Neues Datenschutzgesetz in der Schweiz ab September 2023

Im September 2023 tritt das neue Datenschutzgesetz (revDSG) in der Schweiz in Kraft. Wir erklären Ihnen, was Sie alles wissen müssen!

Das aktuelle Datenschutzgesetz in der Schweiz stammt noch aus dem Jahr 1992. Damals gab es noch kein Google (Gründung 04. September 1998) und generell steckte das Internet noch in den Kinderschuhen. Daher ist es naheliegend, dass das aktuelle Gesetz veraltet ist und überarbeitet werden musste.

Für viele Websitebetreiber ist das Thema Datenschutz ein leidiges Thema. Aber drehen Sie den Spiess einmal um. Möchten Sie, dass Ihre sensiblen Personendaten, wenn Sie eine Website besuchen, an vielen anderen Orten veröffentlicht werden?

Zweck des neuen Datenschutzgesetzes in der Schweiz

In der Herbstsession im Jahr 2020 hat das Parlament das neue Bundesgesetz betreffend den Datenschutz verabschiedet. Der Sinn liegt in der Verbesserung der Verarbeitung von persönlichen Daten und gewährt zugleich den Internetnutzern neue Rechte. Mit diesen Veränderungen gehen auch weitere Verpflichtungen für Unternehmer und Websitebetreiber einher.
Das neue Datenschutzgesetz tritt am 1. September 2023 in Kraft. Eine Übergangsbestimmung gibt es nicht. Das bedeutet, dass das Gesetz ohne Ausnahme ab diesem Datum greift. Eine Aussage wie «ich habe das alles nicht gewusst» gilt dann nicht mehr.

Das überarbeitete Gesetz soll bewirken, dass der freie Datenverkehr mit der EU ebenfalls erhalten werden kann, so dass v.a. Schweizer Unternehmen wettbewerbsfähig bleiben können. Nach Änderung des Gesetzes ähnelt das Schweizer Datenschutzgesetz sehr der DSGVO (Datenschutzgrundverordnung), die in der EU gilt, ist ihr aber nicht in allen Punkten gleich.

Welches sind die wichtigsten Veränderungen?

Veränderungen Datenschutz Schweiz

Nachfolgend die wichtigsten Veränderungen Datenschutz Schweiz

Neuer Geltungsbereich

Ähnlich wie die DSGVO beschränkt sich auch das neue Datenschutzgesetz ausschließlich auf die Daten von natürlichen Personen. Daten von juristischen Personen sind künftig nicht mehr betroffen.
Für Unternehmen bedeutet dies, dass sie sich selbst als Betrieb nicht mehr auf dieses Gesetz berufen können. Unternehmen finden ihre Rechte aber nach wie vor in Gesetzesbüchern, welche sich auf Firmenrechte beziehen.

Erweiterung von schützenswerten Daten

Neu werden auch genetische und biometrische Daten in die Definition der besonders schützenswerten Daten aufgenommen.
Zu genetischen Daten gehören sämtliche Informationen über eine Person, die zu den ererbten oder erworbenen genetischen Eigenschaften gehören. Durch solche Daten sind Rückschlüsse auf die körperliche Eigenschaft und die Gesundheit einer Person ermittelbar. DNS-Proben oder ähnliches fallen beispielsweise in diese Kategorie.
Biometrische Daten sind noch weiter gefasst. Dabei handelt es sich um Informationen über eine Person, die mit speziellen technischen Verfahren gewonnen werden müssen. Ein Beispiel für biometrische Daten sind Fingerabdrücke, um ein Smartphone zu entsperren oder der Retina-Scan.
Mit diesem Punkt werden natürliche Personen in Sachen Datenschutz stärker geschützt. Bisher galten als «besonders schützenswerte Daten» zum Beispiel die Ausführungen über die Herkunft einer Person, gesundheitsrelevante Aspekte oder die Angaben betreffend Religionszugehörigkeit oder politische Meinungen.

