Das revidierte Schweizer Datenschutzgesetz (DSG) gilt in seiner aktuellen Fassung seit 01. September 2023. Das vorherige Bundesgesetz für Datenschutz stammt aus dem Jahr 1992, einer Zeit also mit ganz anderen Voraussetzungen für die Nutzung und Bearbeitung von Daten. Es war höchste Zeit, das Datenschutzgesetz Schweiz an die heutige Zeit anzupassen, in der die Nutzung personenbezogener Daten im Fokus zahlreicher Geschäftsmodelle steht und komplexe Datenschutzfragen zunehmend mit KI-basierten Anwendungen verknüpft sind.
Vor allem im Zusammenhang mit KI bleibt das Datenschutzgesetz ein hochaktuelles Thema. In diesem Beitrag von Intecso erfahren Sie, was das modernisierte DSG für Schweizer KMU bedeutet und worauf Sie achten müssen, um alle Vorgaben des Datenschutzes einzuhalten.
Das Wichtigste zum Datenschutzgesetz Schweiz:
- Das revidierte Datenschutzgesetz Schweiz ist seit dem 1. September 2023 in Kraft. Es ersetzt das alte Gesetz von 1992.
- Ziel ist die Anpassung an internationale Standards wie die DSGVO der EU, um den freien Datenfluss und ein hohes Schutzniveau zu gewährleisten.
- Jede Datenverarbeitung muss einem klaren Zweck dienen und verhältnismässig sein, um Missbrauch zu vermeiden.
- Für sensible Daten wie Gesundheits- oder biometrische Informationen ist die ausdrückliche Zustimmung der betroffenen Personen erforderlich.
- Unternehmen müssen sicherstellen, dass KI-gestützte Entscheidungen nachvollziehbar sind und keine Diskriminierung verursachen.
- Daten, die von KI-Systemen verarbeitet werden, dürfen nur für den vorgesehenen Zweck genutzt werden. Nutzer müssen über die Verwendung ihrer Daten informiert werden.
Warum war eine Revision des Datenschutzgesetzes notwendig?
Ein Ziel des neuen DSG Schweiz ist es, die Vereinbarkeit mit internationalen Regelungen sicherzustellen, insbesondere mit der Datenschutz-Grundverordnung (DSGVO) der Europäischen Union, die 2016 beschlossen wurde.
Die DSGVO erlaubt den Datenaustausch mit Ländern ausserhalb der EU (Drittstaaten) ohne zusätzliche Hürden, sofern diese ein vergleichbares, also angemessenes Schutzniveau bieten. Für Schweizer Unternehmen bedeutete das, dass sie ihre Prozesse zur Datenbearbeitung an den neuen rechtlichen Rahmen anpassen mussten.
Zudem haben die Digitalisierung und KI-gestützte Anwendungen in den letzten Jahren stark an Fahrt aufgenommen. Das alte Datenschutzgesetz aus dem Jahr 1992 konnte diesen neuen Gegebenheiten längst nicht mehr gerecht werden. Die Revision des Schweizer Datenschutzgesetzes war unumgänglich, um den freien Datenfluss mit der EU sicherzustellen, das Schutzniveau für Einzelpersonen an moderne technologische Standards anzupassen und die Transparenz bei der Datenverarbeitung zu erhöhen.
Für wen gilt das DSG Schweiz?
Das überarbeitete Datenschutzgesetz schützt ausschliesslich die Persönlichkeit und Grundrechte von natürlichen Personen, deren personenbezogene Daten verarbeitet werden. Daten von juristischen Personen wie Unternehmen, Vereinen oder Stiftungen fallen nicht mehr unter den Geltungsbereich des DSG. Damit wurde das Gesetz an die Regelungen der EU-DSGVO angeglichen und gilt für:
- Unternehmen und Organisationen in der Schweiz, unabhängig von ihrer Grösse, die personenbezogene Daten natürlicher Personen bearbeiten. Es gibt keine Ausnahmen für KMU.
- Internationale Unternehmen, wenn sie Daten von Personen in der Schweiz bearbeiten und diese Datenverarbeitung Auswirkungen in der Schweiz hat, etwa durch das Angebot von Dienstleistungen oder Produkten.
