REVIDIERTES DATENSCHUTZGESETZ

Das revidierte Datenschutzgesetz (DSG) trat am 1. September 2023 in Kraft. Das DSG betrifft u.a. jedes Schweizer Unternehmen, jeden Verein und jede Stiftung, die bewusst oder unbewusst personenbezogene Daten bearbeiten. Dazu gehören auch Arbeitgeber.Wir stellen fest, dass die Verunsicherung im Zusammenhang mit den Änderungen des DSG gross ist. Zusätzlich haben wir die wichtigsten Grundlagen und Änderungen in einem FAQ zusammengefasst, um Ihnen den Einstieg in die Thematik zu erleichtern.

Centre Patronal bietet spezialisierte Unterstützung mit Blick auf Fragestellungen, die sich Arbeitgebern im Zusammenhang mit dem neuen Datenschutzgesetz stellen:

> Anfrage für ein individuelles Firmenseminar mit Markus Hugentobler

> weitere Kursangebote

Markus Hugentobler, Experte für Arbeitsrecht & internationales HR-Management

Dr. iur. der Universität Zürich, ist seit August 2010 bei Centre Patronal tätig. Zusammen mit Sandrine Hanhardt-Redondo ist er u.a. verantwortlicher Redaktor des Handbuchs des Ausländerrechts. Daneben bekleidet er Lehraufträge an der FHNW und ZHAW und amtet als nebenamtlicher Richter am Schaffhauser Obergericht. Er weist Publikationen im Arbeits-, Sozialversicherungs-, Datenschutz-, Straf- und Vereinsrecht vor.

FAQ zum revidierten Datenschutzgesetz, Stand 26.09.2023

1. Grundlagen

1.1 Wo finde ich weitere nützliche Informationen?

Nützliche Informationen finden Sie u.a. auf der Website des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (vgl. Website EDÖB; Häufige Fragen zum Datenschutz).
Das Bundesamt für Justiz hat auf seiner Website ebenfalls ein FAQ aufgeschaltet, das zu einem besseren Verständnis des DSG beitragen soll (vgl. Website BJ).
Der EDÖB hat auf seiner Website ein Formular aufgeschaltet, mit dem Datensicherheitsverletzungen gemeldet werden können (vgl. Online-Dienst zur Meldung von Datensicherheitsverletzungen).
Die Swisscom bietet KMU einen kostenlosen IT-Security-Check bei dem Sie das Sicherheitsniveau Ihrer IT prüfen können (vgl. Swisscom IT-Security-Check für KMU).
Die Staaten, Gebiete, spezifische Sektoren in einem Staat und internationale Organe mit einem angemessenen Datenschutz sind in Anhang 1 DSV aufgeführt.

Mit Blick auf die konkreten Fragestellungen, die sich Arbeitgebern im Zusammenhang mit dem neuen Datenschutzgesetz stellen, hat Centre Patronal das Webinar: «Revidiertes Datenschutzgesetz – Seien Sie rechtzeitig à jour» im Angebot.

1.2 Was hat sich im Vergleich zum alten Datenschutzgesetz geändert?

Wichtig zu wissen ist, dass die bisherigen Datenschutzgrundsätze unverändert weitergelten. D.h. wenn Sie als Arbeitgeber bereits nach altem Recht fit im Umgang mit Datenschutzfragen waren, wird dies auch nach neuem Recht rasch der Fall sein.

Das DSG ist gegenüber dem bisherigen Stand erheblich umfangreicher geworden. Es beinhaltet u.a. neue Begriffe und Rollen und definiert neue Aufgaben (vgl. dazu die nachfolgenden Fragen).

Eine wichtige Änderung ist zudem, dass das DSG neu nur noch Personendaten von natürlichen Personen schützt (Art. 2 Abs. 1 DSG). D.h. Vereine und Stiftungen fallen nicht mehr in den Schutzbereich des Gesetzes, sondern müssen – unter Strafandrohung nach Art. 60 ff. DSG – als Datenbearbeiterinnen eine Reihe von Pflichten erfüllen.

