To download the article in PDF format, please click here. 

 

Was hat Datenschutz mit digitaler Transformation zu tun?

Die Digitalisierung erlaubt es, Daten immer besser und schneller zu sammeln und analysieren. Sind Personendaten involviert, muss der Datenschutz eingehalten werden. 

Am 1. September 2023 tritt das revidierte Datenschutzgesetz (DSG) in Kraft, mit neuen Pflichten und verschärften Sanktionen. 

 

Eckpunkte des revidierten DSG

Besonders schützenswerte Daten umfassen neu genetische und biometrische Daten. Profiling und Profiling mit hohem Risiko, also die automatisierte Bearbeitung von Personendaten, um persönliche Aspekte zu analysieren oder vorherzusagen, wurden eingeführt. Jede Person kann vom Verantwortlichen die Herausgabe ihrer Personendaten, die sie diesem bekanntgegeben hat und automatisiert bearbeitet werden, in einem gängigen elektronischen Format verlangen. Verantwortliche müssen betroffene Personen über die Beschaffung von Personendaten sowie automatisierte Einzelentscheidungen informieren. Datenbearbeitungen müssen ab Planung durch geeignete Massnahmen die Einhaltung der Datenschutzvorschriften gewährleisten (Privacy by Design) und bei hohem Risiko einer Datenschutz-Folgenabschätzung unterzogen werden. Neu muss ein Bearbeitungsverzeichnis geführt werden und die Datensicherheit durch geeignete technische und organisatorische Massnahmen gewährleistet sein. Verletzungen der Datensicherheit müssen je nach Risiko dem EDÖB gemeldet werden. 

 

Verschärfte Sanktionen

Wer vorsätzlich gegen Informations-, Auskunfts oder Sorgfaltspflichten verstösst, namentlich die Datensicherheits-Anforderungen nicht einhält, Personendaten ins Ausland bekanntgibt oder ohne Erfüllung der gesetzlichen Anforderungen Auftragsbearbeiter einsetzt, riskiert eine Busse bis zu 250'000 Franken. Adressat der Busse ist nicht das Unternehmen, sondern die Leitungsperson mit entsprechender Entscheidungs- und Weisungskompetenz. 

 

Was können Unternehmen tun?

Unternehmen sollten frühzeitig ihre Bearbeitungstätigkeiten erfassen, Datenschutzerklärungen prüfen und ggf. anpassen und Prozesse zur Sicherstellung der gesetzeskonformen Umsetzung der Datenschutzanforderungen und Pflichten implementieren.