Datenschutzgesetz Schweiz

Ähnlich wie die DSGVO beschränkt sich auch das neue Datenschutzgesetz ausschließlich auf die Daten von natürlichen Personen. Daten von juristischen Personen sind künftig nicht mehr betroffen.
Für Unternehmen bedeutet dies, dass sie sich selbst als Betrieb nicht mehr auf dieses Gesetz berufen können. Unternehmen finden ihre Rechte aber nach wie vor in Gesetzesbüchern, welche sich auf Firmenrechte beziehen.

Neu werden auch genetische und biometrische Daten in die Definition der besonders schützenswerten Daten aufgenommen.
Zu genetischen Daten gehören sämtliche Informationen über eine Person, die zu den ererbten oder erworbenen genetischen Eigenschaften gehören. Durch solche Daten sind Rückschlüsse auf die körperliche Eigenschaft und die Gesundheit einer Person ermittelbar. DNS-Proben oder ähnliches fallen beispielsweise in diese Kategorie.
Biometrische Daten sind noch weiter gefasst. Dabei handelt es sich um Informationen über eine Person, die mit speziellen technischen Verfahren gewonnen werden müssen. Ein Beispiel für biometrische Daten sind Fingerabdrücke, um ein Smartphone zu entsperren oder der Retina-Scan.
Mit diesem Punkt werden natürliche Personen in Sachen Datenschutz stärker geschützt. Bisher galten als «besonders schützenswerte Daten» zum Beispiel die Ausführungen über die Herkunft einer Person, gesundheitsrelevante Aspekte oder die Angaben betreffend Religionszugehörigkeit oder politische Meinungen.

Neu haben Unternehmen eine weitergehende Informationspflicht gegenüber natürlichen Personen als bisher. Gemäß dem neuen Datenschutzgesetz Schweiz müssen Unternehmen die betroffenen Personen nun über jede Datenbeschaffung angemessen informieren und nicht mehr nur wie bisher über besonders schützenswerte Daten. Dies gilt auch dann, wenn die Daten nicht beim Betroffenen selbst erhoben werden.
Den betroffenen Personen müssen sowohl die Identität als auch die Kontaktdaten des für die Datenverarbeitung zuständigen Mitarbeiters mitgeteilt werden. Ebenso muss über den Bearbeitungszweck, die Kategorien von Empfängern und das Empfängerland bei Datenexport ins Ausland informiert werden.

Unternehmen sind neu verpflichtet ein Verzeichnis der Bearbeitungstätigkeiten mit den vorgeschriebenen Angaben zu führen. Das Gesetz sieht jedoch Ausnahmen für KMUs vor (bis zu 250 Mitarbeiter), deren Datenbearbeitung nur ein geringes Risiko der Persönlichkeitsverletzung von betroffenen Personen nach sich zieht.

Neu muss eine Datenschutz-Folgenabschätzung durchgeführt werden, wenn die Datenbearbeitung ein hohes Risiko für die Persönlichkeit und/oder das Grundrecht der betroffenen Personen mit sich bringen könnte. Diese Folgenabschätzung muss zwingend dokumentiert werden.

Der Begriff «Profiling» wurde ebenfalls im neuen Datenschutzgesetz Schweiz aufgenommen.
Als Profiling werden Kundendaten beschrieben, welche automatisiert verarbeitet werden, um persönliche Aspekte wie z.B. die wirtschaftliche Lage, Gesundheit, Interessen, Verhalten usw. zu bewerten. Im Gegensatz zur DSGVO sieht das neue Datenschutzgesetz in der Schweiz keine allgemeine Pflicht zur Einholung einer Bewilligung vor. Die Pflicht einer Bewilligung besteht nur bei Profiling mit hohem Risiko.

Neu ist auch die Pflicht, eine mögliche Datensicherheitsverletzung zu melden. Die Meldung ist an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) zu richten. Eine Verletzung der Datensicherheit liegt bei unbeabsichtigtem oder widerrechtlichem Verlieren, Löschen, Vernichten oder Verändern von Personendaten vor oder wenn die Personendaten unbefugten Dritten zugänglich gemacht wurden. Eine Meldung muss nur dann erfolgen, wenn die Verletzung voraussichtlich zu einem hohen Risiko für die betroffenen Personen führt (vgl. DSGVO, wobei ein einfaches Risiko bereits genügt).

“Privacy-by-Design” = Datenschutz durch Technik
«Privacy-by-Default» = Datenschutzfreundliche Voreinstellungen

Diese beiden Begriffe werden neu ebenfalls im Datenschutzgesetz verankert. Um diese beiden wichtigen Begriffe zu erläutern, haben wir einen eigenen Artikel verfasst.

Im neuen Datenschutzgesetz werden sich einige Punkte ändern. Die zwei wichtigsten Änderungen liegen darin, dass einerseits nicht mehr nur das Unternehmen selbst, sondern auch die verantwortliche Person (Inhaber oder Mitarbeiter) Ziel eines Strafverfahrens sein kann, sollte gegen das Datenschutzgesetz verstossen werden und andererseits, dass der Geltungsbereich des revidierten DSG sich wie die DSGVO auf den Datenschutz natürlicher Personen beschränkt, statt wie bisher auch auf Daten juristischer Personen.

Das neue Gesetz tritt am 1. September 2023 in Kraft.

Nein, ab dem 1. September 2023 müssen sämtliche Unternehmungen die Bestimmungen des neuen Gesetzes erfüllen.

