Mit dem neuen Datenschutzgesetz (nDSG) werden Unternehmen verpflichtet, alle notwendigen organisatorischen und technischen Massnahmen zu ergreifen, damit Datensicherheit sichergestellt und Datenmissbrauch möglichst vermieden wird. Der risikobasierte Ansatz des nDSG soll Unternehmen und Einzelpersonen Rechtssicherheit verschaffen, wenn in zunehmendem Umfang Daten ausgetauscht, verarbeitet und gespeichert werden.

Neu: Natürliche Personen fallen unter den Geltungsbereich

Während sich das DSG von 1992 sowohl auf die Daten von juristischen und natürlichen Personen bezieht, gilt das nDSG nur noch für Daten von natürlichen Personen. Ausländische Unternehmen mit Geschäftstätigkeit in der Schweiz sind davon ebenso betroffen. Damit passt sich der Geltungsbereich an die europäische DSGVO an.

Neu: persönliche Strafbarkeit

In einem wesentlichen Punkt unterscheidet sich hingegen die neue Datenschutzgesetzgebung in der Schweiz von der DSGVO. In der Schweiz können nach dem nDSG neu die verantwortlichen Mitarbeitenden strafrechtlich zur Verantwortung gezogen werden. Die DSGVO sieht hier nur Bussen gegen Unternehmen vor. Die Verletzung von datenschutzrechtlichen Informations-, Auskunfts- und Mitwirkungspflichten kann mit bis zu CHF 250’000.- bestraft werden. Weiter geregelt sind die Konsequenzen bei Verletzung der Sorgfaltspflichten, der beruflichen Schweigepflicht, des Missachtens von Verfügungen – allesamt ebenso strafbar mit Bussen von bis zu CHF 250’000.-.

Neu: Erweiterung des Umfangs auf biometrische Daten

Neu gelten auch genetische und biometrische Daten als besonders schützenswert. Dies wird uns vor allem im Hinblick auf AI-basierte Anwendungen besonders beschäftigen, wenn physische/physiologische Merkmale wie Stimme, Iris, Papillarmuster der Finger etc. für die Identifikation von Personen oder für Fraud Detection herangezogen werden.

Neu: empfohlene/r Datenschutzbeauftragte(r) (DSB)

Ähnlich wie in der DSGVO ist der/die Datenschutzbeauftragte Ansprechstelle gegenüber von Aufsichtsbehörden (in der Schweiz etwa des EDÖB), allfälligen Auskunftsbegehren nachzukommen sowie Mitarbeitende entsprechend zu schulen. Doch im Gegensatz zum DSGVO wird die Ernennung eines DSB im nDGS lediglich empfohlen und ist in privatrechtlichen Organisationen nicht zwingend. Diese Freiwilligkeit kann aber unter Umständen mit erweiterten Auflagen und erhöhten Aufwänden beim Umgang mit den staatlichen Aufsichtsbehörden (EDÖP) verbunden sein.

Neu: Datenbearbeitungsverzeichnis und Datenschutz-Folgenabschätzung (DPIA)

Unternehmen sind gemäss nDSG verpflichtet, ein Datenbearbeitungsverzeichnis zu führen. Ausnahmen für KMUs mit weniger als 250 Mitarbeitenden sind vorgesehen, sofern deren Datenbearbeitung ein beschränktes Risiko mit sich bringt. Das Datenbearbeitungsverzeichnis muss Informationen über die Bearbeitung personenbezogener Daten im Ausland enthalten. Im Gegensatz zur DSGVO enthält das DSG jedoch keine umfassenden Formanforderungen an das Datenbearbeitungsverzeichnis.

Des Weiteren müssen die Unternehmen einen Prozess zur Datenschutz-Folgenabschätzung (DPIA) einführen. Es gibt eine spezifische Liste von Verarbeitungstätigkeiten, für die eine DPIA verpflichtend ist wie beispielsweise die Verarbeitung von sensiblen personenbezogenen Daten, die Verarbeitung von Daten zum Zwecke der Überwachung, die Verarbeitung von grossen Mengen von personenbezogenen Daten, die Verarbeitung von personenbezogenen Daten im Zusammenhang mit automatisierter Entscheidungsfindung u.a.

Neu: mehr Transparenz

Das nDSG definiert das Auskunftsbegehren und die Rechte natürlicher Personen neu, die bei Bedarf innerhalb von 30 Tagen über die sie betreffenden personenbezogenen Daten und über deren Herkunft und Empfänger sowie den Zweck der Verarbeitung zu informieren sind. Diese Auskunft muss in klarer und verständlicher Form erteilt werden. Die verantwortliche Person muss sicherstellen, dass die Auskunft nur an die berechtigte Person geliefert wird. Betroffene Personen haben auch das Recht, unrichtige Daten berichtigen oder löschen oder die Verarbeitung ihrer Daten einschränken zu lassen.

Zusammenfassend die Neuerungen und Unterschiede zwischen nDSGV und DSGVO in einer grafischen Übersicht:

nDSG vs. DSGVO

Inventx sieht sich in der Pflicht, die datenschutzrechtliche Gesetzgebung im Sinne ihrer Kunden stets im Blick zu haben. Wir stellen selbstverständlich in unserer eigenen Geschäftstätigkeit wie auch in den für unsere Kunden zu erbringenden Dienstleistungen jederzeit sicher, dass sie rechtlich einwandfrei und jederzeit compliant erbracht werden.

Bei Fragen hierzu bitte jederzeit gerne auf uns zukommen.