Mit der Revision des Datenschutzgesetzes gelten für Unternehmen neue Anforderungen.
Die wichtigsten neuen Anforderungen sind:
- Die Definition der «besonders schützenswerten Personendaten» wird auf genetische und biometrische Daten ausgedehnt. Diese Definition unterscheidet sich jedoch von derjenigen der DSGVO (Datenschutz-Grundverordnung der Europäischen Union).
- Das revidierte DSG verlangt ausdrücklich, dass nicht mehr benötigte Daten vernichtet oder anonymisiert werden.
- Die Grundsätze des Datenschutzes durch Technik («by Design») und datenschutzfreundliche Voreinstellungen («by Default») wurden im nDSG neu verankert.
- Die Informationspflicht bei der Datenbeschaffung. Dazu gehört, sich mit einer Datenschutzerklärung zu versehen und zumindest die folgenden Angaben zu machen: die Identität und die Kontaktdaten der verantwortlichen Person, den Bearbeitungszweck, die Empfängerinnen oder Empfänger oder die Kategorien der Empfängerinnen oder Empfänger sowie die Staaten, in die die Daten übermittelt werden, und die anwendbaren Schutzgarantien.
- Die Möglichkeit und nicht die Pflicht, eine Datenschutzberaterin oder einen Datenschutzberater (Data Protection Officer, DPO) zu ernennen, deren bzw. dessen Aufgabe darin besteht, zu schulen, zu beraten und die Einhaltung der Datenschutzvorschriften sicherzustellen.
- Das Führen eines Verzeichnisses der Bearbeitungstätigkeiten; dies ist obligatorisch, wenn das Unternehmen Datenbearbeitungen vornimmt, die ein erhöhtes Risiko mit sich bringen, und wenn es mehr als 250 Mitarbeiterinnen und Mitarbeiter beschäftigt.
- Die obligatorische Durchführung einer Folgenabschätzung bei Vorliegen eines hohen Risikos.
- Die Pflicht zur Meldung von Verletzungen der Datensicherheit bei Vorliegen eines hohen Risikos.
- Die Erhöhung der strafrechtlichen Sanktionen mit Bussen bis zu 250 000 Franken für Einzelpersonen (und 50 000 Franken für Unternehmen).
Folgende Elemente entfallen:
- Der Schutz der Daten juristischer Personen. Das nDSG gilt nur für den Schutz der Daten natürlicher Personen.
- Die Meldepflicht an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB).