Anzeige
Anzeige
Anzeige
Lesedauer 5 Min.

Datenschutzgesetz – Stand heute

Vor einem Jahr trat das revidierte Schweizer Datenschutzgesetz (DSG) in Kraft. Ein Jahr später zieht swissICT eine erste Bilanz und blickt auf die bisherigen Entwicklungen und zukünftigen Herausforderungen.
swissICT kann dank des Expertennetzwerks einen tiefen Einblick in diese relevanten Themen bieten.
© (Quelle: Shutterstock/chainarong06)

Während die Einführung der EU-Datenschutzgrundverordnung 2018 zahlreiche Anpassungen auslöste, verlief die Umsetzung des DSG in der Schweiz überraschend ruhig. Dies könnte darauf zurückzuführen sein, dass bisher nur wenige Verstösse gemeldet wurden und es kaum Ahndungen gab. Doch die Tatsache, dass Sanktionen ausbleiben, bedeutet nicht zwangsläufig, dass die Unternehmen alle Vorgaben einhalten. Da es bisher kaum Gerichtsentscheidungen gibt, bleibt vieles noch klärungsbedürftig, insbesondere wie KMU die Anforderungen des DSG konkret umzusetzen haben. Laut den Experten ist der administrative Aufwand für kleinere Unternehmen oftmals hoch, während der Nutzen des Gesetzes für diese Firmen nicht immer erkennbar ist.

Eine nicht repräsentative Umfrage von swissICT hat gezeigt, dass über zwei Drittel der abgefragten Unternehmen angeben, die DSG oder DSGVO umgesetzt haben. Ca. 60 % geben an, dass der Aufwand durch das DSG gestiegen sei. Und ca. 45 % der Unternehmen wünschen sich mehr Tätigkeit des Eidgenössischen Datenschutzbeauftragten – aber ebenso viele wünschen sich das nicht. Schlussendlich zeigte die Umfrage, dass die Hälfte der Befragten davon ausgeht, dass durch KI ein höherer Datenschutz-Fokus notwendig ist. Diese Erkenntnisse wurden von den den Experten der Rechtskommission von swissICT durchaus bestätigt.

swissICT kann dank des Expertennetzwerks einen tiefen Einblick in diese relevanten Themen bieten. © Quelle: Shutterstock/David Gyung

Die Experten ziehen nicht nur eine erste Bilanz des ersten Jahres DSG, sondern richten den Blick auch auf zukünftige Herausforderungen. Neben Fragen zu internationalen Datentransfers und Cybersicherheit wird derzeit intensiv diskutiert, welche Rolle künstliche Intelligenz (KI) künftig im Datenschutz spielen wird. Ob das DSG in seiner aktuellen Form den Anforderungen von KI-Systemen gewachsen ist oder ob Anpassungen notwendig werden, bleibt offen. Klar ist jedoch, dass der Bundesrat die Thematik erkannt hat und eine umfassende KI-Auslegeordnung per Ende Jahr in Auftrag gegeben hat.

swissICT kann dank ihres Expertennetzwerks einen tiefen Einblick in diese relevanten Themen bieten. Die im Folgenden dargestellten Meinungen der Experten geben Aufschluss über die praktische Umsetzung des DSG und zeigen, was sich im ersten Jahr bewährt hat und welche offenen Fragen noch zu klären sind.

Roland Mathys, Schellenberg Wittmer AG

© Schellenberg Wittmer AG

Datensicherheit

Mit der Revision des DSG wurde eine Meldepflicht eingeführt für gewisse Verletzungen der Datensicherheit, zudem können die Nichteinhaltung von Mindestvorgaben zur Datensicherheit oder deren fehlende Gewährleistung in der Supply Chain mit Bussen sanktioniert werden.

Die Datensicherheit hat sich mit dem revidierten DSG kaum verbessert. Datensicherheit war schon unter dem bisherigen Recht geregelt, und die Neuerungen haben keine grossen Anreize für mehr Datensicherheit geschaffen. Das gilt auch für die eingeführten Sanktionen. Datensicherheit kann nicht auf dem Papier bewirkt werden, etwa durch Verträge oder Policies. Viel wichtiger ist die Gewährleistung der effektiven Umsetzung im eigenen Unternehmen und bei Geschäftspartnern, zum Beispiel durch regelmässige Security Audits.

Carmen De la Cruz, Axians Schweiz AG

© Axians Schweiz AG

Zertifizierungen

Offizielle, staatlich anerkannte Datenschutzzertifizierungen gibt es (noch) nicht. Im Kontext von ISO 27001 ff. wird jedoch seit der Version 2022 auch Datenschutz im Zusammenhang mit der Datensicherheit – indirekt – geprüft. Selbst wenn es noch keine staatlich anerkannte Datenschutzzertifizierung gibt, führt der ausgedehnte Prüffokus von ISO27001 ff. im Bereich der Datensicherheit zu einer Prüfung des Datenschutzes. Unternehmen müssen die notwendigen Datenschutz-Dokumentationen vorzeigen können. Dies gilt für das Bearbeitungsverzeichnis, Prozesse für Betroffenenrechte, Datenschutzfolgenabschätzungen, Auftragsbearbeitungsverträge, Datenschutzerklärungen etc. Es gilt, die Hausaufgaben zu machen und up to date zu halten – nur so lassen sich auch (Re-)Zertifizierungen erreichen.

