Die neue Datenschutzrichtlinie (revDSG) tritt im September 2023 in Kraft. Es wird die Vorschriften zum Schutz personenbezogener Daten verschärfen. Die neue Richtlinie bringt höhere Sicherheitsstandards und mehr Rechte für Verbraucher:innen. Dies stärkt den Schutz der Privatsphäre und das Vertrauen in digitale Dienste.
Neues Datenschutzgesetz im Anmarsch
Warum das Gesetz notwendig ist
Das erste Bundesgesetz über den Datenschutz stammt aus dem Jahr 1992. Inzwischen ist die Nutzung von Internet und Smartphone aus dem Alltag der Schweizer Bevölkerung nicht mehr wegzudenken und auch soziale Netzwerke, Cloud-Dienste oder das Internet der Dinge werden immer häufiger genutzt. Vor diesem Hintergrund ist eine Totalrevision des Datenschutzgesetzes unumgänglich. Sie soll der Bevölkerung einen angemessenen Datenschutz gewährleisten, der den technologischen und gesellschaftlichen Veränderungen unserer Zeit angepasst ist.
Das revDSG soll bewirken, dass der freie Datenverkehr mit der EU aufrechterhalten werden kann, damit Schweizer Unternehmen wettbewerbsfähig bleiben.
Für wen gilt das neue Gesetz?
Die Bearbeitung personenbezogener Daten durch private (und Bundes-)Stellen unterliegt dem Datenschutzgesetz und seinen Ausführungsbestimmungen. Betroffene sind somit private Unternehmen, Vereine und in der Regel auch Privatpersonen. Während sich Unternehmen und Vereine den Datenschutzgesetzen grundsätzlich nicht entziehen können, sind Privatpersonen von den Datenschutzbestimmungen ausgenommen, solange sie Personendaten ausschliesslich für den eigenen Gebrauch bearbeiten. Die Ausnahme «zum persönlichen Gebrauch» gilt jedoch nur für Datenverarbeitungen im intimen, privaten und häuslichen Bereich (enge Familie und Freunde), öffentliche Websites sind damit in der Regel ausgeschlossen. Aus diesem Grund sind die Betreiber:innen von privaten Websites - ebenso wie die Betreiber:innen von kommerziellen Websites - ständig von neuen DSG und neuen DSV betroffen.
Die wichtigsten Veränderungen
- Künftig sind nur noch Daten natürlicher Personen betroffen, nicht mehr die Daten juristischer Personen.
- In die Definition der besonders schützenswerten Daten werden genetische und biometrische Daten aufgenommen. Genetische Daten sind biologische Daten, die von einer Person stammen, die normalerweise durch eine Blut- oder Speichelprobe abgeleitet werden. Biometrische Daten sind biologische Merkmale, die eine Person eindeutig identifizieren können, wie zum Beispiel Fingerabdrücke, Gesichtserkennung und Iris-Scanner.
- Die Grundsätze «Privacy by Design» und «Privacy by Default» sollen eingeführt werden. Der Begriff Privacy by Design bezieht sich auf den Schutz und die Achtung der Privatsphäre des Nutzers oder der Nutzerin bei der Entwicklung von Produkten und Diensten, die persönliche Daten erheben. «Privacy by Default» (datenschutzfreundliche Voreinstellungen) gewährleistet, dass das Produkt oder die Dienstleistung von Anfang an das höchste Sicherheitsniveau aufweist, indem alle erforderlichen Datenschutz- und Nutzungseinschränkungsvorkehrungen automatisch, d.h. ohne Zutun des Anwenders, aktiviert werden. Mit anderen Worten, alle Software, Hardware und Dienste müssen so konfiguriert sein, dass die Daten geschützt sind und die Privatsphäre der Nutzer gewahrt wird.
- Besteht ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen, sind Folgenabschätzungen durchzuführen.
- Die Informationspflicht wird erweitert: Die betroffene Person muss bei jeder Beschaffung von Personendaten vorgängig informiert werden - nicht mehr nur bei den sogenannten besonders schützenswerten Daten.
- Obligatorisch wird die Erstellung eines Verzeichnisses der Verarbeitungstätigkeiten. Für KMU, deren Datenbearbeitung nur ein geringes Risiko einer Persönlichkeitsverletzung der betroffenen Personen mit sich bringt, sieht die Verordnung zum Gesetz jedoch eine Ausnahme vor.
- Eine Verletzung der Datensicherheit ist unverzüglich zu melden. Sie ist an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) zu richten.
- Aufnahme des Begriffs des Profiling (automatisierte Verarbeitung personenbezogener Daten) in das Gesetz.
Auf der Website des EDÖB (Das neue Datenschutzgesetz aus Sicht des EDÖB) finden Sie ausführlichere Informationen zu den durch das revDSG eingeführten Veränderungen.
Unterschiede zur EU (DSGVO)
Unternehmen, welche siche bereits an die DSGVO (Datenschutzgrundverordnung der EU) halten, werden nur wenige Anpassungen vornehmen müssen.
Quelle: admin.ch