DE EN FR IT Schadenmeldung Link öffnet in einem neuen Tab BVG Dokumente Partnerbetriebe Berater oder Standorte finden Bankkonditionen Magazin Jobs KMU Betriebsrechtsschutz Cyber-Versicherung Haftpflichtversicherung
Kundenservice
24h Hotline 00800 24 800 800
Aus dem Ausland: +41 58 285 28 28
Kontakt & Services myBaloise E-Banking Link öffnet in einem neuen Tab Logout
Einfach gründen: So geht Firmengründung in der Schweiz Neues Schweizer Datenschutzgesetz: das Wichtigste in Kürze

Die Strafen im neuen Schweizer Datenschutzgesetz 2023 sind verschärft worden. Darum finden Sie hier die wichtigsten Informationen zu den: 

  • Allgemeinen Änderungen
  • Neuen Pflichten für Unternehmen
  • Neuen Rechten für betroffene Personen
Alexandra Toscanelli, Marketing-Team KMU 4. September 2023 Nach der Gründung
Das neue Schweizer Datenschutzgesetz gilt in der Schweiz seit dem 1. September 2023. Die wichtigsten Änderungen für Unternehmen und Privatpersonen haben wir in übersichtlicher Form für Sie zusammengefasst. So wissen Sie, wozu Ihr Unternehmen verpflichtet ist und welche Sanktionen Ihnen bei Missachtung drohen.
Das erwartet Sie in unserem Artikel

Damit Sie einen schnellen Überblick über die Neuerungen des Schweizer Datenschutzgesetzes (DSG) erhalten, gehen wir auf folgende Punkte ein und konkretisieren sie mit einfachen Beispielen:
Wieso wurde das Datenschutzgesetz angepasst?

Das alte Datenschutzgesetz der Schweiz stammte aus dem Jahr 1992. In den vergangenen dreissig Jahren haben sich die technologischen und gesellschaftlichen Rahmenbedingungen stetig verändert. Zudem hat die EU mit der Datenschutzgrundverordnung (DSGVO) den Datenschutz verschärft. Mit der Totalrevision des schweizerischen Datenschutzgesetzes wurde das Gesetz an die veränderten Verhältnisse angepasst und mit dem EU-Recht kompatibel gemacht.
Was schützt das neue Datenschutzgesetz?

Das neue Datenschutzgesetz der Schweiz schützt zwei Dinge: die Persönlichkeit und die Grundrechte von Einzelpersonen (natürlichen Personen). Und zwar dann, wenn Private oder staatliche Stellen ihre Daten bearbeiten. Es achtet besonders darauf, wie die Daten bearbeitet, wie die betroffenen Personen darüber informiert werden und wie sie darauf Einfluss nehmen können. Mit der Revision werden insbesondere die Transparenz von Datenbearbeitungen verbessert und die Selbstbestimmung der betroffenen Personen über ihre Daten gestärkt. Das sogenannte Recht auf informationelle Selbstbestimmung steht für das Recht des Einzelnen, über die Herausgabe und Nutzung seiner persönlichen Daten selbst zu entscheiden. Das bedeutet, dass jede Person ein Mindestmass an Kontrolle darüber hat, welche Informationen über sie gesammelt und bearbeitet werden.
Seit wann ist das neue Datenschutzgesetz in der Schweiz in Kraft?

Das neue Datenschutzgesetz (DSG) trat am 1. September 2023 in Kraft. Da es keine gesetzlichen Übergangsfristen gab, galten alle Pflichten und Rechte sofort nach dem Inkrafttreten. Gleichzeitig traten auch die Ausführungsbestimmungen in der neuen Datenschutzverordnung (DSV) und die neue Verordnung über Datenschutzzertifizierungen (VDSZ) in Kraft.
Wen betrifft das neue Datenschutzgesetz?

Das neue DSG betrifft alle Firmen und Organisationen, die Personendaten bearbeiten. Gemäss DSG müssen sie beispielsweise die Datensicherheit durch geeignete technische und organisatorische Massnahmen sicherstellen, um Verletzungen der Datensicherheit (z.B. durch Cyberangriffe) zu verhindern. Dies umso mehr, als die Zahl der Cyberangriffe in der Schweiz rasant steigt und hoch bleibt, wie die dem Bundesamt für Cybersicherheit gemeldeten Vorfälle zeigen. Das zeigt die Bedrohungslage, in der sich Unternehmen in der Schweiz befinden.

