BitRaser >
Article >
Zum Verständnis des Bundesgesetzes über den Datenschutz in der Schweiz

BITRASER^®

Zum Verständnis des Bundesgesetzes über den Datenschutz in der Schweiz

Geschrieben von

Varun Chaturvedi linkdin

Veröffentlicht am

Apr 16, 2024

Min Lesen

3 Min

Summary: Das neueste Bundesgesetz über den Datenschutz (auch bekannt als nFADP) in der Schweiz, das im September 2023 in Kraft tritt, bemüht sich um den Schutz der Privatsphäre der Bürger bei der Verarbeitung ihrer Daten. Dieses Gesetz verpflichtet Unternehmen dazu, bei der Verarbeitung der Daten von Schweizer Bürgern strenge Datenmanagementverfahren einzuführen und einzuhalten. Es regelt, wie personenbezogene Daten von Schweizer Bürgern von Unternehmen erhoben, gespeichert, verwendet und übertragen werden. Unternehmen können dieses Gesetz besser verstehen, wenn sie diesen Artikel lesen.

Am 1. September 2023 wird die Schweizer Regierung das neu revidierte Bundesgesetz über den Datenschutz in Kraft bringen. Die Revision zielt darauf ab, die Privatsphäre des Einzelnen besser zu schützen und die Kompatibilität des Schweizer Rechts mit der EU-DSGVO sicherzustellen. Das Bundesgesetz über den Datenschutz erlegt Unternehmen, die Daten von Schweizer Kunden verarbeiten, strenge Anforderungen an die Datenverarbeitung auf, unabhängig davon, ob sie in der Schweiz tätig sind. Verstöße gegen diese Vorschriften können zu erheblichen Strafen für Unternehmen führen. Das nFADP besteht aus zehn Kapiteln und achtundsiebzig Artikeln (einschließlich drei Änderungen). Dieser Artikel gibt einen kurzen Überblick und konzentriert sich auf die wichtigsten Artikel im Zusammenhang mit der Datenlöschung.

Kapitel 1: Zweck, Anwendungsbereich und Bundesaufsichtsbehörde

Kapitel 1 des neuen Datenschutzgesetzes umreißt den Anwendungsbereich, die Ausnahmen und die territorialen Grenzen. Das Kapitel umfasst vier Artikel (Artikel 1-4), die die Grundlage für den Datenschutz in der Schweiz bilden. In diesen Artikeln wird der Zweck des Gesetzes dargelegt, nämlich der Schutz der Rechte des Einzelnen bei der Datenverarbeitung (Artikel 1). Das Gesetz gilt sowohl für private als auch für staatliche Organisationen mit bestimmten Ausnahmen (Artikel 2). Es deckt auch die Auswirkungen der Datenverarbeitung in der Schweiz ab, unabhängig davon, woher die Daten der Schweizer Bürger stammen (Artikel 3). Darüber hinaus führt das DSG den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) als Aufsichtsbehörde ein, wobei bestimmte Ausnahmen in Artikel 4 erwähnt werden.

Kapitel 2: Allgemeine Bestimmungen

Kapitel 2 umreißt die wichtigsten Elemente des Datenschutzes in der Schweiz und ist in drei Hauptabschnitte unterteilt. Hier finden Sie eine eingehendere Analyse der Artikel 5 bis 13, die Teil von Abschnitt 1 des Kapitels 2 sind.

Artikel 5 umreißt die wichtigsten Definitionen im Bereich des Datenschutzes:

Persönliche Daten: Informationen, die Einzelpersonen identifizieren.
Betroffene Person: Personen, deren Daten verarbeitet werden.
Sensible persönliche Daten: Dazu gehören Daten über Gesundheit, Rasse und religiöse Überzeugungen.
Die Verarbeitung: Der Umgang mit persönlichen Daten von der Erfassung bis zur Löschung.

Die Artikel 6, 7 und 8 gewährleisten einen verantwortungsvollen Umgang mit Daten in Bezug auf

Rechtmäßige Verarbeitung: Angabe des ethischen Umgangs mit Daten, Genauigkeit und ausdrückliche Zustimmung zur Verarbeitung sensibler Daten.
Planung und Einhaltung: Unternehmen müssen proaktiv mit Daten umgehen, um die Datenschutzbestimmungen bereits in der Planungsphase einzuhalten.
Datensicherheit: Hervorhebung der Bedeutung des Schutzes von Daten vor unbefugtem Zugriff und des Schutzes vor Datenverlust.

