{"id":924,"date":"2023-07-13T11:06:16","date_gmt":"2023-07-13T11:06:16","guid":{"rendered":"https:\/\/observar.ch\/en\/?page_id=924"},"modified":"2023-08-02T09:36:46","modified_gmt":"2023-08-02T09:36:46","slug":"summary-zum-ch-dsg-2020","status":"publish","type":"page","link":"https:\/\/observar.ch\/en\/summary-zum-ch-dsg-2020\/","title":{"rendered":"Summary zum CH DSG 2020"},"content":{"rendered":"\n\n\n
\n

Summary zum CH Datenschutz-Gesetz 2020<\/strong><\/p>\n<\/td>\n

\"\"<\/a><\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n\n\n

DSG    Bundesgesetz \u00fcber den Datenschutz (Datenschutzgesetz, DSG)
vom 25. September 2020<\/p>\n\n\n\n

DSV    Verordnung \u00fcber den Datenschutz  (Datenschutzverordnung, DSV)
vom 31. August 2022<\/p>\n\n\n\n

DSV-E Verordnung \u00fcber den Datenschutz  (Datenschutzverordnung, DSV)
vom 31. August 2022  (Erl\u00e4uternder Bericht)<\/p>\n\n\n\n

<\/p>\n\n\n\n

Art. 2 EU DSGVO<\/strong>  \u00abSachlicher Anwendungsbereich\u00bb 
– keine konkrete Beschreibung in CH-Gesetz und CH-Verordnung
Diese Verordnung gilt f\u00fcr die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie f\u00fcr die nichtautomatisierte Verarbeitung personenbezogener Daten,
die in einem Dateisystem gespeichert sind oder gespeichert werden sollen<\/span><\/strong>.
(Gilt sinngem\u00e4ss auch f\u00fcr die Schweiz \u2013 wie soll man Papier mit TOM\u2019s sinnvoll sch\u00fctzen?
Bei der Review des Gesetzes sowie der Verordnung war kein Hinweis auf \u00abPapier-Personendaten\u00bb ersichtlich)<\/p>\n\n\n\n

<\/p>\n\n\n\n

Art. 5 DSG   Definitionen<\/strong>
Begriffe In diesem Gesetz bedeuten:
a. Personendaten: alle Angaben, die sich auf eine bestimmte oder bestimmbare nat\u00fcrliche Person beziehen;
b. betroffene Person: nat\u00fcrliche Person (in der Schweiz), \u00fcber die Personendaten bearbeitet werden;
c. besonders sch\u00fctzenswerte Personendaten  (Spezialfall Profiling und Protokollierung s. am Ende):<\/strong>
\u2003\u20031. Daten \u00fcber religi\u00f6se, weltanschauliche, politische oder gewerkschaftliche Ansichten oder T\u00e4tigkeiten,
\u2003\u20032. Daten \u00fcber die Gesundheit, die Intimsph\u00e4re oder die Zugeh\u00f6rigkeit zu einer Rasse oder Ethnie,
\u2003\u20033. genetische Daten,
\u2003\u20034. biometrische Daten, die eine nat\u00fcrliche Person eindeutig identifizieren,
\u2003\u20035. Daten \u00fcber verwaltungs- und strafrechtliche Verfolgungen oder Sanktionen,
\u2003\u20036. Daten \u00fcber Massnahmen der sozialen Hilfe;
d.  Bearbeiten<\/strong>: jeder Umgang mit Personendaten, insbesondere das Beschaffen, Speichern, Aufbewahren, Verwenden, Ver\u00e4ndern, Bekanntgeben, Archivieren, L\u00f6schen oder Vernichten von Daten;
e.  Bekanntgeben: das \u00dcbermitteln oder Zug\u00e4nglichmachen von Personendaten; (auch Auftragsbearbeiter\/Auftragsverarbeiter)<\/span><\/strong>
f.  Profiling: jede Art der automatisierten Bearbeitung von Personendaten, die darin besteht, dass diese Daten verwendet werden zur Bewertung bestimmter pers\u00f6nlicher Aspekte\u2026\u2026
g.  Profiling mit hohem Risiko: Profiling, \u2026. welches zu einer Verkn\u00fcpfung von Daten f\u00fchrt, die eine Beurteilung wesentlicher Aspekte der Pers\u00f6nlichkeit einer nat\u00fcrlichen Person erlaubt;
j.  Verantwortlicher:<\/strong> Private Person welche \u00fcber den Zweck und die Mittel der Bearbeitung entscheidet
k.  Auftragsbe<\/strong>arbeiter: Private Person welche im Auftrag des Verantwortlichen Personendaten bearbeitet

