Weiter zum Inhalt
  1. Home
  2. Verband

Datenschutz - was ändert sich

Seit dem 1. September 2023 ist das revidierte Schweizer Datenschutzrecht in Kraft. Es ist an die technologischen und internationalen Entwicklungen angepasst.

Roadmap - Überblick

Roadmap, neues Datenschutzgesetz

Für Unternehmen, die sich bereits auf die DSGVO eingestellt haben, ändert sich weniger. Alle anderen – mehrheitlich kleinere und mittlere Unternehmen – werden sich mit den gesetzlichen Vorgaben intensiver beschäftigen müssen.

Die neuen Bestimmungen

Das neue Datenschutzgesetz bringt einige Änderungen mit sich: Es erfolgt eine stärkere Formalisierung (z.B. Erstellung eines Bearbeitungsverzeichnisses, bei Datentransfers ins Ausland und im Bereich Auftragsdatenverarbeitung). Gleichzeitig gibt es neue Pflichten für Unternehmen und die Betroffenenrechte werden ausgebaut: Die Informationspflicht fällt umfassender aus, es besteht ein Recht auf Datenportabilität, es sind unter bestimmten Voraussetzungen Datenschutz-Folgenabschätzungen durchzuführen etc. Das Gesetz enthält mehr sanktionierte Verhaltensweisen und die Obergrenze für die neuen Strafsanktionen liegt bei CHF 250'000.

Um Ihnen das Einhalten der gesetzlichen Vorgaben möglichst einfach zu machen, publizieren wir auf dieser Website eine Roadmap mit den wichtigsten Meilensteinen. Für unser Mitglieder haben wir auch Q&As mit Erklärungen, Beispielen und Checklisten erarbeitet. Die Inhalte kommen von Rechtsexpertinnen und –experten innerhalb des Swico Legal Circles.

Roadmap - acht Meilensteine

Sie haben über 250 Mitarbeitende und bearbeiten sensitive Daten in grossem Umfang oder betreiben Hochrisiko-Profiling, so ist ein Verzeichnis der Bearbeitungstätigkeiten neu für Sie vorgeschrieben. Aber auch der Übersicht halber empfiehlt sich die Führung eines Verzeichnisses aller Aktivitäten, bei denen Personendaten bearbeitet werden. Solche Kategorien sind beispielsweise die Verwaltung von Kundendaten, Buchhaltung, Personalverwaltung oder das Führen eines Online-Shops.

Wer der gesetzlichen Pflicht zur Führung des Verzeichnisses unterliegt, hat einem Mindestinhalt gemäss Art. 12 revDSG zu genügen. Im vorliegenden Beitrag erfahren Sie, was nach neuem Recht der Mindestinhalt einer Datenschutzerklärung ist.

Zum Beitrag

Das revidierte Datenschutzgesetz weitet die Informationspflicht weiter aus (Art. 19 revDSG). Genau wie bei einer Lebensmitteldeklaration, die alle notwendigen Angaben enthalten muss, verhält es sich künftig mit der Datenschutzerklärung. Betroffene Personen, beispielsweise Besucherinnen und Besucher von Websites, haben neu einen umfassenden Anspruch zu erfahren, für welche Zwecke ihre Daten bearbeitet werden und welche Drittparteien die Datensätze empfangen.

Spätestens mit dem revDSG führt kein Weg an einer aktualisierten und vollständigen Datenschutzerklärung vorbei. Eine umfassende Datenschutzerklärung kommt einer Visitenkarte gleich und gehört auf die Website eines jeden Unternehmens.

Im unserem Beitrag erfahren Sie, was nach neuem Recht der Mindestinhalt einer Datenschutzerklärung ist. Zudem geben wir Ihnen hilfreiche Anwendungsbeispiele.

Zum Beitrag

 

Nur wenige Unternehmen kommen ohne externe IT-Provider aus: Daten sind in der Cloud gespeichert, der Newsletterversand erfolgt mittels eines externen E-Mail Automatisierungsservices und Lohnausweise werden mit einer Buchhaltungssoftware erstellt. In solchen Fällen liegt in der Regel eine Auftragsdatenbearbeitung nach Art. 9 revDSG vor. Neue Verträge müssen entsprechend abgeschlossen und bestehende nach den neuen Richtlinien überprüft werden. Die Bearbeitung wird zwar an einen Dritten delegiert, der Auftraggeber bleibt jedoch in der Verantwortung.

In unserem Beitrag informieren wir, wie Sie die Rollen «Verantwortlicher» und «Auftragsdatenbearbeiter» abgrenzen, was dies für rechtliche Folgen hat, und was Sie bei der Auftragsdatenverarbeitung (ADV) unbedingt beachten sollten.

