Datenschutzgesetz Schweiz auch revDSG oder DSG Schweiz?

Das neue Datenschutzgesetz der Schweiz (nDSG Schweiz) ist seit 01.09.2023 in Kraft

Seit dem 01. September 2023 ist das neue beziehungsweise revidierte Bundesgesetz über den Datenschutz der Schweiz (revDSG CH, CHDSG neu, DSG neu CH oder auch nDSG CH der Schweiz) in Kraft, welches nicht nur innerhalb der Schweiz für die Bevölkerung bei Datenbearbeitungen von Informationen betreffend Personendaten im Datenverkehr relevant ist, sondern auch für internationale, insbesondere europäische (aber auch Schweizer) Unternehmen, Behörden und Privatpersonen von Bedeutung ist.

Was ist nach dem neuen Bundesgesetz über den Datenschutz in der Schweiz besonders zu beachten?

Das Datenschutzgesetz rev DSG CH regelt insbesondere die Dokumentationspflichten als auch die Informationspflichten des Datenschutzrechts der Schweiz hinsichtlich des Datenschutzverantwortlichen bei der Datenübermittlung um ein angemessenes Datenschutzniveau für die Personen in der Schweiz zu gewährleisten. Nach dem neuen Schweizer DSG können die Anforderungen (neue Schweizer Revision) bzw. Neuerungen mit einem Datenschutz-Generator und ggf. einem Informationssicherheitsbeauftragen, Datenschutzberater bzw. Datenschutzbeauftragten oder Fachanwalt für IT-Recht umgesetzt werden.

Wie kam das DSG der Schweiz zustande?

2016 schickte der Bundesrat der Schweiz einen ersten Vorentwurf zur Totalrevision des DSG der Schweiz, welches bereits seit dem 01. Juli 1993 in Kraft ist, in die Vernehmlassung, einem Teil des Gesetzgebungsverfahrens in der Schweiz. Mit dem neuen DSG soll and die Änderungen in Technologie und Gesellschaft angepasst werden. Somit den Regelungen der EU sich anzunähern, insbesondere denen der DSGVO, mit dem Ziel die Schweiz auf ein ähnliches Datenschutzniveau der EU zu bringen, insbesondere mit Blick Unternehmen by design und privacy im Internet und darüber hinaus.

Ist eine Datenschutzerklärung für Unternehmen nötig? 

Ja Schweizer Unternehmen müssen eine Datenschutzerklärung seit dem 01.09.2023 öffentlich zugänglich machen, dies ergibt sich aus Art. 12, 16, 18 und 19 DSG Schweiz. Unternehmen die von Schweizern personenbezogene Daten verarbeiten müssen eine Datenschutzerklärung nach dem Schweizer Datenschutzgesetz vorhalten.

Wurde die Datenschutzverordnung DSV und die Datenschutzzertifizierung VDSZ neu geregelt?

Bis 2020 wurden verschiedene Entwürfe des Datenschutzgesetzes in die Vernehmlassung geschickt und verändert, bis das Parlament am 25. September 2020 den Beschluss zum neuen DSG fasste. Die Referendumsfrist zu diesem lief am 14.01.2021 ab. Am 31.08.2022 entschied der Bundesrat, dass das Datenschutzgesetz zusammen mit einer neuen Datenschutzverordnung (DSV) und einer neuen Verordnung über Datenschutzzertifizierungen (VDSZ) am 01. September 2023 in Kraft tritt. Somit haben Unternehmen und andere Betroffene bis zum 01.09. 2023 (in kraft Treten) Zeit, sich an das neue Datenschutzrecht insbesondere die beschlossene Totalrevision des neuen Bundesgesetz DSG, der neuen DSV als auch ggf. an die neue VDSZ anzupassen.

Inhaltsverzeichnis des DSG Schweiz

Wo und wann findet das revDSG CH Anwendung?

Das schweizer Datenschutzgesetz revDSG CH regelt, ähnlich wie die DSGVO, „den Schutz der Persönlichkeit und der Grundrechte von natürlichen Personen, über die Personendaten bearbeitet werden“ (Art. 1 DSG Schweiz). Dafür werden unter anderem Grundsätze zur Verarbeitung der Daten (Art. 6 nDSG CH), Pflichten von Verantwortlichen und Auftragsverarbeitern (Art. 19-24 DSG Schweiz) und Rechte von betroffenen Personen (Art. 25-29 DSG Schweiz) festgelegt.