Die Leitlinien für die Datenverarbeitung sind in den Artikeln 9 bis 13 enthalten, in denen die rechtmäßige Verarbeitung sensibler Daten, der Verhaltenskodex, die Aufbewahrung von Dokumenten, die Datensicherheit und die Rechte der Betroffenen erwähnt werden.

Bedingung für die Datenverarbeitung: Es wird betont, dass die Datenverarbeitung rechtmäßig, fair und dem Zweck angemessen sein muss, für den die Daten verarbeitet werden.
Ernennen Sie einen Datenschutzbeauftragten: Organisationen müssen einen Datenschutzbeauftragten ernennen, der als unabhängiger Berater für die Einhaltung des Datenschutzes im Unternehmen fungiert.
Verhaltenskodizes und Aufbewahrung von Unterlagen: Artikel 11 erlaubt es Verbänden, Verhaltenskodizes zum Schutz der Interessen ihrer Mitglieder vorzuschlagen, die vom EDÖB überprüft werden müssen. Artikel 12 verpflichtet Verantwortliche und Auftragsverarbeiter, Aufzeichnungen über ihre Datenverarbeitungstätigkeiten zu führen und dem EDÖB Bericht zu erstatten.
Bewertung und Zertifizierung durch unabhängige Stellen: Artikel 13 ermöglicht die unabhängige Zertifizierung von Datenverarbeitungsunternehmen durch den Bundesrat, um die Einhaltung der internationalen Standards zu gewährleisten.

Abschnitt 2 von Kapitel 2 konzentriert sich auf die Datenverarbeitung durch externe private Verantwortliche. Er enthält Artikel 14, der die Ernennung eines lokalen Vertreters für bestimmte Verarbeitungstätigkeiten vorschreibt. Artikel 15 wiederum umreißt die Pflichten des Vertreters, einschließlich der Führung von Aufzeichnungen und der Sicherstellung der Kommunikation mit dem EDÖB und den betroffenen Personen.

Abschnitt 3 von Kapitel 2 befasst sich mit grenzüberschreitenden Datenübermittlungen in den Artikeln 16-18. Artikel 16 legt die Bedingungen für internationale Datenübermittlungen fest. Artikel 17 listet Ausnahmen auf, die die Übermittlung von Daten unter bestimmten Umständen zulassen. Artikel 18 stellt klar, dass die elektronische Veröffentlichung von Daten zu Informationszwecken keine grenzüberschreitende Übermittlung darstellt.

Kapitel 3: Pflichten des für die Verarbeitung Verantwortlichen und des Auftragsverarbeiters

Dieses Kapitel enthält 6 Artikel von 19 bis 24. Hier finden Sie eine kurze Beschreibung dieser Artikel.

Artikel 19 beschreibt die Verpflichtung der für die Datenverarbeitung Verantwortlichen, die betroffenen Personen bei der Erhebung von Daten zu informieren und dabei die Identität des für die Datenverarbeitung Verantwortlichen, den Zweck der Verarbeitung, die Angaben zu den Empfängern usw. zu nennen.
Artikel 20 lässt Ausnahmen von dieser Verpflichtung zu, wenn rechtliche Verpflichtungen oder Vorkenntnisse bestehen und schränkt die Informationen zum Schutz überwiegender Interessen ein.
Artikel 21 schreibt vor, dass betroffene Personen über wesentliche automatisierte Entscheidungen informiert werden müssen, wobei die Möglichkeit eines menschlichen Eingriffs besteht.
Artikel 22 führt die Notwendigkeit einer Datenschutz-Folgenabschätzung (DPIA) für Verarbeitungen mit hohem Risiko ein, in der die Risikobewertung und die Maßnahmen zur Risikominderung beschrieben werden.
Artikel 23 sieht vor, dass der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) im Falle erheblicher Restrisiken konsultiert werden muss.
Artikel 24 umreißt die Protokolle zur Meldung von Datenschutzverletzungen, die eine Benachrichtigung des EDÖB und der potenziell betroffenen Personen vorsehen, wobei die Einzelheiten der Verletzung und die Abhilfemaßnahmen detailliert dargelegt werden.

Kapitel 4: Rechte der betroffenen Person

Kapitel 4 umreißt die Rechte der betroffenen Personen in 4 Artikeln (Artikel 25-29), die sich mit dem Recht auf Information, seinen Einschränkungen, spezifischen Ausnahmen für Medien und der Datenübertragbarkeit befassen.

