Mit der verstärkten globalen Digitalisierung in allen Bereichen, vor allem der Digitalisierung im HR, gewinnt der Datenschutz immer mehr an Bedeutung. So ist in der Schweiz im Jahr 2023 ein neues Datenschutzgesetz (DSG) in Kraft getreten. Was sich dahinter verbirgt, welche Unterschiede es zur DSGVO gibt und wie Unternehmen die neuen Anforderungen am besten umsetzen, erklären wir Ihnen in diesem Artikel.
Was ist das neue Datenschutzgesetz?
Hintergrund und Inkrafttreten der neuen Gesetzgebung
Das neue Datenschutzgesetz wurde am 25.09.2020 vom Schweizer Parlament verabschiedet und ist seit dem 01.09.2023 gültig. Es hat damit das bisherige Bundesgesetz über den Datenschutz (DSG) aus dem Jahr 1992 abgelöst. Vordergründiges Ziel des neuen Datenschutzgesetzes in der Schweiz (oder revDSG) ist der verbesserte Schutz der Privatsphäre und Personendaten der Schweizer Bürger. Darüber hinaus sorgt es für eine bessere Harmonisierung mit den internationalen Standards wie beispielsweise der DSGVO.
Was hat sich seit dem alten DSG verändert?
Der neue Datenschutz der Schweiz stärkt die Rechte der betroffenen Personen durch die geforderte erhöhte Transparenz sowie die strengeren Meldepflichten bei Datenschutzverletzungen. Darüber hinaus sind jetzt die Verantwortlichkeiten für die Unternehmen mit einem Sitz in der Schweiz oder diejenigen Unternehmen, welche die Daten Schweizer Bürger verarbeiten, erheblich klarer geregelt.
Neues Datenschutzgesetz vs. DSGVO: Wo liegen die Unterschiede?
Geltungsbereich und betroffene Daten
Das neue Datenschutzgesetz der Schweiz gilt grundsätzlich für alle Unternehmen, die personenbezogene Daten verarbeiten - sowohl für Unternehmen mit Sitz in der Schweiz als auch im Ausland, falls diese Waren oder Dienstleistungen für Personen in der Schweiz anbieten. Im Vergleich mit der DSGVO Schweiz ist das neue Datenschutzgesetz der Schweiz jedoch bei einigen Datenkategorien weniger streng. Der Hauptfokus des neuen Schweizer Gesetzes liegt auf dem besonderen Schutz sensibler Daten.
Anforderungen an Einwilligung und Transparenz
Beide Gesetze fordern die klare Einwilligung der Betroffenen sowie eine transparente Information über die Datenverarbeitung. Das neue Datenschutzgesetz verlangt jedoch eine klare Kommunikation und eine möglichst einfache Möglichkeit, die erteilte Einwilligung zu widerrufen.
Meldepflichten bei Datenschutzverletzungen
Eine der elementaren Neuerungen ist in diesem Kontext die Meldepflicht von Datenschutzverletzung innerhalb von 72 Stunden nach Bekanntwerden. Diese gilt für alle Unternehmen, welche die Daten Schweizer Bürger verarbeiten.
Sanktionen und Verantwortlichkeiten
Für die Verletzung von beispielsweise Informations-, Auskunfts-, Mitwirkungs- oder Sorgfaltspflichten drohen in der Schweiz Bussgelder von bis zu CHF 250.000, weshalb Verantwortliche den Datenschutz keinesfalls auf die leichte Schulter nehmen sollten. Schliesslich sind diese dabei persönlich strafbar und können die Strafe nicht auf das Geschäft abwälzen.
Datenschutz-Folgenabschätzungen und Registerführung
Unternehmen sind dazu verpflichtet, Risikoanalysen durchzuführen (Datenschutz-Folgenabschätzungen) sowie ein Verzeichnis aller Verarbeitungstätigkeiten zu führen. Durch die exakte Dokumentation wird in jedem Fall die geforderte Transparenz gewahrt. Zudem werden Prüfungen durch die Aufsichtsbehörde erheblich vereinfacht.