Nein. Bereits heute, nach dem bisherigen Gesetz, sind viele Unternehmen erhöhten Datenschutzanforderungen ausgesetzt. Dabei denken wir vor allem an Unternehmen, die einen starken Bezug zur EU haben, resp. Kunden aus der EU beliefern. Diese müssen sich an die Regeln des DSGVO halten. Auch Schweizer Unternehmen, die ausschließlich in der Schweiz tätig sind, müssen sich auf das neue Datenschutzgesetz vorbereiten. Eine Übergangsfrist gibt es nicht. Das heißt, dass sich ab dem festgelegten Datum alle Unternehmen ausnahmslos an das neue Gesetz halten müssen.

Im Fokus stehen Bussen bis zu einer Höhe von Fr. 250’000.00. Diese Androhung trifft jeden Mitarbeitenden (insbesondere leitende Mitarbeitende, die für den Datenschutz im Unternehmen verantwortlich sind), der vorsätzlich oder grobfahrlässig gegen das Gesetz verstösst. Vorsätzlich gegen das Datenschutzgesetz verstösst, wer keine Maßnahmen zu den Themen Informationspflichten, Auskunftsersuchen, technische und organisatorische Maßnahmen und internationale Datentransfers trifft und eine Datenschutzverletzung bewusst in Kauf nimmt.
Strafbar ist ebenfalls der sogenannte «Eventualvorsatz» (= eine Verletzung bewusst in Kauf nehmen). Dies ist dann der Fall, wenn du nach Inkrafttreten des neuen Gesetzes keine Maßnahmen – sei es auch aus Unwissenheit – getroffen hast und gegen das neue Gesetz verstösst.

Sobald du sensible Kundendaten erfasst und noch überhaupt keine Vorkehrungen betreffend den Datenschutz getroffen hast, ist das Risiko gross, dass du gegen das neue Datenschutzgesetz verstösst. Wir raten dir deshalb, rechtzeitig Maßnahmen zur Umsetzung des neuen Gesetzes zu ergreifen.

Sobald die Aufsichtsbehörden unregelmässige Aktivitäten feststellen, werden sie von selbst aktiv. Aber auch Kundinnen und Kunden, wie auch Mitbewerbende oder die Behörden können eine Untersuchung gegen eine mögliche Datenschutzverletzung fordern und im schlimmsten Fall Strafanzeige stellen.

Seit dem Jahr 2012 gilt in der Schweiz eine Impressumspflicht gemäß dem Bundesgesetz gegen unlauteren Wettbewerb. Unlauter handelt gemäß diesem Bundesgesetz nach Art. 3, Abs. 1 lit. s, wer Waren, Werke oder Leistungen im elektronischen Geschäftsverkehr anbietet und es dabei unterlässt, klare und vollständige Angaben über seine Identität und seine Kontaktadresse einschließlich derjenigen der elektronischen Post zu machen.
Im Klartext bedeutet das, dass auf jeder Website, welche nicht rein zu Informationszwecken gedacht ist, mit einem Impressum versehen werden muss.
Folgende Inhalte müssen in einem Impressum enthalten sein: Name der Firma (gemäß Handelsregister), Adresse, PLZ und Ort, E-Mailadresse und Telefonnummer (optional).

Sobald Personendaten in irgendeiner Form erhoben werden, ist auch eine Datenschutzerklärung Pflicht. In dieser Datenschutzerklärung werden die Besucher deiner Website über sämtliche Bearbeitungen ihrer jeweiligen Daten informiert. Mit Personendaten müssen nicht nur Daten wie Namen, Adressen, Telefonnummern, usw. gemeint sein; auch IP-Adressen zählen bereits zu den personenbezogenen Daten, die fast ausnahmslos auf jeder Website weiterverarbeitet werden. Grund dafür sind Tracking-Tools wie Kontaktformulare, Google Analytics, Social Media Plugins oder Cookies.

Mit einer Datenschutzerklärung, die auf dein Unternehmen und deine Tätigkeit ausgerichtet ist, bist du auf jeden Fall auf der sicheren Seite. Wenn du Hilfe beim Erstellen einer Datenschutzerklärung benötigst, können wir dir gerne weiterhelfen. Andernfalls kannst du auch einen Datenschutzgenerator verwenden. Sei aber vorsichtig, nicht alle Generatoren sind rechtlich abgesichert. Im Zweifelsfall lass deine Datenschutzerklärung von einem Juristen prüfen.

In der EU, seit dem Einsatz der aktuellen DSGVO, ist es Pflicht, einen Cookie-Banner auf der Website zu implementieren. Gemäß der EU-Cookie-Richtlinie bedarf es einer konkreten Einwilligung «Opt-In» zur Verwendung von Cookies. Der Nutzer muss dabei wählen können, ob er sämtliche Cookies ablehnen, nur die essenziellen Cookies zulassen möchte, oder ob er die Verwendung sämtlicher Cookies akzeptiert.

ACHTUNG: In der DSVGO gilt das sogenannte Marktortprinzip. Das bedeutet, dass auch Unternehmen außerhalb der EU (z.B. Schweizer Unternehmen), die Kunden in der EU beliefern, der DSGVO unterstellt sind. Daher ist in diesem Fall ein Cookie-Banner sehr zu empfehlen.

Aber es gibt auch gute Nachrichten. Das neue Datenschutzgesetz Schweiz bringt keine Cookie-Banner-Pflicht mit sich. Diese sind weiterhin nur erforderlich, wenn du dich an die DSGVO (siehe oben) halten musst.