Neues Datenschutzgesetz in der Schweiz

Im September 2023 tritt das neue Datenschutzgesetz in der Schweiz in Kraft. Es soll den Schweizer Datenschutz auf das Niveau der EU bringen, der im Mai 2018 in Kraft getreten ist. Wir zeigen dir in diesem Artikel, wie du dich auf die Veränderung vorbereiten kannst und worauf du achten musst.

Warum das neue Gesetz?

Das aktuelle Datenschutzgesetz in der Schweiz stammt noch aus dem Jahr 1992. Damals gab es noch kein Google (Gründung 04. September 1998) und generell steckte das Internet noch in den Kinderschuhen. Daher ist es naheliegend, dass das aktuelle Gesetz veraltet ist und überarbeitet werden musste.

Für viele Website-Betreiber ist das Thema Datenschutz ein leidiges Thema. Aber drehen wir den Spiess einmal um. Möchtest du, dass deine sensiblen Personendaten, wenn du eine Website besuchst, an vielen anderen Orten veröffentlicht werden?

Das neue Datenschutzgesetz in der Schweiz ab September 2023

Zweck des neuen Datenschutzgesetzes in der Schweiz

In der Herbstsession im Jahr 2020 hat das Parlament das neue Bundesgesetz betreffend den Datenschutz Schweiz verabschiedet. Der Sinn liegt in der Verbesserung der Verarbeitung von persönlichen Daten und gewährt zugleich den Internetnutzern neue Rechte. Mit diesen Veränderungen gehen auch weitere Verpflichtungen für Unternehmer und Websitebetreiber einher.

Das neue Datenschutzgesetz tritt am 1. September 2023 in Kraft. Eine Übergangsbestimmung gibt es nicht. Das bedeutet, dass das Gesetz ohne Ausnahme ab diesem Datum greift. Eine Aussage wie «ich habe das alles nicht gewusst» gilt dann nicht mehr.

Das überarbeitete Gesetz soll bewirken, dass der freie Datenverkehr mit der EU ebenfalls erhalten werden kann, so dass v.a. Schweizer Unternehmen wettbewerbsfähig bleiben können. Nach Änderung des Gesetzes ähnelt das Datenschutzgesetz Schweiz sehr der DSGVO (Datenschutzgrundverordnung), die in der EU gilt, ist ihr aber nicht in allen Punkten gleich.

Welches sind die wichtigsten Veränderungen im neuen Datenschutzgesetz der Schweiz

Welches sind die wichtigsten Veränderungen?

Ähnlich wie die DSGVO beschränkt sich auch das neue Datenschutzgesetz ausschliesslich auf die Daten von natürlichen Personen. Daten von juristischen Personen sind künftig nicht mehr betroffen.
Für Unternehmen bedeutet dies, dass sie sich selbst als Betrieb nicht mehr auf dieses Gesetz berufen können. Unternehmen finden ihre Rechte aber nach wie vor in Gesetzesbüchern, welche sich auf Firmenrechte beziehen.

Neu werden auch genetische und biometrische Daten in die Definition der besonders schützenswerten Daten aufgenommen.
Zu genetischen Daten gehören sämtliche Informationen über eine Person, die zu den ererbten oder erworbenen genetischen Eigenschaften gehören. Durch solche Daten sind Rückschlüsse auf die körperliche Eigenschaft und die Gesundheit einer Person ermittelbar. DNS-Proben oder ähnliches fallen beispielsweise in diese Kategorie.
Biometrische Daten sind noch weiter gefasst. Dabei handelt es sich um Informationen über eine Person, die mit speziellen technischen Verfahren gewonnen werden müssen. Ein Beispiel für biometrische Daten sind Fingerabdrücke, um ein Smartphone zu entsperren oder der Retina-Scan.
Mit diesem Punkt werden natürliche Personen in Sachen Datenschutz stärker geschützt. Bisher galten als «besonders schützenswerte Daten» zum Beispiel die Ausführungen über die Herkunft einer Person, gesundheitsrelevante Aspekte oder die Angaben betreffend Religionszugehörigkeit oder politische Meinungen.

Neu haben Unternehmen eine weitergehende Informationspflicht gegenüber natürlichen Personen als bisher. Gemäss dem neuen Datenschutzgesetz Schweiz müssen Unternehmen die betroffenen Personen nun über jede Datenbeschaffung angemessen informieren und nicht mehr nur wie bisher über besonders schützenswerte Daten. Dies gilt auch dann, wenn die Daten nicht beim Betroffenen selbst erhoben werden.
Den betroffenen Personen müssen sowohl die Identität als auch die Kontaktdaten des für die Datenverarbeitung zuständigen Mitarbeiters mitgeteilt werden. Ebenso muss über den Bearbeitungszweck, die Kategorien von Empfängern und das Empfängerland bei Datenexport ins Ausland informiert werden.

Unternehmen sind neu verpflichtet ein Verzeichnis der Bearbeitungstätigkeiten mit den vorgeschriebenen Angaben zu führen. Das Gesetz sieht jedoch Ausnahmen für KMUs vor (bis zu 250 Mitarbeiter), deren Datenbearbeitung nur ein geringes Risiko der Persönlichkeitsverletzung von betroffenen Personen nach sich zieht.