Artikel 25 gibt den betroffenen Personen die Möglichkeit, detaillierte Informationen über die Verarbeitung ihrer personenbezogenen Daten zu erhalten.
Artikel 26 befasst sich mit möglichen Einschränkungen dieses Rechts und erlaubt die Verweigerung oder den Aufschub unter bestimmten Bedingungen, wie dem Schutz der Interessen Dritter.
Artikel 27 sieht eine Ausnahmeregelung für Medien vor, die es journalistischen Organisationen erlaubt, den Zugang zu Informationen zu beschränken, um Quellen oder das Redaktionsgeheimnis zu schützen.
Artikel 28 führt das Recht auf Datenübertragbarkeit ein, das es Einzelpersonen ermöglicht, ihre Daten in einem standardisierten elektronischen Format zu erhalten und deren Übermittlung an einen anderen Verantwortlichen zu verlangen.
Artikel 29 legt die Bedingungen fest, unter denen Anträge auf Datenübertragbarkeit eingeschränkt werden können und spiegelt damit die Einschränkungen des Rechts auf Information wider.

Kapitel 5: Besondere Bestimmungen zur Datenverarbeitung durch Privatpersonen

Dieses Kapitel ist in 3 Artikel von Artikel 30 bis 32 unterteilt. Es enthält die Leitlinien für private Organisationen für die Verarbeitung personenbezogener Daten.

Artikel 30 legt fest, dass die Datenverarbeitung diese Rechte nicht unrechtmäßig verletzen darf. Zu den Verstößen zählen die Verarbeitung entgegen den festgelegten Grundsätzen, die Missachtung des ausdrücklichen Wunsches der betroffenen Person oder die unbefugte Weitergabe sensibler Daten (Art. 30, Abs. 1 bis 2).
Artikel 31 beschreibt Ausnahmen, in denen die Datenverarbeitung rechtmäßig ist, z. B. mit der Einwilligung der betroffenen Person, bei Vorliegen eines überwiegenden Interesses oder aufgrund einer gesetzlichen Ermächtigung, und nennt Szenarien wie vertragliche Notwendigkeiten, journalistische Bemühungen und Forschungstätigkeiten, die den Schutz der Privatsphäre erfordern.
Artikel 32 räumt den betroffenen Personen das Recht ein, unrichtige Daten zu berichtigen, ein Verbot der Verarbeitung oder Weitergabe zu beantragen und die Löschung oder Kennzeichnung von Daten als bestritten zu verlangen. Dies bietet Möglichkeiten zur Durchsetzung ihrer persönlichen Rechte und gewährleistet Transparenz und Verantwortlichkeit bei der Datenverarbeitung.

Kapitel 6: Besondere Bestimmungen über die Datenverarbeitung durch Bundesorgane

Kapitel 6 enthält Leitlinien für föderale Organisationen für den Umgang mit personenbezogenen Daten, die sich von Artikel 33 bis 42 erstrecken und die gemeinsame Verantwortung für die Verarbeitung, die Notwendigkeit einer Rechtsgrundlage, die Verarbeitung von Pilotdaten, die Bedingungen für die Übermittlung von Daten und die Rechte der betroffenen Personen abdecken. Eine detaillierte Analyse finden Sie hier.