- Natürliche Personen, die Daten im Rahmen einer wirtschaftlichen Tätigkeit verarbeiten. Datenverarbeitungen zu rein persönlichen oder familiären Zwecken sind ausgenommen.
- Bundesorgane, also Behörden und Institutionen des Bundes, die personenbezogene Daten verarbeiten.
Besonders schützenswerte Personendaten umfassen nun auch genetische Daten und, sofern sie eine Person eindeutig identifizieren, biometrische Daten. Diese dürfen nur mit ausdrücklicher Zustimmung der betroffenen Personen verarbeitet werden.
Das Gesetz ist strafbewehrt. Bei Verstössen gegen Sorgfaltspflichten wie unzureichende Datensicherheit oder Verletzung der Auskunftspflicht können verantwortliche natürliche Personen, etwa Geschäftsführer oder Mitarbeitende, mit Bussgeldern von bis zu 250.000 CHF belangt werden. Unternehmen selbst sind nicht direkt strafbar.
Juristische Personen können sich weiterhin auf andere rechtliche Grundlagen wie Art. 28 ZGB (Persönlichkeitsschutz), Art. 162 StGB (Schutz von Geschäfts- und Fabrikationsgeheimnissen) oder das Gesetz gegen unlauteren Wettbewerb (UWG) berufen.
Was bedeutet das Datenschutzgesetz im Kontext mit KI?
Die Vorschriften des Schweizer Datenschutzgesetzes gelten uneingeschränkt auch für von Unternehmen eingesetzte oder entwickelte KI-gestützte Datenverarbeitungen. Da das DSG 2023 technologieneutral formuliert ist, müssen KMU sicherstellen, dass alle Datenschutzvorgaben auch beim Einsatz von KI vollständig umgesetzt werden.
Und das unabhängig davon, welche spezifischen KI-Regulierungen künftig hinzukommen. Zwar plant der Bundesrat, die KI-Konvention des Europarats in das Schweizer Recht zu übernehmen, doch werden erste Umsetzungsvorschläge hierzu erst Ende 2026 erwartet. Bis dahin gilt das aktuelle Datenschutzgesetz Schweiz als verbindlicher Rechtsrahmen.
Verbotene KI-Anwendungen und klare Grenzen
Obwohl das revidierte Datenschutzgesetz den Einsatz von KI nicht pauschal verbietet, setzt es klare Grenzen, besonders bei Datenverarbeitungen mit hohen Risiken. Solche Anwendungen sind nur dann zulässig, wenn Sie durch angemessene Massnahmen die Rechte der betroffenen Personen schützen. In diesen Fällen schreibt das Gesetz eine sogenannte Datenschutz-Folgenabschätzung (DSFA) vor. Damit müssen Unternehmen im Voraus prüfen und dokumentieren, welche Risiken eine geplante Datenverarbeitung birgt und wie diese minimiert werden können.
Es gibt jedoch KI-Anwendungen, die grundsätzlich als unzulässig gelten. Dabei handelt es sich um Systeme, die gezielt darauf ausgelegt sind, die Privatsphäre und die informationelle Selbstbestimmung zu untergraben.
Das Datenschutzgesetz Schweiz verbietet daher Praktiken wie die flächendeckende Gesichtserkennung in Echtzeit im öffentlichen Raum oder die umfassende Überwachung und Bewertung des Verhaltens von Personen, auch bekannt als “Social Scoring”. Solche Methoden sind mit den Grundrechten in der Schweiz nicht vereinbar.
Digitale Selbstbestimmung beim Einsatz von Künstlicher Intelligenz
Als Hersteller, Anbieter oder Anwender von KI-Produkten tragen Sie also eine besondere Verantwortung. Bereits bei der Entwicklung neuer KI-Technologien sowie bei der Planung und Einführung sind Sie verpflichtet, dafür zu sorgen, dass betroffene Personen ein möglichst hohes Mass an digitaler Selbstbestimmung behalten. Dazu gehört insbesondere, dass Sie den Zweck, die Funktionsweise und die Datenquellen Ihrer KI-Anwendungen offenlegen. Damit schaffen Sie Transparenz und geben Nutzenden die Möglichkeit, nachzuvollziehen, wie ihre Daten verwendet werden.
