Das neue Schweizer Datenschutzgesetz kommt am 1. September:
Der umfassende Überblick (+ Checklisten und Vorlagen)

Das neue Schweizer Datenschutzgesetz (nDSG) tritt am 1. September 2023 in Kraft. In diesem Blogpost zeigen wir dir, wie du die wichtigsten Massnahmen in deinem Unternehmen jetzt umsetzen kannst.

Wir sind keine Anwälte. Unsere Empfehlungen basieren daher unter anderem auf Stellungnahmen der renommiertesten Schweizer Datenschutz-Anwälte. Unser Ziel war, alle für Unternehmen relevanten Informationen an einem Ort zu bündeln und durch Checklisten und Vorlagen möglichst einfach umsetzbar zu machen.

Einführung

Das bisherige Schweizer Datenschutzgesetz (DSG) ist in die Jahre gekommen. Es stammt im Kern aus dem Jahr 1992. Damals war das Web drei Jahre alt, Mark Zuckerberg erst acht und die technischen Möglichkeiten zur Sammlung und Verarbeitung von Daten nicht vergleichbar mit heute.

Es braucht zum einen also eine Anpassung an die aktuellen Gegebenheiten. Zum anderen hat das neue Datenschutzgesetz (nDSG) auch eine politische Dimension. Die EU hat nämlich durch einen sogenannten «Angemessenheitsbeschluss» den Datenschutz in der Schweiz als gleichwertig zu dem in der EU anerkannt. Dies ermöglicht es Unternehmen in der EU und der Schweiz, Daten rechtssicher untereinander austauschen und verarbeiten zu können.

Seit die EU aber mit der Datenschutz-Grundverordnung (DSGVO) die Datenschutzbestimmungen deutlich erhöht hat, hinkt der Datenschutz in der Schweiz hinterher. Sie musste also reagieren und brachte das Schweizer Schutzniveau in Einklang mit dem EU-Standard. Jedoch wäre die Schweiz nicht die Schweiz, wenn sie nicht trotzdem einen etwas eigenen Weg ginge. Das nDSG gibt mehr Handlungsspielraum und weniger konkrete Mindestanforderungen als die DSGVO. Etwas strenger ist es im Bereich der Datentransfers ins Ausland.

Insgesamt gibt das nDSG Einzelpersonen mehr Kontrolle über ihre persönlichen Daten, mehr Rechte in Bezug auf transparente Information und mehr Schutz vor ungewollter Datenverwendung. Das bedeutet gleichzeitig mehr Datenschutzverpflichtungen für Unternehmen, um die Datensicherheit und Betroffenenrechte zu gewährleisten.

Projektplanung

Foto von Dylan Gillis

Es ist wichtig, dass du dir von Anfang an im Klaren bist, dass die Implementierung der neuen Datenschutzregeln wahrscheinlich mehrere Monate in Anspruch nehmen wird und nicht ganz nebenbei erledigt werden kann.

Es erfordert eine angemessene Zeitspanne und personelle sowie finanzielle Ressourcen, um sicherzustellen, dass zumindest die essenziellen Massnahmen baldmöglichst umgesetzt werden können. (Wir haben mittlerweile etwas Erfahrung darin und können als externe Berater unterstützen).

Der erste Schritt des Prozesses ist deshalb die Projektplanung. Diese umfasst mindestens die folgenden Aufgaben:

  • Informiere dich umfassend über das neue Datenschutzgesetz (das machst du ja bereits mit der Lektüre dieses Blogposts 🙂)
  • Lege klare Verantwortlichkeiten und Funktionen für die Planung und Durchführung des Projektes fest
  • Weise die erforderlichen finanziellen und personellen Ressourcen zu
  • Identifiziere die datenschutzrelevanten Bereiche in deinem Unternehmen, also die Bereiche, in denen personenbezogene Daten verarbeitet werden
  • Identifiziere die nötigen technischen und organisatorischen Massnahmen, um Konformität mit dem nDSG zu erreichen
  • Kläre den Projektablauf und plane die einzelnen Schritte
  • Setze eine realistische Zeitplanung fest

Indem das Projekt sorgfältig vorbereitet wird, legt dein Unternehmen die Grundlage für eine erfolgreiche Umsetzung der neuen Datenschutzregeln, die wir dir im Folgenden erklären.

Bearbeitungsverzeichnis

Foto von Kelly Sikkema

Das Schweizer Datenschutzgesetz verlangt neu von Unternehmen, ein Bearbeitungsverzeichnis zu erstellen, in dem alle Bearbeitungsvorgänge von personenbezogenen Daten festgehalten werden. Das Bearbeitungsverzeichnis ist also ein Inventar aller datenschutzrelevanten Bearbeitungstätigkeiten eines Unternehmens.

Ein solches Verzeichnis wird auch von der europäischen DSGVO verlangt. Falls dein Unternehmen sich bereits an die DSGVO halten muss, besteht sehr wahrscheinlich bereits ein entsprechendes Verzeichnis. Da die Minimalinhalte für das in der Schweiz erforderliche Bearbeitungsverzeichnis auch in den Anforderungen der DSGVO enthalten sind, kann ein für die EU erstelltes Inventar 1:1 übernommen werden.

In der Schweiz ist die Erstellung eines Bearbeitungsverzeichnisses generell erst für Unternehmen ab 250 Mitarbeitenden verpflichtend. Für kleinere Unternehmen gilt: Sie benötigen nur dann ein Bearbeitungsverzeichnis, wenn sie besonders schützenswerte Personendaten in grossem Umfang bearbeiten oder Profilings mit hohem Risiko für die Persönlichkeit durchführen.

Die Erstellung eines Bearbeitungsverzeichnisses ist aber auch dann fast unumgänglich, wenn dein Unternehmen gemäss dem Schweizer nDSG nicht rechtlich dazu verpflichtet ist. Denn durch ein Bearbeitungsverzeichnis erhält man einen umfassenden Überblick über alle Datenbearbeitungen innerhalb des Unternehmens. Deshalb ist dieser Punkt hier auch als erstes aufgeführt. Das Bearbeitungsverzeichnis bildet die solide Grundlage, aufgrund derer alle folgenden Massnahmen zuverlässig geplant und umgesetzt werden können. Es stellt sicher, dass nichts vergessen geht.

Das Bearbeitungsverzeichnis dient in jedem Fall ausschliesslich dem internen Gebrauch und muss nur auf Anfrage den Aufsichtsbehörden zur Verfügung gestellt werden. Das genaue Format für das Bearbeitungsverzeichnis ist nicht vorgeschrieben; wir empfehlen eine Excel-Tabelle.

