Zum Hauptinhalt springen

Datenschutzänderungen vom 1. September 2023

Wir haben Ihnen die 6 wichtigsten Datenschutzänderungen zusammengestellt, die am 1. September 2023 in der Schweiz in Kraft treten.

1 Geschützt sind zukünftig nur noch natürliche Personen

Das Datenschutzgesetz sieht vor, dass zukünftig nur noch natürliche Personen geschützt werden. Das bedeutet, dass das Gesetz den Schutz von personenbezogenen Daten von Einzelpersonen in den Vordergrund stellt und nicht mehr Unternehmen oder Organisationen schützt. Das Datenschutzgesetz definiert eine natürliche Person als "eine identifizierte oder identifizierbare natürliche Person". Das bedeutet, dass alle Informationen, die dazu verwendet werden können, eine Person direkt oder indirekt zu identifizieren, unter den Schutz des Datenschutzgesetzes fallen.

Unternehmen und Organisationen sind nach dem Datenschutzgesetz verpflichtet, den Schutz personenbezogener Daten zu gewährleisten und entsprechende Massnahmen zu ergreifen, um die Sicherheit und Vertraulichkeit von Daten zu gewährleisten. Dabei müssen sie die Vorschriften des Datenschutzgesetzes einhalten und sicherstellen, dass sie alle notwendigen Vorkehrungen treffen, um personenbezogene Daten angemessen zu schützen.

Insgesamt stellt das Datenschutzgesetz sicher, dass der Schutz personenbezogener Daten in erster Linie den natürlichen Personen zugutekommt, deren Daten verarbeitet werden, während Unternehmen und Organisationen weiterhin in der Verantwortung stehen, die Sicherheit und Vertraulichkeit von personenbezogenen Daten zu gewährleisten.
 

2 Die «besonders schützenswerten Personendaten» werden umfassender.

In der Schweiz regelt das Datenschutzgesetz (DSG) den Schutz von personenbezogenen Daten. Im DSG werden auch "besonders schützenswerte Personendaten" definiert, die einen höheren Schutz geniessen als andere personenbezogene Daten.

Zu den besonders schützenswerten Personendaten gemäss dem Schweizer Datenschutzgesetz gehören insbesondere:

  • Daten über religiöse, weltanschauliche, politische oder gewerkschaftliche Ansichten oder Tätigkeiten
  • Daten über die Gesundheit, die Intimsphäre oder die Zugehörigkeit zu einer Rasse oder Ethnie
  • genetische Daten
  • biometrische Daten, die eine natürliche Person eindeutig identifizieren
  • Daten über verwaltungs- und strafrechtliche Verfolgungen oder Sanktionen
  • Daten über Massnahmen der sozialen Hilfe

Das Schweizer Datenschutzgesetz sieht vor, dass die Verarbeitung dieser besonders schützenswerten Personendaten nur unter bestimmten Voraussetzungen erlaubt ist. So ist beispielsweise eine ausdrückliche Einwilligung der betroffenen Person erforderlich, es sei denn, es gibt eine gesetzliche Grundlage für die Verarbeitung. Darüber hinaus legt das Schweizer Datenschutzgesetz spezifische Anforderungen an die Sicherheit und den Schutz dieser besonders schützenswerten Personendaten
fest. Die Verantwortlichen für die Verarbeitung dieser Daten müssen geeignete technische und organisatorische Massnahmen treffen, um die Vertraulichkeit, Integrität und Verfügbarkeit der Daten zu gewährleisten und unerlaubten Zugriff, Veränderungen oder Verlust der Daten zu verhindern.
 

3 Profiling wird nun auch im DSG verankert

Im Schweizer Datenschutzgesetz (DSG) wird das sogenannte Profiling nun ausdrücklich erwähnt und geregelt. Unter Profiling versteht man die automatisierte Verarbeitung von personenbezogenen Daten, um bestimmte Eigenschaften oder Verhaltensweisen einer Person zu analysieren, zu bewerten oder vorherzusagen.

Das DSG sieht vor, dass Profiling mit hohem Risiko (persönliche Wesenszüge eindeutig erkennbar) nur erlaubt ist, wenn die betroffene Person ausdrücklich eingewilligt hat und das Profiling für die Erfüllung eines Vertrags mit der betroffenen Person notwendig ist oder wenn es gesetzlich vorgeschrieben ist.

Darüber hinaus müssen die Verantwortlichen für das Profiling den betroffenen Personen bestimmte Informationen zur Verfügung stellen, insbesondere darüber, welche Daten verarbeitet werden und zu welchem Zweck. Zudem müssen sie sicherstellen, dass das Profiling keine diskriminierenden Auswirkungen auf die betroffenen Personen hat. Falls das Profiling für Entscheidungen mit erheblichen Auswirkungen auf die betroffenen Personen verwendet wird, wie beispielsweise bei der Kreditvergabe oder der Einstellung von Mitarbeitenden, hat die betroffene Person das Recht, die Entscheidung anzufechten und eine menschliche Überprüfung zu verlangen.