Mit der Baloise Cyberversicherung für KMU ist Ihre Firma im Schadenfall rundum abgesichert. Gerne beraten wir Sie persönlich oder Sie schliessen Ihre Cyberversicherung für KMU mit wenigen Klicks direkt online ab.
Jetzt mehr erfahren
Wichtigste Änderungen: Was ändert sich mit dem neuen Datenschutzgesetz?

Die Revision des Schweizer DSG stützt sich auf die DSGVO der Europäischen Union ab, weist aber einige Besonderheiten auf. Die wichtigsten Änderungen im neuen DSG lassen sich in drei Bereiche unterteilen: erstens in allgemeine Änderungen, zweitens in neue Pflichten für Unternehmen und drittens in neue Rechte für Personen.

Allgemeine Änderungen
Neuer Geltungsbereich

Das revidierte Gesetz betrifft nur noch Daten natürlicher Personen. Die Daten juristischer Personen – wie die einer AG oder einer GmbH – fallen nicht mehr unter das DSG.

Neue besonders schützenswerte Personendaten

Das neue Datenschutzgesetz geht über das vorher gültige hinaus und umfasst zusätzliche Personendaten, die als besonders schützenswert gelten. Dazu gehören neu Daten über die Ethnie sowie genetische und biometrische Daten. Zu den genetischen Daten gehören Informationen über das Erbgut einer Person, die zum Beispiel durch Gentests gewonnen werden. Beispiele für biometrische Daten sind der Scan des Fingerabdrucks oder der Netzhaut. Daten über die Gesundheit, über religiöse, weltanschauliche oder politische Ansichten, zu strafrechtlichen Verfolgungen oder über die Zugehörigkeit zu einer Rasse bleiben wie im alten DSG besonders schützenswerte Personendaten.
Anwendbarkeit auch im Ausland

Das neue Gesetz gilt in erster Linie für Unternehmen und Organisationen in der Schweiz. Es gilt aber auch, wenn Personendaten im Ausland bearbeitet werden und sich diese Datenbearbeitung in der Schweiz auswirkt. Zudem betrifft es Unternehmen im Ausland, die Dienstleistungen in der Schweiz anbieten. Sie müssen eine Vertretung in der Schweiz benennen.
Profiling

Das DSG regelt neu auch das Profiling. Dabei unterscheidet es zwischen Profiling einerseits und Profiling mit hohem Risiko andererseits.

  • Profiling ist jede Art der automatisierten Bearbeitung von Personendaten mit dem Ziel, bestimmte persönliche Aspekte eines Menschen zu verknüpfen, wie etwa wirtschaftliche Lage, Gesundheit, Interessen, Verhalten, Aufenthaltsort usw. Ein Beispiel hierfür sind Onlineshops, die das Surfverhalten der Nutzerinnen und Nutzer automatisiert analysieren und ihnen dann dazu passende Produkte zum Kauf empfehlen.
  • Profiling mit hohem Risiko findet statt, wenn Personendaten automatisch bearbeitet werden und die Verknüpfung der Daten eine Bewertung wesentlicher Aspekte der Persönlichkeit erlaubt, also beispielsweise wenn der Betreiber eines Onlineshops die Vorlieben seiner Kundinnen und Kunden umfassend auswertet und dies Rückschlüsse auf ihren Gesundheitszustand zulässt. Dies kann ein hohes Risiko für die Persönlichkeit seiner Kundinnen und Kunden bedeuten.

Im Gegensatz zur DSGVO der Europäischen Union ist im neuen DSG nicht vorgeschrieben, dass betroffene Personen dem Profiling zustimmen müssen.

Neue Pflichten für Unternehmen
Privacy by Design und Privacy by Default

Sobald Firmen planen, Personendaten zu bearbeiten, müssen sie angemessene technische und organisatorische Massnahmen treffen, um die Grundsätze der Datenbearbeitung einzuhalten (Privacy by Design). Beispiele für solche Massnahmen sind das regelmässige Löschen von Daten oder deren standardisierte Anonymisierung.

