Wen betreffen die Gesetzesänderungen?
Private Unternehmen, Bundesorgane, aber auch Vereine und private Blog- oder Newsletter-Betreiber. Also alle, die Personendaten beschaffen/bearbeiten (z.B. via Kontaktformular, Kommentarfunktion, Chat, Bestelllisten).
 
Das ändert sich konkret im revDSG
1. Verzeichnispflicht der Datenbearbeitungstätigkeiten: Es muss ein Verzeichnis aller Datenbearbeitungen geführt und à jour gehalten werden. Ausnahmen für KMU mit bis zu 250 Mitarbeitenden sind möglich.

2. Datenschutzerklärung für mehr Transparenz ist Pflicht: Die Verantwortlichen von Websites/Blogs etc. müssen bei jeder Beschaffung von Personendaten (nur natürliche Personen) eine Datenschutzerklärung erstellen. Diese Infos sind Pflicht: Zweck der Bearbeitung; Identität und Kontaktdaten der verantwortlichen Stelle oder Person; allfällige Drittempfänger der Personendaten sowie allfällige Länder, wenn die Daten ins Ausland exportiert werden.

3. Auftragsbearbeitungsvertrag ist Pflicht: Der Auftraggeber kann die Datenbearbeitung an Dritte übertragen (Outsourcing), muss aber einen Vertrag abschliessen und bleibt für die Datensicherheit verantwortlich. Zieht der Auftragnehmer eine weitere Partei hinzu, ist dies nur mit vorheriger Genehmigung des Auftraggebers erlaubt.
 
4. Data Breach Notification: Taucht eine Verletzung der Datensicherheit auf, was zu einem hohen Risiko für die Persönlichkeit oder Grundrechte der Betroffenen führt, muss das dem EDÖB gemeldet werden.

5. Konkretisierte Rechte: Jede Person hat das Recht auf eine Auskunft, welche Daten über sie gespeichert sind. Diese kann sie korrigieren oder löschen lassen.
 
6. Höhere Bussen: Wer die Auskunfts-, die Informations- oder die Mitwirkungspflichten verletzt, kann mit einer Busse von bis zu CHF 250’000 bestraft werden.
 
Was muss ich jetzt tun?
Alle Schweizer Unternehmen müssen ihre bestehenden Richtlinien und Datenschutzerklärungen bis zum 1. September 2023 anpassen.