Verbesserte Transparenz

Neu haben Unternehmen eine weitergehende Informationspflicht gegenüber natürlichen Personen als bisher. Gemäß dem neuen Datenschutzgesetz müssen Unternehmen die betroffenen Personen nun über jede Datenbeschaffung angemessen informieren und nicht mehr nur wie bisher über besonders schützenswerte Daten. Dies gilt auch dann, wenn die Daten nicht beim Betroffenen selbst erhoben werden.
Den betroffenen Personen müssen sowohl die Identität als auch die Kontaktdaten des für die Datenverarbeitung zuständigen Mitarbeiters mitgeteilt werden. Ebenso muss über den Bearbeitungszweck, die Kategorien von Empfängern und das Empfängerland bei Datenexport ins Ausland informiert werden.

Verzeichnis der Bearbeitungstätigkeiten

Unternehmen sind neu verpflichtet ein Verzeichnis der Bearbeitungstätigkeiten mit den vorgeschriebenen Angaben zu führen. Das Gesetz sieht jedoch Ausnahmen für KMUs vor (bis zu 250 Mitarbeiter), deren Datenbearbeitung nur ein geringes Risiko der Persönlichkeitsverletzung von betroffenen Personen nach sich zieht.

Folgenabschätzungen des Datenschutzes

Neu muss eine Datenschutz-Folgenabschätzung durchgeführt werden, wenn die Datenbearbeitung ein hohes Risiko für die Persönlichkeit und/oder das Grundrecht der betroffenen Personen mit sich bringen könnte. Diese Folgenabschätzung muss zwingend dokumentiert werden.

"Profiling" als Begriff

Der Begriff «Profiling» wurde ebenfalls im neuen Datenschutzgesetz aufgenommen.
Als Profiling werden Kundendaten beschrieben, welche automatisiert verarbeitet werden, um persönliche Aspekte wie z.B. die wirtschaftliche Lage, Gesundheit, Interessen, Verhalten usw. zu bewerten. Im Gegensatz zur DSGVO sieht das neue Datenschutzgesetz in der Schweiz keine allgemeine Pflicht zur Einholung einer Bewilligung vor. Die Pflicht einer Bewilligung besteht nur bei Profiling mit hohem Risiko.

Rasche Meldung bei Datenschutzverletzung

Neu ist auch die Pflicht, eine mögliche Datensicherheitsverletzung zu melden. Die Meldung ist an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) zu richten. Eine Verletzung der Datensicherheit liegt bei unbeabsichtigtem oder widerrechtlichem Verlieren, Löschen, Vernichten oder Verändern von Personendaten vor oder wenn die Personendaten unbefugten Dritten zugänglich gemacht wurden. Eine Meldung muss nur dann erfolgen, wenn die Verletzung voraussichtlich zu einem hohen Risiko für die betroffenen Personen führt (vgl. DSGVO, wobei ein einfaches Risiko bereits genügt).

Privacy-by-Design und Privacy-by-Default

“Privacy-by-Design” = Datenschutz durch Technik
«Privacy-by-Default» = Datenschutzfreundliche Voreinstellungen

Diese beiden Begriffe werden neu ebenfalls im Datenschutzgesetz verankert. Um diese beiden wichtigen Begriffe zu erläutern, haben wir einen eigenen Artikel verfasst.

Welches sind die wichtigsten Veränderungen

Fragen und Antworten zum neuen Datenschutzgesetz

Fragen und Antworten

Wir beantworten die häufigsten Fragen zum Thema neues Datenschutzgesetz in der Schweiz

Worum geht es beim neuen Datenschutzgesetz?