Neu muss eine Datenschutz-Folgenabschätzung durchgeführt werden, wenn die Datenbearbeitung ein hohes Risiko für die Persönlichkeit und/oder das Grundrecht der betroffenen Personen mit sich bringen könnte. Diese Folgenabschätzung muss zwingend dokumentiert werden.

Der Begriff «Profiling» wurde ebenfalls im neuen Datenschutzgesetz Schweiz aufgenommen.
Als Profiling werden Kundendaten beschrieben, welche automatisiert verarbeitet werden, um persönliche Aspekte wie z.B. die wirtschaftliche Lage, Gesundheit, Interessen, Verhalten usw. zu bewerten. Im Gegensatz zur DSGVO sieht das neue Datenschutzgesetz in der Schweiz keine allgemeine Pflicht zur Einholung einer Bewilligung vor. Die Pflicht einer Bewilligung besteht nur bei Profiling mit hohem Risiko.

Neu ist auch die Pflicht, eine mögliche Datensicherheitsverletzung zu melden. Die Meldung ist an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) zu richten. Eine Verletzung der Datensicherheit liegt bei unbeabsichtigtem oder widerrechtlichem Verlieren, Löschen, Vernichten oder Verändern von Personendaten vor oder wenn die Personendaten unbefugten Dritten zugänglich gemacht wurden. Eine Meldung muss nur dann erfolgen, wenn die Verletzung voraussichtlich zu einem hohen Risiko für die betroffenen Personen führt (vgl. DSGVO, wobei ein einfaches Risiko bereits genügt).

“Privacy-by-Design” = Datenschutz durch Technik
«Privacy-by-Default» = Datenschutzfreundliche Voreinstellungen

Diese beiden Begriffe werden neu ebenfalls im Datenschutzgesetz verankert. Um diese beiden wichtigen Begriffe zu erläutern, haben wir einen eigenen Artikel verfasst.

Fragen und Antworten zum neuen Datenschutzgesetz

Im neuen Datenschutzgesetz werden sich einige Punkte ändern. Die zwei wichtigsten Änderungen liegen darin, dass einerseits nicht mehr nur das Unternehmen selbst, sondern auch die verantwortliche Person (Inhaber oder Mitarbeiter) Ziel eines Strafverfahrens sein kann, sollte gegen das Datenschutzgesetz verstossen werden und andererseits, dass der Geltungsbereich des revidierten DSG sich wie die DSGVO auf den Datenschutz natürlicher Personen beschränkt, statt wie bisher auch auf Daten juristischer Personen.

Das neue Gesetz tritt am 1. September 2023 in Kraft.

Nein, ab dem 1. September 2023 müssen sämtliche Unternehmungen die Bestimmungen des neuen Gesetzes erfüllen.

Nein. Bereits heute, nach dem bisherigen Gesetz, sind viele Unternehmen erhöhten Datenschutzanforderungen ausgesetzt. Dabei denken wir vor allem an Unternehmen, die einen starken Bezug zur EU haben, resp. Kunden aus der EU beliefern. Diese müssen sich an die Regeln des DSGVO halten. Auch Schweizer Unternehmen, die ausschliesslich in der Schweiz tätig sind, müssen sich auf das neue Datenschutzgesetz vorbereiten. Eine Übergangsfrist gibt es nicht. Das heisst, dass sich ab dem festgelegten Datum alle Unternehmen ausnahmslos an das neue Gesetz halten müssen.

Im Fokus stehen Bussen bis zu einer Höhe von Fr. 250’000.00. Diese Androhung trifft jeden Mitarbeitenden (insbesondere leitende Mitarbeitende, die für den Datenschutz im Unternehmen verantwortlich sind), der vorsätzlich oder grobfahrlässig gegen das Gesetz verstösst. Vorsätzlich gegen das Datenschutzgesetz verstösst, wer keine Massnahmen zu den Themen Informationspflichten, Auskunftsersuchen, technische und organisatorische Massnahmen und internationale Datentransfers trifft und eine Datenschutzverletzung bewusst in Kauf nimmt.
Strafbar ist ebenfalls der sogenannte «Eventualvorsatz» (= eine Verletzung bewusst in Kauf nehmen). Dies ist dann der Fall, wenn du nach Inkrafttreten des neuen Gesetzes keine Massnahmen – sei es auch aus Unwissenheit – getroffen hast und gegen das neue Gesetz verstösst.

Sobald du sensible Kundendaten erfasst und noch überhaupt keine Vorkehrungen betreffend den Datenschutz getroffen hast, ist das Risiko gross, dass du gegen das neue Datenschutzgesetz verstösst. Wir raten dir deshalb, rechtzeitig Massnahmen zur Umsetzung des neuen Gesetzes zu ergreifen.

Sobald die Aufsichtsbehörden unregelmässige Aktivitäten feststellen, werden sie von selbst aktiv. Aber auch Kundinnen und Kunden, wie auch Mitbewerbende oder die Behörden können eine Untersuchung gegen eine mögliche Datenschutzverletzung fordern und im schlimmsten Fall Strafanzeige stellen.