Vergleichstabelle: Neues Datenschutzgesetz vs. DSGVO
| Kriterium | Neues Datenschutzgesetz (Schweiz) | DSGVO (EU) |
|---|---|---|
| Inkrafttreten | 1. September 2023 | 25. Mai 2018 |
| Geltungsbereich | Daten natürlicher Personen in/aus der Schweiz | Daten natürlicher Personen im EU-Raum |
| EinwilligunG | Nur bei sensiblen Daten erforderlich | Grundvoraussetzung für viele Datenverarbeitungen |
| Meldepflicht bei Datenpannen | Ja, an den EDÖB, innerhalb von 72 Stunden | Ja, innerhalb von 72 Stunden |
| Sanktionen | Bis zu 250'000 CHF gegen verantwortliche Personen | Bis zu 20 Mio. € oder 4 % des Jahresumsatzes |
| Datenschutz durch Design | Verpflichtend | Verpflichtend |
| Datenschutz-Folgenabschätzung | Bei hohem Risiko verpflichtend | Bei hohem Risiko verpflichtend |
| Register der Verarbeitung | Pflicht, mit Ausnahmen für KMU | Grundsätzlich Pflicht |
Was müssen Unternehmen in der Schweiz konkret umsetzen?
Vor allem drei Punkte sind jetzt für Unternehmen wichtig:
- Der Datenschutz muss bereits vorab bei der Produkt- und Prozessentwicklung berücksichtigt werden. Zudem müssen die Voreinstellungen datenschutzfreundlich gestaltet sein.
- Unternehmen sind verpflichtet, alle Verarbeitungstätigkeiten zu dokumentieren sowie interne Prozesse zu etablieren, um den Nachweis über datenschutzkonforme Abläufe transparent zu gestalten.
- Das neue Datenschutzgesetz der Schweiz fordert Unternehmen ausserdem dazu auf, die Mitarbeiter für das Thema zu sensibilisieren und diese regelmässig im Umgang mit personenbezogenen Daten zu schulen.
Checkliste: gesetzeskonform in fünf Schritten
Damit Unternehmen eine gesetzeskonforme und effiziente Umsetzung der Vorschriften gelingt, empfiehlt sich eine strukturierte Vorgehensweise gemäss folgender Checkliste:
- Bestandsaufnahme aller Datenverarbeitungssysteme und -prozesse
- Risikoanalyse (Datenschutz-Folgenabschätzung) durchführen
- Massnahmen explizit planen und implementieren, z. B. Verschlüsselung, Zugriffskontrolle oder automatische Datenlöschung
- Dokumentation aller Massnahmen als Nachweis im Falle einer Prüfung
- Mitarbeiterschulung zur Sicherstellung des korrekten Umgangs mit personenbezogenen Daten
Für die Einhaltung aller gesetzlichen Vorgaben und zur effektiven Abarbeitung empfiehlt sich der Einsatz einer guten Software, beispielsweise der Zeiterfassungssoftware von Kelio.
Wie Kelio Sie bei der Umsetzung des neuen Datenschutzgesetzes unterstützen kann
Kelio bietet innovative Software-Lösungen, um Unternehmen bei der Einhaltung des neuen Datenschutzgesetzes der Schweiz optimal zu unterstützen. Mit unseren Tools können Sie datenschutzkonforme Prozesse automatisieren, dokumentieren und überwachen. Dazu gehört neben der Software zur Zeiterfassung beispielsweise die Software für Personalplanung.
Wir bieten unter anderem konkrete Unterstützung bei folgenden Themen:
- Automatische Datenlöschung im Bewerbungsprozess (nach Ablauf einer festgelegten Frist)
- Steuerung von Zugriffsrechten (nur für autorisierte Personen)
- Protokollierung aller Aktionen (für transparente Nachvollziehbarkeit)
Dennoch liegt die Verantwortung für die Einhaltung aller gesetzlichen Vorgaben beim Unternehmen selbst, insbesondere bei der Schulung des Personals und der Prozessentwicklung.
Möchten Sie mehr darüber erfahren, wie Kelio Ihnen bei der Umsetzung des neues Datenschutzgesetzes in der Schweiz helfen kann? Dann fordern Sie am besten heute noch eine Demo an oder sichern Sie sich eine individuelle Beratung!
