Neues DSG – was müssen Firmen wissen? | Check

Das neue Datenschutzgesetz der Schweiz (DSG neu) tritt bald in Kraft. Auf was Firmen achten müssen, erklärt dir MyRight

The answer in detail

Was versteht man unter dem neuen DSG?

Das Schweizer Datenschutzgesetz besteht seit den 1990er Jahren und ist veraltet. Die neue digitale Welt macht eine Überarbeitung des DSG notwendig. Zudem muss es an das Datenschutzrecht der europäischen Union (DSGVO) angepasst werden. Das Ziel ist es, sicherzustellen, dass in Zukunft länderübergreifend Daten ausgetauscht werden können und gleichzeitig die Personendaten geschützt werden.

Was ist wichtig zu wissen?

Es werden sich einige Punkte ändern. Die zwei wichtigsten Änderungen sind:
1.    Neu kann nicht nur das Unternehmen selbst, sondern auch die verantwortliche Person (Inhaberinnen bzw. Inhaber und Mitarbeitende) Ziel von Strafverfahren sein.
2.    Der Geltungsbereichs des revidierten DSG beschränkt sich wie die DSGVO auf den Datenschutz natürlicher Personen – statt wie bisher auch auf Daten juristischer Personen. 

Weitere Infos zum Thema Datenschutz findest du hier (admin.ch)

Wann wird das neue Datenschutzgesetz (DSG neu) in der Schweiz eingeführt?

Das neue Schweizer Datenschutzgesetz tritt voraussichtlich am 1. Juli 2022 oder 1. Januar 2023 in Kraft. Wir erwarten den Entscheid über den genauen Zeitpunkt im Laufe dieses Sommers.

Kann ich warten bis das DSG neu eingeführt wird und mich danach um den Datenschutz kümmern?

Nein. Schon heute sind viele Schweizer Unternehmen erhöhten Datenschutzanforderungen ausgesetzt. Zum Beispiel Firmen, die Geschäftstätigkeiten mit Bezug zur EU nachgehen. Für alle anderen wird sich spätestens dann Handlungsbedarf ergeben, wenn die Inkraftsetzung des neuen Datenschutzgesetzes bevorsteht. Es gibt keine Übergangsfristen, d.h. ab dem festgelegten Startdatum tritt das neue Datenschutzgesetz in Kraft und muss eingehalten werden.

Was bedeutet das neue Datenschutzgesetz für mich als Unternehmen? Was muss ich tun, um konform mit dem neuen DSG zu sein?

Um konform mit dem DSG zu sein, musst du sicherstellen, dass: 
- die Daten von Kundinnen und Kunden, Mitarbeitenden sowie anderen Personen mit modernen – dem Stande der Technik entsprechenden – Mitteln verwaltet und bearbeitet werden
- die Mitarbeitenden auf die Themen Datenschutz und Datensicherheit sensibilisiert und geschult sind 
- verschiedene Informations- und Dokumentationspflichten, wie zum Beispiel das Erstellen eines Datenbearbeitungsverzeichnisses oder der Datenschutzhinweis auf der Webseite, erfüllt werden. 

Prüfe mit unserem Datenschutz-Check, ob du bereits konform mit dem neuen DSG bist.

Gibt es Konsequenzen bei einem Verstoss gegen das neue DSG?

Neben möglichen Sanktionen durch den eidgenössischen Datenschutzbeauftragten stehen vor allem Bussen bis zu einer Höhe von CHF 250´000 und Strafverfahren im Fokus. 
Wichtig ist: Die Strafandrohung trifft jeden Mitarbeitenden (insb. leitende Mitarbeitende), die oder der vorsätzlich gegen das Gesetz verstösst. Das bedeutet, die Busse wird nicht gegen dich als Unternehmerin bzw. Unternehmer ausgesprochen, sondern gegen deine Mitarbeitenden, die für die Verletzung des neuen DSG verantwortlich sind.
Wenn du keine Massnahmen zu den Themen Informationspflichten, Auskunftsersuchen, Technische & Organisatorische Massnahmen und Internationale Datentransfers triffst, handelst du vorsätzlich oder nimmst zumindest Gesetzesverletzungen in Kauf (Eventualvorsatz) und kannst bestraft werden.

Wann bin ich dem Risiko einer Verurteilung nach dem neuen DSG ausgesetzt?

Strafen nach dem neuen DSG werden grundsätzlich nur bei vorsätzlichen Verletzungen der Vorschriften ausgesprochen. Aber Vorsicht: Eine vorsätzliche Verletzung kann dann angenommen werden, wenn sogenannter Eventualvorsatz besteht (das bedeutet, dass man eine Verletzung in Kauf genommen hat). Dies ist der Fall, wenn du nach Inkrafttreten des neuen Gesetzes keine Massnahmen triffst und deshalb – sei es auch aus Unwissen – gegen dieses Gesetz verstösst.

Bin ich mit meinem Unternehmen einem hohen Risiko ausgesetzt, gegen das neue DSG zu verstossen?

Wenn Du keine Vorkehrungen triffst, sind die Chancen sehr gross, dass du gesetzeswidrig Daten auslagerst oder ins Ausland transferierst, gesetzeswidrig Auskunft erteilst oder ungenügende technische und organisatorische Massnahmen triffst.

Bis wann muss ich die neuen Vorschriften zum Datenschutz umsetzen?

Der Bundesrat wird in den nächsten Monaten das Datum bestimmen, ab dem das DSG neu gilt. Alle Experten erwarten, dass man sich ab dem 1. Juli 2022 spätestens 1. Januar 2023 an das neue DSG halten muss.

Gibt es Übergangsfristen?

Nein. Der Bundesrat wird ein Datum festlegen, ab dem das neue DSG gilt. Ab diesem Zeitpunkt müssen alle Unternehmen die neuen Vorschriften erfüllen. 

Gibt es Konsequenzen, wenn wir die Massnahmen bis zum Startzeitpunkt noch nicht umgesetzt haben?

Die Aufsichtsbehörden werden tätig, wenn sie selber Unregelmässigkeiten feststellen oder auf solche von Kundinnen bzw. Kunden, Mitarbeitenden oder Mitbewerbenden aufmerksam gemacht werden. Zuerst wenden sie sich meist mit einem Fragebogen an das betroffene Unternehmen. Sie können aber auch sogenannte Zwangsmittel einsetzen, um die Situation zu untersuchen. Ab Einführung des neuen DSG können Kundinnen bzw. Kunden, Mitbewerbende oder die Behörden eine Untersuchung fordern und im schlimmsten Fall Strafanzeige erstatten.

Wie kann ich mich auf das neue DSG vorbereiten und wie kann ich mich schützen?

Um einen (eventual-)vorsätzlichen Verstoss zu verhindern, empfehlen wir dir, rechtzeitig Massnahmen zur Umsetzung des neuen Datenschutzgesetzes zu ergreifen

Am besten triffst du bereits jetzt Massnahmen, um die Anforderungen, wie zum Beispiel Informationspflichten oder Auskunftsersuchen, des neuen Gesetzes zu erfüllen.

Zusammen mit unserem Partner Good Law bieten wir dir die Möglichkeit, mit einem kostenlosen Datenschutz-Check zu prüfen, wie gut du bereits die Anforderungen des neuen DSG erfüllst. Nach dieser ersten Standortbestimmung bietet dir unser Partner Good Law verschiedene Lösungen, um die Datensicherheit und den Datenschutz in den Griff zu bekommen.