Im Herbst 2020 war es so weit: Das Schweizer Parlament hat eine Revision des Datenschutzgesetzes verabschiedet, die kurz "revDSG" genannt wird. Mit dem revidierten Bundesgesetz gelten neue Datenschutzrechte für Schweizerinnen und Schweizer, Personendaten lassen sich besser bearbeiten. Doch was bedeutet ein neues Schweizer Datenschutzgesetz für Unternehmen? Wo sind Anpassungen notwendig und welche Anforderungen gilt es nun für Dich zu meistern?
Gründe für die Revision des Gesetzes
Das aktuell geltende Schweizer Datenschutzgesetz stammt aus dem Jahr 1992. Seitdem hat sich die Digitalisierung so rasant entwickelt, dass eine Anpassung des Gesetzes dringend erforderlich war. Denn die Erhebung und Nutzung persönlicher Daten hat ein neues Ausmass angenommen, die steigenden Datenmengen und die Formen der Datenverarbeitung stellen Unternehmen vor neue Herausforderungen. Vor diesem Hintergrund findet international ein Umdenken statt, was zahlreiche Neuerungen beim Datenschutz zur Folge hat. Auch die Europäische Union hat bereits reagiert: Seit Mai 2018 gilt mit der GDPR (deutsch DSGVO: Datenschutzgrundverordnung) ein höherer Standard für den Datenschutz. Ein wesentliches Ziel für ein neues Schweizer Datenschutzgesetz ist, eine gleichwertige Lösung zur DSGVO einzurichten.
Personendaten: Was gehört dazu?
Sämtliche Daten, die einen Rückschluss auf die menschliche Identität erlauben, gehören im Hinblick auf ein neues Schweizer Datenschutzgesetz zu den Personendaten. Dazu zählen beispielsweise Name, Geburtsdatum, Anschrift und E-Mail-Adressen.
Als besonders schützenswert gelten bestimmte Arten von Personendaten. So sind biometrische Daten wie physische Merkmale und verhaltenstypische Eigenschaften mit erheblicher Vorsicht zu behandeln. Dasselbe gilt auch für Informationen zum Gesundheitszustand. Diese sensiblen Personendaten bedürfen eines besonderen Schutzes.
Neues Schweizer Datenschutzgesetz: Was ändert sich?
Die Inhalte des revDSG orientieren sich an den Bedingungen der DSGVO. Die Änderungen sollten zunächst Mitte 2022 in Kraft treten, nun ist der 1. September 2023 angedacht. Eine Entscheidung des Bundesrats steht allerdings noch aus. Für Schweizer Unternehmen gibt es bezüglich der Inhalte einige Besonderheiten zu beachten. Zum einen ist die Schweizer Revision weniger spezifisch und formal ausgearbeitet. Zum anderen jedoch fallen bestimmte Gesetzespassagen strenger aus als vergleichbare DSGVO-Vorschriften. Wenn Du bereits darauf achtest, die DSGVO-Vorgaben zu erfüllen, sind für Dich nur die Punkte relevant, die das neue Schweizer Datenschutzgesetz strenger regelt. Zu den wesentlichen Änderungen zählen die neuen Datenschutzpflichten. Dazu gehören das Führen eines Inventars zur Datenverarbeitung, eine Meldepflicht von Sicherheitsverstössen wie beispielsweise Datenverlusten sowie die Pflicht, bei heiklen Datenbearbeitungen eine Datenschutz-Folgeabschätzung (DSFA) vorzunehmen.
Eine weitere wichtige Änderung des revDSG besteht im Ausbau der Informationspflichten. Das bedeutet für Unternehmen, dass eine umfassende Datenschutzerklärung vorliegen muss. Diese dient dazu, den betroffenen Personen sämtliche Informationen über die Art und den Umfang der Datenbeschaffung zugänglich zu machen. Das neue Schweizer Datenschutzgesetz enthält ausserdem das Recht auf Datenportabilität, das auch in der DSGVO verankert ist. Hierbei geht es nicht im engeren Sinne um Datenschutz, sondern vielmehr um die Übertragung von Daten: Konsumenten sollen das Recht haben, ihre gespeicherten Daten auch anderen Anbietern zur Verfügung zu stellen.
Wie kann eyevip die Umsetzung unterstützen?
Eine gute Nachricht für Dich: eyevip ist schon seit 2018 DSGVO-konform und erfüllt damit die wichtigsten Anforderungen, die das neue Schweizer Datenschutzgesetz festlegt. Demnach gehört es bei jedem Event zum Standard, eine Datenschutzerklärung zu hinterlegen. Das bedeutet: Besucherinnen und Besucher müssen erst in die Verarbeitung der Daten einwilligen, um an einem Event teilzunehmen. Diese Daten lassen sich digital herunterladen, um sie den betroffenen Personen zur Verfügung zu stellen. Zudem gibt es die Möglichkeit, in jede Event-Landingpage einen Cookie-Hinweis oder Banner zur Datenschutzerklärung einfügen zu lassen.
Organisation von Events: Worauf solltest du achten?
Wenn Du Events organisierst, benötigst Du im Sinne des neuen Gesetzes eine umfassende Datenschutzerklärung. Diese sollte folgende Angaben enthalten:
- Identität und Kontaktdaten der Verantwortlichen
- Bearbeitungszweck der Daten
- Empfängerinnen und Empfänger der Personendaten
Weiterhin solltest Du auf ein eventuelles Tracking mit Cookies hinweisen. Eine Informationspflicht hast Du jedoch nur dann, wenn es sich um Cookies mit persönlichen Daten handelt. Wenn sich Dein Angebot auch an Bürgerinnen und Bürger der EU richtet, gilt die ePrivacy-Richtlinie der EU. Diese sieht eine Einwilligung in die Nutzung der Cookies vor (opt-in), ebenso die Möglichkeit, diese Einwilligung zurückzuziehen (opt-out).
Auch wenn das neue Schweizer Datenschutzgesetz noch nicht in Kraft getreten ist, solltest Du Dich schon jetzt damit auseinandersetzen, wie Du die interne Zuständigkeit für den korrekten Datenschutz regelst. Dazu gehören auch Massnahmen, um mögliche Verletzungen der Datensicherheit wie den Verlust oder fehlerhaften Versand von Daten zu erfassen, zu melden und zu bearbeiten.
Wenn Du die entsprechenden Prozesse rechtzeitig etablierst, kannst Du sicher sein, dass Du und Dein Unternehmen die Voraussetzungen für das neue Schweizer Datenschutzgesetz erfüllen.