Das Bearbeitungsverzeichnis muss zuerst alle nötigen Angaben zur Identität des Verantwortlichen enthalten, also Angaben zur Firma mit Adresse und Kontaktmöglichkeiten. Das eigentliche Inventar wird sinnvollerweise tabellarisch geführt und nach Abteilungen gruppiert. Die Tabelle muss mindestens folgende Pflichtfelder enthalten:

  • Bezeichnung der Bearbeitungstätigkeit
  • Bearbeitungszweck
  • Beschreibung der Kategorie(n) betroffener Personen
  • Beschreibung der Kategorien der bearbeiteten Personendaten
  • Kategorien der Empfänger der Personendaten (intern und extern)
  • Datentransfer in Drittländer mit Angaben zur Absicherung
  • Aufbewahrungsfristen und Angaben zur Löschung
  • Beschreibung der technischen und organisatorischen Massnahmen zur Gewährleistung der Datensicherheit

Wir haben für dich eine Excel-Vorlage für ein Bearbeitungsverzeichnis erstellt. Sie basiert auf einer Mustervorlage, die der Rechtsdienst von SWICO erstellt hat. Du kannst sie kostenlos herunterladen:

Download

So kannst du vorgehen, um das Bearbeitungsverzeichnis zu erstellen:

  • Erstelle eine entsprechende Datei bzw. lade unsere Vorlage herunter und prüfe, ob die Pflichtfelder für dein Unternehmen ausreichen oder ergänzt werden müssen
  • Identifiziere die Abteilungen, in denen Personendaten erfasst werden
  • Schule die Mitarbeiter:innen, wie sie die Excel-Tabelle richtig ausfüllen und welche Informationen erfasst werden müssen
  • Lasse die Abteilungen alle Bearbeitungstätigkeiten erfassen
  • Überprüfe die gesammelten Inventare auf Richtigkeit und Vollständigkeit
  • Stelle die Ergebnisse in einer gemeinsamen Tabelle zusammen: Sammle alle Informationen aus den verschiedenen Abteilungen und füge sie in einer zentralen Tabelle zusammen
  • Implementiere einen Prozess zur Aktualisierung: Lege fest, in welchen Zeitabständen die Tabelle aktualisiert wird, um sicherzustellen, dass Änderungen in der Datenbearbeitung regelmässig aufgenommen werden. Das muss mindestens jährlich geschehen

Die Erstellung eines Bearbeitungsverzeichnisses ermöglicht es dir, zu identifizieren, welche Inhalte deine Datenschutzerklärung enthalten muss, mit welchen Datenverarbeitern Verträge abgeschlossen werden müssen, welche Auslandstransfers es abzusichern gilt, welche Daten Betroffene in einem Auskunftsbegehren verlangen können, über welche Datenverarbeitungen Betroffene vorgängig informiert werden müssen, und wo zusätzliche technische und organisatorische Massnahmen erforderlich sind, um personenbezogene Daten angemessen zu schützen – kurz, das Bearbeitungsverzeichnis ist die Basis für die gesamte Umstellung auf das neue Datenschutzgesetz.

Datenschutzerklärung

Foto von Artem Gavrysh

Die Datenschutzerklärung ist das Schaufenster der Datenschutzmassnahmen deines Unternehmens. Als solche ist sie nicht nur dazu da, die gesetzlichen Anforderungen zu erfüllen, sondern sie kann auch das Vertrauen deiner Kund:innen und Besucher:innen stärken. Versuche daher, nicht einfach die Pflichtinhalte abzuarbeiten, sondern sie gut und ansprechend zu gestalten. Es lohnt sich, an diesem Punkt besonders zu investieren.

Um deine Datenschutzerklärung zu überarbeiten, brauchst du eine Übersicht aller Bearbeitungstätigkeiten deines Unternehmens – also ein Bearbeitungsverzeichnis. Die Datenschutzerklärung ist im Grunde eine stark vereinfachte, nach Kategorien gebündelte Version dieses Verzeichnisses. Sie sollte vor allem darauf abzielen, verständlich formuliert und übersichtlich aufgebaut zu sein.

Wenn du bereits eine DSGVO-konforme Datenschutzerklärung hast, kannst du sie fast 1:1 übernehmen, da das Schweizer Datenschutzgesetz weniger Pflichtinhalte vorgibt. Die einzige wichtige Anpassung besteht darin, dass das nDSG die Nennung aller Länder verlangt, in die Daten exportiert werden.

Du brauchst übrigens in der Regel unter dem nDSG keine:n Datenschutzbeauftragte:n, wie es die DSGVO verlangt. Du kannst aber optional eine:n (internen oder externen) Datenschutzberater:in für dein Unternehmen ernennen. Diese Person ist Anlaufstelle für Betroffene sowie für den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB). Sie schult und berät das Unternehmen in Fragen des Datenschutzes und wirkt bei der Anwendung der Datenschutzvorschriften mit.

Damit deine Datenschutzerklärung den gesetzlichen Anforderungen des nDSG entspricht, sollten folgende Informationen enthalten sein:

  • Identität und Kontaktangaben des Verantwortlichen: Gib deinen Firmennamen und gegebenenfalls den Datenschutzberater an
  • Informationen zur Ausübung der Betroffenenrechte: Stelle Kontaktinformationen bereit, über die Betroffene Auskunftsbegehren stellen können
  • Kategorien der erfassten Daten: wie z.B. Adressdaten, Website-Nutzungsdaten, Cookies und Interessen. Erläutere auch die Datenquellen
  • Zwecke der Erhebung von Personendaten: wie z.B. der Verkauf von Produkten, Vertragsabschlüsse, Weiterentwicklung der Webseite, Marketing, Logistik und Finanzbuchhaltung. Nenne gegebenenfalls die verwendete Software(-kategorie) und den Zweck der Bearbeitung mit der jeweiligen Software
  • Dritte oder Kategorien von Dritten, mit denen die Daten geteilt werden: wie z.B. Lieferanten, Behörden, Software- und Hosting-Provider. Besonders wichtig ist die Nennung von Ländern, in die Daten exportiert werden
  • Richtlinien zur Aufbewahrungsdauer der Daten: Erläutere, wie lange die erfassten Daten aufbewahrt werden und nach welchen Kriterien sie gelöscht werden
  • Falls relevant: Angaben zur Durchführung von automatisierten Einzelentscheidungen

Ein hervorragendes Beispiel für eine transparente und vertrauensbildende Datenschutzerklärung findest du bei der Nidwaldner Kantonalbank (nicht nur, weil wir darin vorkommen 😉). Und die Kanzlei Wicki Partners stellt neben anderen hilfreichen Ressourcen zum nDSG auch Textbausteine für die Datenschutzerklärung zur Verfügung.

Folgende Schritte können dir bei der Überarbeitung deiner Datenschutzerklärung helfen:

  • Sammle und erfasse alle Bearbeitungstätigkeiten in deinem Unternehmen
  • Gruppiere die Bearbeitungstätigkeiten nach Datenkategorien, Bearbeitungszwecken, Auftragsbearbeitern und Aufbewahrungskriterien
  • Überarbeite deine Datenschutzerklärung. Du kannst auch die betroffenen Abteilungen einbeziehen
  • Platziere Hinweise auf deine Datenschutzerklärung auf deiner Webseite, in E-Mails und in Apps
  • Implementiere einen Prozess zur Aktualisierung. Lege fest, in welchen Zeitabständen deine Datenschutzerklärung aktualisiert wird, um sicherzustellen, dass Änderungen regelmässig eingearbeitet werden. Mindestens jährliche Aktualisierungen sind empfehlenswert

Falls du wenig Kapazität hast, besteht auch die Möglichkeit, einen Dienst wie den Datenschutzgenerator von Datenschutzpartner.ch zu nutzen. Der Generator erstellt eine rechtssichere Datenschutzerklärung und berücksichtigt dabei das nDSG und die DSGVO. Unter den über 300 enthaltenen Diensten von Dritten sind auch Friendly Automate und Friendly Analytics. Beachte jedoch, dass du auch dort alle deine Bearbeitungstätigkeiten kennen und sorgfältig eintragen musst. Das zeitaufwändige Sammeln und Dokumentieren aller Bearbeitungstätigkeiten ist also unumgänglich.

