Datenschutz und Cybersicherheit in der Schweiz

07.03.2025 von Fokko Oldewurtel und Yanick Haldemann

Einleitung

In diesem Beitrag geben wir Dir einen Einblick in die Aufgaben des Bundesamts für Cybersicherheit, klären zentrale Begriffe wie «Verantwortliche Person» und «Datenschutzbeauftragter», und erklären die wichtigsten Betroffenenrechte. Zudem werfen wir einen Blick auf die Aufgaben eines Datenschutzberaters und die Bedeutung von Instrumenten wie der Datenschutz-Folgeabschätzung und dem Bearbeitungsverzeichnis.

Bundesamt für Cybersicherheit der Schweiz (BACS)

Das Bundesamt für Cybersicherheit (BACS) ist die zentrale Anlaufstelle für Cybersicherheitsfragen in der Schweiz. Es sammelt und verbreitet Informationen über aktuelle Cyber-Bedrohungen und gibt regelmässig Warnmeldungen zu Schadsoftware und Phishing-Angriffen heraus. Dazu veröffentlicht es auf seiner Website aktuelle Bedrohungslagen und Handlungsempfehlungen für Unternehmen und Privatpersonen.

Wichtige Aufgaben des BACS:

  • Meldestelle für Cybervorfälle: Organisationen und Bürger können hier verdächtige Aktivitäten melden.

  • Warnungen und Prävention: Veröffentlichung von Sicherheitshinweisen und Schutzmassnahmen.

  • Analyse von Cyberangriffen: Erkennung von Angriffsmustern und Entwicklung von Gegenstrategien.

  • Beratung: Unterstützung von Unternehmen und Behörden bei der Verbesserung ihrer IT-Sicherheit.

Das BACS spielt eine entscheidende Rolle bei der Früherkennung und Bekämpfung von Cyber-Bedrohungen in der Schweiz und dient als Schnittstelle zwischen Behörden, Unternehmen und der Öffentlichkeit.

Über diesen Link kannst du dem Bundesamt für Cybersicherheit Cybervorfälle melden und findest weitere interessante Informationen betreffend die Cybersicherheit.

Verantwortliche Person

Im Rahmen des Art. 5 lit. j DSG ist die verantwortliche Person eine private oder staatliche Organisation, die über den Zweck und die Mittel der Datenbearbeitung entscheidet. Diese Rolle bringt erhebliche Pflichten mit sich, insbesondere in Bezug auf Datensicherheit, Transparenz und den Schutz von Personendaten.

Die zentrale Aufgabe des Verantwortlichen umfasst insbesondere die Erfassung und Verarbeitung von Daten, die Steuerung dieser Prozesse sowie die Gewährleistung eines korrekten und datenschutzkonformen Umgangs mit den gesammelten und verarbeiteten Informationen.

Weitere Informationen zur verantwortlichen Person findest du hier

Betroffenenrechte

Im Datenschutzgesetz haben betroffenen Personen mehrere Rechte, um sicherzustellen, dass ihre persönlichen Daten geschützt werden.

Art. 19 DSG regelt das Recht auf Information. Verantwortliche müssen betroffene Personen aktiv über die Bearbeitung ihrer Personendaten informieren. Dies umfasst Angaben zum Zweck der Datenbearbeitung, zur Identität des Verantwortlichen und zu den Empfängern der Daten.

In Art. 25 DSG ist das Auskunftsrecht geregelt. Demnach kann jede Person vom Verantwortlichen Auskunft darüber verlangen, ob und welche Personendaten über sie bearbeitet werden.

Art. 28 DSG regelt das Recht auf Datenübertragbarkeit. Das DSG führt ein neues Recht auf Datenübertragung ein. Betroffene Personen können verlangen, dass ihre Personendaten in einem gängigen elektronischen Format herausgeben oder an einen anderen Verantwortlichen übermittelt werden.

In Art. 32 DSG ist das Recht auf Berichtigung und Löschung von Personendaten verankert. Betroffene Personen haben das Recht, die Berichtigung unrichtiger Personendaten zu verlangen. Ebenso können sie die Löschung ihrer Daten fordern, wenn sie nicht mehr benötigt werden oder unrechtmässig verarbeitet wurden. Mehr zur Löschung von Personendaten findest du hier.

Nicht explizit im DSG geregelt ist das Widerspruchsrecht der Betroffenen. Demnach können Personen der Verarbeitung ihrer Daten widersprechen, insbesondere dann, wenn die Bearbeitung ihre Persönlichkeitsrechte verletzt.

Zur Durchsetzung ihrer Rechte müssen betroffene Personen ihre Anfragen zur Ausübung ihrer Rechte nicht begründen. Bei Verweigerung, Einschränkung oder Aufschub der Auskunft, hat dies der Verantwortliche zu begründen. Im Falle von Bundesorganen kann die betroffene Person gegen einen ablehnenden Entscheid sogar Beschwerde einlegen.

Beiträge mit Ausführungen zu Personendaten findest du hier.

Datenschutzverletzung

Eine Datenschutzverletzung ist gem. Art. 5 lit. h DSG die Verletzung der Sicherheit, die dazu führt, dass Personendaten unbeabsichtigt oder widerrechtlich verloren gehen, gelöscht, vernichtet oder verändert werden oder Unbefugten offengelegt oder zugänglich gemacht werden.

Führt eine solche Verletzung voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person, muss der Verantwortliche dies gem. Art. 24 Abs. 1 DSG so rasch als möglich dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) melden. Zusätzlich hat der Verantwortliche gem. Art. 24 Abs. 4 DSG die betroffene Person informieren, wenn es zu ihrem Schutz ist oder der EDÖB es verlangt.