1.3 Welche Grundsätze sind bei der Bearbeitung von Personendaten zu beachten?

Wie bereits erwähnt, hat sich in Bezug auf die Grundsätze der Bearbeitung von Personendaten nichts Wesentliches verändert:

Personendaten müssen rechtmässig bearbeitet werden (Art. 6 Abs. 1 DSG). D.h. die Bearbeitung darf insb. nicht gegen spezifische gesetzliche Bestimmungen verstossen. Zentral ist, dass die Bestimmungen des DSG eingehalten werden.
Die Bearbeitung muss nach Treu und Glauben erfolgen und verhältnismässig sein (Art. 6 Abs. 2 DSG). Die Datenbearbeitung muss für Betroffene nachvollziehbar sein. M.a.W. muss sie wissen oder erkennen, welche Daten zu welchem Zweck bearbeitet werden. Der Grundsatz der Verhältnismässigkeit setzt voraus, dass nur Daten bearbeitet werden, die für den Zweck der Bearbeitung geeignet, erforderlich und für die betroffene Person zumutbar sind.
Personendaten dürfen nur zu einem bestimmten und für die betroffene Person erkennbaren Zweck beschafft werden. Sie dürfen nur so bearbeitet werden, dass es mit diesem Zweck vereinbar ist (Art. 6 Abs. 3 DSG).
Personendaten werden vernichtet oder anonymisiert, sobald sie zum Zweck der Bearbeitung nicht mehr erforderlich sind (Art. 6 Abs. 4 DSG).
Wer Personendaten bearbeitet, muss sich über deren Richtigkeit vergewissern (Art. 6 Abs. 5 DSG).

Wenn einer oder mehrere Bearbeitungsgrundsätze nicht erfüllt sind, bedarf es für die Bearbeitung einen Rechtfertigungsgrund (vgl. Art. 30 ff. DSG). Ein typischer Rechtfertigungsgrund ist die Einwilligung durch die betroffene Person (vgl. Art. 31 i.V.m. Art. 6 Abs. 7 DSG).

1.4 Was sind «Personendaten» und was versteht man unter dem Begriff «Bearbeiten»?

Personendaten sind alle Angaben, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen.

Bearbeiten umfasst jeden Umgang mit Personendaten, unabhängig von den angewandten Mitteln und Verfahren, insb. das Beschaffen, Speichern, Aufbewahren, Verwenden, Verändern, Bekanntgeben, Archivieren, Löschen oder Vernichten von Daten. Die Begriffsdefinition ist also sehr weit und umfasst bspw. auch bereits das Speichern von Personendaten.

1.5 Wann spricht man von besonders schützenswerten Personendaten?

Hierbei handelt es sich um

Daten über religiöse, weltanschauliche, politische oder gewerkschaftliche Ansichten oder Tätigkeiten;
Daten über die Gesundheit, die Intimsphäre oder die Zugehörigkeit zu einer Rasse oder Ethnie;
Genetische Daten;
Biometrische Daten, die eine natürliche Person eindeutig identifizieren;
Daten über verwaltungs- und strafrechtliche Verfolgungen oder Sanktionen;
Daten über Massnahmen der sozialen Hilfe.

1.6 Welche Rollen sind im Zusammenhang mit der Bearbeitung von Personendaten auseinanderzuhalten?

Für das Verständnis ist es wichtig, dass Sie die verschiedenen Rollen und Institutionen des DSG kennen. Im Einzelnen gilt es folgende Rollen auseinanderzuhalten:

Betroffene Person: Natürliche Person, über die Personendaten bearbeitet werden (Art. 5 lit. a DSG).
Verantwortlicher: Private Person (natürliche oder juristische Person) oder Bundesorgan, die oder das allein oder zusammen mit anderen über den Zweck und die Mittel der Bearbeitung entscheidet (Art. 5 lit. j DSG). Verantwortlicher kann somit beispielsweise die «X AG, handelnd durch ihre Geschäftsleitung» sein.
Auftragsbearbeiter: Private Person (natürliche oder juristische Person) oder Bundesorgan, die oder das im Auftrag des Verantwortlichen Personendaten bearbeitet. Auftragsbearbeiter sind Dienstleister, die gestützt auf einen Outsourcingvertrag Personendaten für den Verantwortlichen bearbeiten.
Datenschutzberater: Private Verantwortliche können einen Datenschutzberater ernennen. Er ist Anlaufstelle für die betroffenen Personen und für die Behörden, die in der Schweiz für den Datenschutz zuständig sind (vgl. Art. 10 DSG). Im Unterschied zur Datenbearbeitung durch Bundesorgane ist die Ernennung eines Datenschutzberaters für private Verantwortliche freiwillig.

EDÖB (Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter): Er beaufsichtigt die Anwendung der bundesrechtlichen Datenschutzvorschriften. Er kann von Amtes wegen oder auf Anzeige hin eine Untersuchung wegen Datenschutzverletzung eröffnen und hat Verfügungskompetenz.

1.7 Wann falle ich in den Anwendungsbereich der Europäischen Datenschutzverordnung (DSGVO)?

Für Schweizer Unternehmen gilt in erster Linie Schweizer Recht und damit das DSG. Die europäische Datenschutzverordnung (DSGVO) ist nicht direkt anwendbar auf Schweizer Unternehmen.

In bestimmten Situationen kann es jedoch durchaus vorkommen, dass ein Schweizer Unternehmen auch die Vorgaben der DSGVO einhalten muss. Massgebend sind die folgenden beiden Kriterien:

Kriterium der Niederlassung: Der Verantwortliche oder Auftragsbearbeiter hat seine Niederlassung in der Europäischen Union.
Kriterium des Zielmarktes: Die Niederlassung des Verantwortlichen befindet sich ausserhalb der Europäischen Union, aber die Bearbeitung betrifft Waren oder Dienstleistungen, die für Personen in der Union bestimmt sind, oder die Bearbeitung betrifft die Beobachtung des Verhaltens einer betroffenen Person, soweit deren Verhalten in der Union erfolgt.

Weiterführende Informationen finden Sie im FAQ des EDÖB «Häufige Fragen zum Datenschutz» unter DSGVO.

2. Neue Aufgaben und Begriffe bei der Bearbeitung von Personendaten

2.1 Was ist ein Verzeichnis der Bearbeitungstätigkeiten bzw. Dateninventar und wann muss ein solches erstellt werden?

Der Verantwortliche und der Auftragsbearbeiter führen je ein Verzeichnis über ihre Bearbeitungstätigkeiten (Art. 12 DSG). Das Verzeichnis beinhaltet im Wesentlichen die Information: Wer bearbeitet welche Daten zu welchem Zweck?

Unternehmen, die weniger als 250 Mitarbeitende beschäftigen und deren Datenbearbeitung ein geringes Risiko für die Verletzung der Persönlichkeit der betroffenen Personen mit sich bringt, können auf die Erstellung eines Verzeichnisses verzichten. Gemäss Art. 24 DSV ist von keinem hohen Risiko auszugehen, wenn weder besonders schützenswerte Personendaten in grossem Umfang bearbeitet werden noch ein Profiling mit hohem Risiko durchgeführt wird.

Auch wenn ein Unternehmen von der Pflicht zur Erstellung eines Bearbeitungsverzeichnisses befreit ist, kann ein solches bei der Erfüllung von anderweitigen Datenschutzpflichten helfen. Letztlich dient es dem Verständnis wer im Unternehmen, welche Daten zu welchem Zweck bearbeitet.

2.2 Was ist unter der Informationspflicht zu verstehen?

Die Informationspflicht (Art. 19 ff. DSG) ist eine zentrale Pflicht, um den Grundsatz der Transparenz sicherzustellen. Demnach muss der Verantwortliche die betroffene Person angemessen über die Beschaffung von Personendaten informieren. Diese Informationspflicht gilt auch, wenn die Daten nicht bei der betroffenen Person selbst beschafft werden.

Die Informationspflicht wurde von den bisher betroffenen besonders schützenswerten Personendaten und Persönlichkeitsprofilen (Art. 14 aDSG) auf alle Personendaten ausgeweitet.

Art. 19 Abs. 2 DSG definiert den Mindestinhalt, den der Verantwortliche der betroffenen Person bei der Beschaffung mitteilen muss. Das Gesetz schreibt nicht vor, in welcher Form die betroffene Person informiert werden muss. In der Praxis geschieht dies i.d.R. in Form einer Datenschutzerklärung auf der Website. Zudem sollte eine separate interne Datenschutzerklärung für das Personal vorgesehen werden.

2.3 Wann ist eine sog. Datenschutz-Folgenabschätzung (DSFA) erforderlich?

Bei jeder Bearbeitung von Personendaten muss sich der Verantwortliche vorgängig überlegen, welche Risiken die Bearbeitung für Betroffene haben könnte. Art. 22 DSG sieht nämlich vor, dass vorgängig eine DSFA zu erstellen ist, wenn eine Bearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person haben könnte. Ein hohes Risiko ergibt sich insb. bei der Verwendung von neuen Technologien, aus der Art, dem Umfang, den Umständen und dem Zweck der Bearbeitung. Es liegt namentlich vor:

Bei der umfangreichen Bearbeitung von besonders schützenswerten Personendaten i.S.v. Art. 5 lit. c DSG.
Wenn systematisch umfangreiche öffentliche Bereiche überwacht werden.