Nicht zuletzt solltest du sicherstellen, dass du deine Datenschutzerklärung auch kommunizierst. Sei grosszügig und platziere Hinweise auf deiner Webseite, im Footer deiner E-Mails, in Apps und überall dort, wo eine Datenbearbeitung stattfindet. Erst wenn deine Kund:innen und Besucher:innen die Datenschutzerklärung auch wahrnehmen, hat sich der Aufwand gelohnt.

Auftragsbearbeitung

Foto von Mina Rad

Wenn du als Unternehmen personenbezogene Daten an externe Dienstleister weitergibst, bist du unter dem nDSG gesetzlich dazu verpflichtet, vergleichbare Datensicherheitsstandards sicherzustellen. Das erreichst du durch den Abschluss von Auftragsverarbeitungsverträgen (AVVs), in der Schweiz manchmal auch Auftragsbearbeitungsverträge (ABVs) genannt.

Grundsätzlich gilt: Du als Datenverantwortlicher (auch «Controller» genannt) bleibst immer haftbar für die Sicherheit der weitergegebenen Daten. Auch das Abschliessen der AVV liegt in deiner Verantwortung als Controller, nicht in der Verantwortung des Datenbearbeiters (auch «Processor» genannt). Der Datenbearbeiter handelt lediglich in deinem Auftrag und ist dabei verpflichtet, einen gleichwertigen Datenschutz zu gewährleisten.

Wenn du bereits der DSGVO unterstellt bist und entsprechende AVVs mit deinen Datenverarbeitern abgeschlossen hast, musst du diese nur leicht anpassen: Du musst lediglich neben der DSGVO auch auf das Schweizer DSG verweisen.

Das nDSG schreibt für den Auftragsverarbeitungsvertrag keinen Mindestinhalt vor. Es wird empfohlen, sich an den Vorgaben der DSGVO zu orientieren. Daraus leiten sich diese empfohlenen Inhalte ab:

  • Identifizierung der Parteien: Angaben zu den Vertragsparteien und ihren Rollen als Datenverantwortlicher und Datenbearbeiter
  • Zweck der Datenweitergabe/Datenbearbeitung: Der Zweck und die Art der Datenverarbeitung sollten definiert werden
  • Weisungsgebundenheit des Drittanbieters: Der Datenbearbeiter handelt ausschliesslich gemäss deinen Weisungen
  • Vertraulichkeit: Regelungen zur Geheimhaltung der übertragenen Daten.
  • Datensicherheit: Massnahmen und Standards zur Sicherung der Daten vor unbefugtem Zugriff, Verlust oder Diebstahl
  • Unterbearbeitung: Falls der Datenbearbeiter die Daten an Dritte weitergeben möchte, ist dafür deine ausdrückliche Zustimmung erforderlich
  • Meldepflicht bei Verstössen: Festlegung von Verfahren und Fristen für die Meldung von Datenschutzverletzungen
  • Unterstützungspflichten: Regelungen der Verantwortlichkeiten im Fall von Verstössen gegen die Datensicherheit oder Auskunftsbegehren
  • Auditrechte: Vereinbare mögliche Durchführungen von Datenschutz-Audits
  • Rückgabe/Löschung der Daten: Regelungen, wie mit den Daten nach Ende der Auftragsbearbeitung zu verfahren ist

So gehst du vor, um deine Auftragsbearbeitungen rechtlich abzusichern:

  • Verschaffe dir eine Übersicht aller Auftragsbearbeiter, mit denen du personenbezogene Daten teilst.
  • Verwende Muster-Verträge und passe sie entsprechend deinen Bedürfnissen an, oder frage bei den Auftragsbearbeitern nach, ob sie einen eigenen Muster-Vertrag anbieten (hier ist unser eigener AVV)
  • Handle den genauen Vertragsinhalt mit jedem Auftragsbearbeiter individuell aus.
  • Schliesse die Verträge ab und bewahre sie auf: Nachdem alle Details geklärt sind, unterzeichne die AVVs und bewahre sie sicher auf, um deine Rechtskonformität nachweisen zu können.

Beachte, dass diese Regelungen nur für Auftragsbearbeiter in der Schweiz oder in sicheren Drittstaaten gelten. Für Auslandtransfers sind besondere Vorkehrungen nötig, die wir im nächsten Kapitel erläutern.

Auslandtransfers

Foto: qwesy qwesy

Wenn es um die Weitergabe von personenbezogenen Daten an ausländische Auftragsbearbeiter geht, musst du besondere Vorsicht walten lassen. Als Datenexporteur bist du in der Verantwortung sicherzustellen, dass der Datenimporteur im Ausland vergleichbare Sicherheitsstandards einhält wie in der Schweiz gefordert.

Gleich zu Beginn: Die Datenweitergabe in unsichere Drittstaaten ist unter dem nDSG zwar unter bestimmten Voraussetzungen möglich, aber immer mit zusätzlichem Aufwand und Risiken verbunden. Bedenke daher, dass es Alternativen gibt, namentlich die Daten nicht ins Ausland zu schicken, sondern auf Schweizer oder europäische Anbieter zu wechseln.


Schweizer und europäische Alternative zu US-amerikanischer Software findest du bei European Alternatives. Auch unsere Produkte sind dort gelistet.

Der Datentransfer ist dann unproblematisch, wenn er in einen sicheren Drittstaat erfolgt. Die Schweiz hat eine Liste sicherer Drittstaaten definiert, in der hauptsächlich die Länder der EU enthalten sind.

Zu den unsicheren Drittstaaten zählen unter anderem die USA, was die Zusammenarbeit mit dort ansässigen Firmen problematisch machen kann. Allerdings hat die Europäische Kommission vor kurzem einen neuen Datenschutzrahmen zwischen der EU und den USA anerkannt, der neue verbindliche Datenschutzgarantien einführt. Dadurch dürfen EU-Firmen neuerdings ohne weitere Schutzmassnahmen mit Datenverarbeitern aus den USA zusammenarbeiten.

Die Schweiz befindet sich ebenfalls in Gesprächen mit den USA zur Erstellung eines entsprechenden Rahmenwerks. Bisher ändert sich an der Liste der sicheren Drittstaaten aber noch nichts. Für Datenübertragungen in die USA (und andere unsichere Drittstaaten) musst du also besondere Schutzvorkehrungen treffen.

Das bedeutet, dass du einen Vertrag mit dem Datenverarbeiter abschliesst, in dem besondere Datenschutzklauseln enthalten sind. Es ist möglich, diese selbst auszuarbeiten; das ist aber nicht empfehlenswert, da du dann einer besonderen Meldepflicht an die Schweizer Datenschutzbehörde unterstehst.