Ein neues Datenschutzgesetz der Schweiz bezieht sich u.a. auch auf den Datenaustausch der Bundesorgane, auf die Vorschriften zur Datenbearbeitung durch Bundesorgane (Art. 33-42 neues Datenschutzgesetz Schweiz) und zum Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten EDÖB (Art. 43-59 DSG Schweiz) sowie das Schweizer Bundesamt und die Schweizer Justiz sowie besonders schützenswerte Personendaten (nach Art. 5 DSG Schweiz ) wird in diesem Artikel nicht weiter eingegangen.

Auch über die Grenzen der Schweiz hinaus ist das neue DSG der Schweiz anwendbar!

Gemäß Art. 3 revDSG CH gilt das Gesetz nicht nur in der Schweiz direkt, sondern bereits wenn sich „Sachverhalte […] in der Schweiz auswirken, auch wenn sie im Ausland veranlasst werden“. Somit kann beispielsweise ein Online-Händler, der in die Schweiz liefert, von den Rechten und Pflichten des revDSG CH betroffen sein. Genauso betroffen sind Auftragsverarbeiter, die beispielsweise Schweizer Kundendaten verarbeiten.

Schweizer nDSG gilt für private Personen und für juristische Personen!

Wichtig zu beachten ist ebenfalls, dass das Gesetz laut Art. 2 revDSG CH für private Personen gilt und nicht auf juristische Personen beschränkt ist. Dies hat zur Folge, dass einzelne Personen, beispielsweise Mitarbeiter, für Verstöße oder Pflichtverletzungen nach Art. 60ff revDSG Schweiz  sanktioniert werden können.

Mit welchen Strafen droht das revDSG CH?

Was ist für Verantwortliche und Auftragsbearbeiter bzw. Auftragsverarbeiter zu beachten?

Das neue Schweizer revDSG kennt, wie die DSGVO, Verantwortliche und Auftragsbearbeiter (= Auftragsverarbeiter im Sinne der DSGVO). Die Begriffe werden in Art. 5 Abs. 10 & 11 revDSG CH legaldefiniert. Diese haben jeweils bestimmte Pflichten. Beide müssen ein Verzeichnis der Bearbeitungstätigkeiten führen (Art. 12 DSG neu CH).

Ein Auftragsbearbeiter kann vom Verantwortlichen vertraglich mit dem sogenannten Auftragsbearbeitungsvertrag verpflichtet werden, dabei ist der Auftragsverarbeiter grundsätzlich weisungsgebunden und darf nur innerhalb des vertraglich festgelegten Zwecks Daten verarbeiten.

Der Verantwortliche hat außerdem eine Informationspflicht gegenüber betroffenen Personen (Art. 19-21 DSG neu CH), muss eine Datenschutz-Folgenabschätzung erstellen, „wenn eine Bearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringen kann“ (Art. 22-23 DSG neu CH), und hat Verletzungen der Datensicherheit dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) „so rasch als möglich“ mitzuteilen (Art. 24 DSG neu CH).

Letzteres beispielsweise ist in der DSGVO schärfer geregelt. Gemäß Art. 33 Abs. 1 DSGVO ist eine Datenschutzverletzung innerhalb von 72 Stunden nach Bekanntwerden an die zuständige Aufsichtsbehörde zu melden.

Das Verhältnis zwischen Verantwortlichem und Auftragsbearbeiter ist in Art. 9 revDSG CH geregelt. Der Verantwortliche muss sich unter anderem vergewissern, dass und wie der Auftragsverarbeiter die Datensicherheit zu gewährleisten hat (Abs. 2) und die Daten nur so bearbeitet, wie es auch der Verantwortliche dürfte (Abs. 1 lit. a).

Auch hier geht die Datenschutz-Grundverordnung in Art. 28ff. DSGVO mehr ins Detail, weshalb ein Auftragsverarbeitungsverhältnis nach der DSGVO strengeren Vorlagen unterliegt als nach dem revDSG CH.

Achtung! Bearbeitungsverzeichnisse, Datenschutzerklärungen und Auftragsbearbeitungsverträge usw. ggf. zu aktualisieren!

Soweit ein Verantwortlicher oder Auftragsverarbeiter bereits DSGVO-konform arbeitet, kommen jedoch durch das revDSG CH vereinzelte Pflichten noch hinzu auf die insbesondere bei der Erstellung von Verarbeitungsverzeichnissen, Datenschutzerklärungen und Auftragsdatenbearbeitungsverträgen usw. zu achten ist.

