Das neue Schweizer Datenschutzgesetz naht – und jetzt?

Unser CISO beantwortet die häufigsten Fragen.

Mit der Revision des Schweizer Datenschutzgesetzes ändern sich wichtige Bestimmungen über die Bearbeitung von Personendaten. Unternehmen müssen verschärfte Regeln beachten und ihre bestehenden Richtlinien und Datenschutzerklärungen bis zum Inkrafttreten anpassen. Wir haben uns mit unserem CISO Michael Ruppe darüber unterhalten.

Michael, warum ist ein neues Schweizer Datenschutzgesetz (nDSG) überhaupt nötig?

Die kurze Antwort auf diese Frage: Wir leben in einer durch und durch digitalisierten Gesellschaft. Die Grundfassung des gültigen Datenschutzgesetzes ist nicht mehr zeitgemäss und stammt aus einer Zeit, wo Google und Smartphones noch keine so tragenden Rollen spielten. Höchste Zeit also, es an die aktuellen Gegebenheiten anzupassen.

Wann tritt das neue Datenschutzgesetz (nDSG) in Kraft?

Per 1. September 2023 – und zwar ohne Übergangsfrist.

Welche Daten sind vom neuen Gesetz betroffen?

Im nDSG stehen die Transparenz bezüglich Datenbearbeitung und die Rechte der betroffenen Personen im Fokus. Somit geht es insbesondere um Personendaten: Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen wie beispielsweise Name, Adresse, Geburtsdatum oder IP-Adresse.

Was passiert, wenn die Datenschutzvorschriften nicht eingehalten werden?

Das ist eine zentrale Frage. Denn im neuen Datenschutzgesetz haften auch Privatpersonen, sprich: Leitungspersonen in ihrer Funktion, und nicht mehr nur das Unternehmen. Bei vorsätzlichen Verstössen gegen das nDSG wie bspw. bei der Verletzung von Informations-, Auskunfts-, Mitwirkungs- oder Sorgfaltspflichten können Privatpersonen mit Bussen bis CHF 250'000 bestraft werden.

• Somit ergeben sich durch die Gesetzänderungen für verschiedene Funktionen unterschiedliche Herausforderungen und Lösungsansätze. Mehr erfahren Sie hier.

Welcher ist einer der heikelsten Punkte in Bezug auf die Umsetzung des nDSG?

Aktuell gibt es noch keine ideal ausgearbeitete und abschliessende Lösung für den Umgang mit Personendaten in Backups. Bei Löschanfragen stellt und dies sicher vor eine Herausforderung, um gleichzeitig einen Sachgemässen Umgang mit Backups zu gewährleisten, andererseits aber auch der Anforderung zur Datenlöschung nachzukommen. Bis diese Frage auch juristisch unumstösslich geklärt ist, wird dies einer der heikelsten Punkte in Bezug auf die Umsetzung darstellen.

Existiert im nDSG der Schweiz ein Obligatorium für Cookie-Banner?

Im neuen Datenschutzgesetz wird kein Cookie-Banner gefordert. Doch Achtung, wenn das Unternehmen auch der DSGVO unterliegt, dann gelten die EU-Richtlinien betreffend Cookie-Banner.

Ist Datenschutz gleich Datensicherheit?

Nein, das sind zwei verschiedene Themen. Die wichtigste Frage im Datenschutz lautet «Darf ich diese personenbezogenen Daten erheben und verarbeiten?» In der Datensicherheit steht die Frage «Wie schütze ich Daten vor einem Zugriff durch Unbefugte?» im Fokus. Dazu kommt das definierte «Privacy by Design»-Prinzip, das besagt, dass die Datenbearbeitung technisch und organisatorisch bereits in der Planungsphase so ausgestaltet werden muss, dass die Datenschutzvorschriften eingehalten werden.

Und zum Schluss: Was ist dein persönlicher Tipp für den Umgang mit dem nDSG?

Eine gute Planung für die Umsetzung, denn eine vollständige Compliance mit den neuen gesetzlichen Anforderungen kann nicht von heute auf morgen erreicht werden. Dies bedingt auch, dass man im Idealfall bereits begonnen hat, erste Massnahmen umzusetzen.