h. Verletzung der Datensicherheit<\/strong>: \u2026\u2026 Personendaten werden unbeabsichtigt oder widerrechtlich, gel\u00f6scht, vernichtet oder ver\u00e4ndert oder Unbefugten offengelegt\/zug\u00e4nglich gemacht;<\/p>\n\n\n\n

<\/p>\n\n\n\n

Art. 6 DSG   Grunds\u00e4tze Ausschnitt <\/strong>
(s. auch Erl\u00e4uterungen zur Verordnung 31. Aug. 2022)
\u2003\u2003- Personendaten m\u00fcssen rechtm\u00e4ssig bearbeitet werden (Art. 6 Abs. 1).
\u2003\u2003- Die Bearbeitung muss nach Treu und Glauben erfolgen und verh\u00e4ltnism\u00e4ssig sein (Art. 6 Abs. 2).
\u2003\u2003- Personendaten d\u00fcrfen nur zu einem bestimmten und f\u00fcr die betroffene Person erkennbaren Zweck<\/strong> beschafft werden (Art. 6 Abs. 3).
\u2003\u2003- Die Daten m\u00fcssen vernichtet oder anonymisiert werden, sobald sie zum Zweck der Bearbeitung nicht mehr erforderlich sind<\/strong> (Art. 6 Abs. 4).
\u2003\u2003- Wer Personendaten bearbeitet, muss sich \u00fcber deren Richtigkeit vergewissern (Art. 6 Abs. 5).
\u2003\u2003- Der Verantwortliche und der Auftragsbearbeiter sind verpflichtet, Personendaten durch Technik und datenschutzfreundliche Voreinstellungen zu sch\u00fctzen (\u00abprivacy by design and by default\u00bb; Art. 7)
\u2003\u2003- und die Datensicherheit zu gew\u00e4hrleisten (Art. 8).<\/p>\n\n\n\n

<\/p>\n\n\n\n

<\/p>\n\n\n\n
\n

Art. 1 DSV  Schutzbedarf der Personendaten<\/strong>
(Neu 2022 – war im DSG 2020 nicht enthalten)<\/strong>
Nachstehend die konkrete Massnahmenbeschreibung (1 von 42 Controls) aus dem OBSERVAR Modul Massnahmen<\/span><\/strong>:
Wir bestimmen den Schutzbedarf (Risiko) der Personendaten.
Wir gew\u00e4hrleisten eine angemessene Datensicherheit dieser Personendaten.
Wir als Verantwortliche sowie unsere Auftragsbearbeiter legen die geeigneten technischen und organisatorischen Massnahmen fest.
Der Schutzbedarf der Personendaten wird nach den folgenden Kriterien beurteilt:
\u2003\u2003a. Art der bearbeiteten Daten;
\u2003\u2003b. Zweck, Art, Umfang und Umst\u00e4nde der Bearbeitung.
Das Risiko f\u00fcr die Pers\u00f6nlichkeit oder die Grundrechte der betroffenen Person wird nach den folgenden Kriterien beurteilt:
\u2003\u2003a. Ursachen des Risikos;
\u2003\u2003b. haupts\u00e4chliche Gefahren;
\u2003\u2003c. ergriffene oder vorgesehene Massnahmen, um das Risiko zu verringern;
\u2003\u2003d. Wahrscheinlichkeit und Schwere einer Verletzung der Datensicherheit trotz der ergriffenen oder vorgesehenen Massnahmen.
Der Schutzbedarf der Personendaten, das Risiko und die technischen und organisatorischen Massnahmen sind \u00fcber die gesamte Bearbeitungsdauer hinweg zu \u00fcberpr\u00fcfen. Die Massnahmen sind n\u00f6tigenfalls anzupassen.<\/p>\n<\/td><\/tr><\/table>\n\n\n\n