Stattdessen ist es sicherer, die von der EU ausgearbeiteten und von der Schweiz anerkannten sogenannten Standardschutzklauseln (SCC) zu verwenden. Beachte jedoch, dass auch diese keine uneingeschränkte Freigabe bedeuten. Die SCC setzen voraus, dass du als Datenverantwortlicher eine eigene Risikoanalyse durchführst, um zu prüfen, ob die Rechtslage im Drittstaat Behördenzugriffe auf die Daten möglich und wahrscheinlich macht. Wenn dies der Fall ist, reichen die SCC allein nicht aus; die übermittelten Daten müssen dann zusätzlich gesichert werden, beispielsweise durch Verschlüsselung.

Die Schweizer Datenschutzbehörde hat eine Anleitung zur Durchführung einer solchen Risikoanalyse veröffentlicht.

Wenn deine Risikoanalyse zum Schluss kommt, dass die Rechtslage im Drittstaat einen angemessenen Datenschutz nicht verunmöglicht, kannst du die Standardschutzklauseln der EU verwenden. Du erstellst dazu eine Vereinbarung, in die du den Text der SCC integrierst, wobei du sie textgetreu übernehmen musst. Es gibt jedoch einige Stellen, in denen kontextabhängig Anpassungen vorgenommen werden können und müssen. Diese sind entsprechend markiert.

Verwendest du die SCC von der Schweiz aus, musst du sie gemäss den Anforderungen des EDÖB mit einem Anhang ergänzen. In diesem Anhang muss klargestellt werden, dass der Begriff «Mitgliedstaat» so erweitert werden muss, dass auch betroffene Personen in der Schweiz ihre Rechte gemäss Klausel 18c geltend machen können. Ausserdem muss klargestellt werden, dass Verweise auf die DSGVO als Verweise auf das nDSG zu verstehen sind, wo immer die Datenübermittlungen dem nDSG unterstellt sind.

Zusammengefasst – so gehst du vor, um deine Auslandstransfers abzusichern:

  • Erstelle eine Übersicht aller deiner Datenverarbeiter im Ausland.
  • Erstelle eine Vereinbarung mit jedem Datenbearbeiter und füge die SCC ein.
  • Lies die SCC sorgfältig durch und passe sie nur dort, wo es ausdrücklich nötig ist, an deinen Kontext an.
  • Schliesse die Verträge ab und bewahre sie auf, um deine Rechtskonformität nachweisen zu können.

Schliesslich musst du die Betroffenen über die Datenweitergabe ins Ausland informieren. Deine überarbeitete Datenschutzerklärung muss diese Information unbedingt enthalten. Wenn Betroffene ein Auskunftbegehren an dich stellen, musst du ihnen darin ebenfalls mitteilen, in welche Länder du ihre Daten weitergegeben und wie du diese Datentransfers gesichert hast.

Auch wenn es auf diese Weise möglich ist, personenbezogene Daten ins Ausland zu übermitteln, solltest du dich wie gesagt fragen, ob es in jedem einzelnen Fall noch sinnvoll ist. Es bedeutet nicht nur einen Mehraufwand und Rechtsunsicherheit, sondern deine Kunden und Besucher werden das Teilen ihrer Daten mit US-Konzernen möglicherweise nicht schätzen.

Es ist sicherer und stärkt die Swissness deines Unternehmens, wenn du stattdessen auf Schweizer Anbieter umsteigst. In den meisten Fällen gibt es sinnvolle Alternativen aus der Schweiz oder Europa.

Mit Friendly bieten wir zwei Software-Alternativen an: Friendly Automate für Marketing Automation und Friendly Analytics für Web Analytics, beide vollständig gehostet in der Schweiz (oder auf Wunsch in Deutschland).

Betroffenenrechte

Foto: Markus Spiske

Wenn du personenbezogene Daten verarbeitest, haben davon Betroffene verschiedene Rechte. Grundsätzlich haben Betroffene Anspruch auf alle Informationen, die sie brauchen, um ihre Rechte geltend zu machen und eine transparente Datenbearbeitung zu gewährleisten. Konkret haben sie das Recht auf:

  • Information über jede Datenverarbeitung
  • Information über Datenweitergabe ins Ausland
  • Auskunft zu ihren gespeicherten Daten
  • Datenportabilität
  • Berichtigung und Löschung der Daten
  • Widerruf von Einwilligungen
  • Beschwerde bei der Aufsicht (EDÖB)

Diese Rechte lassen sich in zwei Gruppen einteilen:

  • Die ersten beiden Rechte dienen der Information, bevor eine Datenverarbeitung passiert, und sind bereits über die Datenschutzerklärung abgedeckt. Die Betroffenen haben ein Recht auf transparente Information, wann welche Daten über sie erfasst und verarbeitet werden. Das heisst, dass du bei jeder Datenerfassung auf die Datenschutzerklärung hinweisen musst.
  • Alle weiteren Rechte – die Rechte auf Auskunft, Datenportabilität, Berichtigung und Löschung, Widerruf und Beschwerderecht – sind Rechte, die die Betroffenen selbst wahrnehmen müssen. Dabei hat das Beschwerderecht erst dann etwas mit dir zu tun, wenn eine Beschwerde über dein Unternehmen beim EDÖB eingeht. Das wird hoffentlich nicht der Fall sein, wenn du deinen datenschutzrechtlichen Pflichten nach bestem Wissen nachkommst. Auf die weiteren genannten Rechte solltest du dich aktiv vorbereiten, indem du interne Prozesse für Anfragen implementierst.

Besonders musst du dich auf die Rechte auf Auskunft und Datenportabilität vorbereiten, da hier einige spezifische Regeln gelten.

Das neue Schweizer Datenschutzgesetz legt fest, dass Betroffene ein Recht darauf haben zu wissen, welche Daten über sie in deinem Unternehmen gespeichert werden. Wenn eine Person Auskunft verlangt, musst du zuerst ihre Identität überprüfen, zum Beispiel durch einen Ausweis, eine bekannte E-Mail-Adresse oder ein Benutzerkonto. Denn Betroffene dürfen nur erfahren, welche Daten über sie selber gespeichert sind. Wenn Daten Informationen über weitere Personen enthalten, dürfen sie nicht herausgegeben werden.

Die Auskunft muss schriftlich oder elektronisch innerhalb von 30 Tagen erfolgen. Du musst die Auskunft kostenlos erteilen, ausser, wenn der Aufwand unverhältnismässig hoch ist oder die betroffene Person mehr als einmal jährlich nachfragt.

In einigen wenigen Fällen darfst du die Auskunft verweigern. Das ist der Fall, wenn die Auskunft das Berufsgeheimnis verletzt, wenn schwerwiegende Interessen Dritter vorliegen, oder wenn die Betroffenen missbräuchliche Zwecke verfolgen.

Auskunft geben muss immer der Datenverantwortliche, nicht weitere Datenbearbeiter. Du kannst dir aber über den Auftragsvarbeitungsvertrag (AVV) die Unterstützung deiner Datenbearbeiter bei der Auskunftserteilung zusichern lassen.

