Neues Datenschutzgesetz: Unternehmen müssen sich ab dem 1. September 2023 an die revidierten Regelungen anpassen

Darum geht es: Das neue Datenschutzgesetz (nDSG) und die neue Datenschutzverordnung (DSV) sowie die neue Verordnung über Datenschutzzertifizierungen (VDSZ) treten am 1. September 2023 in Kraft. Dabei werden insbesondere die Transparenz von Datenbearbeitungen verbessert und die Selbstbestimmung der betroffenen Personen über ihre Daten gestärkt.

An den Grundsätzen für eine rechtmässige Datenbearbeitung ändert sich im Wesentlichen nichts.

Der Umgang mit Personendaten wurde im neuen Datenschutzgesetz jedoch konkretisiert, was für mehr Transparenz bezüglich der Datenbearbeitung sorgen soll. Zudem werden mit der Totalrevision die Grundrechte und die Persönlichkeitsrechte erfasster Personen garantiert. Folgende Zeilen sollen Systemis-Mitglieder einen Einblick in die revidierten Regelungen geben, die es ab dem 1.September 2023 neu zu beachten gilt. Zudem listet der Artikel interessante und weiterführende Links zum Thema auf.

Der oder die «Verantwortliche», wie er oder sie im neuen Gesetz genannt wird, hat verschiedene neue Bestimmungen bezüglich der Datenbearbeitung zu beachten. Jeder Umgang mit Personendaten, unabhängig von den angewandten Mitteln und Verfahren, insbesondere das Beschaffen, Speichern, Aufbewahren, Verwenden, Verändern, Bekanntgeben, Archivieren, Löschen oder Vernichten von Daten wird in der neuen Datenschutzverordnung (DSV) reguliert. So wird beispielsweise die Informationspflicht ausgeweitet. Bei jeder Beschaffung von Personendaten und nicht mehr nur von sogenannten besonders schützenswerten Daten – muss die betroffene Person vorgängig in verständlicher Art und Weise darüber informiert werden, zu welchem Zweck die Personendaten erhoben und bearbeitet werden und an welche Kategorien von Empfängern eine Weitergabe der Daten erfolgt.

Personendaten dürfen nur so lange aufbewahrt werden, wie sie für die Aufgabenerfüllung benötigt werden oder eine gesetzliche Aufbewahrungspflicht dies erfordert. Werden Personendaten nicht mehr benötigt und steht einer Löschung keine gesetzliche Aufbewahrungspflicht entgegen, sind Personendaten unwiderruflich zu löschen.

Damit eine transparente Datenbearbeitung gewährleistet ist, kann jede Person von der oder dem Verantwortlichen darüber Auskunft verlangen, ob Personendaten über sie bearbeitet werden. Dieser Person sind unter anderem folgende Informationen mitzuteilen: Die bearbeiteten Personendaten als solche; der Bearbeitungszweck; die Aufbewahrungsdauer der Personendaten oder, falls dies nicht möglich ist, die Kriterien zur Festlegung dieser Dauer; die verfügbaren Angaben über die Herkunft der Personendaten, soweit sie nicht bei der betroffenen Person beschafft wurden; gegebenenfalls das Vorliegen einer automatisierten Einzelentscheidung sowie die Logik, auf der die Entscheidung beruht, gegebenenfalls die Empfängerinnen und Empfänger oder die Kategorien von Empfängerinnen und Empfängern, denen Personendaten bekanntgegeben werden.

In Bezug auf Krankengeschichten besteht weiterhin eine Aufbewahrungspflicht von 20 Jahren. Auch auf Bitte eines Kunden oder einer Kundin darf die Krankengeschichte nicht vorzeitig gelöscht werden. Kundendaten, die jedoch nicht der Aufbewahrungspflicht unterliegen, können und sollen gelöscht werden, wenn deren Aufbewahrung keinen klaren Zweck mehr erfüllt oder darum gebeten wird.

Was das für Sie bedeutet

Nach aktuellem Stand sind Sie künftig verpflichtet ihre Kund:innen über die Art und den Zweck der Aufbewahrung ihrer Daten zu informieren. Dies kann auf der Homepage in Form einer Datenschutzerklärung gemacht werden, in der Signatur der E-Mail oder per Formular, welches in der Praxis unterzeichnet werden kann. Die FMH stellt eine öffentlich zugängliche Textvorlage für die Webseite zur Verfügung, welche der eigenen Situation entsprechend angepasst werden kann: https://www.fmh.ch/files/doc3/datenschutzerklaerung.docx

Die FSP stellt ihren Mitgliedern eine Vorlage für eine Einwilligungserklärung zum Ausdruck zur Verfügung: https://www.psychologie.ch/sites/default/files/2023-08/11_einwilligungserklaerung-patientenformular_sb_def_de.pdf

Quellen mit weiterführenden Informationen:

Soziale Arbeit: https://avenirsocial.ch/wp-content/uploads/2023/01/Datenschutz-i-d-SA_db_120123.pdf
FSP: https://www.psychologie.ch/recht-qualitaet-im-beruf/ethik-qualitaet/datenschutz-berufsgeheimnis
FMH: Die Informationsseite der FMH bietet für Arztpraxen und Institutionen des Gesundheitswesens diverse Mustervorlagen wie zB. «Einwilligungserklärung / Patientenformular» https://www.fmh.ch/themen/ehealth/datenschutz/neues-datenschutzgesetz-dsg.cfm

Die wesentlichsten Neuerungen des neuen DSG aus Sicht des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB):
https://www.edoeb.admin.ch/edoeb/de/home/datenschutz/grundlagen/ndsg.html

Bundesgesetz über den Datenschutz:
https://www.fedlex.admin.ch/eli/cc/2022/491/de

KMU-Portal: Neues Datenschutzgesetz:
https://www.kmu.admin.ch/kmu/de/home/fakten-trends/digitalisierung/datenschutz/neues-datenschutzgesetz-rev-dsg.html#:~:text=Die Schweiz bekommt ein neues,an die revidierten Regelungen anpassen.

HIN: Neues Datenschutzgesetz: Das müssen Akteure des Gesundheitswesens wissen
https://www.hin.ch/blog/ndsg-gesundheitswesen-teil-1/?mtm_campaign=nl-03-23-abo-de&mtm_kwd=ndsg

Informationsveranstaltungen zum nDSG:
Möchten Sie mehr über die Umsetzung des nDSG im Arbeitsalltag erfahren und uns Ihre Fragen persönlich stellen? Melden Sie sich an für eine unserer kostenlosen Informationsveranstaltungen:
https://www.hin.ch/informationsveranstaltung-zum-ndsg-23-august-2023/

Cornelia Zehnder, Einzel-, Paar- und Familienberaterin in Bern, www.praxislaselva.ch
Anna Beer, Co-Präsidentin Systemis & Kommunikation