Zum Beitrag

 

In diesem Kapitel setzen wir uns mit Zugangs- Benutzer-, Transport- und Speicherkontrolle auseinander. Unter neuem Recht sind sowohl der Verantwortliche als auch die Auftragsdatenverarbeiterin verpflichtet, durch geeignete technische und organisatorische Massnahmen (sog. TOM’s) eine dem Risiko angemessene Datensicherheit zu gewährleisten. Diese Massnahmen sollen Verletzungen der Datensicherheit vermeiden (Art. 8 revDSG mit Konkretisierungen in der Datenschutzverordnung).

In unserem Beitrag erfahren Sie, wann eine Verletzung der Datensicherheit vorliegt, anhand welcher Kriterien «geeignete Massnahmen» festzulegen sind und wann eine Meldepflicht ausgelöst wird.

Zum Beitrag

Daten machen vor Landesgrenzen keinen Halt. Wenn Daten ins Ausland gehen, so sieht das revDSG besondere Pflichten vor, damit die Persönlichkeitsrechte auch in ausländischen Rechtsordnungen angemessen geschützt werden. Der Auslanddatentransfer betrifft nicht nur die Weitergabe ins Ausland, sondern auch Fernzugriffe von einem Computer auf einen anderen (remote access).

Der Datentransfer zwischen Staaten mit angemessenem Staatenschutzniveau (Vergleiche List EDÖP) ist problemlos möglich. Liegt keine Angemessenheit vor, so zum Beispiel im Fall USA, darf der Transfer nur stattfinden, wenn andere Massnahmen Sicherheit bieten. Beispiele dafür sind ein völkerrechtlicher Vertrag, vom EDÖB anerkannte Standardschutzklauseln (vorab vom EDÖB genehmigt) oder unternehmensinterne Datenschutzvorschriften (anerkannt und verbindlich).

Wir gehen in unserem Beitrag auf die Handhabung in der Praxis ein und zeigen auch mögliche Ausnahmen auf.

Zum Beitrag

 

Neben der ausgeweiteten Informationspflicht (Art. 19 revDSG) wird auch das Auskunftsrecht betroffener Personen ausgebaut. Das revDSG enthält eine erweiterte Liste mit Informationen, welche der Verantwortliche herauszugeben hat. Beispielsweise hat eine Kundin ein Recht darauf zu erfahren, wie lange ihre personenbezogenen Daten bei einem Unternehmen aufbewahrt werden und welche Daten in Umlauf sind (Art. 25 revDSG).

Wir informieren über die ausgebauten Betroffenenrechte – unter anderem über das Recht auf Datenkorrektur, Löschung, und Portabilität. Jedes Unternehmen sollte frühzeitig sicherstellen, dass solchen Gesuchen in der Praxis entsprochen werden kann.

Zum Beitrag

Einige Vorhaben oder Projekte sind aus Sicht des Datenschutzes heikler als andere. Bei risikoreicheren Vorhaben, wird eine Datenschutz-Folgenabschätzung notwendig. Darin festgehalten sind das konkrete Bearbeitungsvorhaben sowie die ergriffenen oder noch zu ergreifenden Massnahmen, um die betroffene Person zu schützen. Ergeben sich dennoch hohe Risiken mit negativen Folgen, zieht dies weiteren Handlungsbedarf nach sich.

Wir informieren, wie die unterschiedlichen Schritte einer Datenschutz-Folgenabschätzung genau aussehen, in welchen Fällen Unternehmen gesetzlich dazu verpflichtet sind, und was mögliche Handlungen bei negativen Folgen sind.

Zum Beitrag

Beim Versand von Newslettern stellen sich eine Vielzahl von Fragen. Muss vorab eine Einwilligung bei den Empfängerinnen eingeholt werden? Wie verhält es sich, wenn für die Einwilligung eine Checkbox verwendet wird? Was ist ein Double-Opt-In Verfahren? Was ist bei der Generierung von Kontaktdaten (Leads) zu beachten?

In unserem Beitrag gehen wir auf diese und weitere Fragen im Kontext Newsletter auf den Grund.

Zum Beitrag

Merkblätter / Q&A

Diese Informationen sind nur für Mitglieder zugänglich.

  • Als Mitglied können Sie sich anmelden und die geschützten Inhalte ansehen.

    My Swico
  • Falls Sie noch kein Swico Mitglied sind und von vielen Vorteilen profitieren möchten:

    Jetzt Mitglied werden

Ihre Ansprechperson

Angela Anthamatten, RAin

Angela Anthamatten, RAin

Juristin
+41 44 446 90 87
E-Mail

Swico Cookie Policy
Swico nutzt eigene Cookies sowie Cookies von Dritten zu Marketing-, Profilerstellungs- und Analysezwecken sowie zur erleichterten Navigation auf der Website. Bitte lesen Sie hierzu unsere Datenschutzerklärung. Klicken Sie auf SCHLIESSEN, um Cookies zu akzeptieren.