Das revidierte Datenschutzgesetz wurde am 25. September 2020 durch den National- und Ständerat verabschiedet. Damit ist das Gesetzgebungsvorhaben zur Revision des Datenschutzgesetzes abgeschlossen. Das revidierte Datenschutzgesetz wird am 1. September 2023 in Kraft treten. Was müssen Sie als Unternehmen beachten, um sich bestmöglich auf das neue Gesetz vorzubereiten

Was muss alles im Rahmen des revidierten Datenschutzgesetzes geprüft werden?

Unternehmen sollten frühzeitig ihre Datenschutzerklärung mit Blick auf die neuen Vorschriften des revidierten Datenschutzgesetzes anpassen. Ausserdem ist zu prüfen, ob eine Pflicht zur Erstellung eines Datenbearbeitungsverzeichnisses besteht. Auftragsbearbeitungen sind durch das Unternehmen zu identifizieren, die Verträge sind auf die rechtlichen Vorgaben hin zu überprüfen und gegebenenfalls anzupassen. Ebenso einer Identifikation und Überprüfung zugrunde gelegt werden muss sämtlicher Auslandstransfer von personenbezogenen Daten.

Weiter haben die Unternehmen einen Prozess zur Datenschutz-Folgenabschätzung (DSFA) einzuführen, resp. den bestehenden an die neuen Vorgaben anzupassen. Die DSFA soll der Selbstbeurteilung eines datenschutzrechtlichen relevanten Vorhabens dienen. Auch in Bezug auf die Meldung und die Bearbeitung von Verletzungen betreffend die Datensicherheit haben Unternehmen Prozesse einzuführen, resp. gegebenenfalls bestehende an die neuen Vorschriften anzupassen.

Um Betroffenenrechte zu gewähren, sollten Unternehmen eine zuständige Stelle bestimmen. Zudem hat das Unternehmen automatisierte Einzelentscheide innerhalb der Organisation zu identifizieren und, wenn nötig, neu zu regeln. Nicht zuletzt sind Unternehmen gut beraten, ihre Mitarbeiter im Kontext des Datenschutzes und allfälliger drohender Sanktionen zu schulen und periodisch weiterzubilden.