Welche konkreten Datenschutz-Pflichten haben Unternehmen seit September 2023?
Das neue DSG bringt eine Reihe von Pflichten mit sich, die den Schutz personenbezogener Daten stärken und an moderne Standards anpassen sollen. Besonders für KMU sind folgende Kernpflichten relevant:
1. Erweiterte Informationspflicht
Unternehmen müssen betroffene Personen aktiv und umfassend darüber informieren, wenn sie deren Personendaten beschaffen. Diese Information muss mindestens den Zweck der Bearbeitung, die Identität des Verantwortlichen und mögliche Empfänger der Daten enthalten.
Die Informationspflicht gilt nicht nur für sensible Daten, sondern auch für weniger schützenswerte Daten. Die Bereitstellung der Informationen erfolgt in der Regel über eine Datenschutzerklärung auf der Webseite. Alternativ oder ergänzend können die Informationen auch direkt bei der Datenerhebung bereitgestellt werden, beispielsweise durch:
- Schriftliche Hinweise in Formularen, Verträgen oder Anmeldeunterlagen
- E-Mail-Benachrichtigungen
- Pop-ups oder Banner auf Webseiten und in Apps
- Informationsblätter oder Broschüren in physischen Räumlichkeiten
- Mündliche Aufklärung bei telefonischen Interaktionen
Wichtig ist, dass die Informationen klar, verständlich und leicht zugänglich sind.
2. Führen eines Verzeichnisses zu Bearbeitungstätigkeiten
Jedes Unternehmen muss ein Verzeichnis aller Datenbearbeitungstätigkeiten führen, in dem dokumentiert wird, welche Daten zu welchem Zweck, wie lange und von wem bearbeitet werden.
KMU mit weniger als 250 Mitarbeitenden sind von dieser Pflicht ausgenommen, solange ihre Datenbearbeitung weder regelmässig noch einmalig ist und kein hohes Risiko für die Persönlichkeitsrechte der betroffenen Personen birgt.
Das Verzeichnis sollte mindestens folgende Informationen enthalten:
- Name und Zweck der Bearbeitung
- Kategorien der betroffenen Personen und Daten
- Rechtsgrundlage
- Empfänger der Daten
- Speicherdauer
- technische und organisatorische Massnahmen
Das Verzeichnis kann digital oder in Papierform geführt werden und sollte stets aktuell gehalten werden, um es bei Bedarf den Datenschutzbehörden vorlegen zu können.
3. Meldepflicht bei Datenschutzverletzungen
Wenn es zu einer Datenschutzverletzung (einem sog. „Data Breach”) kommt, die ein hohes Risiko für die betroffenen Personen darstellt, müssen Unternehmen den Vorfall unverzüglich der zuständigen Datenschutzbehörde, dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB), melden.
Die Meldung kann direkt über die EDÖB Meldeportale erfolgen und sollte folgende Informationen enthalten:
- Beschreibung des Vorfalls
- Angaben zu den betroffenen Personen und Daten
- Risikoabschätzung
- Ergriffene Massnahmen
- Kontaktdaten einer Ansprechperson
Zusätzlich müssen betroffene Personen informiert werden, wenn ein hohes Risiko für ihre Rechte besteht, z. B. mit Hinweisen zu Schutzmassnahmen wie Passwortänderungen. Der Vorfall und sowie die umgesetzten Handlungen sollten intern dokumentiert werden, um bei zukünftigen Vorfällen schnell reagieren zu können.
4. Auftragsdatenbearbeitungsverträge
Wenn KMU personenbezogene Daten extern verarbeiten lassen (z. B. durch Lohnverarbeiter oder IT-Dienstleister), müssen sie sogenannte Auftragsdatenbearbeitungsverträge abschliessen. Diese Verträge regeln die Verantwortlichkeiten und stellen sicher, dass die externen Dienstleister die Datenschutzvorgaben einhalten.
5. Privacy by Design und Privacy by Default
Das Datenschutzgesetz verankert in Artikel 7 DSG Schweiz die Grundsätze „Privacy by Design” (Datenschutz durch Technik) und „Privacy by Default” (Datenschutz durch datenschutzfreundliche Voreinstellungen). Diese verpflichten Unternehmen und Behörden, den Datenschutz bereits bei der Planung neuer Technologien, Systeme oder Prozesse zu berücksichtigen.
- Privacy by Design bedeutet, dass technische und organisatorische Massnahmen so gestaltet werden, dass der Datenschutz von Anfang an integriert ist. Beispielsweise sollten Anwendungen standardmässig Daten anonymisieren oder löschen, wenn sie nicht mehr benötigt werden.
- Privacy by Default stellt sicher, dass Systeme und Anwendungen standardmässig so eingestellt sind, dass nur die unbedingt notwendigen Daten verarbeitet werden. Nutzer müssen aktiv zustimmen, wenn weitergehende Datenbearbeitungen erfolgen sollen. Dies schützt insbesondere Personen, die sich nicht mit Nutzungsbedingungen oder Widerspruchsrechten auseinandersetzen.
Auch Cookies fallen unter diese Regelung. Schweizer KMU sollten deshalb sicherstellen, dass nur technisch notwendige Cookies ohne Zustimmung gesetzt werden. Für alle anderen Cookies, wie Tracking- oder Marketing-Cookies, ist eine aktive Einwilligung der Nutzer erforderlich.
Weitere wichtige Punkte im Zusammenhang mit dem DSG Schweiz:
- Datenschutz-Folgenabschätzung: Bei Datenverarbeitungen mit hohem Risiko, z. B. bei der Verarbeitung sensibler Daten oder umfangreichem Profiling, ist eine Datenschutz-Folgenabschätzung (DSFA) erforderlich. Diese dient dazu, Risiken zu identifizieren und Massnahmen zu deren Minimierung zu planen und umzusetzen.
- Besonders schützenswerte Daten: Die Verarbeitung sensibler Daten wie genetischer, biometrischer oder Gesundheitsdaten erfordert besondere Vorsicht. Hier sind zusätzliche Massnahmen und gegebenenfalls die ausdrückliche Zustimmung der betroffenen Personen notwendig.
- Profiling: Das Datenschutzgesetz Schweiz 2023 beschreibt erstmalig „Profiling” als die automatisierte Verarbeitung personenbezogener Daten, um Merkmale wie Alter, Geschlecht, Herkunft, Verhalten, Interessen oder die wirtschaftliche Lage einer Person zu analysieren oder vorherzusagen. Dabei wird die Notwendigkeit betont, betroffene Personen vor unerwünschtem oder diskriminierendem Profiling zu schützen. Unternehmen müssen gewährleisten, dass automatisierte Entscheidungen fair sind und nicht zu Benachteiligungen führen.
- Verantwortlichkeit: Arbeitgeber tragen die primäre Verantwortung für den Datenschutz am Arbeitsplatz. Sie können jedoch die Zustimmung der Angestellten einholen, um bestimmte Datenverarbeitungen rechtlich abzusichern.
So setzen Sie das DSG in Ihrem KMU rechtssicher um
Um sicherzustellen, dass Sie alle Anforderungen des neuen Datenschutzgesetz Schweiz erfüllen, ist eine Bestandsaufnahme der erste entscheidende Schritt. Fragen Sie sich:
- Welche Daten werden in Ihrem Unternehmen überhaupt gespeichert?
- Wie werden diese Daten verarbeitet?
- Wer in Ihrem KMU hat Zugriff auf personenbezogene und sensible Daten?
Eine genaue Analyse dieser Punkte schafft die optimale Grundlage, um rechtssichere Datenschutz-Massnahmen zu planen und umzusetzen. Sollten danach noch spezifische Fragen offenbleiben oder Unsicherheiten bestehen, kann es sinnvoll sein, Fachleute wie IT-Dienstleister für Ihren betrieblichen Datenschutz hinzuzuziehen.
Sie haben noch Fragen zu diesem Beitrag oder benötigen Unterstützung bei der rechtskonformen Umsetzung des Datenschutzes in Ihrem Unternehmen? Wir freuen uns auf Ihre Anfrage!