Die DSFA enthält eine Beschreibung der geplanten Bearbeitung, eine Bewertung der Risiken für die Persönlichkeit oder die Grundrechte der betroffenen Person sowie die Massnahmen zum Schutz der betreffenden Risiken. Es ist empfehlenswert, nicht nur die eigentliche Durchführung der DSFA zu dokumentieren, sondern auch die Überlegungen, ob eine solche durchgeführt werden muss und zu welchem Ergebnis man gekommen ist (sog. Schwellenwertanalyse).

2.4 Was ist unter Datensicherheitsverletzung zu verstehen und wann ist eine solche meldepflichtig?

Eine Datensicherheitsverletzung liegt vor, wenn Personendaten unbeabsichtigt oder widerrechtlich verlorengehen, gelöscht, vernichtet oder verändert werden oder Unbefugten offengelegt oder zugänglich gemacht werden (Art. 5 lit. h DSG).

Der Verantwortliche muss dem EDÖB so rasch als möglich eine Verletzung der Datensicherheit melden, die voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person führt (Art. 24 DSG). Geschieht die Verletzung beim Auftragsbearbeiter, hat dieser den Verantwortlichen so schnell wie möglich zu informieren.

Der Verantwortliche muss die betroffene Person informieren, wenn es zu ihrem Schutz erforderlich ist oder es der EDÖB verlangt.

Im Unternehmen sind daher Prozesse und Verantwortlichkeiten zu etablieren, dass Datensicherheitsverletzungen erkannt, potenzielle Risiken eruiert und die ggf. notwendigen Meldungen abgesetzt werden. Der EDÖB hat auf seiner Website ein Formular aufgeschaltet, mit dem Datensicherheitsverletzungen gemeldet werden können (vgl. Online-Dienst zur Meldung von Datensicherheitsverletzungen)

2.5 Was heisst «Privacy by Design» und «Privacy by Default»?

Hier geht es um Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen (vgl. Art. 7 DSG). Der Verantwortliche ist verpflichtet, die Datenbearbeitung technisch und organisatorisch so auszugestalten, dass die Datenschutzvorschriften, insb. die Datenschutzgrundsätze, eingehalten werden (vgl. Frage unter Ziff. 1.3). Konkretisiert wird die Verpflichtung durch die Grundsätze «Privacy by Design» und «Privacy by Default»:

Privacy by Design: Die technischen und organisatorischen Massnahmen (sog. «TOMs») müssen insbesondere dem Stand der Technik, der Art und dem Umfang der Datenbearbeitung sowie dem Risiko, das die Bearbeitung für die Persönlichkeit oder die Grundrechte der betroffenen Personen mit sich bringt, angemessen sein (Art. 7 Abs. 2 DSG).

Privacy by Default: Der Verantwortliche ist verpflichtet, mittels geeigneter Voreinstellungen sicherzustellen, dass die Bearbeitung der Personendaten auf das für den Verwendungszweck nötige Mindestmass beschränkt ist, soweit die betroffene Person nicht etwas anderes bestimmt (Art. 7 Abs. 3 DSG).

Typische TOMs sind z.B.:

Zugriffsbeschränkungen;
Beschränkung der Aufbewahrungsdauer;
Sicherstellung der Datensicherheit (Firewalls, MFA, Alarmanlagen, usw.);
Pseudonymisierung und Datenverschlüsselung;
Protokollierung, Backups, Updates;
Nutzerrechte definieren und kontrollieren;
Überprüfung auf Richtigkeit;
Weisungen, Schulungen von Mitarbeitenden zum Thema Datenschutz usw.

Die Swisscom bietet KMU einen kostenlosen IT-Security-Check bei dem Sie das Sicherheitsniveau Ihrer IT prüfen können (vgl. Swisscom IT-Security-Check für KMU).

2.6 Was gilt es bei den Betroffenenrechten (Auskunfts-, Lösch- und Berichtigungsrecht) zu beachten?

Jede Person kann vom Verantwortlichen Auskunft darüber verlangen, ob Personendaten über sie bearbeitet werden (vgl. Art. 25 DSG). Trifft dies zu, kann sie Auskunft über die Personendaten als solche und zusätzliche Informationen verlangen (Zweck der Bearbeitung, Aufbewahrungsdauer, Empfänger usw.).

