Vernehmlassung Datenschutzverordnung

13.09.2021

In Kürze

– Neue Informations- und Dokumentationspflichten  
– Anpassen und Erstellen  
– Bussenrisiko u.a. bei Auslandstransfers und bestimmten Service-Verträgen
– Überprüfen
– Meldepflicht bei Datenverlusten und sonstigen Sicherheitspannen
– Prozess einführen
– Neues DSG meist nicht strenger als DSGVO, aber nicht identisch
– Differenzen prüfen

Eckpunkte der Revision 

  1. Das neue DSG tritt wohl nicht vor 2022 in Kraft; einige rechnen erst mit Sommer 2022
  2. Die Grundprinzipien des Datenschutzes ändern sich nicht; Einwilligungen für das Bearbeiten von Personendaten sind nach wie vor meist keine erforderlich (anders als unter der DSGVO) 
  3. Hinzugekommen sind mehr oder weniger aufwändige Governance-Pflichten, wie das Führen von Datenbearbeitungs-Inventaren, eine Meldepflicht von Datenverlusten und anderen Sicherheitsverstössen und die Pflicht zur Vornahme von Datenschutz-Folgenabschätzungen
  4. Neu ist vorgesehen, dass Unternehmen Datenschutzberater ernennen können und ausländische Unternehmen mit wesentlichen Aktivitäten in der Schweiz eine Schweizer Vertretung bestimmen müssen 
  5. Die Rechte der betroffenen Personen werden etwas ausgebaut; es wird noch einfacher, die eigenen Daten von einem Unternehmen herauszuverlangen 
  6. Verträge müssen auf DSG-Konformität überprüft werden; namentlich bei sog. Auftragsbearbeitern wird der Beizug von Subakkordanten strenger geregelt (analog DSGVO)
  7. Profiling stand zwar im Zentrum der Diskussion, aber es ändert sich kaum etwas 
  8. Informationspflicht bei Datenbeschaffungen wird inhaltlich (d.h. worüber informiert werden muss) ausgeweitet; Unternehmen müssen daher ihre Datenschutzerklärungen überprüfen 
  9. Der Auslandstransfer von Daten wird zwar liberalisiert, aber Verstösse sind neu strafbewehrt 
  10. Bearbeitung von Daten zur Prüfung der Kreditwürdigkeit wird insb. zeitlich eingeschränkt 
  11. Der Eidg. Datenschutz- und Öffentlichkeitsbeauftragte kann neu Bearbeitungsverbote und andere Verfügungen erlassen und nicht mehr nur «Empfehlungen» 
  12. Die Strafbestimmungen (CHF 250’000) zielen auf verantwortliche Mitarbeiter, nicht Firmen, betreffen aber nur wenige Fälle (Information, Auskunft, Exporte, Sicherheit, Outsourcing) 
  13. Wer DSGVO-konform ist wird mit einigen Ausnahmen auch DSG-konform sein; Daten über juristische Personen sind aber nicht mehr im Geltungsbereich 

Rund 100 Schweizer Unternehmen sind bereits Mitglied im VUD. Gehört Ihr Unternehmen bald auch dazu?

Mitglied werden