Das ist der geforderte Mindestinhalt der Auskunft:

  • Identität und Kontaktdaten des Verantwortlichen
  • Bearbeitete Personendaten, z.B. Name, Adresse, E-Mail-Adresse, Geburtsdatum usw.
  • Bearbeitungszwecke
  • Kriterien zur Aufbewahrung und Löschung der Daten
  • Angaben zur Herkunft derjenigen Personendaten, die nicht von der Person selbst gegeben wurden
  • Wo zutreffend: Dritte oder Kategorien von Dritten, mit denen die Daten geteilt wurden
  • Wo zutreffend: Bekanntgabe von Personendaten ins Ausland, inklusive der getroffenen Sicherungsmassnahmen

Neben dem Recht auf Auskunft haben Betroffene auch das Recht auf Datenportabilität. Das bedeutet, dass sie auf Anfrage ihre Daten in einem gängigen elektronischen Format ausgehändigt bekommen, um sie etwa einem anderen Verantwortlichen zu übergeben. Diese Art der Anfrage unterscheidet sich von der reinen Auskunft dadurch, dass du die Daten nicht als Printbrief oder PDF-Dokument übermitteln darfst, sondern du musst ein Datenformat wählen, das ein elektronisches, strukturiertes, automatisches Einlesen möglich macht. Das Format richtet sich nach dem Datensatz und kann zum Beispiel eine CSV- oder XML-Datei sein.

Bei dieser Anfrage musst du nur bestimmte Daten zur Verfügung stellen, nämlich einerseits solche, die der Betroffene deiner Firma freiwillig überlassen hat, sowie Daten, die durch das Verhalten der Person direkt beobachtet wurden (zum Beispiel Daten eines Fitnesstrackers oder Käufe in einem Onlineshop). Durch Datenanalyse abgeleitete Informationen sowie Daten aus Drittquellen müssen nicht offengelegt werden. Ansonsten entsprechen die Regeln und Einschränkungen denen des Auskunftsrechts, etwa dass du die Daten kostenlos aushändigen musst, oder dass du die Anfrage verweigern kannst, wenn entsprechende Gründe vorliegen.

Betroffene haben ausserdem das Recht auf Berichtigung und Löschung ihrer Daten, und das Recht, gegebene Einwilligungen zu widerrufen. Diese beiden Rechte brauchen wenig Vorbereitung. Du musst lediglich sicherstellen, dass in beiden Fällen interne Richtlinien bestehen, nach denen Einwilligungen verwaltet und Datensätze gelöscht oder korrigiert werden können.

So kannst du vorgehen, um dich auf Anfragen von Betroffenen vorzubereiten:

  • Identifiziere alle Orte im Unternehmen, an denen personenbezogene Daten gespeichert werden. Das sollte aus dem Bearbeitungsverzeichnis ersichtlich sein, wenn du ein solches erstellt hast.
  • Stelle sicher, dass es eine Möglichkeit gibt, diese Daten strukturiert zu exportieren.
  • Entwickle und implementiere interne Prozesse, nach denen Anfragen bearbeitet werden (je ein eigener Prozess für Anfragen nach Auskunft, Datenweitergabe, Korrektur oder Löschung der Daten sowie Widerruf von Einwilligungen)
  • Erstelle Musterschreiben für die verschiedenen Anfragen.
  • Lege die Zuständigkeiten für die Beantwortung von Anfragen fest und schule die involvierten Mitarbeiter:innen.

Datensicherheit durch TOMs

Foto: The National Archives (UK)

Das neue Schweizer Datenschutzgesetz enthält auch Vorschriften zur Datensicherheit. Dein Unternehmen muss sicherstellen, dass die verarbeiteten Daten bestmöglich vor unerwünschtem Zugriff geschützt sind und der Datenschutz bestmöglich gewährleistet wird.

Eine Herausforderung in der Gesetzgebung besteht darin, dass die dafür erforderlichen konkreten Massnahmen sich mit der technischen Entwicklung rasch ändern und überholen können. Daher legt das Gesetz zuerst zwei allgemeine Grundsätze fest, Privacy by Design und Privacy by Default, und weist darauf hin, dass diese mit geeigneten aktuellen technischen und organisatorischen Massnahmen (TOMs) umgesetzt werden müssen. Welche Massnahmen das sein können, lässt das Gesetz offen.

Zusätzlich zum neuen Datenschutzgesetz wurde allerdings auch die Schweizer Datenschutzverordnung (DSV) erlassen. Sie enthält wichtige Detailvorschriften zum nDSG, vor allem auch zur Datensicherheit. Sie sind vor allem als Hilfestellung gedacht, und es ist noch unklar, ob das Nichteinhalten dieser Vorschriften strafrechtlich sanktioniert werden kann. Aber du kannst Beschwerden und Auflagen von der Aufsichtsbehörde erhalten, wenn du dich nicht ausreichend um die Datensicherheit bemühst.

Der erste Grundsatz zur Datensicherheit ist Privacy by Design. Das bedeutet, dass der Datenschutz durch die verwendete Technik bestmöglich gewährleistet werden muss. Die Massnahmen müssen in angemessenem Verhältnis zum Stand der Technik stehen. Du musst also beachten, was sich in der Praxis als wirksam erwiesen hat und diese Standards in dein technisches Setup einbeziehen. Dazu können Verschlüsselungen, Anonymisierungen und Zugangsbeschränkungen gehören.

Der zweite Grundsatz ist Privacy by Default. Das bedeutet, dass Voreinstellungen zur Datenverarbeitung immer so gesetzt sein müssen, dass nur die für den Verwendungszweck unbedingt nötigen Daten bearbeitet werden und die Daten auch nur wo unbedingt nötig an Dritte weitergegeben werden. Es dürfen keine versteckten Voreinstellungen gemacht werden, denen die Nutzer:innen stillschweigend zustimmen müssen. Die Betroffenen müssen weitergehende Bearbeitungen bewusst und aktiv autorisieren.

Die Richtlinien zur Umsetzung dieser Prinzipien in der DSV halten zunächst fest, dass keine absolute Sicherheit verlangt wird. Es ist hinzunehmen, dass ein Restrisiko bestehen bleibt und sich auch einmal in einer Datenschutzverletzung realisiert. Wichtig ist, dass überhaupt Massnahmen in einem angemessenen Rahmen ergriffen werden.

Was als angemessen betrachtet wird, richtet sich nach dem Schutzbedarf der jeweiligen Personendaten, dem Risiko für die betroffenen Personen, dem Stand der Technik und den finanziellen und zeitlichen Ressourcen, die für die Implementierung notwendig sind. Um zu wissen, was angemessen ist, kann man sich ausdrücklich auch an den Anforderungen der europäischen DSGVO orientieren. Obwohl die Schweiz keine konkreten Mindestanforderungen vorgibt, sollen Unternehmen davon ausgehen können, dass sie auch in der Schweiz angemessen geschützt sind, wenn sie die diesbezüglichen Vorgaben der DSGVO einhalten.