Sven Kohlmeier, Wicki Partners AG

© Wicki Partners AG

Künstliche Intelligenz

Das DSG gilt auch für KI-Systeme, insbesondere beim Input von Personendaten. Thesen, dass die Speicherung eines Large Language Models keine Datenverarbeitung darstellt, dürften eher eine «mutige These» sein. Anhängige Gerichtsverfahren werden dazu weitere Klärung bringen. Meine Empfehlungen:

1. Prüfen, ob DSG oder die strengere DSGVO gilt.

2. Pflichten nach DSG (u.a. Informationspflicht) sind einzuhalten.

3. Mit der robots.txt kann das Auslesen von Website-Daten verhindert werden.

4. Eine Unternehmens-Governance für KI-Systeme wird von mir empfohlen.

5. Mitarbeiter sollten für die Nutzung von KI geschult werden.

6. Abklären, ob eine Datenschutz-Folgenabschätzung erforderlich ist.

7. Die Geltung des AI-Acts (in Kraft) beachten.

Wer diese Grundsätze einhält, kann KI-Systeme datenschutzkonform nutzen.

Alesch Staehelin, Uto Legal

© Uto Legal

Internationaler Datenaustausch

Personendaten dürfen ins Ausland bekanntgegeben werden, wenn der betreffende Staat einen angemessenen Schutz gewährleistet. Hierzu veröffentlicht der Bundesrat eine Liste. Ist ein Land nicht auf der Liste, braucht es für den Personendatentransfer ins Ausland Garantien durch zusätzliche Massnahmen. Das DSG nennt 5 verschiedene Möglichkeiten; in der Praxis am wichtigsten sind Standarddatenschutzklauseln. Was die Datentransfers in die USA angeht, so ist seit dem 15.9.2024 das CH-USA Data Privacy Framework (DPF) in Kraft. Ist ein datenempfangendes Unternehmen nach dem DPF zertifiziert, gelten die USA ohne Weiteres als Empfängerstaat mit genügendem Datenschutzniveau. Am 15.1.2024 hat die EU bestätigt, dass die Datenschutzbestimmungen der Schweiz angemessen sind. Damit können Personendaten zwischen der Schweiz und der EU bzw. dem EWR weiterhin frei zirkulieren.
Datenschutz Schweiz swissICT
Anzeige

Neueste Beiträge

ICT-Fachmesse CONNECT von Brack.Alltron erscheint in neuem Gewand
Unter dem Motto «Unboxing Tomorrow» möchte die Handelsgruppe Brack.Alltron die ICT-Themen von morgen präsentieren. 
3 Minuten
10. Jul 2026
Mittelklasse: Nothing zeigt das Phone (4b)
Beim neuen Phone (4b) setzt Nothing auf ein attraktives Preis-Leistungsverhältnis. Das Design der Rückseite ist weniger extravagant als bei anderen Modellen des Herstellers, hat aber zumindest wieder ein ungewöhnliches Element.
2 Minuten
9. Jul 2026
Anpassung der Energieetikette für Neuwagen ab 1. Januar 2027
Das Eidgenössische Departement für Umwelt, Verkehr, Energie und Kommunikation (UVEK) hat die Grundlagendaten der Energieetikette für Personenwagen aktualisiert.
3 Minuten

Das könnte Sie auch interessieren

Darum lohnt sich eine Weiterbildung - Karriere-Tipps
Ihre berufliche Karriere stockt? Sie fühlen sich unterfordert und auch finanziell soll es aufwärtsgehen? Dann verlieren Sie keine Zeit. Computerworld nennt fünf Gründe für eine Weiterbildung und zeigt, wie Sie erfolgreich durchstarten.
5 Minuten
25. Okt 2024
Streik abgewendet: Deutsche Telekom einigt sich mit Ver.di
Die Telekom und die Dienstleistungsgewerkschaft Ver.di haben sich auf einen neuen Tarifvertrag geeinigt. Für die rund 60'000 Tarifbeschäftigten des Netzbetreibers gilt unter anderem bis Ende 2028 ein Schutz vor betriebsbedingten Kündigungen.
3 Minuten
31. Mai 2026
«KI wird ein Treiber für Wachstum» - Interview Corinna Schumacher, ServiceNow
KI-Agenten übernehmen immer mehr Routineaufgaben. ServiceNow sieht darin keine Bedrohung für Mitarbeitende, sondern eine neue Arbeitsteilung, erklärt Corinna Schumacher im Interview.
7 Minuten
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige