04Jul

Inkrafttreten revidiertes Datenschutzgesetz

Written by Equilas. Posted in Legal, Compliance & Risk

Nach einem langwierigen Prozess tritt das revidierte Datenschutzgesetz (DSG) per 01.09.2023 in Kraft. Anstoss zu der vorliegenden Revidierung des bestehenden Datenschutzgesetzes war einerseits die Anpassung der datenschutzrechtlichen Normen an die geänderten gesellschaftlichen und technologischen Gegebenheiten, andererseits aber auch die Abstimmung auf die Datenschutznormen der EU. Gerade der zweite Punkt ist von entscheidender Bedeutung, damit die Schweiz von der EU weiterhin als Drittstaat mit angemessenem Datenschutzniveau anerkannt wird.

Das neue DSG sieht keine Übergangsfristen vor, was bedeutet, dass die geänderten und neuen Pflichten per 01.09.2023 umgesetzt werden müssen.

Wesentliche Änderungen und Neuerungen

Die Generalüberholung des bestehenden DSG hat zu wesentlichen Änderungen und Neuerungen im DSG geführt. Auf ausgewählte Neuerungen wird nachfolgend kurz eingegangen.

  1. Geltungsbereich
    Bisher erstreckte sich der Datenschutz auf die Daten von natürlichen sowie juristischen Personen. Mit dem neuen DSG wird der Anwendungsbereich der datenschutzrechtlichen Normen nun auf die Daten natürlicher Personen beschränkt.
  2. Profiling
    Im neuen DSG wird neu der Begriff des Profiling eingeführt. Unter dem Begriff Profiling versteht man jede Art der automatisierten Bearbeitung von Personendaten, die darin besteht, dass diese Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten. Dies insbesondere, um Aspekte bezüglich Arbeitsleistung, wirtschaftlicher Lage, Gesundheit, persönlicher Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen.
  3. Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen
    Im neuen DSG sind die Grundsätze des «Datenschutzes durch Technik (privacy by design)» und «Datenschutzes durch datenschutzfreundliche Voreinstellungen (privacy by default)» verankert. Diese sehen vor, dass bei der Bearbeitung von Personendaten bereits im Planungsstadium angemessene technische und organisatorische Massnahmen getroffen werden müssen, um die Einhaltung der Datenschutzgrundsätze in diesen Systemen sicherzustellen. Gleichzeitig müssen die datenschutzrelevanten Voreinstellungen auch so ausgestaltet sein, dass die Bearbeitung von Personendaten auf das für den Verwendungszweck nötige Mindestmass beschränkt ist.
  4. Aufbewahrungsdauer von Daten
    Eine Pflicht zur Löschung von Daten galt im bestehenden DSG nur implizit. Im neuen DSG wird diese Thematik nun explizit durch Bestimmungen betreffend die Speicherbeschränkung geregelt. Es ist vorgesehen, dass Daten vernichtet oder anonymisiert werden, sobald diese zum Zwecke der Bearbeitung nicht mehr erforderlich sind.
  5. Erweiterte Informationspflichten
    Unter dem bestehenden DSG mussten betroffene Personen bei der Datenbeschaffung nur informiert werden, wenn es sich bei den Daten um besonders schützenswerte Personendaten handelte. Neu sind betroffene Personen bei jeder Datenbeschaffung entsprechend zu informieren. Die Informationspflicht erstreckt sich unter anderem auf Angaben wie Identität und Kontaktangaben des für die Datenbearbeitung Verantwortlichen, den Bearbeitungszweck, potenzielle Empfänger oder Kategorien von Empfängern sowie auf andere weiterführende Angaben.
  6. Datenschutz-Folgenabschätzung
    Besteht bei einer Datenbearbeitung ein hohes Risiko einer Persönlichkeitsverletzung einer betroffenen Person, muss vorgängig eine Datenschutz-Folgenabschätzung erstellt werden. Zweck der Datenschutz-Folgenabschätzung ist, die Risiken der geplanten Bearbeitung vorgängig zu analysieren und notwendige technische und organisatorische Massnahmen bereits in der Planungsphase der Datenbearbeitung festzustellen.
  7. Strafbestimmungen
    Verschiedene Tatbestände sehen eine Busse in Höhe von bis zu CHF 250’000 für private Personen vor. Diese Tatbestände reichen von der Verletzung von Informations-, Auskunfts- und Mitwirkungspflichten über die Verletzung von Sorgfaltspflichten bis hin zur Missachtung von Verfügungen. Ebenfalls bestehen Sanktionen für Wiederhandlungen in Geschäftsbetrieben.
  8. Weiteres
    Nebst den oben angesprochenen Änderungen und Neuerungen beinhaltet das neue DSG noch eine Vielzahl weiterer wesentlicher Bestimmungen wie z.B. das Bearbeitungsverzeichnis, Meldepflichten an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten, Rechte der von der Bearbeitung betroffenen Person usw.
  9. Handlungsempfehlung
    Unternehmen sind gut beraten, wenn sie die Bearbeitung von personenbezogenen Daten (insbesondere das Beschaffen, Speichern, Aufbewahren, Verwenden, Verändern, Bekanntgeben, Archivieren, Löschen oder Vernichten von Daten) einer Analyse auf die bevorstehenden Neuerungen unterziehen. Das interne Regelwerk (z.B. Weisungen), die Prozesse, Systeme, vertragliche Grundlagen mit Auftragsbearbeiter etc. gilt es in der Regel den neuen Anforderungen anzupassen.

