Am 31. August 2022 hat die Schweizer Regierung beschlossen, die vollständige Überarbeitung des Datenschutzgesetzes, einschliesslich der neuen Datenschutzverordnung und der Verordnung über Datenschutzzertifizierungen (VDSZ), endgültig ab dem 1. September 2023 in Kraft zu setzen. Bis zu diesem Zeitpunkt müssen alle Geschäftsunternehmen die aktualisierten Bestimmungen umsetzen. Der Bundesbeauftragte für Datenschutz und Öffentlichkeit (EDÖB) wird durch diese Gesetzgebung in die Lage versetzt, die Beachtung der Datenschutzrichtlinien effektiver zu kontrollieren, wobei Verstösse mit Untersuchungen, Massnahmen und gegebenenfalls Bussgeldern begegnet werden können. Ausserdem stehen betroffenen Personen rechtliche Mittel zur Durchsetzung ihrer Rechte zur Verfügung.
Zusammen mit der Festlegung des Inkrafttretens des revidierten Datenschutzgesetzes veröffentlichte die Regierung den offiziellen Text der Datenschutzverordnung (neue Kurzform: DSV). Bisher war nur ein Vorentwurf zugänglich, der während der Konsultationsphase auf teils heftigen Widerstand gestossen war. Das Ergebnis zeigt jedoch, dass die Anliegen im Parlament berücksichtigt wurden, und es zeichnet sich ein Ausgleich hin zu praktischeren und unternehmensfreundlicheren Vorgaben ab. Darüber hinaus wurden viele Bestimmungen präziser formuliert.
Im überarbeiteten Entwurf der Datenschutzverordnung (DSV) wurden bestimmte Kernänderungen vorgenommen, die potenziell einen direkten Einfluss auf Unternehmen und verschiedene Organisationen, ob öffentlich oder gemeinnützig, haben könnten. Diese Änderungen sind wie folgt zusammengefasst:
Informationspflichten: Die Anforderungen an Informationspflichten wurden deutlich gelockert, besonders in Bezug auf die Art und Weise, wie Datenschutzerklärungen und Datenschutzhinweise formuliert werden müssen. Konkret wurden einige komplexe Pflichten entfernt:
- Die schwer nachvollziehbare Pflicht des Auftragsverarbeiters zur Information wurde gestrichen.
- Private Datenverantwortliche müssen Empfänger von Personendaten nicht mehr über bestimmte Aspekte wie „Genauigkeit“ oder „Zuverlässigkeit“ informieren; diese Verantwortung wurde den Bundesbehörden übertragen (siehe Art. 29 DSV).
- Informationen, die sich an europäische Datenschutzrichtlinien anlehnen, wie die über Berichtigung oder Löschung von Personendaten, sind nicht mehr erforderlich.
Verarbeitungsreglement: Die bisherige Notwendigkeit, ein Verarbeitungsreglement für private Unternehmen zu unterhalten, wurde modifiziert, jedoch nicht komplett aufgehoben:
- Es gilt nur noch für spezifische Fälle wie die automatisierte Verarbeitung sensibler Personendaten in grösserem Umfang oder bei hohem Risikoprofil (gemäss Art. 5 DSV).
Diese Änderungen reflektieren eine Tendenz, einige der komplexeren und möglicherweise unpraktischen Anforderungen des früheren Entwurfs zu entfernen, um den Prozess für alle Beteiligten klarer und handhabbarer zu machen.
Neben den bereits erwähnten Revisionen manifestieren sich weitere Modifikationen von essentieller Relevanz, die eine akribische Analyse und Implementierung nach sich ziehen. Hierunter subsumieren sich die Neukonzeption der Sanktionsmechanismen, die Rationalisierung der Anforderungen an die Datensicherheit sowie die spezifizierten Obliegenheiten bei internationalen Datenübertragungen. Als Unternehmen, das sich durch profunde Expertise in diesem Metier auszeichnet, sind wir exzellent dazu prädestiniert, unsere Klientel durch diese komplexen Neuerungen zu dirigieren. Wir offerieren eine individualisierte Konsultation, Assistenz bei der Adhärenz neuer Richtlinien und pragmatische Lösungen, um gewährleisten zu können, dass Ihre Unternehmung oder Institution die neuentwickelten Datenschutzanforderungen nicht bloss erfüllt, sondern diese zu Ihrem Vorteil nutzt. Unsere sachverständigen Spezialisten sind disponibel, um Sie in der Transformation der Datenschutzlandschaft zu unterstützen, sodass Sie mit unerschütterlichem Selbstvertrauen und Integrität agieren können.
Angesichts der erhöhten Sanktionen (Bussgelder bis zu CHF 250.000) wird es entscheidend sein, einen genauen Überblick über alle Datenströme an Dritte zu haben (insbesondere im internationalen Kontext), um die notwendigen Massnahmen ergreifen zu können (z.B. Abschluss relevanter Vereinbarungen, Risikobewertungen). Das Auskunftsrecht wird wohl seine Bedeutung beibehalten, und natürlich bleibt das übergeordnete Thema Daten- und IT-Sicherheit von grosser Relevanz.
Quelle: EDÖB