<\/p>\n\n\n\n

<\/p>\n\n\n\n

Informationspflichten<\/strong>
Personen m\u00fcssen dar\u00fcber informiert werden, dass deren Daten bearbeitet werden.
Datenschutzerkl\u00e4rung <\/strong>z.B. auf Website oder bei jeder Transaktion.<\/p>\n\n\n\n

<\/p>\n\n\n\n

Inhalt der Datenschutz-Erkl\u00e4rung:<\/strong>
\u2022 Identit\u00e4t des Unternehmens (z. B. CHE-Nummer)
\u2022 Kontaktdaten des Unternehmens (E-Mail-Adresse)
\u2022 Rechte der betroffenen Person (Auskunftsrechte und Beschwerderechte)<\/p>\n\n\n\n

<\/p>\n\n\n\n

Verzeichnis der Bearbeitungst\u00e4tigkeiten (Pflicht gem. nDSG Art. 12)   <\/strong>
(OBSERVAR Modul Bearbeitungst\u00e4tigkeiten<\/span>)  <\/em><\/strong>
DSV 2.5 (Aug. 2022)
Ausnahme von der Pflicht zur F\u00fchrung eines Verzeichnisses der Bearbeitungst\u00e4tigkeiten
S. 12      KMU ohne risikobehaftete Datenbearbeitungen (DSV Art. 24) falls weniger als 250 MA<\/strong><\/p>\n\n\n\n

<\/p>\n\n\n\n

Ausnahme gilt nur, falls
\u2003\u2003a) nicht in grossem Umfang besonders sch\u00fctzenswerte Personendaten bearbeitet werden (Art. 5 DSG)
Definition \u00abumfangreich\u00bb = grosse Mengen von Daten oder eine grosse Zahl von Personen betreffen
(aber nicht genau beziffert\u2026)
\u2003\u2003b) kein Profiling mit hohem Risiko durchgef\u00fchrt wird<\/p>\n\n\n\n

<\/p>\n\n\n\n

Falls KMU < 250 MA (a) und b): Es m\u00fcssen nicht alle Datenbearbeitungen im Verzeichnis gef\u00fchrt werden, nur die a) und b).<\/p>\n\n\n\n

<\/p>\n\n\n\n

Verzeichnis pro Verfahren\/Prozess<\/strong>
Strukturvorschlag OBSERVAR:  Gliederung nach Applikationen<\/span><\/strong>
(nicht nach Prozessen) (s. oben EU DSGVO Art. 2)<\/strong><\/p>\n\n\n\n

<\/p>\n\n\n\n

<\/p>\n\n\n\n

DSV Art. 24 ab S. 50<\/strong>
Datensicherheit durch risikobasierten Ansatz<\/strong>   (s. auch grosses OBSERVAR Summary) 
(OBSERVAR Modul Bearbeitungst\u00e4tigkeiten<\/span> und  Modul Massnahmen <\/span>Dokumentation und Aktualisierung\/Einhaltung)<\/em>
<\/strong>Artikel 8, Abs. 1: \u00abDer Verantwortliche und der Auftragsbearbeiter gew\u00e4hrleisten durch geeignete technische und organisatorische
Massnahmen eine dem Risiko angemessene Datensicherheit.\u00bb
Zentraler Artikel – Nichtbefolgung ist neu strafbedroht.
(OBSERVAR bietet Kunden eine GAP Analyse an mit 42 wichtigen\/zentralen Themen welche eingehalten werden m\u00fcssen)
Die gleichen 42 konkreten Massnahmen-Beschreibungen sind im Modul Massnahmen integriert)
Durchschnittlich 500 \u2013 1’000 Zeichen konkrete griffige Massnahmen-Beschreibung f\u00fcr jedes der 42 Themen.
(Haben wir das?  Halten wir das ein?)<\/p>\n\n\n\n

<\/p>\n\n\n\n

OBSERVAR Grafik mit dem Resultat aus der GAP Analyse  (ab CHF 450).<\/span><\/strong>
\"\"<\/p>\n\n\n\n