Die Equilas unterstützt vorwiegend Banken und Vermögensverwalter bei der Sicherstellung ihrer regulatorischen Pflichten und bietet neben der Beratung auch die Überwachung des regulatorischen Umfelds, diverse Mustervorlagen wie Reglemente, Weisungen, Verträge etc. an. Falls Sie ein Bedürfnis erkennen, freuen wir uns über Ihre Kontaktaufnahme.

Tags: , ,

test

News

  • Sicherstellung der operationellen Resilienz

    Im Zuge der Umsetzung des neuen FINMA-RS 23/1 «Operationelle Risiken und Resilienz – Banken» erweist sich das neue Thema operationelle Resilienz als ziemlich anspruchsvoll. Unter operationeller Resilienz wird allgemein die Fähigkeit eines Instituts verstanden, seine kritischen Funktionen bei Unterbrechungen innerhalb der Unterbrechungstoleranz wiederherstellen zu können. Ab dem 1. Januar 2024 müssen alle, dem Geltungsbereich zugehörigen Institute sicherstellen, dass sie operationell resilient sind. Institute des Kleinbankenregimes sowie Institute der FINMA-Kategorie 4 und 5 sind zwar von gewissen Pflichten in der Umsetzung befreit, müssen aber dennoch ihre operationelle Resilienz in den Grundzügen sicherstellen können. Konkret umfasst dies das Vorgehen zur Sicherstellung der operationellen Resilienz durch die Festlegung ihrer kritischen Funktionen sowie deren Unterbrechungstoleranzen. Ferner ist das Thema operationelle Resilienz als fester Bestandteil in die Berichterstattung an den Verwaltungsrat und die Geschäftsleitung zu integrieren.

    2023-09-05 10:14:32

    Weiterlesen

  • Fragestellungen zur Umsetzung des Datenschutzes

    Am 1. September 2023 ist das revidierte Bundesgesetz über den Datenschutz (DSG) in Kraft getreten, welches gewisse Änderungen und Neuerungen mit sich bringt. Für eine gesetzeskonforme Umsetzung ist es hilfreich, sich mit den nachfolgenden Fragestellungen auseinander zu setzen und den Datenschutz innerhalb des Unternehmen zu thematisieren:

    2023-09-05 10:12:23

    Weiterlesen

  • Vermögensverwalter – Praxiserfahrungen nach erteilter Bewilligung

    Nachdem ein Grossteil der Vermögensverwalter sich für die Erlangung einer Bewilligung nach FINIG entschieden und diese erhalten haben, stellt sich die nächste Herausforderung bei der Umsetzung der regulatorischen Anforderungen im laufenden Betrieb. Gestützt auf die im Rahmen der Bewilligungsbegleitung, der Beratung und Betreuung von verschiedenen Vermögensverwaltern und der ersten aufsichtsrechtlichen Prüfungen durch die Prüfgesellschaften gesammelten Erfahrungen ergeben sich erste Erkenntnisse und Praxiserfahrungen.