Datenschutzberater

Ein Datenschutzberater ist eine Person, die sich um verschiedene Aufgaben in Bereich des Datenschutzes annimmt. Die Bestellung eines Datenschutzberaters ist für private Personen fakultativ gem. Art. 10 Abs. 1 DSG, für Bundesorgane hingegen eine Pflicht gem. Art. 10 Abs. 4 DSG.

Kernaufgaben des Datenschutzberaters:

  • Interne Beratung und Schulung zum Datenschutz.

  • Unterstützung bei Datenschutz-Folgeabschätzungen.

  • Schnittstelle zwischen Unternehmen und Datenschutzbehörden (z. B. EDÖB).

  • Sicherstellung der Einhaltung des DSG und Minimierung rechtlicher Risiken.

Ein interner Datenschutzberater kann Unternehmen helfen, Datenschutzverletzungen zu vermeiden und ihre Compliance effizient zu gestalten.

Einen weiteren Beitrag zum Datenschutzberater findest du hier.

Informationspflicht

Die Informationspflicht ist in Art. 19 DSG normiert und bestimmt die Pflicht zur Information des Verantwortlichen bei der Beschaffung von Personendaten.

Es handelt sich hierbei insbesondere um die in der Praxis bedeutsamen Datenschutzhinweise beziehungsweise die im Wirtschaftsleben sehr verbreitete Datenschutzerklärung.

Ziel der Informationspflicht ist es, die Transparenz von Datenschutzbearbeitungen zu erhöhen und betroffenen Personen zu ermöglichen, einen informierten Entscheid über die Inanspruchnahme von Angeboten und die Nutzung von Services zu treffen.

Ein Verstoss gegen die Informationspflicht kann für natürliche Personen mit einer Geldbusse von bis zu CHF 250'000.00 sanktioniert werden.

Datenschutz-Folgeabschätzung

Art. 22 DSG regelt die Datenschutz-Folgeabschätzung. Sie ist ein wichtiges Instrument zur Bewertung der Risiken einer Datenverarbeitung für die Rechte und Freiheiten der betroffenen Personen. Sie soll potenzielle negative Auswirkungen identifizieren und Massnahmen zu deren Minimierung vorschlagen.

Der Verantwortliche muss eine Datenschutz-Folgeabschätzung durchführen, wenn eine geplante Datenverarbeitung voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen führt.

Die Folgeabschätzung enthält insbesondere die Beschreibung der geplanten Verarbeitung und ihre Zwecke, die Bewertung der Risiken für die Rechte der betroffenen Personen, die geplanten Massnahmen zur Bewältigung dieser Risiken und die Garantien und Sicherheitsvorkehrungen zum Schutz von Personendaten. Die Ergebnisse der Folgeabschätzung sind schriftlich zu dokumentieren. Die Dokumentation dient als Nachweis der Einhaltung der Datenschutzvorschriften und kann von der Aufsichtsbehörde angefordert werden.

Die Datenschutz-Folgeabschätzung sollte nicht als einmalige Aufgabe betrachtet werden. Vielmehr ist es wichtig, sie regelmässig zu überprüfen und bei Bedarf zu aktualisieren. Die Durchführung einer solchen Abschätzung ist ein wichtiger Schritt zur Gewährleistung des Datenschutzes und zur Einhaltung der gesetzlichen Vorgaben. Sie hilft Unternehmen, potenzielle Risiken frühzeitig zu erkennen und angemessene Schutzmassnahmen zu implementieren.

Weitere interessante Informationen zur Datenschutz-Folgeabschätzung findest du hier.

Bearbeitungsverzeichnis

Das Bearbeitungsverzeichnis ist gemäss Art. 12 DSG eine zentrale Dokumentation über die Datenbearbeitungen in einem Unternehmen oder einer Organisation. Es dient als Übersicht über die vorhandenen Datenbearbeitungen und enthält wichtige Informationen zu den bearbeiteten Personendaten, Bearbeitungszwecken und möglichen Datenempfängern.

Grundsätzlich sind alle Verantwortlichen und Auftragsgeber verpflichtet, ein Bearbeitungsverzeichnis zu führen. Es gibt jedoch Ausnahmen für kleinere Unternehmen, die weniger als 250 Mitarbeiter beschäftigen. Die Bundesorgane haben die Pflicht, Verzeichnisse ihrer Bearbeitungstätigkeiten zu führen und diese zudem dem EDÖB zu melden.

Was das Bearbeitungsverzeichnis im Minimum enthalten muss, ist in Art. 12 Abs. 2 DSG geregelt. So ist darin beispielsweise die Identität des Verantwortlichen und der Bearbeitungszweck anzugeben.

Ratgeber Weitere Themen

Alle Themen anzeigen
Kontakt

Schildere uns Deinen Fall. Unsere Datenschutzexpert*innen beraten Dich gerne!

Christian Mitscherlich, MLaw, Rechtsanwalt, Partner

subscribe

Melde Dich für unseren Newsletter an, um auf dem Laufenden zu bleiben!

datenschutz.law logo

Domenig & Partner
Rechtsanwälte AG
Laupenstrasse 1
Postfach
CH-3001 Bern

Tel: +41 31 380 11 00
Fax: +41 31 380 11 09

datenschutz@domenig.law
www.domenig.law

Beiträge

Gesetzgebungen

Behördeninformationen

Rechtsprechung

Ratgeber

News

Ratgeber

Datenschutz Schweiz

Datenschutz Unternehmen

Datenschutz online

Die Personendaten

Datenschutz international

Glossar

News

Gesetze

Beratung

Datenschutzerklärung

Impressum