Das Schweizer revFADP ist eine Revision des Bundesgesetzes über den Datenschutz, das aus dem Jahr 1992 stammt.
Diese Aktualisierung bringt das Schweizer Gesetz näher an die Allgemeine Datenschutzverordnung (DSGVO) heran. Es übernimmt viele der Kernprinzipien dieses EU-Datenschutzgesetzes, fügt aber gleichzeitig in bestimmten Bereichen einen deutlich "schweizerischen Anstrich" hinzu.
Die wichtigsten rechtlichen Auswirkungen
- Das Schweizer Datenschutzgesetz führt einen "risikobasierten" Ansatz ein, der Unternehmen dazu verpflichtet, die mit ihren Datenpraktiken verbundenen Risiken zu bewerten und dann Präventivmaßnahmen zu ergreifen.
- Die Definition von "sensiblen Daten" wurde um genetische und biometrische Daten erweitert, die ohne ausdrückliche Zustimmung der Nutzer nicht verarbeitet werden dürfen.
- Die Reform führt den "eingebauten Datenschutz" (privacy-by-design) und auch den "eingebauten Datenschutz" (privacy-by-default) in das nationale Recht der Schweiz ein, ebenso wie den Datenschutz durch Technikgestaltung.
- Aufzeichnungen über die Verarbeitungstätigkeiten müssen nun von den für die Datenverarbeitung Verantwortlichen und den Auftragsverarbeitern geführt werden, wobei Unternehmen mit risikoarmen Verarbeitungstätigkeiten und mit weniger als 250 Beschäftigten ausgenommen sind.
- Jede Verletzung des Datenschutzes (unabhängig von der Risikostufe) muss nun der Aufsichtsbehörde gemeldet werden - eine strengere Anforderung als die DSGVO, die diese Verpflichtung auf Verstöße mit hohem Risiko beschränkt.
- Unternehmen müssen nun die ausdrückliche Zustimmung zur Profilerstellung einholen, entweder in Hochrisikoszenarien oder wenn sie von einer Bundesbehörde durchgeführt wird.
- Unternehmen, die vorsätzlich gegen revFADP verstoßen, müssen mit Geldbußen von bis zu 250.000 CHF (ca. 260.000 €) rechnen.
Grenzüberschreitende Übermittlungen unter revFADP
Entscheidend ist, dass das Schweizer Datenschutzgesetz für die Verarbeitung personenbezogener Daten gilt, die tatsächliche oder potenzielle Auswirkungen in der Schweiz haben.
Dies bedeutet, dass es sich auf jedes Unternehmen auswirkt, das personenbezogene Daten von in der Schweiz ansässigen Personen verarbeitet. Es betrifft auch Unternehmen außerhalb der Schweiz, die diese Daten verarbeiten, und sie müssen nun einen Vertreter im Land benennen, um rechtliche Konsequenzen auf lange Sicht zu vermeiden.