02. August 2023
Datenschutz
Per 1. September 2023 tritt das neue Bundesgesetz über den Datenschutz (Datenschutzgesetz, DSG) in Kraft. Das neue Gesetz und die Verordnungen sind hier zu finden.
Die Anpassungen sind nötig, da das aktuelle Datenschutzgesetz der Schweiz in den 1990ern in Kraft trat und seitdem weitgehend unverändert bestanden hat. Soziale Netzwerke und digitale Identitäten waren damals noch gänzlich unbekannt. Eine Anpassung an die mittlerweile digitale Realität war also nötig.
Als Media-Agentur mit starker digitaler DNA nehmen wir das Thema Datenschutz sehr ernst und unternehmen alles, den Datenschutzanforderungen zusammen mit unseren Werbekunden genüge zu tragen. Hier in diesem Blog-Artikel sind ein paar Gedanken in unseren Worten festgehalten zum neuen Datenschutzgesetz. Für Abklärungen im Einzelfall, bei Unklarheiten und im Zweifel empfehlen wir immer die gezielte Beratung durch einen auf Datenschutz spezialisierten Juristen oder Rechtsanwalt.
Good News: Falls Du die Standards der EU DSGVO bereits erfüllst, hält sich der Aufwand in Grenzen.
Die EU DSGVO schreibt vor, dass EU Bürger:Innen und deren Daten ortsunabhängig geschützt werden müssen, also auch, wenn diese Schweizer Websites nutzen. Aufgrund dieses Umstands haben viele Schweizer Webseiten-Betreiber bereits seit 2018 ihren Datenschutz dem EU-Standard angepasst. Die zeitaufwändigen Anpassungen müssen zum Glück nicht komplett über den Haufen geworfen werden, da die Schweiz ab 01. September 2023 grundsätzlich das gleiche Prinzip auch für Schweizer User anwendet.
Das neue Bundesgesetz über den Datenschutz (Datenschutzgesetz, DSG): was ändert sich?
Das neue Gesetz folgt dem Grundsatz, dass Datenschutz auch einen Teil des Personenschutzes darstellt. Dem Bund kommt dabei die Aufgabe zu, seine Bürger:Innen auch digital zu schützen, z.B. vor Identitätsraub, Betrug etc.
-
Privacy by design & by default
Dieser Grundsatz meint, dass die technischen Voreinstellungen grundsätzlich datenschutzfreundlich gestaltet werden müssen und die Bearbeitung der Daten auf ein Minimum beschränkt werden sollen. Es soll also nur gesammelt werden, was auch wirklich gesammelt werden muss, und diese Aktivitäten müssen transparent kommuniziert werden.
-
Informationspflicht
Jegliche Datenbeschaffung obliegt neu der Informationspflicht. Der einfachste Weg ist das Erstellen einer Datenschutzerklärung, welche alle erhobenen Daten und deren Verarbeiter auflistet. Ebenfalls gilt der Grundsatz von Treu und Glauben, d.h. ein Nutzer muss wissen oder erkennen können, welche Daten zu welchem Zweck beschafft werden. Die heimliche Beschaffung widerspricht diesem Grundsatz.
-
Ein Opt-In ist nicht zwingend, in vielen Fällen jedoch trotzdem sinnvoll
Im Gegensatz zum EU Recht ist in der CH keine Einwilligung (Opt-In) zur Bearbeitung von Daten nötig. Eine saubere Datenschutzerklärung reicht in der Regel aus.
Da viele Sites jedoch auch EU-Traffic abwickeln, kann es trotzdem sinnvoll sein, einen aktiven Opt-In nach EU-Standard anzuwenden.
Dies kann z.B. mit Hilfe des allgegenwärtigen Cookie-Banners geschehen. Per Standardeinstellung sollte dieser so eingestellt werden, dass nur die zum Betrieb notwendigen technischen Cookies angewählt sind, so dass die Privatsphäre eines Nutzers so wenig wie möglich tangiert wird.
-
Sammeln von Daten mit hohem Risiko sind bewilligungspflichtig
Schützenswerte Daten mit hohem Risiko sind solche, durch welche ein Profiling durchgeführt werden kann, das eine «Beurteilung wesentlicher Aspekte der Persönlichkeit einer natürlichen Person erlaubt» (Artikel 5, Absatz g nDSG).
Für die Verarbeitung solcher Daten muss neu eine ausdrückliche Einwilligung vorliegen (Artikel 6 nDSG).
Diese Aspekte werden unter «Profiling» gelistet:
Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel (Artikel 5, Absatz f und g nDSG).
