Das DSG gilt für die Bearbeitung von Personendaten natürlicher Personen durch private Personen und Bundesorgane. Anders als die DSGVO gilt das DSG nicht für juristische Personen. Eine bewusste schweizerische Gesetzgebungsentscheidung. Das revidierte Gesetz führte erweiterte Anforderungen an Auftragsbearbeiter ein, obligatorische Meldung von Datenschutzverletzungen an den EDÖB (Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter) gemäss Art. 24, gestärkte Rechte der betroffenen Personen einschliesslich Auskunftsrecht (Art. 25) und eine Pflicht zur Führung eines Verzeichnisses der Bearbeitungstätigkeiten (Art. 12).
Wichtige Artikel für die Dokumentverarbeitung: Art. 6 (Bearbeitungsgrundsätze: Verhältnismässigkeit, Zweckbindung, Richtigkeit), Art. 7 (Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen), Art. 8 (Datensicherheit, angemessene technische und organisatorische Massnahmen), Art. 16-17 (grenzüberschreitende Datenbekanntgabe mit angemessenem Schutz). Verletzungen von Kernbestimmungen können strafrechtliche Sanktionen von bis zu CHF 250'000 gegen die verantwortliche natürliche Person nach sich ziehen. Ein deutlicher Unterschied zum DSGVO-Modell administrativer Bussen gegen Organisationen.
Für Anwaltskanzleien und Rechtsabteilungen hat das DSG direkte Auswirkungen auf den Workflow. Klientenakten enthalten besonders schützenswerte Personendaten (Art. 5(c): Gesundheitsdaten, Daten über verwaltungs- und strafrechtliche Verfahren). Die Weitergabe von Dokumenten an Gegenparteien, Gerichte oder Drittanbieter stellt eine Datenbekanntgabe dar, die eine Rechtsgrundlage erfordert. Anonymisierung vor Veröffentlichung oder Weitergabe ist ein primärer Compliance-Mechanismus.
DocIQ-Produkte sind mit DSG-Compliance konzipiert. Sphere operiert auf CH/EU-gehosteter Infrastruktur mit organisationsbezogenem Datenzugriff und erfüllt damit die Datensicherheitsanforderungen von Art. 8. Shields Zero-Persistence-Architektur bedeutet, dass Personendaten in Dokumenten nie gespeichert werden. Das eliminiert Aufbewahrungspflichten nach Art. 6(4) und vereinfacht die Analyse bei Datenschutzverletzungen, weil es keine gespeicherten Daten gibt, die verletzt werden könnten.