Konkrete Anpassungen und Massnahmen unter dem revidierten DSG – risikobasierter Ansatz aufgrund der neuen Straftatbestände

von András Gurovits, Clara-Ann Gordon, Janine Reudt-Demont

Das revidierte Schweizer Datenschutzrecht (“revDSG”) wird voraussichtlich im Verlaufe des Jahres 2022 in Kraft treten. Das revDSG wurde an die EU-Datenschutz-Grundverordnung (“DSGVO”) angepasst. Unternehmen, die DSGVO-konform sind, haben daher einen geringeren Anpassungsbedarf. Es gibt jedoch einige “Swiss Finishes”, die beachtet und implementiert werden müssen. Da keine Übergangsfristen vorgesehen sind, ist es ratsam, sobald wie möglich mit den konkreten Anpassungen der bestehenden Datenschutz-relevanten Dokumente und Abläufe zu beginnen und entsprechende Massnahmen zu ergreifen bzw. Mechanismen einzuführen.

Das revDSG sieht Bussen bis CHF 250’000 vor, die nicht dem Unternehmen auferlegt werden, sondern den relevanten Entscheidungsträgern und/oder dem Management / VR (je nach unternehmensinterner Konstellation). Bei der Umsetzung der notwendigen Massnahmen kann es im Sinne eines risikobasierten Ansatzes zielführend sein, sich in einem ersten Schritt auf diejenigen Bestimmungen des revDSG zu fokussieren, deren Verletzung eine Busse nach sich ziehen kann. Die nachfolgende Übersicht orientiert sich deshalb an den neuen Straftatbeständen des revDSG und listet die konkreten Massnahmen auf, die zur Einhaltung des revDSG notwendig sein werden.

Um die umfassende Einhaltung des revDSG zu gewährleisten, sind zusätzlich weitere Schritte notwendig. In diesem Zusammenhang verweisen wir auf die NKF Checklisten.