,

Checkliste: 7 Schritte zum neuen Schweizer Datenschutzgesetz

,

Am 01.09.2023 tritt das neue Schweizer Datenschutzgesetz (nDSG) offiziell in Kraft. Es folgt damit der Datenschutz-Grundverordnung (DSGVO), die 2018 von der Europäischen Union verabschiedet wurde.

Übersicht aller Neuerungen?

In diesem Beitrag stellen wir die zentralen Änderungen im Detail vor und erklären neue und geänderte Begrifflichkeiten. Da das nDSG Privatpersonen nur selten betrifft, geht der Beitrag vor allem auf kurz- sowie langfristige Auswirkungen für KMUs ein. 

So bleiben Unternehmen wettbewerbsfähig:

Um wettbewerbsfähig zu bleiben, müssen Schweizer Unternehmen den freien Datenverkehr zur EU wahren. Unsere Checkliste ermöglicht einen informativen Überblick und schafft schon heute die Basis für eine stressfreie und unkomplizierte Umstrukturierung.

Hinweis: Dies ist eine Hilfestellung, aber keine rechtliche Beratung. Wir übernehmen keine Haftung.

Wenig Zeit?

  1. nDSG kompakt zusammengefasst

  2. Alle Änderungen auf einen Blick

  3. Die nDSG Checkliste

  4. Welche Strafen drohen?

  5. Jetzt Vorbereitung starten

  6. Update: Die Unterschiede von nDSG und DSGVO

  7. Hier Datenschutz-Check online buchen

  8. Bonuskapitel: Die besten Tools für den Datenschutz

1/ nDSG kompakt zusammengefasst:

  • Gültig ab: 01.09.2023

  • Ziel: verbesserter Schutz der Persönlichkeits- und Grundrechte Schweizer Bürger:innen bei der Bearbeitung ihrer personenbezogenen Daten

  • Vorbild: DSGVO der Europäischen Union aus dem Jahr 2018

  • Betrifft: In erster Linie Unternehmen und Vereine

  • Vorteil für KMUs: Wettbewerbsfähig bleiben, Bussen vermeiden & Kund:innenvertrauen stärken

  • nDSG vs. DSGVO: Die 11 wichtigsten Unterschiede im Überblick

  • Datenschutz-Generator nutzen und mit dem Code onlineKarma10 sparen

2/ nDSG: Die 5 zentralen Änderungen

1. Natürliche Personen

In seinem vollen Umfang betrifft das neue Gesetz “nur” noch die Daten natürlicher Personen. Die Bearbeitung der Daten von juristischen Personen fällt nicht mehr in vollem Mass unter den Schutz des nDSG.

Das nDSG schützt nicht die Rechte eines Unternehmens. Die Persönlichkeitsrechte von Mitarbeitenden eines Unternehmens sind aber auch nach neuem Recht weiterhin geschützt. 

2. Genetische und biometrische Daten

Genetische und biometrische Personendaten zählen laut neuem Datenschutzgesetz künftig zu den besonders schützenswerten Daten. Bei Daten dieser Kategorie gilt eine strengere Sorgfaltspflicht und die Pflicht zur Einholung einer Einwilligung vor jeder Bearbeitung (z.B. mit Cookie-Banner).

Personendaten:

  • Stammdaten (z.B. Name, Geburtstag, IBAN)

  • Bewegungsdaten (physisches & digitales Tracking)

  • Profiling-Daten (automatische Auswertung von Interessen, Vorlieben, Leistung, etc.)

Besonders schützenswerte Personendaten:

  • Daten zu Gesundheit, Aussehen & Identität (z.B. genetische Daten, biometrische Daten, Gesundheitsdaten)

  • Daten zur Weltanschauung (politische & gewerkschaftliche Engagements / Überzeugungen, religiöse Ansichten)

  • Daten zu Massnahmen/Sanktionen (z.B. Strafverfahren, Vollzug, Sozialhilfemassnahmen)

3. »Privacy by Design« & »Privacy by Default«

Mithilfe dieser beiden Grundsätze will das nDSG Personendaten besser schützen. Sie beziehen sich auf den Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen

4. Einführung einer Datenschutz-Folgeabschätzung

Die Datenschutz-Folgeabschätzung (DSFA) ist ein Instrument, das von der DSGVO übernommen wird. Sie enthält:

  1. Beschreibung der geplanten Datenverarbeitung

  2. Bewertung der Risiken für die Persönlichkeit und Grundrechte der betroffenen Personen

  3. Massnahmen zum Schutz der Persönlichkeit und der Grundrechte

5. Erweiterte Informationspflicht

Die erweiterte Informationspflicht gilt ab September für jede Beschaffung von Personendaten und nicht mehr nur von besonders schützenswerten Daten. Über Bearbeitungsumfang und -zweck können betroffene Personen in der Datenschutzerklärung informiert werden.

