In einer zunehmend digitalisierten Welt, in der Technologien ständig Fortschritte machen und der Alltag von der Nutzung sozialer Medien, Cloud-Dienste und des Internets der Dinge geprägt ist, ist der Schutz der Privatsphäre und persönlicher Daten von grosser Bedeutung. Die Schweiz hat nun ein neues Datenschutzgesetz verabschiedet, um den aktuellen Anforderungen gerecht zu werden und die Bürgerinnen und Bürger besser vor den Herausforderungen dieser spannenden und dynamischen Zeiten zu schützen. Das Gesetz berücksichtigt nicht nur die Entwicklungen der Technologie, sondern auch die Anforderungen des EU-Rechts (DSGVO) zur Gewährleistung der Wettbewerbsfähigkeit der schweizerischen Unternehmen und des freien Datenverkehrs mit der Europäischen Union.

Warum war ein neues Datenschutzgesetz notwendig?
Das erste Datenschutzgesetz stammt aus dem Jahr 1992 und ist somit nicht mehr zeitgemäss. In den letzten Jahrzehnten hat die Welt einen enormen technologischen Fortschritt erlebt, und die Nutzung von sozialen Medien, Cloud-Diensten und dem Internet der Dinge ist im Alltag unverzichtbar geworden. Um die Bevölkerung besser vor den Risiken des Datenmissbrauchs und der Verletzung der Privatsphäre zu schützen, war es notwendig, das Gesetz an die aktuellen Gegebenheiten anzupassen.

Des Weiteren war es wichtig, das neue Datenschutzgesetz an das EU-Recht anzupassen, insbesondere an die Datenschutz-Grundverordnung (DSGVO). Dies gewährleistet die Wettbewerbsfähigkeit der schweizerischen Unternehmen im europäischen Markt und erleichtert den freien Datenverkehr zwischen der Schweiz und der Europäischen Union.

Was sind die wichtigsten Änderungen?
Das neue Schweizer Datenschutzgesetz bringt einige bedeutende Änderungen mit sich:

1. Fokus auf natürliche Personen: Künftig sind nur noch die Daten natürlicher Personen betroffen, nicht mehr die von juristischen Personen. Dieser Schwerpunkt liegt auf dem Schutz der persönlichen Daten von Einzelpersonen.
2. Erweiterter Schutz sensibler Daten: Genetische und biometrische Daten werden in die Definition der besonders schützenswerten Daten aufgenommen. Dadurch wird der Schutz dieser sensiblen Informationen verstärkt.
3. Privacy by Design und Privacy by Default: Es werden die Grundsätze "Privacy by Design" und "Privacy by Default" eingeführt. Privacy by Design bedeutet, dass Entwickler den Schutz der Privatsphäre bereits bei der Gestaltung von Produkten oder Dienstleistungen berücksichtigen müssen, die personenbezogene Daten sammeln. Privacy by Default stellt sicher, dass standardmäßig die höchsten Sicherheitsstandards aktiviert sind und der Datenschutz gewährleistet wird.
4. Folgenabschätzungen: Wenn ein hohes Risiko für die Persönlichkeit oder die Grundrechte betroffener Personen besteht, müssen Folgenabschätzungen durchgeführt werden. Dies dient dazu, mögliche Risiken zu identifizieren und geeignete Massnahmen zum Schutz der betroffenen Personen zu ergreifen.
5. Ausgeweitete Informationspflicht: Die Informationspflicht wird erweitert und betrifft nun jede Beschaffung von Personendaten, nicht nur besonders schützenswerte Daten. Betroffene Personen müssen im Voraus umfassend über die Datenverarbeitung informiert werden.
6. Verzeichnis der Bearbeitungstätigkeiten: Unternehmen müssen ein Verzeichnis der Bearbeitungstätigkeiten führen. Allerdings gibt es eine Ausnahme für KMU, deren Datenbearbeitung nur ein geringes Risiko für die Persönlichkeit betroffener Personen darstellt.
7. Rasche Meldung bei Datensicherheitsverletzungen: Bei Verletzung der Datensicherheit muss eine rasche Meldung erfolgen. Diese Meldung ist an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) zu richten, um angemessene Massnahmen zum Schutz der betroffenen Personen zu ergreifen.
8. Berücksichtigung von Profiling: Der Begriff "Profiling" (automatisierte Bearbeitung personenbezogener Daten) wird in das Gesetz aufgenommen und unterliegt den entsprechenden Bestimmungen und Schutzmassnahmen.

Was bleibt unverändert?
Im Gegensatz zur DSGVO erfordert das neue Schweizer Datenschutzgesetz keine ausdrückliche Einwilligung oder einen anderen Rechtfertigungsgrund für die Verarbeitung personenbezogener Daten durch private Unternehmen, solange bestimmte Grundsätze eingehalten werden. Dazu gehören Transparenz, Zweckbindung, Verhältnismässigkeit, Datensicherheit, der fehlende Widerspruch der betroffenen Person sowie die Nichtübermittlung besonders schützenswerter personenbezogener Daten an Dritte.

Fristen und Durchsetzung
Das neue Datenschutzgesetz tritt am 1. September 2023 in Kraft. Alle Unternehmen müssen die neuen Vorschriften bis zum Inkrafttreten umsetzen. Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) hat durch das Gesetz neue Kompetenzen erhalten, um die Einhaltung der Datenschutzvorschriften zu überwachen. Bei Verstössen können Untersuchungen eingeleitet, Massnahmen angeordnet und gegebenenfalls Bussgelder verhängt werden. Betroffene Personen haben zudem zivilrechtliche Rechtsbehelfe zur Durchsetzung ihrer Ansprüche.

Strafen
Bei vorsätzlichen Verstössen gegen das nDSG, wie Verletzung von Informations-, Auskunfts-, Mitwirkungs- oder Sorgfaltspflichten, können Privatpersonen mit Bussgeldern von bis zu CHF 250.000 bestraft werden. Bei Verstössen in Geschäftsbetrieben können die Unternehmen mit einer Busse von bis zu CHF 50.000 bestraft werden, wenn die Identifizierung der fehlbaren Personen einen unverhältnismässig grossen Aufwand bedeuten würde - in diesem Fall kann eine Busse von höchstens CHF 50.000 in Betracht gezogen werden.

Hier besteht ein grosser Unterschied zur DSGVO, die nicht die natürlichen Personen, sondern die Unternehmen mit wesentlich höheren Bussgeldern bestraft.

Fazit
Das neue Schweizer Datenschutzgesetz bringt wichtige Veränderungen mit sich, um den Schutz der Privatsphäre und persönlicher Daten in der digitalen Ära zu gewährleisten. Durch den Fokus auf natürliche Personen, erweiterte Datenschutzbestimmungen und die Einführung von Privacy by Design und Privacy by Default werden die Rechte und der Schutz der Bürgerinnen und Bürger gestärkt. Es ist wichtig, sich über diese Änderungen zu informieren und die neuen Vorschriften rechtzeitig umzusetzen, um den Anforderungen des Gesetzes gerecht zu werden und die persönlichen Daten angemessen zu schützen.