Datenschutzgesetz DSG

Datenschutzgesetz DSG

DSG | Bundesdatenschutzgesetz

Am 25. September 2020, hat die Schweizer Bundesversammlung das neue Bundesgesetz über den Datenschutz (DSG) und die Datenschutzverordnung (DSV) Endgültig verabschiedet, die am 1. September 2023 in Kraft treten werden.

BUNDESDATENSCHUTZGESETZ

Die gesetzlich vorgesehenen Neuheiten und Einrichtungen

Anwendungsbereich

Das Datenschutzgesetz gilt für alle Fälle (z. B. Lesedatenverarbeitungen), die Auswirkungen in der Schweiz haben, auch wenn sie sich außerhalb der Schweiz ereignen.

Profilierung

Das Hochrisikoprofil bietet einen besonderen Schutz für Schweizer Bürger vor bestimmten Formen der automatisierten Datenanalyse, die hohe Risiken für die Persönlichkeit oder die Grundrechte mit sich bringen.

Zustimmung

Die ausdrückliche Einwilligung der betroffenen Person ist erforderlich, wenn die Verarbeitung Folgendes betrifft: - Daten, die besonders zu beachten sind - Hochrisikoprofilierung - Profilerstellung durch eine Bundesbehörde.

Sicherheit personenbezogener Daten

Die Sicherheit muss dem Risiko angemessen sein, um Datenverletzungen zu vermeiden. Der Bundesrat wird Bestimmungen zu Mindestsicherheitsmaßnahmen erlassen.

Datenschutzberater

Private Controller können einen Datenschutzberater (CPD) ernennen, der in der DSGVO als Datenschutzbeauftragter (DSB oder auf English :Data Protection Officer, DPO) bezeichnet wird.

Aufzeichnung der Verarbeitungsaktivitäten

Der für die Datenverarbeitung Verantwortliche und der Datenverarbeiter führen ein Verzeichnis ihrer jeweiligen Aktivitäten, in dem sie den Zweck der Verarbeitung, die Kategorien der betroffenen Personen und andere Informationen angeben.

Benachrichtigung über Datenschutzverletzungen

Der für die Verarbeitung Verantwortliche muss den (Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragten) EDÖB so bald wie möglich über Verstöße gegen die Datensicherheit informieren, die ein hohes Risiko für die Persönlichkeit und die Grundrechte der Person darstellen.

Datenverarbeitung durch Datenverarbeiter

Wenn der für die Verarbeitung Verantwortliche die Verarbeitung vertraglich einer anderen Person anvertraut, kann diese keine anderen Behandlungen als in der Abtretung durchführen, er muss die Sicherheit personenbezogener Daten gewährleisten.

Vertretungspflicht für europäische und Nicht-EU-Unternehmen

Europäische und außereuropäische Unternehmen, die keinen Sitz oder Sitz in der Schweiz haben, aber Daten von Schweizer Staatsbürgern verarbeiten, müssen einen Vertreter in der Schweizerischen Eidgenossenschaft benennen.

Recht der betroffenen Person

Interessenten haben das Recht, Informationen zur Datenerfassung zu erhalten. Mit dem Gesetz wurde das Recht der betroffenen Person auf Datenübertragbarkeit eingeführt.

Folgenabschätzung zum Datenschutz

In einigen Fällen muss der Inhaber eine Datenschutz-Folgenabschätzung (DPIA | Data Protection Impact Assessment) durchführen.

Sanktionen

Das Gesetz hat die Befugnisse des EDÖB durch die Möglichkeit gestärkt, Untersuchungen mit weitreichenden Befugnissen einzuleiten. Es können nur natürliche Personen sanktioniert werden, Unternehmen nur für genau definierte Fälle.

Anwendungsbereich

Das Datenschutzgesetz gilt für alle Fälle (z. B. Lesedatenverarbeitungen), die Auswirkungen in der Schweiz haben, auch wenn sie sich außerhalb der Schweiz ereignen.

Zustimmung

Die ausdrückliche Einwilligung der betroffenen Person ist erforderlich, wenn die Verarbeitung Folgendes betrifft:
- Daten, die besonders zu beachten sind
- Hochrisikoprofilierung
- Profilerstellung durch eine Bundesbehörde.

Sicherheit personenbezogener Daten

Die Sicherheit muss dem Risiko angemessen sein, um Datenverletzungen zu vermeiden. Der Bundesrat wird Bestimmungen zu Mindestsicherheitsmaßnahmen erlassen.

Recht der betroffenen Person

Interessenten haben das Recht, Informationen zur Datenerfassung zu erhalten. Mit dem Gesetz wurde das Recht der betroffenen Person auf Datenübertragbarkeit eingeführt.

Sanktionen

Das Gesetz hat die Befugnisse des EDÖB durch die Möglichkeit gestärkt, Untersuchungen mit weitreichenden Befugnissen einzuleiten. Es können nur natürliche Personen sanktioniert werden, Unternehmen nur für genau definierte Fälle.