nDSG: neues Schweizer Datenschutzgesetz (2023)

Q: Gilt das nDSG für Schweizer KMU?

Ja. Das nDSG gilt für jede natürliche oder juristische Person mit Sitz in der Schweiz, die Personendaten natürlicher Personen bearbeitet — ohne Mindestgrösse. KMU müssen daher die neuen Pflichten einhalten: ein Verzeichnis der Bearbeitungstätigkeiten führen (sofern die Bearbeitung ein hohes Risiko darstellen kann), optional einen Datenschutzberater ernennen (freiwillig, aber empfohlen), Datenschutzverletzungen dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) und den betroffenen Personen melden sowie für risikohohe Bearbeitungen eine Datenschutz-Folgenabschätzung (DSFA) durchführen.

Q: Was ist der Unterschied zwischen dem nDSG und der europäischen DSGVO?

Das nDSG und die DSGVO teilen dieselben Grundprinzipien (Datensparsamkeit, Transparenz, Betroffenenrechte, Sicherheit). Zu den wesentlichen Unterschieden: Das nDSG schützt nur Daten natürlicher Personen (nicht juristischer Personen), während das alte DSG auch juristische Personen schützte. Das Verzeichnis der Bearbeitungstätigkeiten ist unter dem nDSG nur für risikoreiche Bearbeitungen obligatorisch (nicht universell wie unter der DSGVO). Die strafrechtlichen Sanktionen des nDSG richten sich gegen natürliche Personen (Bussen bis zu 250 000 CHF), nicht gegen Unternehmen — anders als die verwaltungsrechtlichen Geldbussen der DSGVO (bis zu 4 % des weltweiten Umsatzes).

Q: Schreibt das nDSG einen Datenschutzberater (DSB) vor?

Das nDSG macht den Datenschutzberater (DSB) — anders als die DSGVO, die in bestimmten Fällen einen Datenschutzbeauftragten vorschreibt — nicht obligatorisch. Die Ernennung eines DSB ist unter dem nDSG freiwillig, wird jedoch für Organisationen empfohlen, die regelmässig und im grossen Massstab sensible Daten bearbeiten. Die freiwillige Ernennung kann die Beziehungen zum EDÖB vereinfachen.

Definition

Das nDSG (neues Bundesgesetz über den Datenschutz) ist die Totalrevision des schweizerischen Datenschutzgesetzes (DSG) vom 25. September 2020, das am 1. September 2023 in Kraft getreten ist. Es ersetzt das alte DSG von 1992 und modernisiert den Schweizer Rechtsrahmen grundlegend, um ihn an die technologischen Entwicklungen und die europäischen Standards (DSGVO) anzupassen.

Es wird ergänzt durch die Datenschutzverordnung (DSV) sowie die Weisungen des EDÖB (Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter).

Wichtigste Pflichten

Verzeichnis der Bearbeitungstätigkeiten

Unternehmen, deren Datenbearbeitungen ein hohes Risiko für die Rechte der betroffenen Personen darstellen können, müssen ein Verzeichnis der Bearbeitungstätigkeiten führen, das Folgendes dokumentiert: den Bearbeitungszweck, die Datenkategorien, die Empfänger, die Aufbewahrungsfristen und die Sicherheitsmassnahmen.

Datenschutz-Folgenabschätzung (DSFA)

Vor der Einführung einer Bearbeitung, die ein hohes Risiko darstellen kann (Profiling, umfangreiche Bearbeitung sensibler Daten, systematische Überwachung), ist eine Datenschutz-Folgenabschätzung (DSFA) obligatorisch.

Meldung von Verletzungen

Bei einer Verletzung der Datensicherheit (Datenleck, Hackerangriff, Verlust) muss das Unternehmen diese unverzüglich dem EDÖB melden, sofern die Verletzung voraussichtlich zu einem hohen Risiko für die betroffenen Personen führt. Die unmittelbar betroffenen Personen müssen ebenfalls informiert werden.

Privacy by Design und by Default

Das nDSG kodifiziert die Grundsätze des Datenschutzes durch Technikgestaltung (Privacy by Design) und durch datenschutzfreundliche Voreinstellungen (Privacy by Default): Systeme und Prozesse müssen Datenschutz bereits bei ihrer Erstellung einbeziehen, und die Standardeinstellungen müssen den grösstmöglichen Schutz bieten.

Rechte der betroffenen Personen

Das nDSG stärkt die Rechte der natürlichen Personen, deren Daten bearbeitet werden:

Auskunftsrecht — eine Kopie der gespeicherten Daten erhalten.
Berichtigungsrecht — unrichtige Daten korrigieren lassen.
Recht auf Datenherausgabe — Daten in einem strukturierten Format erhalten.
Widerspruchsrecht — der Bearbeitung widersprechen, insbesondere bei risikoreichen Profilings.

Schweizer Kontext

Das nDSG gilt für Unternehmen mit Sitz in der Schweiz und — analog zur DSGVO — auch für ausländische Unternehmen, deren Bearbeitungen Auswirkungen in der Schweiz haben (Extraterritorialitätsprinzip). Der EDÖB ist die unabhängige Aufsichtsbehörde, die für die Durchsetzung zuständig ist. Er kann Untersuchungen durchführen und verbindliche Empfehlungen aussprechen.

Anders als die DSGVO, deren Bussen gegen Unternehmen gerichtet sind (bis zu 4 % des weltweiten Jahresumsatzes), sieht das nDSG Strafsanktionen gegen natürliche Personen vor, die Verstösse begehen — Bussen bis zu 250 000 CHF pro Verstoss.

Wie Neoffice dies berücksichtigt

Neoffice speichert die Kundendaten auf Servern in der Schweiz und erfüllt so die Anforderungen an die Datenlokalisierung. Das ERP enthält Mechanismen zur Nachvollziehbarkeit (Zugriffslogs, Änderungsverlauf), rollenbasierte Zugangskontrolle und Verwaltung der Betroffenenrechte (Auskunft, Berichtigung, Löschung). Diese Funktionen erleichtern die nDSG-Konformität der KMU-Kunden.

Termes liés

erp plan comptable suisse swissdec

Questions fréquentes — nDSG

Gilt das nDSG für Schweizer KMU?

Was ist der Unterschied zwischen dem nDSG und der europäischen DSGVO?

Schreibt das nDSG einen Datenschutzberater (DSB) vor?

Daten sicher in Neoffice

Neoffice speichert Ihre Daten in der Schweiz, wendet die nDSG-Grundsätze an (Datensparsamkeit, Sicherheit, Nachvollziehbarkeit) und hilft Ihnen, Ihre Bearbeitungstätigkeiten zu dokumentieren.

7 Tage kostenlos testen

Des questions sur nDSG ?

Discutez avec Nora, notre assistante IA, pour en savoir plus sur votre activité.

Nora

En ligne

Bonjour ! Je suis Nora. Vous consultez notre service **nDSG**. Comment puis-je vous aider ?

Propulsé par IA locale — vos données restent en Suisse

Was ist das nDSG?