Grundsätzlich ist das revidierteSchweizer Datenschutzgesetz (DSG) auf alle Unternehmen mit Sitz oder Zweigniederlassung in der Schweiz anwendbar.
Besonders betroffen von den Gesetzesänderungen sind Unternehmen, deren zentrale Geschäftstätigkeit die Bearbeitung von Personendaten umfasst: Dazu gehören insbesondere Unternehmen aus den Bereichen Telekommunikation / Informatik, Tourismus / Reisen / Freizeit, Gastronomie / Hotellerie, Immobilien / Versicherungen / Banken, Consulting generell (Medizin, Treuhand, Rechtsberatung etc.).
Unter das revidierte Schweizer Datenschutzgesetz (DSG) fallen zusätzlich auch datenschutzrelevante Sachverhalte, von Unternehmen aus Drittstaaten, sofern sich diese in der Schweiz auswirken. Somit können auch Unternehmen, die keinen Sitz und keine Zweiniederlassung in der Schweiz haben, vom revidierten DSG betroffen sein. Für solche Unternehmen ist es Pflicht, dass sie in der Schweiz einen Datenschutzvertreter als Ansprechperson benennen.
- Besonders schützenswerte Personendaten: Anpassung / Erweiterung Schutzkatalog
- Profiling: Neu anstelle des Persönlichkeitsprofils
- Bearbeitungsverzeichnis: Pflicht zur Führung / Ausnahmen: bei unter 250 Mitarbeitenden sowie nur geringem Risiko für Persönlichkeitsverletzungen durch Datenbearbeitungen.
- Informationspflicht: Erhöhung Transparenz (Mindestinformationspflicht)
- Auftragsbearbeitung: Vertragliche Grundlage, verschärfte Pflichten Verantwortlicher
- Verletzung Datensicherheit: Meldepflicht (so rasch als möglich; Mindestinhalt)
- Betroffenenrechte: Ausweitung zwingende Informationen; Auskunft in der Regel innert 30 Tagen
- Privacy by Design und Privacy by Default: Gesetzliche Verankerung
- DatenschutzberaterIn: Gesetzliche Verankerung Anforderungen, Aufgaben und Meldepflichten
- Datenschutzvertreter: Pflicht für Unternehmen aus Drittstaaten
- Strafbestimmungen: Bussen bis max. CHF 250'000 bei Vorsatz
Das Inkrafttreten ist zur Zeit noch unklar. Frühestmöglicher Termin ist der 1. Januar 2021, realistischer ist ein Inkrafttreten per Mitte oder Ende 2021.
Unternehmen müssen eine Bestandesaufnahme ihrer Datenbearbeitungen durchführen (Status Quo), daraus ihren Handlungsbedarf feststellen (Gap-Analyse) und anschliessend eine Priorisierung und Umsetzung der erforderlichen Massnahmen vornehmen. In der Folge müssen sie einen Monitoring- und Review-Prozess etablieren, um stets alle aktuellen Datenbearbeitungen berücksichtigen zu können, und schliesslich weiterhin die Aktualisierung, Sensibilisierung und Schulung betreiben.