Weitere Informationen zu den Änderungen durch das neue Datenschutzgesetz finden sich auf der Website des EDÖB.

3/ Checkliste: In 7 Schritten vorbereiten

Das nDSG schützt nicht nur die Rechte der Schweizer Bürger:innen, sondern bewahrt auch die Wettbewerbsfähigkeit Schweizer Unternehmen. Mit unserer Checkliste entgehen KMUs hohen Bussgeldern und Reputationsschäden.


1. Welche Personendaten bearbeite ich?

Bei besonders schützenswerten Personendaten, wie biometrischen und genetischen Daten, ist vorab die freiwillige Einwilligung der Nutzer:innen nötig. Unternehmen greifen hierfür auf Cookie-Banner mit Einwilligungsoption zurück.

Wer andere Personendaten bearbeitet, muss transparent und leicht verständlich darüber informieren. Für das Hinterlegen der Informationen haben Unternehmen verschiedene Möglichkeiten:

  • Datenschutzerklärung

  • AGBs

  • Separates Schreiben

  • Einwilligungsformular

  • Informative Cookie-Banner


2. Entspricht meine Website Privacy by Design?

Privacy by Design bedeutet, dass die technische Struktur von Produkt oder Dienstleistung die Privatsphäre der Nutzer:innen schützen und respektieren muss. Es ist auf eine angemessene technische und organisatorische Konzeption der Systeme zu achten. 

Beispiele für passende Massnahmen:

  • Datenminimierung: Es werden nur Personendaten erfasst und bearbeitet, die für die Geschäftsabwicklung unbedingt erforderlich sind.

  • Selektiver Passwortschutz: Der Zugriff auf die Daten ist nur Mitarbeitenden gestattet, die sie für ihre Arbeit benötigen.

3. Erfüllt meine Website Privacy by Default?

Privacy by Default beschreibt datenschutzfreundliche Voreinstellungen, die ohne ein Eingreifen der Nutzer:innen aktiv sind. Software, wie Apps und Websites, müssen demnach so konzipiert werden, dass die Bearbeitung von Personendaten auf das nötige Minimum beschränkt ist. 

Häufige Beispiele sind:

  • Anonymisierung der IP bei Google Analytics

  • Abfrage wirklich notwendiger Daten (z.B. Kontaktformular)

  • Starke Zugriffseinschränkungen für Social Media Profile und Beiträge

  • Einschränkungen von App-Zugriffen auf Websites

Gibt es in der Schweiz eine Cookie-Banner-Pflicht?

Eine pauschale Cookie-Banner-Pflicht wie in der EU gibt es in der Schweiz nicht. Für die meisten Schweizer Firmen sind Cookie-Banner lediglich bei der Verwendung von besonders schützenswerten Daten verpflichtend.

Dies gilt jedoch explizit nur für Schweizer Nutzer:innen. Haben Schweizer Websites Besucher:innen aus der EU, gilt die DSGVO und auch die Cookie-Banner-Pflicht.

4. Muss ich eine Datenschutz-Folgeabschätzung erstellen?

Eine Folgenabschätzung ist nötig, wenn bei der Bearbeitung ein potenziell hohes Risiko für die Datensicherheit besteht. Ein hohes Risiko ergibt sich nach Art. 22 des DSG, insbesondere:

  • Bei der Verwendung neuer Technologien

  • Aus Art & Umfang der Bearbeitung

  • Aus den Umständen der Bearbeitung

  • Aus dem Zweck der Bearbeitung

Verpflichtend ist eine DSFA laut nDSG beispielsweise bei der Bearbeitung besonders schützenswerter Daten oder bei der systematischen Überwachung öffentlicher Bereiche.


5. Habe ich eine rechtskonforme Datenschutzerklärung?

Unternehmen müssen ihre bestehende Datenschutzerklärungen aufgrund der umfangreicheren Pflichten gegebenenfalls anpassen. Bisherige Anpassungen an die DSGVO der EU sind möglicherweise nicht ausreichend.

Eine rechtskonforme Datenschutzerklärung muss Informationen über sämtliche Datenbearbeitungen beinhalten und einfach auffindbar sein (z.B. im Footer). Besucher:innen einer Website müssen ausserdem auf die Datenschutzbestimmungen hingewiesen werden (z.B. in Kontaktformularen). Sie muss Auskunft geben über:

  • Identität und Kontaktdaten des Verantwortlichen (z.B. Unternehmen)

  • Bearbeitungszweck

  • Empfänger bei Datenweitergabe

  • Datenkategorien bei Beschaffung durch Dritte (z.B. Marketing-Agentur)

  • Länderangabe bei Export ins Ausland

Nutzen Sie den Generator von Datenschutzpartner, um eine individuelle Datenschutzerklärung zu erstellen. Mit dem Code onlineKarma10 können unsere Kund:innen bis zu 10 % sparen.