Die Artikel 33 bis 35 regeln den Umgang mit personenbezogenen Daten durch föderale Organisationen. Artikel 33 schreibt Kontrollprotokolle für die gemeinsame Datenverarbeitung vor. Artikel 34 verlangt eine Rechtsgrundlage für die Verarbeitung, mit zusätzlichen Garantien für sensible Daten und Vorgänge, die Grundrechte berühren, wobei einige Ausnahmen zulässig sind. Artikel 35 erlaubt Pilotversuche zur automatisierten Datenverarbeitung, wobei die Rechte der betroffenen Personen geschützt werden müssen.
Artikel 36 legt fest, dass föderale Organe personenbezogene Daten nur auf der Grundlage gesetzlicher Bestimmungen oder unter bestimmten Ausnahmen wie der Erfüllung gesetzlicher Verpflichtungen, der Zustimmung der betroffenen Person, in Notfällen, der öffentlichen Zugänglichkeit von Daten oder der Durchsetzung von Rechten offenlegen dürfen. Darüber hinaus ist die Offenlegung für öffentliche Aufgaben oder überwiegende öffentliche Interessen zulässig, und grundlegende Identifikationsdaten können freier offengelegt werden. Der automatisierte Zugriff auf personenbezogene Daten ist zulässig, wenn er durch ein Gesetz oder ein öffentliches Interesse gerechtfertigt ist, mit dem Auftrag, die Daten zu löschen, wenn das öffentliche Interesse nicht mehr besteht.
Die Artikel 37 bis 40 befassen sich mit besonderen Rechten und Pflichten bei der Verwaltung personenbezogener Daten. Artikel 37 ermöglicht es Einzelpersonen, der Übermittlung ihrer Daten zu widersprechen und gibt den föderalen Organen Kriterien für die Beurteilung dieser Widersprüche an die Hand. Artikel 38 verpflichtet die föderalen Organe, Daten, die nicht mehr regelmäßig verwendet werden, entweder zu archivieren oder zu vernichten und dabei die Datenintegrität zu wahren. Artikel 39 konzentriert sich auf die Verarbeitung von Daten, die sich nicht auf bestimmte Personen beziehen, und betont die Anonymität und den sorgfältigen Umgang damit. Schließlich verlangt Artikel 40, dass föderale Organe, die nach privatem Recht tätig sind, die gleichen Datenverarbeitungsstandards einhalten wie private Organisationen.
Artikel 41 ermöglicht es Einzelpersonen, sich gegen eine unrechtmäßige Datenverarbeitung durch föderale Organe zu wehren, indem sie die Löschung, Berichtigung oder Löschung von Daten beantragen und diese Maßnahmen mitteilen oder veröffentlichen lassen. Er erlaubt eine eingeschränkte Verarbeitung in bestimmten Fällen, wie z.B. bei strittiger Richtigkeit oder öffentlichem Interesse, und legt fest, dass strittige Daten entsprechend gekennzeichnet werden müssen. Ausnahmen bestehen für öffentliche Archive, bei denen der Zugang eingeschränkt werden kann. Dieser Prozess wird durch das Verwaltungsverfahrensgesetz geregelt, obwohl es einige Ausnahmen gibt.
Artikel 42 ermöglicht es den betroffenen Personen, ihre Rechte gemäß Artikel 41 während eines Verfahrens auf Zugang zu amtlichen Dokumenten, die ihre personenbezogenen Daten enthalten, auszuüben, wie es im Gesetz über die Informationsfreiheit vom 17. Dezember 2004 vorgesehen ist. Diese Bestimmung stellt sicher, dass Personen im Rahmen von Anträgen auf Zugang zu amtlichen Dokumenten versuchen können, die unrechtmäßige Verarbeitung ihrer personenbezogenen Daten zu stoppen, sie zu berichtigen, zu löschen oder ihre Richtigkeit in Frage zu stellen.

Kapitel 7: Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB)

Kapitel 7 beschreibt in 17 Artikeln von 43-59 die Struktur, die Aufgaben und die Verfahren des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB).

Die Artikel 43-48 beschreiben die Wahl des EDÖB, die Ernennungsbedingungen, die operative Unabhängigkeit, den Budgetierungsprozess, die Unvereinbarkeiten der Rollen, die zusätzlichen Berufe, die Protokolle über die Entlassung und die Anforderungen an die Selbstregulierung.
Die Artikel 49-50 regeln die Befugnisse des EDÖB bei der Untersuchung von Datenschutzverletzungen, einschließlich der Bedingungen für die Umgehung geringfügiger Verstöße und des Umfangs der Untersuchungsbefugnisse.
Artikel 51 erläutert die Befugnis des EDÖB, administrative Maßnahmen gegen Verstöße zu ergreifen, wie z.B. die Änderung von Datenverarbeitungspraktiken, die Aussetzung oder Beendigung der Verarbeitung und das Bestehen auf der Löschung oder Vernichtung von Daten. Dieser Artikel ermöglicht es auch, die Übermittlung von Daten ins Ausland zu stoppen oder einzuschränken, und verpflichtet die untersuchten Organisationen, verschiedene Maßnahmen zu ergreifen, um die Vorschriften einzuhalten.
Die verfahrenstechnischen Aspekte von Untersuchungen und die Anwendung des Verwaltungsverfahrensgesetzes werden in Artikel 52 spezifiziert, während Artikel 53 die Bedeutung der Koordinierung zwischen den föderalen Behörden in Fragen des Datenschutzes hervorhebt. Die Aufgaben der Amtshilfe werden in den Artikeln 54 und 55 umrissen.
In den Artikeln 56 bis 59 sind die zusätzlichen Funktionen des EDÖB aufgeführt, darunter die öffentliche Berichterstattung, Beratungsaufgaben, Sensibilisierungsinitiativen und die Befugnis, Kosten für bestimmte datenschutzbezogene Dienstleistungen zu erheben.