Auf Anfrage muss die Kommunikation fliessen
Auskunftsrecht
Auf Anfrage müssen einem Nutzer in jedem Fall folgende Informationen mitgeteilt werden:
- Identität und Kontaktdaten des Verantwortlichen
- Bearbeitete Personendaten und Bearbeitungszweck
- Aufbewahrungsdauer der Daten
- verfügbare Angaben über die Herkunft der Daten
- ggf. das Vorliegen einer automatisierten Einzelentscheidung sowie dessen Logik (z.B. ein Algorithmus, welcher die Daten bearbeitet)
- Ggf. Empfänger:Innen, welchen Daten bekanntgegeben werden
Recht auf Datenübertragbarkeit und Löschung
Mit dem Recht auf Datenherausgabe und Datenübertragung (Datenportabilität) kann die betroffene Person kostenlos vom Verantwortlichen die Herausgabe ihrer Personendaten bzw. deren Übertragung an einen anderen Verantwortlichen in maschinenlesbarer Form verlangen.
Jeder Nutzer kann ausserdem die Löschung seiner Daten beantragen.
Welche weiteren Pflichten kommen auf Webseiten Betreiber zu?
-
Erstellen von Datenverarbeitungs-Inventaren bei Unternehmen ab 250 Personen
Innerhalb einer Organisation muss neu klar definiert und schriftlich festgehalten werden, wer wie für welche Daten zuständig ist. Das Führen eines Datenverarbeitungs-Inventars ist Pflicht, ausser das Unternehmen ist kleiner als 250 Personen oder es besteht nachweislich nur ein geringes Risiko für die betroffene Person bei der Datenverarbeitung.
-
In Datenverarbietungs-Inventaren soll folgendes erfasst werden:
- Identität des Datenverarbeitenden
- Zweck der Bearbeitung
- Kategorien der bearbeiteten Personendaten
- Kategorien der Empfänger:Innen (z.B. Branche & Verwendung für kommerzielle Zwecke)
- Bei Auslandstransfer der Daten derjenige Staat, in den Daten übermittelt werden
-
Datenschutz-Folgenabschätzung
Falls systematisch umfangreiche öffentliche Bereiche überwacht werden und die Bearbeitung besonders schützenswerter Personendaten durchgeführt wird, muss vom Datenschutzverantwortlichen eine Datenschutz-Folgenabschätzung erarbeitet werden.
Diese enthält eine Beschreibung der geplanten Bearbeitung der Daten, Bewertung der Risiken für die Persönlichkeit oder die Grundrechte der betroffenen Person sowie die getroffenen Massnahmen zum Schutz der Persönlichkeit und der Grundrechte (Artikel 22 nDSG).
Auf Deutsch: Es muss klar sein, was mit den gesammelten Daten passieren kann. Benutzt man vom Bund nicht zertifizierte Software, oder stellt die Datensammlung ein Risiko für die zu schützende Person dar, dann muss die Stellungnahmen des EDÖB (Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter) eingeholt werden oder aber mindestens eine Folgenabschätzung verfasst werden.
Fazit
Die Schweiz passt sich in Sachen Datenschutz ab 1. September 2023 dem EU-Standard an. Noch nicht überall klar ist die praktische Anwendung des Gesetzes. Der Grundgedanke ist aber klar: Informiere transparent darüber, welche Daten wie, wo, warum, durch wen und wie lange gesammelt werden. Weiter darf davon ausgegangen werden, dass in einer ersten Phase vor allem Schweizer Grossunternehmen von den DatenschützerInnen ins Visier genommen werden. Für kleinere Unternehmen dürfte in einer ersten Anfangsphase eine Datenschutzerklärung, welche transparent aufschlüsselt welche Daten wie und warum gesammelt werden bereits ausreichen. Unsere Version findest Du übrigens hier.
Weiterführende Quellen und Links
- Medienmitteilung der Schweizerischen Eidgenossenschaft vom 31.08.2022. "Neues Datenschutzrecht ab 1. September 2023": https://www.admin.ch/gov/de/start/dokumentation/medienmitteilungen.msg-id-90134.html
- Schweizerische Eidgenossenschaft. KMU-Portal für kleinere und mittlere Unternehmen. "Neues Datenschutzgesetz (revDSG): https://www.kmu.admin.ch/kmu/de/home/fakten-trends/digitalisierung/datenschutz/neues-datenschutzgesetz-rev-dsg.html
- Netzwoche. "Das ist neu am revidierten Schweizer Datenschutzgesetz". Artikel vom 01.09.2023: https://www.netzwoche.ch/news/2020-12-04/das-ist-neu-am-revidierten-schweizer-datenschutzgesetz/0lt0
- Econmiesuisse. "Datenschutz: Eine Übersicht zum neuen Gesetz". Artikel vom 19.05.2021: https://www.economiesuisse.ch/de/artikel/datenschutz-eine-uebersicht-zum-neuen-gesetz
nova impact verfolgt die aktuellsten Entwicklungen auf dem Markt und stellt sicher, dass Du deine Marketing- Ziele auch in Zukunft erreichst.
Du hast Fragen oder möchtest mit uns diskutieren?
Dann melde Dich gern.
Hinweis
Der vorliegende Beitrag kann nur allgemeine Hinweise zu einem Einstieg in die Thematik geben. Für Abklärungen im Einzelfall, bei Unklarheiten und im Zweifel empfehlen wir die gezielte Beratung durch eine erfahrene und qualifizierte Fachperson wie beispielsweise einen Rechtsanwalt.