergangsfristen!

Sie wissen nun zwar, welche Veränderung auf Sie zukommen, aber sind sich unsicher, was Sie jetzt konkret tun sollen? 

Dafür haben wir die Lösung: Mit unserem Handbuch erhalten Sie alle relevanten Informationen zu den drei wichtigsten Pflichten im Recruiting in Bezug auf das neue Schweizer Datenschutzgesetz in kompakter Form sowie hilfreiche Tipps, wie Sie die neu gewonnen Erkenntnisse auch in Ihren Rekrutierungsprozess integrieren. Ihr Vorteil: Sie sparen sich die Zeit, aufwendige Gesetzestexte zu lesen. Dabei hilft Ihnen die Checkliste, die Sie im Handbuch finden.

Jetzt Handbuch sichern