Kapitel 8: Strafrechtliche Bestimmungen

Kapitel 8 enthält strafrechtliche Bestimmungen gegen Verstöße gegen die Datenschutzbestimmungen und beschreibt die Sanktionen und Durchsetzungsmechanismen im Detail. Hier ist ein Überblick.

Verstöße gegen Information und Zusammenarbeit

Die Artikel 60 und 61 sehen Bußgelder von bis zu 250.000 CHF für Falschinformationen, unerlaubte Datenübermittlung ins Ausland und Vernachlässigung der Datensicherheit vor.

Berufsgeheimnis und Einhaltung von Entscheidungen

Die Artikel 62 und 63 betreffen die Verletzung des Berufsgeheimnisses und die Missachtung von Entscheiden des EDÖB oder der Gerichte:

Geldstrafen von bis zu 250.000 CHF für die Weitergabe von geheimen Daten, die durch die Berufsausübung oder Ausbildung erlangt wurden (Art. 62).
Ähnliche Geldbußen für die Nichteinhaltung von Datenschutzbestimmungen (Art. 63).

Unternehmerische Verantwortung und rechtlicher Rahmen

Die Artikel 65 und 66 sehen vor, dass Unternehmen bei Verstößen gegen das DSG mit einer Geldbuße von bis zu 50.000 CHF belegt werden können, wobei eine kantonale Strafverfolgung und eine fünfjährige Verjährungsfrist für datenbezogene Verstöße vorgesehen sind, so dass der EDÖB eine Beschwerde einreichen kann.

Kapitel 9: Abschluss von internationalen Verträgen

In Kapitel 9 ermöglicht Artikel 67 dem Bundesrat, internationale Verträge auszuhandeln, die die internationale Zusammenarbeit im Bereich des Datenschutzes und die gegenseitige Anerkennung von Datenschutzstandards fördern sollen.

Kapitel 10: Schlussbestimmungen

Kapitel 10 schließt das Gesetz ab, passt andere Gesetze in Anhang 1 an, befasst sich mit Übergangsregeln für den Umgang mit Daten, definiert die Rolle des Datenschutzbeauftragten im bisherigen Recht, verweist auf Gesetze in Anhang 2 und legt das Referendum und das Inkrafttreten des Gesetzes durch den Bundesrat fest.

Fazit

Unternehmen, die in der Schweiz tätig sind oder Daten von Schweizer Bürgern verarbeiten, müssen das Schweizer Bundesgesetz über den Datenschutz (DSG) einhalten. Insbesondere die Artikel 32, 36 und 41 des DSG betonen die Notwendigkeit der Datenlöschung auf einem Niveau, auf dem eine Datenrettung nicht mehr möglich ist. In diesem Zusammenhang erweist sich die Datenlöschsoftware von BitRaser als die ideale Lösung für Unternehmen, um Daten vollständig zu löschen, wenn eine Datenrettung nicht mehr möglich ist, und die Bestimmungen des DSG einzuhalten.

Was this article helpful?

FAQs

Was ist das nFADP?

Das nFADP ist die neue Datenschutzgesetzgebung der Schweiz, die sich um den Schutz personenbezogener Daten und die Angleichung an internationale Standards wie die GDPR bemüht. Es führt strengere Anforderungen für die Einwilligung ein und stärkt die Rechte der betroffenen Personen.

Wann ist das nFADP in Kraft getreten?

Das nFADP trat am 1. September 2023 in Kraft.

Gilt das nFADP auch für Unternehmen außerhalb der Schweiz?

Ja, das nFADP gilt für alle schweizerischen und internationalen Unternehmen, die Waren und Dienstleistungen für Schweizer Bürger anbieten oder deren persönliche Daten verarbeiten.

Welches sind die wichtigsten Änderungen, die durch das nFADP gebracht wurden?

Zu den wichtigsten Änderungen gehören die ausschließliche Erhebung von Daten natürlicher Personen, die Einstufung genetischer und biometrischer Daten als sensibel, obligatorische Verarbeitungstätigkeiten und die Verpflichtung zur unverzüglichen Benachrichtigung im Falle einer Datenschutzverletzung.