Darüber hinaus müssen sie zweckgebundene Voreinstellungen wählen (Privacy by Default). Das bedeutet, dass sie Personendaten nur eingeschränkt beziehungsweise für den angegebenen Zweck bearbeiten dürfen. Es dürfen also keine Daten auf Vorrat gesammelt werden. Kunden von Onlineshops sollten neben ihrem Namen und ihrer Adresse keine Angaben machen müssen, die Rückschlüsse auf ihre persönlichen Vorlieben zulassen.
Verzeichnis der Datenbearbeitung

Unternehmen müssen ein Verzeichnis führen und alle Datenbearbeitungen darin dokumentieren. Firmen, die weniger als 250 Personen beschäftigen, sind davon ausgenommen, aber nur, wenn sie nicht im grossen Stil besonders schützenswerte Personendaten bearbeiten und kein Profiling mit hohem Risiko durchführen.
Meldepflicht bei Verletzung des Datenschutzes

Eine Verletzung der Datensicherheit kann voraussichtlich zu einem hohen Risiko für die Persönlichkeits- und Grundrechte von betroffenen Personen führen. Ist dies der Fall, müssen Unternehmen eine solche Verletzung dem/der Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) unverzüglich melden. Sie müssen auch die betroffenen Personen informieren, wenn dies zu deren Schutz nötig ist oder wenn die/der EDÖB dies verlangt. Verletzt ist die Datensicherheit beispielsweise, wenn Daten gestohlen, gehackt oder unbefugten Personen im Unternehmen bekannt oder zugänglich gemacht werden.
Erweiterte Informationspflicht

Die Informationspflicht wurde im Vergleich zum früheren DSG stark ausgebaut. Sobald Firmen Personendaten erheben, müssen sie darüber informieren. Die betroffenen Personen müssen alle relevanten Informationen erhalten, damit sie von ihren Rechten aus dem DSG Gebrauch machen können und eine transparente Datenbearbeitung garantiert ist. Das neue DSG legt jedoch nicht fest, wie Firmen dies tun müssen, sondern nur, welche Informationen sie zur Verfügung zu stellen haben, nämlich:

  • Identität und Kontaktdaten der/des für die Datenbearbeitung Verantwortlichen
  • Zweck der Bearbeitung
  • Empfänger, Empfängerland und gegebenenfalls die datenschutzrechtlichen Garantien, wenn die Personendaten ins Ausland übermittelt werden

Der letzte Punkt ist wichtig, wenn Firmen beispielsweise Angebote ihres Webshops auch via Amazon vermarkten.
Datenschutz-Folgenabschätzung

Firmen können mithilfe einer Datenschutz-Folgenabschätzung Risiken für den Datenschutz erkennen und bewerten. Sie sind verpflichtet, eine solche Analyse zu machen, wenn die Datenbearbeitung voraussichtlich zu einem hohen Risiko für die Persönlichkeits- und Grundrechte der betroffenen Personen führt. Beispiele für solche «heikle» Datenbearbeitungen sind:

  • die Bearbeitung besonders schützenswerter Personendaten wie Gesundheitsdaten
  • die systematische umfangreiche Überwachung öffentlicher Bereiche, etwa die Überwachung einer Bahnhofshalle

Je umfangreicher die Bearbeitung von besonders schützenswerten Personendaten ist, je sensibler die bearbeiteten Daten sind und je umfassender der Bearbeitungszweck ist, umso eher ist von einem Risiko auszugehen. Firmen müssen die Datenschutz-Folgenabschätzung machen, bevor sie die Daten tatsächlich bearbeiten. Zudem müssen sie diese Analyse dokumentieren.

Neue Rechte für betroffene Personen
Recht auf Datenherausgabe und -übertragung

Eine Person kann neu verlangen, dass ihre Daten von der für die Datenbearbeitung verantwortlichen Stelle in einem gängigen elektronischen Format herausgegeben oder an einen anderen Anbieter übermittelt werden. Zieht ein Patient beispielsweise um, kann er von seinem alten Hausarzt verlangen, seine Krankenakte an die neue Hausärztin zu übermitteln. Der Hausarzt darf dem Patienten für diesen Aufwand keine Kosten in Rechnung stellen.

