Aktuell

Neues Datenschutzgesetz ab 1. September 2023

Am 1. September 2023 tritt das revidierte Datenschutzgesetz (DSG) in Kraft. Begriffe, Verantwortungen und Aufgaben werden neu definiert und der Aufwand zur Datenschutz-Compliance auch für Gewerbebetriebe nimmt deutlich zu.

Handlungsbedarf (nicht abschliessend)

Die Unternehmen müssen eine verantwortliche Person für den Datenschutz bezeichnen.

Unverändert geblieben sind die datenschutzrechtlichen Grundsätze: Rechtmässigkeit einer Datenerhebung, Treu und Glauben, Erkennbarkeit der Beschaffung und des Zwecks, Zweckbindung, Verhältnismässigkeit, Richtigkeit der Daten und Datensicherheit.

Zu den neuen Pflichten zählt u.a. die Erstellung eines Verzeichnisses der Bearbeitungstätigkeiten, des sogenannten Dateninventars. Im Unternehmen muss – einfach ausgedrückt – ermittelt werden, wer welche Daten zu welchem Zweck verarbeitet. Unternehmen mit weniger als 250 Mitarbeitenden sind von diesem aufwändigen Prozess befreit, wenn sie nicht besonders schützenswerte Personaldaten in grossem Umfange bearbeiten.

Weiter besteht eine Meldepflicht bei Verletzung der Datensicherheit (z.B. Offenlegung für Unbefugte, Datenverlust, Cyberangriff etc.). Die für den Datenschutz verantwortliche Person im Betrieb muss dem Eidg. Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) «so rasch als möglich» (im Sinn zeitnah) entsprechend Meldung erstatten. Eine Meldung ist etwa erforderlich, wenn unverschlüsselte Mitarbeiterdaten (Personaldossier mit Qualifikationen und Lohnangaben) verloren gehen.

Wo erhalte ich Informationen und Vorlagen?

www.sgv-usam.ch/datenschutz (mit Vorlagen)

www.economiesuisse.ch (Q&A)

www.edoeb.admin.ch (Website des eidg. Datenschutzbeauftragen und Öffentlichkeitsbeauftragter)