Betroffene können verlangen, dass unrichtige Personendaten berechtigt werden oder (wenn eine Berichtigung nicht möglich ist) gelöscht werden (vgl. Art. 32 DSG). Insb. hinsichtlich des Auskunftsrechts empfiehlt es sich, einen systematischen Prozess zur Beantwortung solcher Begehren zu etablieren. Im Zentrum stehen dabei folgende Fragen: Wo gehen Auskunftsersuchen ein? Wer prüft das Gesuch und koordiniert die Bearbeitung? Wer stellt die Einhaltung der gesetzlichen Frist sicher?

2.7 Wann liegt ein sog. Profiling vor?

Als Profiling gilt jede Art der automatisierten Bearbeitung von Personendaten, die darin besteht, dass diese Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insb. um Aspekte bzgl. Arbeitsleistung, wirtschaftlicher Lage, Gesundheit, persönlicher Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Personen zu analysieren oder vorherzusagen.

Wenn das Profiling zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person führt, indem es zu einer Verknüpfung von Daten führt, die eine Beurteilung wesentlicher Aspekte der Persönlichkeit einer natürlichen Person erlaubt, liegt ein sog. Profiling mit hohem Risiko vor (vgl. Art. 5 lit. f und g DSG). Bei einem Profiling mit hohem Risiko durch eine private Person ist eine ausdrückliche Einwilligung der Betroffenen erforderlich (Art. 6 Abs. 7 DSG).

2.8 Wann spricht man von automatisierten Einzelentscheidung?

Hier geht es um eine Entscheidung, die ausschliesslich auf automatisierten Grundlagen basiert. D.h. es kommt im Entscheidungsprozess zu keiner Intervention durch eine natürliche Person. Ist die automatisierte Einzelentscheidung mit Rechtsfolgen für die betroffene Person verbunden oder wird letztere dadurch erheblich beeinträchtigt, muss der Verantwortliche über die Entscheidung informieren (vgl. Art. 21 DSG).

3. Organisatorische Anforderungen

3.1 Welche organisatorischen Anforderungen stellt das DSG an mein Unternehmen?

Das DSG stellt keine spezifischen Anforderungen an die Unternehmensorganisation. Allerdings ist zwecks Einhaltung der Datenschutzvorschriften die Implementierung von einigen organisatorischen Grundsätzen empfehlenswert. In den meisten Fällen lohnt es sich, innerhalb des Unternehmens jemanden zu bestimmen, der für Datenschutzfragen zuständig ist. Dies insb. deshalb, um erforderliche Massnahmen zu koordinieren und im Unternehmen die notwendige Beachtung des Datenschutzthemas sicherzustellen.

Zur Erfüllung von gewissen neuen Aufgaben empfiehlt es sich, geeignete Prozesse zu etablieren. Das gilt insb. für:

die Erfüllung der Meldepflicht bei Datensicherheitsverletzungen;
die Umsetzung von Betroffenenrechten (Auskunfts-, Lösch- und Berichtigungsrechte).

3.2 Welche Massnahmen drängen sich zur Sicherstellung datenschutzrechtlicher Compliance auf?

Dateninventar: Im Rahmen einer Bestandesaufnahme gilt es festzustellen, welche Daten wo gespeichert werden, wer sie zu welchem Zweck bearbeitet und wie Zugriffsrechte geregelt sind. Hierzu drängt sich die Erstellung eines Dateninventars auf, unabhängig davon, ob eine Pflicht zur Erstellung besteht oder nicht.
Informationspflicht: Auf Grundlage dieser Bestandesaufnahme ist zu prüfen, ob im Zuge der Beschaffung von Personendaten ausreichend informiert wird. Dasselbe gilt, wenn in Ihrem Unternehmen automatisierte Einzelentscheidungen getroffen werden.
Sensibilisierung der Mitarbeitenden: Mitarbeitende sind in Bezug auf Datenschutzpflichten und -risiken zu schulen. Dies einerseits, um die Einhaltung der Datenschutzpflichten sicherzustellen und andererseits allfällige Datensicherheitsverletzungen zu erkennen.
Bearbeitung durch Dritte: Verschaffen Sie sich einen Überblick über eingebundene Auftragsdatenbearbeiter und prüfen Sie, ob die erforderlichen Outsourcingverträge abgeschlossen wurden. Wichtig ist, dass der Auftragsbearbeiter die Anforderungen an die Datensicherheit gewährleistet und Sie als Verantwortlicher periodische Überprüfungen vornehmen (lassen) können.
Bekanntgabe ins Ausland: Prüfen Sie, ob Personendaten ins Ausland übermittelt werden. Ist dies der Fall, ist die Gleichwertigkeit des Persönlichkeitsschutzes gemäss Art16 DSG sicherzustellen. Die Staaten, Gebiete, spezifische Sektoren in einem Staat und internationale Organe mit einem angemessenen Datenschutz sind in Anhang 1 DSV aufgeführt. Gewährleistet der Empfängerstaat keinen angemessenen Datenschutz, sind zusätzliche Massnahmen zu treffen wie beispielsweise spezielle vertragliche Vereinbarungen oder das Einholen von Einwilligungen.
DSFA: Es ist sicherzustellen, dass bei geplanten Datenbearbeitungsvorgängen eine Risikoabschätzung vorgenommen oder zumindest eine negative Schwellenwertanalyse durchgeführt und dokumentiert wird.
TOMs: Prüfen Sie, ob die TOMs zur Datensicherheit mit Blick auf die bearbeiteten Personendaten und die damit verbundenen Risiken angemessen sind. Es bietet sich an, die Massnahmen im Dateninventar aufzuführen. Eine wichtige Rolle bei den TOMs spielt die IT-Sicherheit. Daher empfiehlt es sich, einen IT-Spezialisten in die Umsetzung einzubeziehen.
Meldepflicht: Stellen Sie durch einen geeigneten Prozess sicher, dass die Meldepflicht bei Datensicherheitsverletzungen sowohl vom Ablauf her als auch inhaltlich erfüllt wird.
Betroffenenrechte: Stellen Sie durch einen geeigneten Prozess sicher, dass die Betroffenenrechte fristgerecht umgesetzt werden.

4. Strafbestimmungen

4.1 Wann drohen strafrechtliche Sanktionen?

Wenn der Verantwortliche die Informationspflicht bei der Beschaffung von Personendaten verletzt (Art. 19 DSG), indem er vorsätzlich nicht, falsch oder unvollständig informiert;
Wenn der Verantwortliche die Informationspflicht bei einer automatisierten Einzelfallentscheidung verletzt (Art. 21 DSG), indem er vorsätzlich nicht, falsch oder unvollständig informiert.
Wenn der Verantwortliche im Rahmen des Auskunftsrechts (Art. 25-27 DSG) vorsätzlich nicht, falsch oder unvollständig Auskunft erteilt.
Wenn die private Person dem EDÖB im Rahmen einer Untersuchung vorsätzlich falsche Informationen erteilt oder vorsätzlich die Mitwirkung verweigert.
Wenn vorsätzlich Personendaten ins Ausland bekanntgegeben werden, ohne dass die Voraussetzungen erfüllt sind.
Wenn die Datenbearbeitung einem Auftragsbearbeiter vorsätzlich übertragen wird, ohne dass die Voraussetzungen hierzu erfüllt sind.
Wenn die Datenbearbeitung an einen Dritten übertragen wird, ohne dass dieser die Datensicherheit gewährleisten kann.
Wenn die Mindestanforderungen an die Datensicherheit vorsätzlich verletzt werden.
Vorsätzliche Verletzungen der beruflichen Schweigepflicht.
Vorsätzliche Missachtung von Verfügungen.

4.2 Welche Strafe droht bei einer strafbaren Verletzung?

Die Verletzung bestimmter datenschutzrechtlicher Pflichten kann gemäss Art. 60 ff. DSG zu einer Busse von bis zu CHF 250‘000.- führen. Die Verfolgungsverjährung beträgt 5 Jahre (Art. 66 DSG).

4.3 Muss ich auch bei fahrlässigem Handeln mit einer Strafe rechnen?

Nein. Bestraft wird nur eine vorsätzliche Begehung der Tat auf Antrag hin (kein Offizialdelikt).

Die Ausführungen sind bewusst einfach und pragmatisch gehalten und als Orientierungshilfe zu verstehen. Sie ersetzen nicht eine eingehende juristische Prüfung im Einzelfall. Zudem weisen wir darauf hin, dass sich das FAQ auf die Bearbeitung von Personendaten durch private Verantwortliche fokussiert. Zwei zentrale Punkte bei der Umsetzung sind die Transparenz und die Dokumentation.

FAQ “revidiertes Datenschutzgesetz” herunterladen

PDF

Aktuell informiert sein

Möchten Sie laufend über Neuerungen im Arbeitsrecht, Verbandsmanagement oder zu unseren praxisorientierten Weiterbildungskursen informiert werden? Abonnieren Sie unseren kostenlosen Newsletter!

Marketing Erlaubnis
Centre Patronal Bern wird die Angaben, die Sie in diesem Formular machen, dazu verwenden, um Ihnen Updates und Informationen zu übermitteln. Lassen Sie uns wissen, welche Informationen Sie von uns erhalten möchten.

„*“ zeigt erforderliche Felder an

Cookie	Dauer	Beschreibung
cookielawinfo-checkbox-advertisement	1 year	Das Cookie wird durch die DSGVO-Cookie-Zustimmung gesetzt, um die Nutzer-Zustimmung für die Cookies in der Kategorie „Werbung“ zu erfassen.
cookielawinfo-checkbox-analytics	11 months	Dieses Cookie wird vom GDPR Cookie Consent Plugin gesetzt. Das Cookie wird verwendet, um die Zustimmung des Benutzers für die Cookies in der Kategorie „Analytics“ zu speichern.
cookielawinfo-checkbox-functional	11 months	Das Cookie wird durch die DSGVO-Cookie-Zustimmung gesetzt, um die Zustimmung des Benutzers für die Cookies in der Kategorie "Funktional" zu erfassen.
cookielawinfo-checkbox-necessary	11 months	Dieses Cookie wird vom GDPR Cookie Consent Plugin gesetzt. Das Cookie wird verwendet, um die Zustimmung des Benutzers für die Cookies in der Kategorie „Notwendig“ zu speichern.
cookielawinfo-checkbox-others	11 months	Dieses Cookie wird vom GDPR Cookie Consent Plugin gesetzt. Das Cookie wird verwendet, um die Zustimmung des Benutzers für die Cookies in der Kategorie „Andere“ zu speichern.
cookielawinfo-checkbox-performance	11 months	Dieses Cookie wird vom GDPR Cookie Consent Plugin gesetzt. Das Cookie wird verwendet, um die Zustimmung des Benutzers für die Cookies in der Kategorie „Leistung“ zu speichern.
PHPSESSID	session	Dieses Cookie ist nativ für PHP-Anwendungen. Das Cookie wird verwendet, um die eindeutige Sitzungs-ID eines Benutzers zu speichern, zu identifizieren und die Benutzersitzung auf der Website zu verwalten. Das Cookie ist ein Session-Cookie und wird gelöscht, wenn alle Browserfenster geschlossen sind.
viewed_cookie_policy	11 months	Das Cookie wird vom Plugin GDPR Cookie Consent gesetzt und wird verwendet, um zu speichern, ob der Benutzer der Verwendung von Cookies zugestimmt hat oder nicht. Es werden keine personenbezogenen Daten gespeichert.

Cookie	Dauer	Beschreibung
AnalyticsSyncHistory	1 month	Keine Beschreibung
C	1 month	Keine Beschreibung
li_gc	2 years	Keine Beschreibung
UserMatchHistory	1 month	Dieses Cookie wird von LinkedIn verwendet, um Besucher auf mehreren Websites zu verfolgen, um relevante Werbung basierend auf den Präferenzen des Besuchers zu präsentieren.