Automatisierte Einzelentscheidung

Personen haben das Recht, Widerspruch gegen eine sogenannte automatisierte Einzelentscheidung einzulegen. Zudem können sie verlangen, dass die Entscheidung von einem Menschen überprüft wird. Ein Beispiel dafür ist die Vergabe eines Kredits: Eine Bank darf einen Kreditantrag nicht einfach ablehnen, wenn ein Algorithmus dies auf der Basis bestimmter Scoring-Werte empfiehlt. Die Antragstellerin oder der Antragsteller hat das Recht, dass eine Fachperson die Empfehlung des Algorithmus überprüft. Nur auf dieser Grundlage darf die Bank den Kreditantrag bewilligen oder ablehnen.

Verschärfte Strafen

Verstossen Unternehmen gegen das neue Datenschutzgesetz, riskieren sie Bussen von bis zu CHF 250’000. Allerdings werden nicht die Unternehmen bestraft, sondern die verantwortlichen natürlichen Personen. Dies im Gegensatz zur DSGVO, welche die fehlbaren Firmen bestraft – und zwar mit viel höheren Bussen.
Wie profitiert die Wirtschaft von der Totalrevision?

Seit dem Jahr 1992, in dem das erste Datenschutzgesetz in der Schweiz in Kraft trat, wurden im Zuge der Digitalisierung immer mehr Daten gesammelt und genutzt. Zudem wurde der Datenschutz ausgebaut – namentlich in der EU mit der DSGVO, die seit dem 25. Mai 2018 in Kraft ist. Die Schweiz musste daher das alte Gesetz an die neuen Gegebenheiten anpassen, um den Datenschutz zu stärken:

  • an das neue Konsumverhalten (z.B. Onlineshopping, Social Media)
  • an die technologischen Entwicklungen (z.B. Big Data, Cloud Computing)
  • an internationale Standards wie die DSGVO

Gemäss DSGVO dürfen Daten aus der EU nur in Länder übermittelt werden, die einen angemessenen Datenschutz haben. Da die Schweizer Wirtschaft stark mit dem europäischen Wirtschaftsraum vernetzt ist, ist ein von der EU «anerkannter» Datenschutz zentral, um einen weiterhin problemlosen Datenfluss zu garantieren. Gemäss Bundesrat stellt das neue Datenschutzrecht die Vereinbarkeit mit dem europäischen Recht sicher.
Das könnte Sie auch interessieren
Allgemeine Geschäftsbedingungen: Wie Sie AGB richtig erstellen AGB rationalisieren die Formalitäten beim Handel mit Waren und Services. Wir zeigen Ihnen, worauf es dabei ankommt und wie Sie am besten vorgehen.
Rechtskonforme AGB erstellen
Bildrechte: Was Sie wissen sollten Bilder gibt es im Internet zuhauf. Doch einfach nutzen sollte man sie nicht. Drei Faustregeln helfen Ihnen, auf der sicheren Seite zu sein.
Bildrechte verstehen
Willkommen zurück!

Jetzt zurück zu Ihrem Angebot einer Ihrer Offerte  
Zurück zur Offerte

oder

Neu berechnen
Willkommen zurück!

Jetzt zurück zu Ihrem Angebot einer Ihrer Offerte  
Zurück zur Offerte

oder

Neu berechnen
Willkommen zurück!

Jetzt zurück zu Ihrem Angebot einer Ihrer Offerte  
Zurück zur Offerte

oder

Neu berechnen
Willkommen zurück!

Jetzt zurück zu Ihrem Angebot einer Ihrer Offerte  
Zurück zur Offerte

oder

Neu berechnen
Willkommen zurück!

Jetzt zurück zu Ihrem Angebot einer Ihrer Offerte  
Zurück zur Offerte

oder

Neu berechnen

Melden Sie uns Ihren Schaden online:
Kontakt & Services Berater und Standorte finden