Im neuen Datenschutzgesetz werden sich einige Punkte ändern. Die zwei wichtigsten Änderungen liegen darin, dass einerseits nicht mehr nur das Unternehmen selbst, sondern auch die verantwortliche Person (Inhaber oder Mitarbeiter) Ziel eines Strafverfahrens sein kann, sollte gegen das Datenschutzgesetz verstossen werden und andererseits, dass der Geltungsbereich des revidierten DSG sich wie die DSGVO auf den Datenschutz natürlicher Personen beschränkt, statt wie bisher auch auf Daten juristischer Personen.

Wann wird das neue Datenschutzgesetz eingeführt?

Das neue Gesetz tritt am 1. September 2023 in Kraft.

Gibt es eine sogenannte Übergangsbestimmung?

Nein, ab dem 1. September 2023 müssen sämtliche Unternehmungen die Bestimmungen des neuen Gesetzes erfüllen.

Kann ich mich auch erst nach der Einführung des neuen Gesetzes um den Datenschutz kümmern?

Nein. Bereits heute, nach dem bisherigen Gesetz, sind viele Unternehmen erhöhten Datenschutzanforderungen ausgesetzt. Dabei denken wir vor allem an Unternehmen, die einen starken Bezug zur EU haben, resp. Kunden aus der EU beliefern. Diese müssen sich an die Regeln des DSGVO halten. Auch Schweizer Unternehmen, die ausschließlich in der Schweiz tätig sind, müssen sich auf das neue Datenschutzgesetz vorbereiten. Eine Übergangsfrist gibt es nicht. Das heißt, dass sich ab dem festgelegten Datum alle Unternehmen ausnahmslos an das neue Gesetz halten müssen.

Welche Konsequenzen erwarten mich bei Missachtung des neuen Datenschutzgesetzes?

Im Fokus stehen Bussen bis zu einer Höhe von Fr. 250’000.00. Diese Androhung trifft jeden Mitarbeitenden (insbesondere leitende Mitarbeitende, die für den Datenschutz im Unternehmen verantwortlich sind), der vorsätzlich oder grobfahrlässig gegen das Gesetz verstösst. Vorsätzlich gegen das Datenschutzgesetz verstösst, wer keine Maßnahmen zu den Themen Informationspflichten, Auskunftsersuchen, technische und organisatorische Maßnahmen und internationale Datentransfers trifft und eine Datenschutzverletzung bewusst in Kauf nimmt.
Strafbar ist ebenfalls der sogenannte «Eventualvorsatz» (= eine Verletzung bewusst in Kauf nehmen). Dies ist dann der Fall, wenn Sie nach Inkrafttreten des neuen Gesetzes keine Maßnahmen – sei es auch aus Unwissenheit – getroffen haben und gegen das neue Gesetz verstossen.

Wie groß ist das Risiko, dass ich mit meinem Unternehmen gegen das neue Datenschutzgesetz verstoße?

Sobald Sie sensible Kundendaten erfassen und noch überhaupt keine Vorkehrungen betreffend den Datenschutz getroffen haben, ist das Risiko gross, dass Sie gegen das neue Datenschutzgesetz verstossen. Wir raten Ihnen deshalb, rechtzeitig Maßnahmen zur Umsetzung des neuen Gesetzes zu ergreifen.

Wer kann mich bei der Aufsichtsbehörde anzeigen, falls ich gegen das neue Datenschutzgesetz verstoße?

Sobald die Aufsichtsbehörden unregelmässige Aktivitäten feststellen, werden sie von selbst aktiv. Aber auch Kundinnen und Kunden, wie auch Mitbewerbende oder die Behören können eine Untersuchung gegen eine mögliche Datenschutzverletzung fordern und im schlimmsten Fall Strafanzeige stellen.

Muss ich zwingend ein Impressum auf meiner Unternehmenswebsite hinterlegen?

