Swiss Chapter

These differences between the two chambers have now been resolved, and Parliament adopted the Federal Act on Data Protection in the final vote on 25 September 2020.

As a result, the law's revision is a moderate renewal and approximation to the GDPR. Yet, it has been less stringent and comprehensive than initially envisaged. 

Although the referendum period is still running, it is not expected that any interest group will take this up. The revised law is therefore expected to come into force in 2021.

Detailed version in German:

Auf der Schlussgeraden kam die Revision doch nochmals ein wenig ins Stocken, da sich der Nationalrat und der Ständerat in einigen Details nicht ganz einig waren. Insbesondere bestand Uneinigkeit bei Fragen zum Profiling mit hohem Risiko sowie beim Umgang mit besonderes schützenswerten Daten. Diese Differenzen konnten nun bereinigt werden und das Datenschutzgesetz wurde am 25. September 2020 durch das Parlament in der Schlussabstimmung verabschiedet.

Im Ergebnis ist die Totalrevision eine moderate Erneuerung und Annäherung an die DSGVO aber weniger streng und umfassend ausgefallen, als dies ursprünglich angedacht war. 

Im Moment läuft zwar noch die Referendumsfrist, wobei aber nicht davon auszugehen ist, dass hier eine Interessengruppe dieses ergreifen wird. Das revidierte Gesetz tritt somit voraussichtlich 2021 in Kraft.

Im Gegensatz zur europäischen DSGVO wird es keine zweijährige Übergangsfrist geben, weshalb sich Unternehmen diesem Thema relativ schnell annehmen müssen. Zum jetzigen Zeitpunkt sind jedoch noch nicht alle Detailfragen geklärt, da der Bundesrat die Verordnung noch entsprechend anpassen muss. Die allgemeine Marschrichtung ist aber klar.

Obwohl sich der Gesetzgeber am europäischen Datenschutzrecht (DSGVO) orientiert hat, wird das DSG nicht ganz so komplex und streng ausfallen. Hauptziel war die Stärkung des Schutzes und der Rechte der betroffenen Personen. Dies wollte man vor allem über die Verbesserung der Transparenz bei der Bearbeitung von Daten sowie mit erhöhten Informationspflichten erreichen. Allgemein stärkt das neue Gesetz die Rechte der betroffen Personen, so soll eine Stärkung der Kontrollmöglichkeiten über die eigenen Daten erreicht werden.

In Zukunft müssen Unternehmen, die Personendaten bearbeiten, deshalb strengere Dokumentationspflichten einhalten. Grössere Unternehmen sowie Unternehmen mit regelmässigen Datenbearbeitungen müssen künftig ein Verzeichnis ihrer Bearbeitungstätigkeiten führen. Daneben sind Verletzungen der Datensicherheit zu melden, sofern diese voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person werden. Ausserdem ist der Datenschutz bereits in der Planung ausreichend zu berücksichtigen und eine datenschutzfreundliche Ausgestaltung wird Pflicht. Bei hohen Risiken ist zudem eine Datenschutz-Folgenabschätzung zu erstellen.

Da sich diese neuen Anforderungen nicht von heute auf morgen erfüllen lassen, sollten Unternehmen möglichst bald den IST-Zustand innerhalb des Unternehmens evaluieren und danach den SOLL-Zustand definieren.

Das neue DSG sieht grundsätzlich keine verwaltungsrechtlichen Bussen vor. Millionenstrafen wie in der EU muss ein Unternehmen daher nicht fürchten. Der EDÖB wird jedoch stärkere Kontrollmöglichkeiten erhalten. Er wird in Zukunft umfassende Untersuchungen durchführen und im Anschluss eine Anpassung oder Einstellung der Datenbearbeitung verfügen können. Ein Verstoss kann zudem zu strafrechtlichen Sanktionen führen. Eine Strafuntersuchung richtet sich primär gegen die Geschäftsleitung und kann mit einer Busse bis zu CHF 250'000.00 geahndet werden.

Heute bearbeiten praktisch alle Unternehmen Personendaten in irgendeiner Form und daher sollte jeder Geschäftsführer prüfen, wie stark sein Unternehmen von den neuen Regeln betroffen sein wird und welche Massnahmen zu ergreifen sind.