Per 1. September 2023 tritt das neue Bundesgesetz über den Datenschutz (Datenschutzgesetz, DSG) in Kraft. Das neue Gesetz und die Verordnungen sind hier zu finden.
Die Anpassungen sind nötig, da das aktuelle Datenschutzgesetz der Schweiz in den 1990ern in Kraft trat und seitdem weitgehend unverändert bestanden hat. Soziale Netzwerke und digitale Identitäten waren damals noch gänzlich unbekannt. Eine Anpassung an die mittlerweile digitale Realität war also nötig.
Als Media-Agentur mit starker digitaler DNA nehmen wir das Thema Datenschutz sehr ernst und unternehmen alles, den Datenschutzanforderungen zusammen mit unseren Werbekunden genüge zu tragen. Hier in diesem Blog-Artikel sind ein paar Gedanken in unseren Worten festgehalten zum neuen Datenschutzgesetz. Für Abklärungen im Einzelfall, bei Unklarheiten und im Zweifel empfehlen wir immer die gezielte Beratung durch einen auf Datenschutz spezialisierten Juristen oder Rechtsanwalt.
Die EU DSGVO schreibt vor, dass EU Bürger:Innen und deren Daten ortsunabhängig geschützt werden müssen, also auch, wenn diese Schweizer Websites nutzen. Aufgrund dieses Umstands haben viele Schweizer Webseiten-Betreiber bereits seit 2018 ihren Datenschutz dem EU-Standard angepasst. Die zeitaufwändigen Anpassungen müssen zum Glück nicht komplett über den Haufen geworfen werden, da die Schweiz ab 01. September 2023 grundsätzlich das gleiche Prinzip auch für Schweizer User anwendet.
Das neue Gesetz folgt dem Grundsatz, dass Datenschutz auch einen Teil des Personenschutzes darstellt. Dem Bund kommt dabei die Aufgabe zu, seine Bürger:Innen auch digital zu schützen, z.B. vor Identitätsraub, Betrug etc.
Dieser Grundsatz meint, dass die technischen Voreinstellungen grundsätzlich datenschutzfreundlich gestaltet werden müssen und die Bearbeitung der Daten auf ein Minimum beschränkt werden sollen. Es soll also nur gesammelt werden, was auch wirklich gesammelt werden muss, und diese Aktivitäten müssen transparent kommuniziert werden.
Jegliche Datenbeschaffung obliegt neu der Informationspflicht. Der einfachste Weg ist das Erstellen einer Datenschutzerklärung, welche alle erhobenen Daten und deren Verarbeiter auflistet. Ebenfalls gilt der Grundsatz von Treu und Glauben, d.h. ein Nutzer muss wissen oder erkennen können, welche Daten zu welchem Zweck beschafft werden. Die heimliche Beschaffung widerspricht diesem Grundsatz.
Im Gegensatz zum EU Recht ist in der CH keine Einwilligung (Opt-In) zur Bearbeitung von Daten nötig. Eine saubere Datenschutzerklärung reicht in der Regel aus.
Da viele Sites jedoch auch EU-Traffic abwickeln, kann es trotzdem sinnvoll sein, einen aktiven Opt-In nach EU-Standard anzuwenden.
Dies kann z.B. mit Hilfe des allgegenwärtigen Cookie-Banners geschehen. Per Standardeinstellung sollte dieser so eingestellt werden, dass nur die zum Betrieb notwendigen technischen Cookies angewählt sind, so dass die Privatsphäre eines Nutzers so wenig wie möglich tangiert wird.
Schützenswerte Daten mit hohem Risiko sind solche, durch welche ein Profiling durchgeführt werden kann, das eine «Beurteilung wesentlicher Aspekte der Persönlichkeit einer natürlichen Person erlaubt» (Artikel 5, Absatz g nDSG).
Für die Verarbeitung solcher Daten muss neu eine ausdrückliche Einwilligung vorliegen (Artikel 6 nDSG).
Diese Aspekte werden unter «Profiling» gelistet:
Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel (Artikel 5, Absatz f und g nDSG).
Auskunftsrecht
Auf Anfrage müssen einem Nutzer in jedem Fall folgende Informationen mitgeteilt werden:
Recht auf Datenübertragbarkeit und Löschung
Mit dem Recht auf Datenherausgabe und Datenübertragung (Datenportabilität) kann die betroffene Person kostenlos vom Verantwortlichen die Herausgabe ihrer Personendaten bzw. deren Übertragung an einen anderen Verantwortlichen in maschinenlesbarer Form verlangen.
Jeder Nutzer kann ausserdem die Löschung seiner Daten beantragen.
Innerhalb einer Organisation muss neu klar definiert und schriftlich festgehalten werden, wer wie für welche Daten zuständig ist. Das Führen eines Datenverarbeitungs-Inventars ist Pflicht, ausser das Unternehmen ist kleiner als 250 Personen oder es besteht nachweislich nur ein geringes Risiko für die betroffene Person bei der Datenverarbeitung.
Falls systematisch umfangreiche öffentliche Bereiche überwacht werden und die Bearbeitung besonders schützenswerter Personendaten durchgeführt wird, muss vom Datenschutzverantwortlichen eine Datenschutz-Folgenabschätzung erarbeitet werden.
Diese enthält eine Beschreibung der geplanten Bearbeitung der Daten, Bewertung der Risiken für die Persönlichkeit oder die Grundrechte der betroffenen Person sowie die getroffenen Massnahmen zum Schutz der Persönlichkeit und der Grundrechte (Artikel 22 nDSG).
Auf Deutsch: Es muss klar sein, was mit den gesammelten Daten passieren kann. Benutzt man vom Bund nicht zertifizierte Software, oder stellt die Datensammlung ein Risiko für die zu schützende Person dar, dann muss die Stellungnahmen des EDÖB (Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter) eingeholt werden oder aber mindestens eine Folgenabschätzung verfasst werden.
Die Schweiz passt sich in Sachen Datenschutz ab 1. September 2023 dem EU-Standard an. Noch nicht überall klar ist die praktische Anwendung des Gesetzes. Der Grundgedanke ist aber klar: Informiere transparent darüber, welche Daten wie, wo, warum, durch wen und wie lange gesammelt werden. Weiter darf davon ausgegangen werden, dass in einer ersten Phase vor allem Schweizer Grossunternehmen von den DatenschützerInnen ins Visier genommen werden. Für kleinere Unternehmen dürfte in einer ersten Anfangsphase eine Datenschutzerklärung, welche transparent aufschlüsselt welche Daten wie und warum gesammelt werden bereits ausreichen. Unsere Version findest Du übrigens hier.
nova impact verfolgt die aktuellsten Entwicklungen auf dem Markt und stellt sicher, dass Du deine Marketing- Ziele auch in Zukunft erreichst.
Dann melde Dich gern.
Hinweis
Der vorliegende Beitrag kann nur allgemeine Hinweise zu einem Einstieg in die Thematik geben. Für Abklärungen im Einzelfall, bei Unklarheiten und im Zweifel empfehlen wir die gezielte Beratung durch eine erfahrene und qualifizierte Fachperson wie beispielsweise einen Rechtsanwalt.