Seit dem Jahr 2012 gilt in der Schweiz eine Impressumspflicht gemäß dem Bundesgesetz gegen unlauteren Wettbewerb. Unlauter handelt gemäß diesem Bundesgesetz nach Art. 3, Abs. 1 lit. s, wer Waren, Werke oder Leistungen im elektronischen Geschäftsverkehr anbietet und es dabei unterlässt, klare und vollständige Angaben über seine Identität und seine Kontaktadresse einschließlich derjenigen der elektronischen Post zu machen.
Im Klartext bedeutet das, dass auf jeder Website, welche nicht rein zu Informationszwecken gedacht ist, mit einem Impressum versehen werden muss.
Folgende Inhalte müssen in einem Impressum enthalten sein: Name der Firma (gemäß Handelsregister), Adresse, PLZ und Ort, E-Mailadresse und Telefonnummer (optional).

Und wie sieht es mit der Datenschutzerklärung aus?

Sobald Personendaten in irgendeiner Form erhoben werden, ist auch eine Datenschutzerklärung Pflicht. In dieser Datenschutzerklärung werden die Besucher Ihrer Website über sämtliche Bearbeitungen ihrer jeweiligen Daten informiert. Mit Personendaten müssen nicht nur Daten wie Namen, Adressen, Telefonnummern, usw. gemeint sein; auch IP-Adressen zählen bereits zu den personenbezogenen Daten, die fast ausnahmslos auf jeder Website weiterverarbeitet werden. Grund dafür sind Tracking-Tools wie Kontaktformulare, Google Analytics, Social Media Plugins oder Cookies.

Mit einer Datenschutzerklärung, die auf Ihr Unternehmen und Ihre Tätigkeit ausgerichtet ist, sind Sie auf jeden Fall auf der sicheren Seite. Wenn Sie Hilfe beim Erstellen einer Datenschutzerklärung haben, können wir Ihnen gerne weiterhelfen. Andernfalls können Sie auch einen Datenschutzgenerator verwenden. Seien Sie aber vorsichtig, nicht alle Generatoren sind rechtlich abgesichert. Im Zweifelsfall lassen Sie Ihre Datenschutzerklärung von einem Juristen prüfen.

Wie sieht es mit dem Cookie-Banner aus?

In der EU, seit dem Einsatz der aktuellen DSGVO, ist es Pflicht, einen Cookie-Banner auf der Website zu implementieren. Gemäß der EU-Cookie-Richtlinie bedarf es einer konkreten Einwilligung «Opt-In» zur Verwendung von Cookies. Der Nutzer muss dabei wählen können, ob er sämtliche Cookies ablehnen, nur die essenziellen Cookies zulassen möchte, oder ob er die Verwendung sämtlicher Cookies akzeptiert.

ACHTUNG: In der DSVGO gilt das sogenannte Marktortprinzip. Das bedeutet, dass auch Unternehmen außerhalb der EU (z.B. Schweizer Unternehmen), die Kunden in der EU beliefern, der DSGVO unterstellt sind. Daher ist in diesem Fall ein Cookie-Banner sehr zu empfehlen.

Aber es gibt auch gute Nachrichten. Das neue Datenschutzgesetz in der Schweiz bringt keine Cookie-Banner-Pflicht mit sich. Diese sind weiterhin nur erforderlich, wenn Sie sich an die DSGVO (siehe oben) halten müssen.

Fazit

Die Schweiz übernimmt mit dem neuen Datenschutzgesetz ab dem 01. September 2023 nicht komplett alle Punkte der DSGVO, die im EU-Raum herrscht, sondern gleicht sich ihr lediglich an, um den Schweizer Unternehmen den europäischen Wirtschaftsraum nicht zu verwehren.
Sie dürfen nach dem neuen Gesetz weiterhin Personendaten im Zusammenhang mit Ihrer Website bearbeiten. Die Bearbeitung ist nicht wie im EU-Raum nur ausnahmsweise erlaubt. Außerdem müssen Sie betroffene Personen nur in Ausnahmefällen um eine Einwilligung ersuchen. Sie müssen die betroffenen Personen lediglich ausreichend über die Verwendung ihrer Daten informieren (siehe Datenschutzerklärung).