<\/p>\n\n\n\n

\u00ab privacy by design \u00ab<\/span><\/strong>
Je nach Risiko: angemessene technische und organisatorischen Massnahmen (TOM nach Applikationen)<\/span><\/strong> festzulegen
4  diese Massnahmen implementieren.
5  Risikoeinsch\u00e4tzung regelm\u00e4ssig auf ihre Aktualit\u00e4t pr\u00fcfen.
Bei Bedarf – an neue Umst\u00e4nde anpassen.
<\/p>\n\n\n\n

Die korrekte Implementierung und Effektivit\u00e4t der TOM ist ebenfalls regelm\u00e4ssig zu \u00fcberpr\u00fcfen.
Dokumentation der erforderlichen T\u00e4tigkeiten<\/strong> damit in einem allf\u00e4lligen Strafverfahren die geh\u00f6rige Sorgfalt des Unternehmens (und somit auch der verantwortlichen Organe) belegt werden kann.
Es ist wichtig f\u00fcr die verantwortlichen Organe, dass deren sorgf\u00e4ltiges Handeln dokumentiert wird<\/strong>.
Entscheidend ist der sorgf\u00e4ltige, angemessene und bewusste Umgang mit Personendaten. Das Unternehmen darf angemessene Risiken eingehen.<\/p>\n\n\n\n

<\/p>\n\n\n\n

<\/p>\n\n\n\n

Betroffenenrechte<\/strong>    (OBSERVAR Modul Betroffenenrechte<\/span>)<\/em><\/strong>
Rechte der betroffenen Person gegen\u00fcber dem datenbearbeitenden Unternehmen.
Bedeutendstes Recht: Auskunftsrecht.<\/strong>
Zus\u00e4tzlich: Recht auf Datenherausgabe oder Daten\u00fcbertragung in einem g\u00e4ngigen elektronischen Format.
Entsprechende Ausk\u00fcnfte sind in der Regel innert 30 Tagen<\/strong> zu erteilen.
Eine ungen\u00fcgende oder versp\u00e4tete Auskunftserteilung ist in Zukunft strafbedroht.<\/p>\n\n\n\n

<\/p>\n\n\n\n

Auskunfts- und L\u00f6schbegehren  (OBSERVAR Modul Betroffenenrechte<\/span>)<\/em><\/strong>
Die korrekte Bearbeitung von Betroffenenrechten, insbesondere von Auskunfts- und L\u00f6schbegehren, ist sicherzustellen.
Eine Auskunft muss in der Regel innert 30 Tagen erfolgen.<\/p>\n\n\n\n

<\/p>\n\n\n\n

<\/p>\n\n\n\n

Datenschutzvorf\u00e4lle  (<\/em><\/strong>OBSERVAR Modul Datenschutzvorf\u00e4lle<\/span>)<\/em><\/strong>
Tritt eine Datenschutzverletzung ein (Datenschutzvorfall) m\u00fcssen Meldepflichten eingehalten werden:
\u2003\u2003- Interne Alarmierung bei Datenschutzvorf\u00e4llen.
\u2003\u2003- Innerhalb von 72 Stunden allf\u00e4llige Meldung an den Eidgen\u00f6ssischen Datenschutz- und \u00d6ffentlichkeitsbeauftragten (ED\u00d6B).
\u2003\u2003- Pr\u00fcfung ob die betroffenen Personen zu informieren sind.
\u2003\u2003- Dokumentation der Vorgehensweise und Erf\u00fcllung der Informationspflichten<\/p>\n\n\n\n

<\/p>\n\n\n\n

<\/p>\n\n\n\n

DSV Art. 4 + 5<\/strong>
Spezialfall \u00abProtokollierung\u00bb sowie Spezialfall \u00abBearbeitungsreglement\u00bb
gilt f\u00fcr besonders sch\u00fctzenswerte Personendaten mit automatisierter Bearbeitung oder Profiling mit hohem Risiko
(s. grosses OBSERVAR Summary)<\/strong><\/p>\n\n\n\n