Seit dem Jahr 2012 gilt in der Schweiz eine Impressumspflicht gemäss dem Bundesgesetz gegen unlauteren Wettbewerb. Unlauter handelt gemäss diesem Bundesgesetz nach Art. 3, Abs. 1 lit. s, wer Waren, Werke oder Leistungen im elektronischen Geschäftsverkehr anbietet und es dabei unterlässt, klare und vollständige Angaben über seine Identität und seine Kontaktadresse einschliesslich derjenigen der elektronischen Post zu machen.
Im Klartext bedeutet das, dass auf jeder Website, welche nicht rein zu Informationszwecken gedacht ist, mit einem Impressum versehen werden muss.
Folgende Inhalte müssen in einem Impressum enthalten sein: Name der Firma (gemäss Handelsregister), Adresse, PLZ und Ort, E-Mailadresse und Telefonnummer (optional).

Sobald Personendaten in irgendeiner Form erhoben werden, ist auch eine Datenschutzerklärung Pflicht. In dieser Datenschutzerklärung werden die Besucher deiner Website über sämtliche Bearbeitungen ihrer jeweiligen Daten informiert. Mit Personendaten müssen nicht nur Daten wie Namen, Adressen, Telefonnummern, usw. gemeint sein; auch IP-Adressen zählen bereits zu den personenbezogenen Daten, die fast ausnahmslos auf jeder Website weiterverarbeitet werden. Grund dafür sind Tracking-Tools wie Kontaktformulare, Google Analytics, Social Media Plugins oder Cookies.

Mit einer Datenschutzerklärung, die auf dein Unternehmen und deine Tätigkeit ausgerichtet ist, bist du auf jeden Fall auf der sicheren Seite. Wenn du Hilfe beim Erstellen einer Datenschutzerklärung benötigst, können wir dir gerne weiterhelfen. Andernfalls kannst du auch einen Datenschutzgenerator verwenden. Sei aber vorsichtig, nicht alle Generatoren sind rechtlich abgesichert. Im Zweifelsfall lass deine Datenschutzerklärung von einem Juristen prüfen.

In der EU, seit dem Einsatz der aktuellen DSGVO, ist es Pflicht, einen Cookie-Banner auf der Website zu implementieren. Gemäss der EU-Cookie-Richtlinie bedarf es einer konkreten Einwilligung «Opt-In» zur Verwendung von Cookies. Der Nutzer muss dabei wählen können, ob er sämtliche Cookies ablehnen, nur die essenziellen Cookies zulassen möchte, oder ob er die Verwendung sämtlicher Cookies akzeptiert.

ACHTUNG: In der DSVGO gilt das sogenannte Marktortprinzip. Das bedeutet, dass auch Unternehmen ausserhalb der EU (z.B. Schweizer Unternehmen), die Kunden in der EU beliefern, der DSGVO unterstellt sind. Daher ist in diesem Fall ein Cookie-Banner sehr zu empfehlen.

Aber es gibt auch gute Nachrichten. Das neue Datenschutzgesetz Schweiz bringt keine Cookie-Banner-Pflicht mit sich. Diese sind weiterhin nur erforderlich, wenn du dich an die DSGVO (siehe oben) halten musst.

Fazit

Die Schweiz übernimmt mit dem neuen Datenschutzgesetz ab dem 01. September 2023 nicht komplett alle Punkte der DSGVO, die im EU-Raum herrschen, sondern gleicht sich ihr lediglich an, um den Schweizer Unternehmen den europäischen Wirtschaftsraum nicht zu verwehren.
Du darfst nach dem neuen Gesetz weiterhin Personendaten im Zusammenhang mit deiner Website bearbeiten. Die Bearbeitung ist nicht wie im EU-Raum nur ausnahmsweise erlaubt. Ausserdem musst du betroffene Personen nur in Ausnahmefällen um eine Einwilligung ersuchen. Du musst die betroffenen Personen lediglich ausreichend über die Verwendung ihrer Daten informieren (siehe Datenschutzerklärung).

Weitere Beiträge, die dich interessieren könnten

Möchtest du uns kennenlernen?

Du bist an unserem Angebot interessiert? Dann lass uns in einem unverbindlichen und kostenlosen Erstgespräch herausfinden, wie wir dir helfen können. Buche jetzt ganz einfach hier deinen Termin – wir freuen uns auf dich!

Termin buchen

Deine Angaben

Dein Erstgespräch - Wie & Wo

Wie und wo soll das Erstgespräch stattfinden? Wenn du aus den Kantonen BS, BL, AG, SO, BE, LU oder ZH bist, kommen wir auch gerne bei dir persönlich vorbei.

Dein Erstgespräch

Bitte gib hier mindestens zwei Terminvorschläge an, die dir am besten passen würden.

Worum geht es genau?

Damit wir uns auf das Gespräch vorbereiten können, bitten wir dich, uns kurz von deinem Projekt zu erzählen. Bitte gib an, worum es bei deinem Projekt geht. (Mehrfachauswahl möglich).