Welche Rechte haben betroffene Personen durch das DSG neu der Schweiz?

Betroffene Personen haben ein Auskunftsrecht (Art. 25 nDSG CH) gegenüber Verantwortlichen, um herauszufinden, ob und welche personenbezogenen Daten über sie bearbeitet werden. Dieses Auskunftsrecht kann nach Art. 26 DSG neu Schweiz oder Art. 27 nDSG CH  (bei Medien) revDSG CH verweigert, eingeschränkt oder aufgeschoben werden – beispielsweise, wenn dies aufgrund überwiegender Interessen Dritter erforderlich ist (Art. 26 nDSG CH Abs. 1 lit. b).

Außerdem besteht ein Recht auf Datenherausgabe oder -übertragung gemäß Art. 28 revDSG CH. Dieses kann ebenfalls eingeschränkt werden. Art. 29 Abs. 1 revDSG CH verweist bezüglich der Gründe für eine Verweigerung, Einschränkung oder Aufschiebung auf Art. 26 Abs. 1 und 2 neues Datenschutzgesetz Schweiz.

Was bleibt unverändert?

Im Gegensatz zur DSGVO, die für jede Datenverarbeitung eine gesetzliche Grundlage fordert, bleibt die Art der Datenverarbeitung nach dem nDSG im Wesentlichen unverändert. Wie zuvor ist für die Verarbeitung von Personendaten durch private Unternehmen im Gegensatz zur DSGVO keine Zustimmung oder eine andere Rechtfertigung erforderlich, Vorausgesetzt:

· Die Grundsätze der Bearbeitung, wie Transparenz- insbesondere die Einhaltung der Informationspflichten-, Zweckbindung, Verhältnismäßigkeit und Datensicherheit, werden beachtet,

· die betroffene Person hat der Bearbeitung nicht widersprochen

· und es werden keine besonders schützenswerten Personendaten an Dritte weitergegeben.

Eine ausdrückliche Zustimmung ist nur erforderlich, wenn besonders schützenswerte Personendaten verarbeitet werden oder bei neuem Profiling mit hohem Risiko.

Warum ist die Revision so wichtig?

Wenn das Schweizerische Datenschutzniveau von der EU-Kommission nicht mehr anerkannt wird, drohen Schweizer Unternehmen Wettbewerbsnachteile, da der Austausch von Daten mit Unternehmen in der EU in Zukunft erschwert werden würde.

DSGVO vs. revidierte DSG

Im September 2020 haben der National- und der Ständerat nach einem fast vierjährigen Gesetzgebungsverfahren das vollständig überarbeitete Schweizer Datenschutzgesetz (nDSG) verabschiedet. Das Schweizer Bundesgesetz über den Datenschutz (nDSG) ähnelt in vielen, aber nicht in allen Aspekten der Datenschutz-Grundverordnung der EU (DSGVO). Es gibt auch signifikante Unterschiede.

Um was genau geht es beim neuen DSG?

Die Revision des Datenschutzgesetzes zielt darauf ab, die Selbstbestimmung der betroffenen Personen über ihre Daten zu stärken und das Gesetz an die veränderten technologischen und gesellschaftlichen Verhältnisse anzupassen (z.B. Cloud Computing, Big Data, soziale Netzwerke, Internet der Dinge).

Darüber hinaus, wird durch die Überarbeitung des DSG auf die europäischen Datenschutzregeln abgestimmt. Das Ziel davon ist das die EU die Schweiz weiterhin als Drittstaat mit einem angemessenen Datenschutzniveau anerkennt. Dies würde die unkomplizierte Datenübermittlung zwischen der Schweiz und EU auch in Zukunft ermöglichen.

Was passiert, wenn ein Betrieb die DSG-Vorschriften nicht bis zu diesem Zeitpunkt umsetzt?

Die Befugnisse des EDÖB (Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter) zur Umsetzung des nDSG wurden ausgebaut. Er hat nun die Möglichkeit, entweder von sich aus oder aufgrund einer Anzeige eine Untersuchung gegen ein Unternehmen einzuleiten. Bei Verstößen gegen Datenschutzbestimmungen kann er umfangreiche Maßnahmen verhängen, wie die Änderung oder Unterbrechung der Datenverarbeitung oder sogar die Löschung von Daten.

Darüber hinaus haben betroffene gemäß nDSG zivilrechtliche Rechtsmittel zur Durchsetzung ihrer Rechte zur Verfügung. Parallel dazu wurde die Zivilprozessordnung (ZPO) geändert, um die entsprechenden Gerichtsverfahren kostenlos zu gestalten.