    Umsetzung der internen Bestimmungen

    Für die Erteilung der Bewilligung durch die FINMA mussten Vermögensverwalter mit der Gesucheinreichung umfangreiche interne Bestimmungen in Form von Reglementen und Weisungen vorweisen. Eine Vielzahl von Vermögensverwaltern hatten vor der Bewilligung nach FINIG bereits ein internes Regelwerk, jedoch nicht in einem Umfang, wie dies für die Bewilligungserteilung gefordert wurde. Die regulatorischen Anforderungen, welche sich aus der Geschäftstätigkeit des Vermögensverwalters ergeben, mussten detailliert geregelt sowie für die Einhaltung entsprechende Kontrollen, Verantwortlichkeiten, Dokumentationspflichten und eine angemessene Berichterstattung implementiert werden. Folglich mussten Vermögensverwalter ein umfangreiches internes Kontrollsystem mit einer Risikoanalyse über das gesamte Institut, einem Kontrollinventar und einem Tätigkeitsplan ausarbeiten.

    2023-07-04 14:03:14

    Weiterlesen

  • Inkrafttreten revidiertes Datenschutzgesetz

    Nach einem langwierigen Prozess tritt das revidierte Datenschutzgesetz (DSG) per 01.09.2023 in Kraft. Anstoss zu der vorliegenden Revidierung des bestehenden Datenschutzgesetzes war einerseits die Anpassung der datenschutzrechtlichen Normen an die geänderten gesellschaftlichen und technologischen Gegebenheiten, andererseits aber auch die Abstimmung auf die Datenschutznormen der EU. Gerade der zweite Punkt ist von entscheidender Bedeutung, damit die Schweiz von der EU weiterhin als Drittstaat mit angemessenem Datenschutzniveau anerkannt wird.

    Das neue DSG sieht keine Übergangsfristen vor, was bedeutet, dass die geänderten und neuen Pflichten per 01.09.2023 umgesetzt werden müssen.

    Wesentliche Änderungen und Neuerungen

    Die Generalüberholung des bestehenden DSG hat zu wesentlichen Änderungen und Neuerungen im DSG geführt. Auf ausgewählte Neuerungen wird nachfolgend kurz eingegangen.

    2023-07-04 13:57:37

    Weiterlesen

  • Sustainable Finance

    Unter dem Begriff Sustainable Finance wird verstanden, dass Finanzdienstleister sowohl Umwelt- (Environment), Sozial- (Social) als auch Unternehmensführungsaspekte (Governance) bei ihren Entscheidungen und Dienstleistungen berücksichtigen. Konkret heisst das, dass die Finanzintermediäre Umwelt-, Sozial- und Governance-Kriterien (ESG-Kriterien) in ihre Geschäfts- oder Investitionsentscheidungen sowie ihre Dienstleistungserbringung so integrieren, dass Kundinnen und Kunden sowie die Gesellschaft einen nachhaltigen Nutzen davontragen.

    Ziel und Zweck

    Ziel und Zweck von Sustainable Finance und des Einbezugs von ESG-Kriterien in die Entscheidungen und Dienstleistungen der Finanzintermediäre ist es, die Finanzindustrie und die Investoren dazu zu bewegen – und ihnen die Möglichkeit zu bieten – mehr Kapital in nachhaltige Investitionen zu lenken. Im Zentrum stehen sowohl Bestrebungen im Finanzierungs- wie auch dem Anlagegeschäft von
    Finanzinstituten.

    Auf diese Weise sollen unter anderem die Risiken des Klimawandels, der Ressourcenknappheit sowie der sozialen Ungleichheit bekämpft werden.

    2023-07-04 13:50:17

    Weiterlesen

Abonnieren Sie den Newsletter

GL

Kontakt

Equilas AG
Genfergasse 8
3011 Bern

Login

Um Dateien herunterzuladen müssen Sie sich einloggen: Login

Haben Sie noch keinen Account? Dann kontaktieren Sie uns bitte: Kontakt