Cookie	Dauer	Beschreibung
_fbp	3 months	Dieses Cookie wird von Facebook gesetzt, um nach dem Besuch dieser Website Werbung zu schalten, wenn sie sich auf Facebook oder einer anderen digitalen Plattform befinden, die von Facebook-Werbung betrieben wird.
bscookie	2 years	Dieses Cookie ist ein Browser-ID-Cookie, das von verlinkten Teilen-Buttons und Anzeigen-Tags gesetzt wird.
IDE	1 year 24 days	Dieses Cookie wird von Google DoubleClick verwendet und speichert Informationen über die Nutzung der Website durch den Benutzer sowie jegliche andere Werbung vor dem Besuch der Website. Dies dient dazu, Nutzern entsprechend dem Nutzerprofil für sie relevante Anzeigen zu präsentieren.
mc	1 year 1 month	Dieses Cookie ist mit Quantserve verknüpft, um anonym zu verfolgen, wie ein Benutzer mit der Website interagiert.
test_cookie	15 minutes	Dieses Cookie wird von doubleclick.net gesetzt. Der Zweck des Cookies besteht darin, festzustellen, ob der Browser des Benutzers Cookies unterstützt.
uid	2 months	Dieses Cookie wird verwendet, um die Anzahl und das Verhalten der Besucher der Website anonym zu messen. Die Daten umfassen die Anzahl der Besuche, die durchschnittliche Dauer des Besuchs auf der Website, die besuchten Seiten usw. und dient zum besseren Verständnis der Benutzerpräferenzen für gezielte Werbung.
VISITOR_INFO1_LIVE	5 months 27 days	Dieses Cookie wird von Youtube gesetzt. Es wird verwendet, um die Informationen der eingebetteten YouTube-Videos auf einer Website zu verfolgen.
YSC	session	Diese Cookies werden von Youtube gesetzt und werden verwendet, um die Aufrufe eingebetteter Videos zu verfolgen.
yt-remote-connected-devices	never	Diese Cookies werden über eingebettete Youtube-Videos gesetzt.
yt-remote-device-id	never	Diese Cookies werden über eingebettete Youtube-Videos gesetzt.
yt.innertube::nextId	never	Diese Cookies werden über eingebettete Youtube-Videos gesetzt.
yt.innertube::requests	never	Diese Cookies werden über eingebettete Youtube-Videos gesetzt.

Cookie	Dauer	Beschreibung
_ga	2 years	Dieses Cookie wird von Google Analytics installiert. Das Cookie wird verwendet, um Besucher-, Sitzungs- und Kampagnendaten zu berechnen und die Site-Nutzung für den Analysebericht der Site zu verfolgen. Die Cookies speichern Informationen anonym und weisen eine zufällig generierte Nummer zu, um eindeutige Besucher zu identifizieren.
_ga_CTGB3K6WES	2 years	Dieses Cookie wird von Google Analytics installiert.
_gat_UA-125167453-1	1 minute	Dies ist ein von Google Analytics gesetztes Muster-Cookie, bei dem das Musterelement im Namen die eindeutige Identitätsnummer des Kontos oder der Website enthält, auf die es sich bezieht. Es handelt sich anscheinend um eine Variante des _gat-Cookies, die verwendet wird, um die von Google auf Websites mit hohem Verkehrsaufkommen aufgezeichnete Datenmenge zu begrenzen.
_gid	1 day	Dieses Cookie wird von Google Analytics installiert. Das Cookie wird verwendet, um Informationen darüber zu speichern, wie Besucher eine Website nutzen, und hilft bei der Erstellung eines Analyseberichts darüber, wie die Website funktioniert. Die gesammelten Daten umfassen die Anzahl der Besucher, die Herkunft der Besucher und die besuchten Seiten in anonymisierter Form.
CONSENT	16 years 4 months 1 day 17 hours 24 minutes	Diese Cookies werden über eingebettete Youtube-Videos gesetzt. Sie registrieren anonyme statistische Daten, beispielsweise wie oft das Video angezeigt wird und welche Einstellungen für die Wiedergabe verwendet werden. Es werden keine sensiblen Daten gesammelt, es sei denn, Sie melden sich bei Ihrem Google-Konto an. In diesem Fall wird Ihre Auswahl beispielsweise mit Ihrem Konto verknüpft wenn Sie bei einem Video auf „Gefällt mir“ klicken.
iutk	5 months 27 days	Dieses Cookie wird vom Issuu-Analysesystem verwendet. Die Cookies werden verwendet, um Informationen über die Besucheraktivität auf Issuu-Produkten zu sammeln.
vuid	2 years	Die Domain dieses Cookies gehört Vimeo. Dieses Cookie wird von vimeo verwendet, um Tracking-Informationen zu sammeln. Es legt eine eindeutige ID fest, um Videos in die Website einzubetten.

Cookie	Dauer	Beschreibung
bcookie	2 years	Dieses Cookie wird von linkedIn gesetzt. Der Zweck des Cookies besteht darin, LinkedIn-Funktionen auf der Seite zu ermöglichen.
lang	session	Dieses Cookie wird verwendet, um die Spracheinstellungen eines Benutzers zu speichern, um beim nächsten Besuch der Website durch einen Benutzer die Inhalte in der gespeicherten Sprache bereitzustellen.
lidc	1 day	Dieses Cookie wird von LinkedIn gesetzt und zum Routing verwendet.
pll_language	1 year	Dieses Cookie wird vom Polylang-Plugin für WordPress-basierte Websites gesetzt. Das Cookie speichert den Sprachcode der zuletzt besuchten Seite.