Was sind die wichtigsten Änderungen?

1. Neuer Geltungsbereich: Es konzentriert sich nun ähnlich zur DSGVO, auf den Datenschutz natürlicher Personen, anstatt wie bisher auch auf Daten juristischer Personen.

2. Erweiterter Umfang: Genetische und Biometrische Daten werden nun als besonders schützenswert angesehen.

3.  Verbesserte Transparenz: Unternehmen sind nun stärker als zuvor zur Information verpflichtet. Jede betroffene Person muss über jede Datenerhebung angemessen informiert werden, und das nicht nur bei besonders schützenswerten Daten wie bisher, sondern auch wenn die Daten nicht direkt von der betroffenen Person erhoben werden. Die Unternehmen müssen die Identität und Kontaktdaten des für die Datenverarbeitung Verantwortlichen, den Zweck der Verarbeitung, die Empfänger oder Kategorien von Empfängern und das Empfängerland bei Datenexport ins Ausland mitteilen. In diesem Punkt ist das nDSG sogar strenger als die DSGVO.

4. Verzeichnis der Bearbeitungstätigkeiten: Unternehmen werden verpflichtet, ein Verzeichnis der Bearbeitungstätigkeiten zu führen mit den vorgeschriebenen Angaben. Die Notwendigkeit, ein Verzeichnis der Datensammlungen zu führen entfällt jedoch. Es ist ratsam diese beiden Verzeichnisse Sinnvoll miteinander zu verknüpfen, insbesondere wenn bei mehreren Datenverarbeitungsaktivitäten auf dieselbe Anwendung oder Datenbank zugegriffen wird. Der Bundesrat kann Ausnahmen bei Unternehmen bis zu 250 Mitarbeitern vorsehen. Die Verordnung (neue VDSG) ist noch nicht verfügbar.

5. Datenschutz-Folgenabschätzungen: Unternehmen müssen nun eine Datenschutz-Folgenabschätzung durchführen, wenn die Verarbeitung von Daten ein hohes Risiko für die Persönlichkeitsrechte oder Grundrechte der Betroffenen darstellt. Diese Bewertung muss dokumentiert werden.

6. Profiling: Das nDSG beinhaltet auch Bestimmungen zum Profiling, also zur automatisierten Verarbeitung von Daten, um bestimmte persönliche Aspekte einer Person wie wirtschaftliche Lage, Gesundheit, Interessen, Verhalten, Aufenthaltsort usw. zu bewerten. Im Gegensatz zur DSGVO erfordert das nDSG jedoch keine allgemeine Zustimmung. Eine solche Zustimmung ist nur erforderlich, wenn das Profiling ein hohes Risiko darstellt.

7. Schnelle Meldung an den EDÖB: Neue Regelungen im nDSG besagen, dass Datenschutzverletzungen, also das unbeabsichtigte oder unrechtmäßige Verlieren, Löschen, Zerstören, Verändern oder Zugänglichmachen von personenbezogenen Daten für Unbefugte, dem EDÖB so schnell wie möglich gemeldet werden müssen (laut DSGVO innerhalb von 72Stunden). Dies ist erforderlich, wenn sie wahrscheinlich ein hohes Risiko für die betroffenen Personen darstellen (laut DSGVO reicht ein einfaches Risiko aus). In der Regel muss die betroffene Person auch informiert werden, wenn dies zu ihrem Schutz erforderlich ist oder der EDÖB dies verlangt.

8. Privacy-by-Design und Privacy-by-Default (Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen): Unternehmen sind dazu angehalten, die Prinzipien der Datenverarbeitung bereits in der Entwurfs- und Gestaltungsphase von Anwendungen zu berücksichtigen. Zustimmung von betroffenen Personen, die über die absolut notwendige Datenverarbeitung hinausgehen, sollten nicht durch vordefinierte Einstellungen erzielt werden.

Welche Unternehmen sind einem besonders hohen Risiko ausgesetzt, gegen das neue DSG zu Verstoßen?

Firmen, die sich mit der Verarbeitung großer Mengen an persönlichen Daten oder besonders sensiblen persönlichen Daten befassen, Profiling durchführen, Online-Shops betreiben, automatisierte Einzelentscheidungen treffen oder persönliche Daten ins Ausland (außerhalb der EU) übermitteln, sind einem erhöhten Risiko ausgesetzt.

Müssen sich auch ausländische Firmen an das neue Gesetz halten?

Ja, das Schweizer DSG orientiert sich hinsichtlich des räumlichen Anwendungsbereichs am sogenannten Auswirkungsprinzip. Es ist auch für ausländische Unternehmen anwendbar, die auf dem Schweizer Markt aktiv sind oder deren Datenverarbeitung Auswirkungen in der Schweiz hat, ähnlich wie bei der DSGVO für Schweizer Unternehmen gilt, die im EU-Raum tätig sind.

Unternehmen mit Sitz im Ausland müssen einen Vertreter in der Schweiz benennen, wenn sie regelmäßig umfangreiche Daten von Personen in der Schweiz im Zusammenhang mit dem Angebot von Waren oder Dienstleistungen oder zur Beobachtung des Verhaltens verarbeiten und die Verarbeitung ein hohes Risiko für die Betroffenen darstellt.

Im Gegenzug müssen Schweizer Unternehmen gemäß DSG immer einen Datenschutzbeauftragten ernennen, wenn sie personenbezogene Daten von EU-Bürgern verarbeiten. Dies gilt nicht nur, wenn ein hohes Risiko besteht.

Welcher Aufwand kommt mit der Totalrevision des DSG auf Firmeninhaberinnen und -inhaber zu?

Die Notwendigkeit von Anpassungen in einem Unternehmen hängt davon ab, ob es zu den besonders betroffenen Branchen gehört und wie gut es sich bereits an die neuen Entwicklungen angepasst hat. Unternehmen, die bereits im Einklang mit der DSGVO arbeiten, müssen praktisch keine weiteren Anpassungen vornehmen. Unternehmen, die ausschließlich in der Schweiz tätig sind und bisher noch keine Maßnahmen ergriffen haben, sollten sofort eine Lückenanalyse durchführen.

Muss nun jedes Unternehmen einen Datenschutzberater ernennen oder einstellen?

Nein, im Gegensatz zur DSGVO ist die Bestellung eines Datenschutzberaters optional, bietet jedoch bestimmte Vorteile. Er dient einerseits als Ansprechpartner für Mitarbeiter, Kunden (bei der Ausübung ihrer Rechte als Betroffene), und Behörden in Datenschutzfragen. Wenn der Datenschutzberater anstelle des EDÖB konsultiert wird, ist die obligatorische Konsultation des EDÖB im Zusammenhang mit Datenschutz-Folgenabschätzungen bei hohen Risiken nicht mehr erforderlich.

Kann ich als KMU allein ein neues Datenschutzkonzept entwickeln? Gibt es Vorlagen?

Die Notwendigkeit externer Hilfe hängt davon ab, ob im Unternehmen bereits entsprechende Fachkenntnisse vorhanden sind, wie beispielsweise ein sachkundiger Datenschutzbeauftragter gemäß dem alten DSG oder eine Rechtsabteilung. Sollten solche Kompetenzen fehlen, raten wir dringend dazu, externe Unterstützung zu suchen.

Was muss eine Firma unternehmen, um ab 2022 die neuen Datenschutzbestimmungen zu erfüllen?

· Erzeugung eines Verzeichnisses zur Datenbearbeitung

· Einen Prozess zur Berichterstattung von Datenschutzverstößen einrichten

· Interne Richtlinien zur Datenverarbeitung erstellen oder modifizieren

· Prüfen und Anpassen von Datenschutzbestimmungen auf Internetseiten sowie in Werbe- und Vertragsunterlagen

· Einen Prozess einrichten, der die rechtzeitige Bearbeitung von Rechten betroffener Personen die beispielsweise in der Schweiz ansässig sind (z.B. Anfragen auf Auskunft oder Löschung) sicherstellt

· Die Überprüfung der Verträge mit den Auftragsverbeitern (Dritten) ist notwendig. Insbesondere wird empfohlen, eine Meldepflicht bei Datenschutzverstößen und bei der Weitergabe an Unterauftragnehmer aufzunehmen. Darüber hinaus muss der Verantwortliche sicherstellen, dass die Datensicherheit gewährleistet ist.

· Gewährleisten, dass personenbezogene Daten gelöscht oder anonymisiert werden, sobald sie für die Verarbeitung nicht mehr benötigt werden

· Ein Prozess zur Datenschutz- Folgenabschätzung einrichten, insbesondere wenn eine umfangreiche Verarbeitung von besonders schützenswerten Daten oder eine umfangreiche systematische Überwachung von öffentlichen Bereichen durchgeführt wird oder wenn neue Verarbeitungstechnologien mit hohem Risiko eingesetzt werden

· Klären Sie ab, in welche Länder personenbezogene Daten weitergegeben werden, und stellen Sie sicher, dass dies nur Länder erfolgt, die einen angemessenen Schutz bieten. Diese Regelung betrifft auch die Datenspeicherung auf Systemen im Ausland (Cloud). Der Bundesrat veröffentlicht eine entsprechende Liste (bisher vom EDÖB). Selbst wenn die Länder nicht auf dieser Liste stehen, können Daten unter bestimmten Bedingungen dennoch exportiert werden, einschließlich mit der ausdrücklichen Zustimmung der betroffenen Personen.

· Gewährleistung der Datenportabilität, d.h. die Herausgabe von Daten in einem gängigen elektronischen Format (ähnlich der DSGVO), wenn die Daten elektronisch und insbesondere im direkten Zusammenhang mit dem Abschluss oder der Durchführung eines Vertrags verarbeitet werden

· Gewährleistung der Datensicherheit durch angemessene technische und organisatorische Maßnahmen. Das bedeutet, dass Datenschutzverletzungen vermieden werden sollten. Der Bundesrat muss noch die Mindestanforderungen festlegen. Da eine Datenübertragung per E-Mail unsicher ist, sollte bei besonders schützenswerten personenbezogenen Daten eine E-Mail-Verschlüsselung zur Verfügung stehen.

· Die Ernennung einer Datenschutzberaterin oder eines Datenschutzberaters und deren Meldungen an den EDÖB wird empfohlen. Ihre Kontaktdaten müssen öffentlich zugänglich gemacht werden. Nach der DSGVO ist die Bestellung einer Datenschutzbeauftragten oder eines Datenschutzbeauftragten jedoch verpflichtet.

Was bedeuten die Abkürzungen DSG, VDSG und DSGVO?

DSG bezieht sich auf das Bundesgesetz über den Datenschutz, das in der Schweiz gilt. Das total überarbeitete Datenschutzgesetz wird als nDSG bezeichnet, um es vom alten DSG zu unterscheiden.

Die VDSG ist die Ausführungsverordnung des Bundesrats zum DSG, die die Detailbestimmungen enthält. Die endgültige Version der neuen Verordnung ist noch nicht verfügbar. Am 23.06.2021 hat der Bundesrat den Entwurf der Verordnung zur Konsultation freigegeben.

Die DSGVO ist die Datenschutz-Grundverordnung, die am 27.04.2016 von der EU erlassen wurde. Sie ist seit dem 25.05.2018 direkt in allen EU-Ländern anwendbar. Obwohl es sich um eine EU-Verordnung handelt, kann sie unter bestimmten Bedingungen auch auf Unternehmen in der Schweiz angewendet werden.

Wann tritt das neue DSG in Kraft?

Die Datenschutzverordnung (VDSG), die noch vom Bundesrat erlassen werden musste, ist zusammen mit dem Schweizer DSG im September 2023 in Kraft getreten.

Welche Übergangsfristen gelten?

Es gibt keine Übergansfrist im Schweizer Bundesgesetz über den Datenschutz - nDSG.

Bis wann muss ein Unternehmen die neuen Datenschutzvorschriften umsetzen?

Sie müssen seit dem 1. September 2023 umgesetzt sein.

Fazit zum nDSG der Schweiz

Die Schweiz nähert sich mit dem totalrevidierten Bundesdatenschutzgesetz an die Datenschutzvorschriften der DSGVO an. Verantwortliche, die personenbezogene Daten aus der Schweiz verarbeiten und vorher nicht der DSGVO unterlagen, müssen sich bis zum 01.09.2023 ggf. um eine angemessene Datenschutzdokumentation kümmern und ggf. einen Informationssicherheitsbeauftragen, Datenschutzberater bzw. Datenschutzbeauftragten oder Fachanwalt für IT-Recht zwecks Beratung hinzuziehen. Soweit das Schweizer Datenschutzgesetz revDSG CH unbestimmter als die DSGVO ist, kann sich wahrscheinlich an den Vorschriften der DSGVO orientiert werden allerdings sind die Besonderheiten des nDSG der Schweiz insbesondere bei Informationspflichten, Bearbeitungsverzeichnis und Auftragsbearbeitung zu beachten. Inwieweit das neue Datenschutzgesetz der Schweiz nach seinem Inkrafttreten am 01.09.2023 durch Rechtsprechung und den EDÖB anders zu interpretieren ist, bleibt abzuwarten.