Durch die Verankerung von Profiling im Schweizer Datenschutzgesetz sollen die Rechte der betroffenen Personen gestärkt und deren Schutz vor missbräuchlicher Verwendung von personenbezogenen Daten erhöht werden.
 

4 Eine Risikoplanung wird in bestimmten Fällen Pflicht

In der Schweiz ist eine Risikoplanung im Zusammenhang mit dem Datenschutz insbesondere im Kontext von Datenverarbeitungen mit hohem Risiko vorgesehen. Wenn eine Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen mit sich bringt, muss der Verantwortliche eine Datenschutz-Folgenabschätzung durchführen.

Eine Datenschutz-Folgenabschätzung ist eine systematische Bewertung der Auswirkungen einer Datenverarbeitung auf den Schutz personenbezogener Daten und die Privatsphäre der betroffenen Personen. Dabei wird insbesondere analysiert, welche Risiken bestehen und welche Maßnahmen ergriffen werden müssen, um diese Risiken zu minimieren.

Die Durchführung einer Datenschutz-Folgenabschätzung ist in der Schweiz gesetzlich vorgeschrieben, wenn eine Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen mit sich bringt. Ein solches hohes Risiko kann beispielsweise bei der Verarbeitung von Gesundheitsdaten oder biometrischen Daten bestehen, aber auch bei der Verarbeitung von Daten über das Verhalten von Personen im Internet. Die Risikoplanung ist somit in der Schweiz nicht generell vorgeschrieben, sondern nur in bestimmten Fällen, in denen eine Datenschutz-Folgenabschätzung erforderlich ist.
 

5 Eine erweiterte Informations- und Meldepflicht

Das Schweizer Datenschutzgesetz sieht eine erweiterte Informations- und Meldepflicht vor. Verantwortliche müssen betroffene Personen umfassend informieren, wenn personenbezogene Daten über sie erhoben oder verarbeitet werden. Die Informationen müssen in einer klaren, verständlichen und leicht zugänglichen Form bereitgestellt werden und insbesondere Angaben über den Zweck der Datenverarbeitung, die Kategorien der betroffenen personenbezogenen Daten, die Empfänger der Daten und die Dauer der Speicherung enthalten.

Zudem müssen Verantwortliche von Datenpannen, bei denen es zu einer unbefugten oder unrechtmässigen Verarbeitung personenbezogener Daten gekommen ist, unverzüglich die betroffenen Personen und die zuständigen Datenschutzbehörden informieren. Eine Datenpanne liegt vor, wenn personenbezogene Daten verloren gehen oder unrechtmässig verarbeitet werden, sei es durch eine Cyberattacke, einen Systemfehler oder ein menschliches Versagen.

Die Meldepflicht gilt jedoch nur, wenn die Datenpanne voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen mit sich bringt. Eine Risikobewertung hilft dabei, das Risiko der Datenpanne zu bewerten und festzulegen, ob eine Meldung erforderlich ist.

Durch die erweiterte Informations- und Meldepflicht sollen betroffene Personen besser informiert und geschützt werden und die Transparenz und Vertrauenswürdigkeit im Umgang mit personenbezogenen Daten erhöht werden.
 

6 Stichwort Privacy-By-Default und Privacy-By-Design

"Privacy-By-Default" und "Privacy-By-Design" sind zwei Begriffe, die im Zusammenhang mit dem Schutz personenbezogener Daten verwendet werden.

"Privacy-By-Default" bezieht sich auf die Standard-Einstellungen von Systemen und Anwendungen, die so gestaltet sind, dass sie von Anfang an eine hohe Datenschutzstufe bieten. Das bedeutet, dass personenbezogene Daten standardmässig geschützt werden sollten, ohne dass der Nutzer zusätzliche Schritte unternehmen muss, um seine Privatsphäre zu schützen.

"Privacy-By-Design" ist ein Konzept, das darauf abzielt, den Datenschutz von Anwendungen und Systemen bereits während der Entwicklungsphase zu berücksichtigen. Hierbei soll sichergestellt werden, dass die Datensicherheit als wesentlicher Bestandteil des Entwicklungsprozesses betrachtet wird und in alle Phasen der Produktentwicklung integriert wird. Durch die Implementierung von Privacy-By-Design können Datenschutzverletzungen und Sicherheitslücken frühzeitig erkannt und vermieden werden.

Beide Konzepte sind wichtig, um den Datenschutz zu gewährleisten und die Privatsphäre von Nutzern zu schützen. Unternehmen und Entwickler sollten daher diese Konzepte in ihre Produkte und Dienstleistungen integrieren, um den Schutz personenbezogener Daten zu verbessern.

Die Komplette Datenschutzverordnung

 

zurück zu den Mitteilungen