Privacy by Design und Privacy by Default: Neue Anforderungen gemäss Datenschutzgesetz (DSG)

Mit der letzten Revision des Datenschutzgesetzes (DSG) von 2023 sind Unternehmen mit einer Reihe neuer Anforderungen konfrontiert, darunter zwei zentrale Prinzipien: Privacy by Design und Privacy by Default. Diese Prinzipien fordern ein proaktives Vorgehen beim Schutz personenbezogener Daten und sind entscheidend, um Bussgelder und rechtliche Konsequenzen zu vermeiden. Was bedeuten sie, wie setzen Unternehmen sie um, und was passiert, wenn sie missachtet werden?

Die rechtliche Grundlage

Artikel 7 Datenschutzgesetz (DSG) verankert die Prinzipien „Datenschutz durch Technikgestaltung“ und „Datenschutz durch datenschutzfreundliche Voreinstellungen“. Diese beiden Regelungen sind bereits in Artikel 25 der DSGVO (Datenschutz-Grundverordnung) festgelegt. Sie sollen sicherstellen, dass Datenschutzmassnahmen bereits bei der Entwicklung von Technologien berücksichtigt werden (Privacy by Design) und dass die Standardeinstellungen von Diensten und Systemen möglichst datenschutzfreundlich sind (Privacy by Default).

Was bedeuten Privacy by Design und Privacy by Default?

Privacy by Design

Privacy by Design bedeutet, dass Datenschutz von Anfang an in die Gestaltung von Produkten, Dienstleistungen und Prozessen eingebaut wird. Unternehmen sollen sicherstellen, dass Systeme von Beginn an datenschutzfreundlich entwickelt werden, statt Schutzmassnahmen erst im Nachhinein hinzuzufügen. Ziel ist es, Risiken proaktiv zu minimieren und Datenschutz als Standard in alle Phasen eines Projekts zu integrieren.

Privacy by Default

Privacy by Default stellt sicher, dass Produkte und Dienstleistungen standardmässig die höchsten Datenschutzeinstellungen verwenden. Nutzer müssen nichts aktiv tun, um ihre Daten zu schützen – der Schutz wird automatisch gewährleistet. Nur die Daten, die wirklich notwendig sind, dürfen verarbeitet werden, und weitere Einstellungen oder Freigaben müssen aktiv vom Nutzer erfolgen.

Wie setzen Unternehmen diese Prinzipien um?

• Datenschutzfreundliche Technologieentwicklung: Unternehmen sollten schon in der Entwicklungsphase von Software und Produkten auf Datenschutz achten, zum Beispiel durch Verschlüsselung, Pseudonymisierung oder Minimierung der Datenverarbeitung.
• Prozesse für Datenschutz-Compliance: Ein internes Kontrollsystem stellt sicher, dass bei neuen Projekten datenschutzrechtliche Aspekte frühzeitig geprüft werden. Datenschutz-Folgenabschätzungen können helfen, Risiken zu erkennen und zu minimieren.
• Schulungen und Sensibilisierung: Mitarbeitende müssen geschult werden, um Datenschutzrichtlinien im Tagesgeschäft umzusetzen. Nur so wird das Bewusstsein für die Wichtigkeit von Privacy by Design und Default gestärkt.
• Standardmässige Datenschutzeinstellungen: Dienste sollten so voreingestellt sein, dass sie möglichst wenig Daten erfassen. Beispiel: Social-Media-Plattformen könnten Profile standardmässig auf „privat“ setzen.

Was passiert, wenn Unternehmen diese Prinzipien nicht einhalten?

Das revidierte DSG sieht bei Verstoss gegen die Prinzipien klare Sanktionen vor:

• Bussgelder: Unternehmen riskieren Geldstrafen von bis zu 250.000 Schweizer Franken für Verstösse gegen Datenschutzvorgaben.
• Imageschaden: Datenschutzverletzungen können das Vertrauen der Kunden und Partner nachhaltig beeinträchtigen.
• Rechtliche Schritte: Betroffene Personen können rechtliche Schritte einleiten, um ihre Rechte durchzusetzen, darunter können auch Schadenersatzklagen fallen.

Die Durchsetzung dieser Prinzipien ist nicht optional. Unternehmen, die gegen Privacy by Design oder Default verstossen, riskieren nicht nur hohe Kosten, sondern auch erhebliche Reputationsverluste.

Fazit: Jetzt handeln!

Privacy by Design und Privacy by Default sind nicht nur technische oder organisatorische Anforderungen, sondern auch rechtlich verbindliche Prinzipien gemäss dem revidierten DSG. Wer diese Grundsätze ignoriert, verstösst gegen das Gesetz und riskiert erhebliche rechtliche Konsequenzen, darunter empfindliche Geldstrafen und Haftungsansprüche von betroffenen Personen.

Es ist daher unabdingbar, diese Prinzipien frühzeitig und umfassend in den Betrieb zu integrieren, um die eigenen Geschäftsprozesse datenschutzkonform zu gestalten und rechtliche Risiken zu minimieren. Durch eine proaktive Umsetzung sichern Unternehmen nicht nur ihre Compliance, sondern stärken auch das Vertrauen ihrer Kunden und Partner.

Bleibe mit den neuesten Einblicken zu Gesetzesänderungen und Dokumentensicherheit informiert! Abonniere jetzt unseren Newsletter, um exklusive Updates, Expertenanalysen und aktuelle Entwicklungen direkt in dein Postfach zu erhalten. Verpasse nicht die Gelegenheit, dein Wissen zu erweitern und stets auf dem Laufenden zu bleiben.

Bitte beachte, dass der Inhalt möglicherweise mit Hilfe von KI generiert wurde. Die redaktionellen Inhalte von Reto stellen keine Anlageberatung, Kaufempfehlung oder Rechtsberatung dar.