In der Beurteilung der erforderlichen Massnahmen kann man sich auch an den Schutzzielen orientieren. Die bearbeiteten Daten sollen:

  • vertraulich behandelt werden, also nur Berechtigten zugänglich sein
  • verfügbar sein, wenn sie gebraucht werden
  • vor unberechtigter oder unbeabsichtigter Veränderung geschützt sein und
  • nachvollziehbar bearbeitet werden.

Daraus leitet sich eine Liste von Kontrollmassnahmen ab, mit denen die DSV eine didaktische Hilfestellung bieten möchte. Mit dieser Liste kannst du das Schutzniveau in deinem Unternehmen pragmatisch beurteilen und verbessern. Wichtig ist zu erwähnen, dass die hier genannten Massnahmen keine absoluten Anforderungen darstellen, sondern der Aufwand der Umsetzung in seinem Verhältnis zum Risiko gesehen und beurteilt werden darf. Das bedeutet, dass Datenbearbeitungen, die ein hohes Risiko für die Persönlichkeit oder die Grundrechte der Betroffenen mit sich bringen können, hohe Anforderungen an die Datensicherheit zur Folge haben, während Personendaten mit geringem Risiko auch weniger Schutz benötigen.

Massnahmen zur Vertraulichkeit:

  • Zugriffskontrolle: Berechtigte sollen nur auf diejenigen Personendaten Zugriff haben, die zur Erfüllung ihrer Aufgaben erforderlich sind.
  • Zugangskontrolle: Nur berechtigte Personen sollen Zugang zu Räumlichkeiten oder Anlagen haben, in denen Personendaten bearbeitet werden.
  • Benutzerkontrolle: Nutzer von Bearbeitungsystemen sollen sich identifizieren müssen und die Nutzung durch unautorisierte Personen darf nicht möglich sein.

Massnahmen zur Verfügbarkeit und Integrität:

  • Datenträgerkontrolle: Datenträger müssen vor dem unbefugten Lesen, Bearbeiten, Kopieren, Löschen und Vernichten geschützt sein.
  • Speicherkontrolle: Personendaten im Speicher müssen vor dem unbefugten Lesen, Ändern, Speichern, Löschen oder Vernichten geschützt sein.
  • Transportkontrolle: Personendaten müssen beim Transfer oder Transport vor dem unbefugten Lesen, Ändern, Speichern, Löschen oder Vernichten geschützt sein.
  • Wiederherstellung: Die Verfügbarkeit von Personendaten muss bei einem Zwischenfall rasch wiederhergestellt werden können.
  • Verfügbarkeit, Zuverlässigkeit und Datenintegrität: Die Personendaten müssen stets verfügbar sein, Fehlfunktionen müssen umgehend gemeldet werden und Personendaten dürfen nicht durch Fehlfunktionen des Systems beschädigt werden können.
  • Systemsicherheit: Betriebssysteme und Software müssen stets auf dem neusten Sicherheitsstandard gehalten und bekannte kritische Lücken geschlossen werden.

Massnahmen zur Nachvollziehbarkeit:

  • Eingabekontrolle: Es soll überprüft werden können, welche Person zu welchem Zeitpunkt Personendaten eingegeben oder verändert hat.
  • Bekanntgabekontrolle: Es soll überprüft werden können, welche Personendaten mit welchen Empfängern geteilt werden.
  • Erkennung und Beseitigung von Datensicherheitsverletzungen: Verletzungen der Datensicherheit sollen rasch erkannt und Massnahmen zur Minderung oder Beseitigung der Folgen rasch ergriffen werden können.

Wie gesagt sollen die Massnahmen in einem sinnvollen Verhältnis zum Risiko stehen. Insbesondere die Massnahmen zur Nachvollziehbarkeit, also die genaue Protokollierung von Dateneingaben sowie der Umgang mit Datensicherheitsverletzungen, sind nur dann für dein Unternehmen relevant, wenn Fehler oder Verluste in den Datensätzen potenziell gravierende Auswirkungen auf die Betroffenen haben können. Nimm daher eine Risikoanalyse vor und informiere dich, welches Schutzniveau für deine Datenbearbeitungen gemeinhin als angemessen betrachtet wird.

Diese Schritte können dir danach bei der Umsetzung der geeigneten TOMs helfen:

  • Bestimme eine Person in deinem Unternehmen, die den Prozess der Massnahmenumsetzung koordiniert. Das kann dein:e Datenschutzberater:in sein, wenn dein Unternehmen eine solche ernannt hat.
  • Identifiziere aufgrund der Massnahmenliste potenzielle Schwachstellen und Risiken in Bezug auf die Datenverarbeitung in deinem Unternehmen. Prüfe auch, ob das Prinzip Privacy by Default eingehalten wird.
  • Kläre mit den entsprechenden Abteilungen und IT-Spezialisten ab, welche Massnahmen ergriffen werden können, um die Datensicherheit zu erhöhen. Auf der technischen Seite können das verbesserte Zugangskontrollen, Verschlüsselungen, Backups, Datenlöschungen und Systemupdates sein; auf der organisatorischen Seite Bearbeitungsreglemente, Schulungen, Notfallpläne und Dokumentationen.
  • Erstelle eine Prioritätenliste und überwache die Umsetzung.
  • Implementiere einen Prozess, gemäss dem die TOMs regelmässig überprüft und aktualisiert werden, um sicherzustellen, dass sie auch in Zukunft den aktuellen Bedrohungslagen und Anforderungen entsprechen.

Abschliessend lässt sich festhalten, dass es bei der Umsetzung der geeigneten TOMs immer um die Verbesserung geht, nicht um das absolute Erreichen des perfekten Schutzes. Ein Restrisiko, auch das Risiko einer Beschwerde, wird immer bestehen bleiben. Wie gesagt ist nach unserem Wissensstand noch unklar, ob und wie du strafrechtlich sanktioniert werden kannst, wenn du keinen ausreichenden Schutz der Daten gewährleistet hast. Im Fall einer Beschwerde hast du die Gelegenheit, den Forderungen innerhalb einer gesetzten Frist nachzukommen. Du solltest aber nachweisen können, dass du dich mit den Richtlinien auseinandergesetzt hast und kontinuierlich an der Verbesserung der Datensicherheit arbeitest.

Extra: E-Mail-Versand

Foto: Brett Jordan

Mit Friendly Automate bieten wir eine Schweizer Software für Marketing Automation und Newsletterversand an. Deshalb möchten wir dich auch darüber informieren, was du beim E-Mail-Versand beachten musst. Die Angaben in diesem Kapitel beziehen sich zum Teil neben dem nDSG auch auf andere geltende Schweizer Gesetze, wie etwa das Wettbewerbsrecht. Sie geben nach unserem besten Wissen den aktuellen rechtlichen Stand in der Schweiz wieder.

Was bisher schon galt: Transaktionale E-Mails darfst du immer versenden. Das sind E-Mails, die sich (auch automatisiert) auf eine konkrete Korrespondenz oder ein konkretes Anliegen deiner Kund:innen oder Leads beziehen.

Marketing-E-Mails darfst du gemäss dem Schweizer Gesetz gegen den unlauteren Wettbewerb (UWG Art. 3) ohne gesonderte Einwilligung dann versenden, wenn bereits eine Vertragsbeziehung besteht – etwa durch einen bereits getätigten Kauf –, aber nur für ähnliche Angebote.