6. Benötige ich ein Verzeichnis aller Datenbearbeitungen?

In Unternehmen mit mehr als 250 Mitarbeitenden muss künftig jede Datenbearbeitung erfasst werden. Der Inhalt des Verzeichnisses ist gesetzlich vorgegeben und richtet sich nach den Inhalten der Datenschutzerklärung.

Das Verzeichnis sollte zusätzlich die Aufbewahrungsdauer der Personendaten sowie eine allgemeine Beschreibung der Massnahmen zur Einhaltung der Datensicherheit beinhalten.


7. Wann muss ich mich beim EDÖB melden?

Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) nimmt in Bezug auf das neue Datenschutzgesetz eine intensive aufsichtsrechtliche Rolle ein. Kommt es zu einer Datenschutzverletzung, muss diese umgehend dem EDÖB mitgeteilt werden.

Aktuell ist eine Meldepflicht für Cyberangriffe auf kritische Infrastrukturen in Planung. In diesem Fall müsste auch das Nationale Zentrum für Cybersicherheit (NCSC) informiert werden.

4/ Strafbarkeit: Welche Strafen bei Datenschutzverletzung?

Keine Sorge, nach Schweizer Recht ist ab dem 1. September 2023 nur eine bewusste Pflichtverletzung strafbar. Eine Verletzung der Geheimhaltung beispielsweise, bleibt ohne strafrechtliche Konsequenzen, wenn die Offenlegung unbeabsichtigt war. Bei Vorsatz drohen jedoch folgende strafrechtlichen Sanktionen:

      ❗ Busse von bis zu CHF 250’000

      ❗ Verwaltungsrechtliches Untersuchungsverfahren durch EDÖB.

      ❗ Bei Missachtung des EDÖB: Busse von bis zu CHF 250’000. 

      ❗ Zivilrechtliche Klagen (z. B. Unterlassung oder Schadensersatz).

Eine Busse von CHF 250’000 ist insbesondere bei diesen Vergehen fällig:

  • Verletzung der Informationspflicht (z.B. fehlerhafte Datenschutzerklärung)

  • Verletzung der Datensicherheit (z.B. Privacy by Design & Default)

  • Verletzung der Auskunftspflichten

  • Fehlende Schutzmassnahmen oder Einwilligung bei der Bekanntgabe der Personendaten in Länder ohne angemessenes Schutzniveau

  • Fehlender Vertrag mit Vertragspartner:innen

Das Schweizer Datenschutzgesetz sanktioniert in der Regel die verantwortlichen Personen direkt. Bei einer Busse von bis zu CHF 50’000 muss meist das Unternehmen zahlen, da eine aufwändige Schulduntersuchung seitens des EDÖB nicht gerechtfertigt ist.

5/ Für KMUs: Welche Massnahmen sind generell sinnvoll?

Abseits der Website sind für KMUs weitere Schritte sinnvoll, um datenschutzkonform zu sein. Folgende Massnahmen sorgen für eine schnelle und unkomplizierte Umstrukturierung:

  • Bestandsaufnahme der Bearbeitung von Personendaten

  • Risikobewertung im Unternehmen

  • Organisation interner Prozesse, um Zugehörigkeiten zu klären und Zugriffe auf das nötige Minimum zu beschränken

  • Prüfung und Anpassung bestehender Datenschutzerklärungen und Verträge mit Auftragspartnern, inklusive Verzeichnis der Bearbeitungstätigkeiten

  • Bestimmung einer Ansprechperson für Themen des Datenschutzes

Gerne unterstützen wir Sie bei der Umsetzung des nDSG.

6/ Die besten Tools für den Datenschutz

Datenschutz ganz einfach in die eigene Hand nehmen. Mit diesen Tools Zeit und Geld sparen bei der Umsetzung neuer Datenschutz-Richtlinien:

Datenschutz in 30 Minuten

In nur 30 Minuten zur Datenschutzerklärung für die eigene Website. Einfach den Fragebogen ausfüllen und Datenschutzpartner erstellt sofort eine massgeschneiderte Datenschutzerklärung.

Jetzt starten

Cookiebanner schnell und einfach

Die Website benötigt einen Cookiebanner? Jetzt mit Cookiebot in wenigen Schritten erstellen. Unsere Kund:innen profitieren von einem exklusiven monatlichen Rabatt von 10 Prozent.

Jetzt kontaktieren
Auch interessant
Ausbildung mit Zukunft: Warum onlineKarma als Lehrbetrieb in die nächste Generation investiert
Ausbildung mit Zukunft: Warum onlineKarma als Lehrbetrieb in die nächste Generation investiert
TikTok Nutzung Schweiz | 2024
TikTok Nutzung Schweiz | 2024
LinkedIn Statistik & Nutzung Schweiz 2024
LinkedIn Statistik & Nutzung Schweiz 2024
 

Kontakt