<\/p>\n\n\n\n

DSG 21<\/strong>
Spezialfall Informationspflicht bei einer automatisierten Einzelentscheidung
<\/strong>Ist f\u00fcr die meisten Industrieunternehmungen nicht relevant:
Nur falls:  Entscheidungen mit einer Rechtsfolge werden automatisiert getroffen\u2026<\/p>\n\n\n\n

<\/p>\n\n\n\n

DSG 22<\/strong>
Spezialfall Datenschutz-Folgenabsch\u00e4tzung
<\/strong>Ist f\u00fcr die meisten Industrieunternehmungen selten relevant:
Falls eine geplante Bearbeitung ein hohes Risiko f\u00fcr die Pers\u00f6nlichkeit oder die Grundrechte betroffener Personen mit sich bringen kann – muss vorg\u00e4ngig eine Datenschutz-Folgenabsch\u00e4tzung erstellt werden. (z.B. umfangreiche Bearbeitung besonders sch\u00fctzenswerter Personendaten; oder systematische \u00dcberwachung \u00f6ffentlicher Bereiche).<\/p>\n\n\n\n

<\/p>\n\n\n\n

<\/p>\n\n\n\n

Strafbestimmungen gem. Datenschutz Art. 60ff  (Ausschnitt)<\/strong>
\u2003\u2003- Auf Antrag bis CHF 250\u2019000<\/strong>
\u2003\u2003- bei nicht wahrgenommenen Informations- und Auskunftspflichten \/ Mitwirkungspflichten
(Vors\u00e4tzliche Unterlassung oder falsche oder unvollst\u00e4ndige Auskunft)<\/p>\n\n\n\n

<\/p>\n\n\n\n

<\/p>\n\n\n\n

\u00a9 Observar AG, Lindenstrasse 10, CH-6340 Baar \/ Zug,  www.observar.ch<\/a>
OBSERVAR \u00fcbernimmt keinerlei Haftung f\u00fcr unvollst\u00e4ndige oder unrichtige Informationen in diesem Summary.<\/p>\n\n\n\n

<\/p>\n\n\n\n

<\/p>\n\n\n\n

Peter Nauer
Chief Executive Officer
Observar AG
Lindenstrasse 10
CH-6340 Baar \/ Zug, Switzerland

Mobile +41 79 344 75 19
peter.nauer@observar.ch<\/a>
http:\/\/www.observar.ch<\/a>
<\/p>\n","protected":false},"excerpt":{"rendered":"

Summary zum CH Datenschutz-Gesetz 2020 DSG    Bundesgesetz \u00fcber den Datenschutz (Datenschutzgesetz, DSG) vom 25. September 2020 DSV    Verordnung \u00fcber den Datenschutz  (Datenschutzverordnung, DSV) vom 31. August 2022 DSV-E Verordnung \u00fcber den Datenschutz  (Datenschutzverordnung, DSV) vom 31. August 2022  (Erl\u00e4uternder Bericht) Art. 2 EU DSGVO  \u00abSachlicher Anwendungsbereich\u00bb  – keine konkrete Beschreibung in CH-Gesetz und CH-VerordnungDiese Verordnung […]<\/p>\n","protected":false},"author":1,"featured_media":0,"parent":0,"menu_order":0,"comment_status":"closed","ping_status":"closed","template":"page-full.php","meta":{"footnotes":""},"class_list":["post-924","page","type-page","status-publish","hentry"],"_links":{"self":[{"href":"https:\/\/observar.ch\/en\/wp-json\/wp\/v2\/pages\/924","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/observar.ch\/en\/wp-json\/wp\/v2\/pages"}],"about":[{"href":"https:\/\/observar.ch\/en\/wp-json\/wp\/v2\/types\/page"}],"author":[{"embeddable":true,"href":"https:\/\/observar.ch\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/observar.ch\/en\/wp-json\/wp\/v2\/comments?post=924"}],"version-history":[{"count":11,"href":"https:\/\/observar.ch\/en\/wp-json\/wp\/v2\/pages\/924\/revisions"}],"predecessor-version":[{"id":946,"href":"https:\/\/observar.ch\/en\/wp-json\/wp\/v2\/pages\/924\/revisions\/946"}],"wp:attachment":[{"href":"https:\/\/observar.ch\/en\/wp-json\/wp\/v2\/media?parent=924"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}