Darüber hinaus darfst du Marketing-Nachrichten nur mit expliziter Einwilligung und klarer Information an die Empfänger versenden. Das bedeutet, dass du deinen Leads und Kund:innen bei einer Dateneingabe nicht stillschweigend ihr Einverständnis abnehmen darfst, dass du ihnen zusätzlich Werbenachrichten senden wirst. Sondern die Option zum Erhalt von Werbenachrichten muss von den Empfängern aktiv angewählt werden. Die Einwilligung darf auch nicht mit anderen (eventuell notwendigen) Einwilligungen verknüpft sein.

Um sicherzustellen, dass eine Person wirklich persönlich ihre eigene E-Mail-Adresse eingegeben und aktiv in den Erhalt von Nachrichten eingewilligt hat, hat sich das Double Opt-In (DOI) als Standard etabliert. Wenn du das Double-Opt-In-Verfahren einsetzt, erhält ein:e Interessent:in nach der Eingabe ihrer E-Mail-Adresse eine Bestätigungs-E-Mail, auf die sie klicken muss, um ihre Anmeldung zu bekräftigen. Damit wird verhindert, dass eine Person fremde E-Mail-Adressen einträgt. Eine abgeschwächte Version ist das Confirmed Opt-In (COI), bei dem eine Bestätigungs-E-Mail ohne Link verschickt wird. Weder DOI noch COI sind allerdings in der Schweiz gesetzlich gefordert, und die Schweizer Gerichte anerkennen das Single Opt-In (SOI) als genügende Glaubhaftmachung einer Einwilligung. Es steht dir also frei zu entscheiden, ob du dich zusätzlich absichern möchtest oder dir höhere Anmeldequoten durch das einfachere SOI wichtiger sind.

Vor jeder Datenerhebung muss neu auf die Datenschutzerklärung verwiesen werden, etwa bei einem Onlineformular zur Newsletteranmeldung oder Gewinnspielteilnahme. Die Datenschutzerklärung ist kein Vertrag, sondern eine Information, und daher braucht es keine Einwilligung. Der Link zur Datenschutzerklärung muss bei einer Datenerhebung gut sichtbar platziert werden, sodass es den Betroffenen realistischerweise möglich ist, sich vor der Datenübergabe über die Datenschutzrichtlinien des Unternehmens zu informieren. Stelle sicher, dass die Datenschutzerklärung auf den Versand von Werbenachrichten als Bearbeitungszweck eingeht.

Beim E-Mail-Versand besteht unter Rechtsexperten mehrheitlich die Einschätzung, dass die Verwendung einer nicht anschreibbaren E-Mail-Adresse als Absenderadresse nicht zulässig ist. Stattdessen sollte eine aktiv bediente E-Mail-Adresse verwendet werden. Werbenachrichten müssen dazu auch vollständige und richtige Angaben zum Absender und den Kontaktmöglichkeiten enthalten. Wichtig ist auch, dass in jedem Newsletter die Möglichkeit einer einfachen und kostenlosen Abmeldung angeboten wird.

Wenn du zum Versenden von Marketingnachrichten Dienste von Drittanbietern (wie etwa Friendly Automate) verwendest, musst du sicherstellen, dass diese sich ebenso an die Datenschutzregeln halten wie dein Unternehmen selbst. In jedem Fall trägst du die Verantwortung für die Daten, die du an Dritte weitergibst. Schliesse deshalb wie weiter oben beschrieben Auftragsverarbeitungsverträge mit diesen Dienstleistern ab.

Zusammengefasst kannst du diese Schritte umsetzen, um deinen E-Mail-Versand datenschutzkonform zu gestalten:

  • Stelle sicher, dass dein CRM die Möglichkeit enthält, Einwilligungen für Marketingnachrichten festzuhalten.
  • Ergänze wo nötig deine Datenformulare um die Einwilligung für den Erhalt von Marketingnachrichten.
  • Richte das Double-Opt-In-Verfahren bei allen E-Mail-Anmeldungen ein.
  • Stelle sicher, dass bei jeder Datenerhebung auf die Datenschutzerklärung hingewiesen wird.
  • Vergewissere dich, dass deine E-Mails von einer anschreibbaren Absenderadresse gesendet werden und dass alle Werbenachrichten Absender- und Kontaktangaben sowie eine Abmeldemöglichkeit enthalten.
  • Schliesse einen Auftragsverarbeitungsvertrag mit deinem E-Mail-Dienstleister ab.

Fazit

Das neue Datenschutzgesetz ist ein wichtiger Meilenstein zum Schutz der Menschen in der Schweiz, denn Datenschutz ist letztlich Personenschutz. Das solltest du im Auge behalten, auch wenn die Umsetzung der Massnahmen deinem Unternehmen viel Arbeit bringt. Bei aller Angleichung an die DSGVO lässt das nDSG wie gesagt mehr Handlungsspielraum, sodass du mit Augenmass und gesundem Menschenverstand vorgehen kannst.

Zuletzt… nach dem Spiel ist vor dem Spiel. Wenn du die erste Umsetzung des nDSG in deinem Unternehmen abgeschlossen hast, gilt es, die Mitarbeiter:innen zu schulen, damit alle Beteiligten die erforderlichen Kenntnisse und Fähigkeiten haben, um den Datenschutz in der Praxis zu gewährleisten. Und der Ball muss im Rollen bleiben: Plane regelmässige Überprüfungen und Aktualisierungen der Datenschutz-Compliance, um auf Veränderungen sowohl in deinem Unternehmen als auch in der technischen Entwicklung zeitnah einzugehen.

Checkliste

Wir haben alle Punkte dieser Übersicht als umfassende Checkliste aufbereitet. Lade sie dir hier herunter:

FAQ (Cookie-Banner, Unterschiede DSGVO, Liechtenstein…)

Wie unterscheidet sich das nDSG von der DSGVO?

Das nDSG ist der DSGVO sehr ähnlich, aber es gibt einige Unterschiede:

  • Sanktionen: Das nDSG büsst Private mit bis zu 250’000 CHF; die DSGVO büsst Unternehmen mit bis zu 20 Mio. EUR oder 4% des weltweiten Gesamtjahresumsatzes des Unternehmens.
  • Information vs. Einwilligung: Unter dem nDSG gilt in Bezug auf Datenerhebungen das Informationsprinzip: Personen müssen über geplante Datenerfassungen und ihre Zwecke informiert werden. Unter der DSGVO müssen Personen bei jeder Datenverarbeitung aktiv einwilligen.
  • Datenschutzbeauftragter: Unter dem nDSG ist die Ernennung eines Datenschutzberaters lediglich empfohlen; unter der DSGVO ist ein Datenschutzbeauftragter Pflicht.
  • Mindestanforderungen: Das nDSG gibt weniger Mindestanforderungen vor, etwa bei den Pflichtinhalten der Datenschutzerklärung, bei Auftragsverarbeitungsverträgen (AVVs) und den technischen und organisatorischen Massnahmen (TOMs) zur Datensicherheit. Dadurch ist das Schweizer Gesetz offener für Augenmass und zukünftige Entwicklungen als die DSGVO.
  • Auslandtransfers: Hier ist das nDSG etwas strenger als die DSGVO. Bei Bekanntgabe von personenbezogenen Daten ins Ausland müssen die spezifischen Länder in der Datenschutzerklärung und bei Auskunftsbegehren genau genannt werden.

