#preloader { display: none }

Neues Datenschutzgesetz

In der Herbstsession 2020 verabschiedete das Parlament das neue Bundesgesetz über den Datenschutz. Das Hauptziel besteht darin, die Bearbeitung von persönlichen Daten zu verbessern und der Schweizer Bevölkerung mehr Rechte zu gewähren. Seit Anfang September 2023 ist es in Kraft.

Das erste Bundesgesetz zum Datenschutz wurde 1992 eingeführt. In der Zwischenzeit wurde die Digitalisierung durch die Nutzung von Internet, Smartphones sowie anderer mobiler Geräte ein wichtiger Bestandteil des Alltags. Auch die Bedeutung sozialer Netzwerke, von Cloud-Diensten und anderen internetbasierten Dienstleistungen wuchs stetig. Vor diesem Hintergrund wurde klar: Um einen angemessenen, an die technologischen und gesellschaftlichen Veränderungen der Zeit angepassten Datenschutz zu garantieren, war eine vollständige Überarbeitung des Datenschutzgesetzes unverzichtbar.

Die wichtigsten Änderungen:

  • Nur noch Daten von natürlichen Personen sind betroffen, diejenigen von juristischen Personen nicht mehr.
  • Genetische und biometrische Daten werden als besonders schützenswert definiert und ins Gesetz aufgenommen.
  • Die Grundsätze «Privacy by Design» und «Privacy by Default» werden eingeführt. «Privacy by Design» (Datenschutz durch Technikgestaltung) bedeutet, dass Entwickler den Schutz und den Respekt der Privatsphäre der Nutzer:innen in der Struktur der Produkte oder Dienstleistungen, die personenbezogene Daten sammeln werden, einbauen müssen. Der Grundsatz «Privacy by Default» (Datenschutz durch Voreinstellung) stellt sicher, dass alle nötigen Massnahmen für den Datenschutz und die Einschränkung der Datennutzung schon beim Inverkehrbringen des Produktes oder der Dienstleistung standardmässig – also ohne Eingreifen der User*innen – in höchster Sicherheitsstufe aktiv vorhanden sind. Anders formuliert müssen sämtliche Software- und Hardwareprodukte sowie die Dienstleistungen so konfiguriert sein, dass die Daten geschützt sind und die Privatsphäre der Nutzenden gewährleistet wird. Dies wird durch Website- sowie Praxissoftwareanbieter umgesetzt.
  • Folgenabschätzungen müssen durchgeführt werden, sofern ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen besteht.
  • Die Informationspflicht wird ausgeweitet: Betroffene Personen müssen vorgängig bei jeder Beschaffung von Personendaten – und nicht mehr nur von sogenannten besonders schützenswerten Daten – informiert werden.
  • Ein Verzeichnis der Bearbeitungstätigkeiten ist obligatorisch. Die Verordnung zum Gesetz sieht jedoch eine Ausnahme für KMUs vor, deren Datenbearbeitung nur ein geringes Risiko von Verletzungen der Persönlichkeit von betroffenen Personen mit sich bringt.
  • Eine rasche Meldung ist erforderlich, wenn die Datensicherheit verletzt wurde. Sie ist an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) zu richten.
  • Der Begriff «Profiling» (die automatisierte Bearbeitung personenbezogener Daten) wurde ins Gesetz aufgenommen.

Den gesamten Artikel in dem es auch um die Bearbeitung und Lagerung von Personendaten geht, findet ihr im Mitgliederbereich. Dort findet ihr auch ein Factsheet mit allen wichtigen Änderungen, eine Datenschutzerklärung, von welcher ihr die für euch relevanten Passagen rausnehmen könnt, um sie auf eurer Webseite anzupassen und ein Einwilligungsformular für eure Patient*innen / Klient*innen zum herunterladen und ausdrucken.

Hilfreiche Links:

Webseite des Bundes zum neuen Datenschutzgesetz

Leitfaden für die Aufbewahrung und Archivierung von Personendaten