Müssen Schweizer Unternehmen sich auch an die DSGVO halten?

Ja, unter bestimmten Voraussetzungen müssen Schweizer Unternehmen sich an die DSGVO halten. Dazu gehören:

  • das Verarbeiten von personenbezogenen Daten von Personen in der EU (und Liechtenstein)
  • das Anbieten von Waren oder Dienstleistungen an Personen in der EU (und Liechtenstein)
  • das Beobachten des Verhaltens von Personen in der EU (und Liechtenstein)

Braucht es in der Schweiz einen Cookie-Banner?

Jein.

Unter dem nDSG brauchst du keine Einwilligung der Betroffenen, um sie mit Cookies zu tracken oder personenbezogene Daten von ihnen zu verarbeiten. Allerdings musst du sie darüber informieren.

Leider ist noch nicht nicht höchstrichterlich geklärt, wie diese Information konkret zu erfolgen hat.

Geht es um eine umfangreiche und einschneidende Datenbearbeitung, dann müssen jedenfalls hohe Anforderungen an die Information gestellt werden. In diesem Fall solltest du die Information beim Besuch der Webseite direkt auf dem Bildschirm sichtbar machen, etwa durch einen Banner, der auf die wichtigsten Infos und einen Link auf die Datenschutzerklärung enthält. Im Gegensatz zum Cookie-Banner in der EU muss dieser Banner in der Schweiz aber keine Optionen zur Einwilligung oder Ablehnung enthalten. Er kann entweder nach einer bestimmten Zeit automatisch oder mit dem Klick auf einen OK-Button ausgeblendet werden.

Handelt es sich um eine weniger umfangreiche und einschneidende Datenbearbeitung, genügt es nach Einschätzung einiger Rechtsanwälte, die Information über einen Link zur Datenschutzerklärung beispielsweise im Footer der Seite zu liefern, und die Besucher «nicht mit einem Cookie-Banner zu belästigen».

Wo genau die Grenze zwischen beiden Szenarien liegt, kann natürlich ein Fachanwalt am besten beantworten. Im Zweifel informiere deine Besucher über einen sofort sichtbaren Banner.

Ja, du musst von Besuchern aus der EU eine Einwilligung über einen Cookie-Banner einholen, wenn du Cookies setzt oder personenbezogene Daten trackst. Es ist möglich, über Geolokalisierung einen solchen Banner nur für Aufrufe aus der EU anzuzeigen. Je nach Anwendungsfall genügt dann bei Aufrufen aus der Schweiz ein Verweis auf die Datenschutzerklärung oder ein einfacher Info-Banner ohne Einwilligungsmöglichkeit. Es steht dir jedoch selbstverständlich frei, über die Mindestanforderungen hinauszugehen und immer einen DSGVO-konformen Cookie-Banner anzuzeigen.

Welche Bussen sieht das nDSG vor?

Das nDSG sieht Bussen von bis zu 250’000 CHF vor. Im Gegensatz zur EU wird in der Schweiz die verantwortliche natürliche Person gebüsst, nicht das Unternehmen. Das Unternehmen darf die Busse auch nicht für den Mitarbeitenden übernehmen. Es geht dabei um die leitende, nicht die rein ausführende Person. Welche Hierarchiestufe in der Praxis wirklich in den Blick genommen wird, bleibt aber abzuwarten.

Es gibt eine Ausnahme: Wenn die Busse weniger als 50’000 CHF beträgt und der Ermittlungsaufwand, um die verantworliche Person zu ermitteln, unverhältnismässig erscheint, kann stattdessen das Unternehmen gebüsst werden. Dieser Fall könnte nach Einschätzung von wickipartners.ch besonders in grösseren Firmen oft zur Anwendung kommen.

Gebüsst werden indes nur vorsätzliche Verletzungen. Fahrlässiges Verhalten wird nicht gebüsst. Das Unterlassen von Massnahmen wider besseres Wissen ist allerdings ebenfalls eine vorsätzliche Tat. Wichtig ist, dass eine Strafverfolgung nur dann erfolgt, wenn Betroffene einen Strafantrag stellen.

Die Bussen fokussieren sich auf vorsätzliche Verletzungen von Informations-, Auskunfts-, Mitwirkungs- und Sorgfaltspflichten (nDSG Artikel 60 und 61).

Beispiele dafür sind:

  • vorsätzlich falsche oder unterschlagene Informationen auf ein Auskunftsbegehren
  • vorsätzlich falsche oder unterschlagene Informationen über die Bearbeitung von Personendaten in der Datenschutzerklärung, insbesondere über Datentransfers ins Ausland
  • Datentransfers ins Ausland ohne angemessene Schutzmassnahmen
  • Weitergabe von Personendaten an Auftragsverarbeiter ohne Auftragsverarbeitungsvertrag (AVV)

Welche besonderen Massnahmen gelten bei Datenverarbeitungen mit hohem Risiko?

Wenn die Datenbearbeitungen, die in deinem Unternehmen vorgenommen werden, ein hohes Risiko für die Persönlichkeit oder die Grundrechte der Betroffenen mit sich bringen können, dann musst du besondere Vorschriften umsetzen, die wir in diesem Artikel nicht im Einzelnen behandelt haben. Das ist der Fall bei der Bearbeitung von besonders schützenswerten Personendaten in grossem Umfang, bei Durchführung von Profiling mit hohem Risiko und der systematischen umfangreichen Überwachung öffentlicher Bereiche. Wenn das auf dein Unternehmen zutrifft, informiere dich über die zusätzlichen Massnahmen, die du ergreifen musst. Dazu gehören, wie oben zum Teil bereits kurz erwähnt:

  • das Erstellen eines Bearbeitungsverzeichnisses trotz Unternehmensgrösse von weniger als 250 Mitarbeitenden
  • das Erstellen von Datenschutz-Folgeabschätzungen
  • die Meldepflicht von Verletzungen der Datensicherheit
  • die Protokollierungspflicht der Datenbearbeitungen und
  • das Erstellen eines Bearbeitungsreglements.

Gilt das nDSG auch für Vereine und Privatpersonen?

Ja, das Schweizer Datenschutzgesetz gilt für alle Personen und Organe, die Personendaten bearbeiten. Es gilt damit gleichermassen für Unternehmen, Bundesorgane, Vereine sowie Privatpersonen, die etwa eine Webseite betreiben.

Und was ist mit Liechtenstein?

Liechtenstein hat sich in vielen Rechtsbereichen der Schweiz angeglichen. Allerdings ist Liechtenstein im Gegensatz zur Schweiz Mitglied des EWR – und unterliegt damit der DSGVO! Du solltest Besucher aus dem Fürstentum also vom Datenschutz her behandeln wie solche aus der EU.


Friendly in deinem Postfach? Abonniere unseren Newsletter.

  • Schlagwörter

Ähnliche Beiträge