nDSG (Schweiz) vs. DSGVO (EU)
Das neue Schweizer Datenschutzgesetz (nDSG) ist per 1. September in Kraft. Es orientiert sich zwar am Datenschutzgesetz der EU (DSGVO) unterscheidet sich aber auch davon.
Wann spielen die Unterschiede eine Rolle?
Die Schweiz greift mit dem neuen Datenschutzgesetz auf einen liberaleren Ansatz zurück. Unternehmen benötigen in der Regel keine Einwilligung der Nutzer:innen, sondern müssen sich an eine ausgeweitete Informationspflicht halten.
Optimaler Schutz für KMUs:
Beide Gesetze scheinen sehr ähnlich zu sein, unterscheiden sich in wichtigen Aspekten jedoch voneinander. Mit unserem Vergleich bleiben KMUs rechtskonform und entgehen möglichen Sanktionen.
Hinweis: Dies ist eine Hilfestellung, aber keine rechtliche Beratung. Wir übernehmen keine Haftung.
Wenig Zeit?
DSGVO zum nDSG
Das nDSG verbessert nicht nur den Datenschutz, sondern wahrt auch den freien Datenverkehr mit der EU. Für jedes KMU, das bereits die Anforderungen der DSGVO erfüllt, besteht jetzt Handlungsbedarf. Unser Vergleich hilft Unternehmen, sich nach ihren Bedürfnissen vorzubereiten und ihre Wettbewerbsfähigkeit zu wahren
Hinweis: Unsere Checkliste bereitet KMUs in 7 Schritten auf die wichtigsten Änderungen vor.
Die 11 wichtigsten Unterschiede auf einen Blick:
| DSGVO | nDSG | |
|---|---|---|
| 1. Sanktionen | Geldbussen an das verantwortliche Unternehmen bis zu 20 Mio. EUR oder 4 % des weltweiten Jahresumsatzes des Unternehmens. | Bei Verstoss gegen Regelungen strafrechtliche Bussen bis zu 250’000 CHF. Dabei ist die Strafe mit Ausnahmen an die verantwortliche natürliche Person geknüpft. |
| 2. Melden von Datenschutzverletzungen | Pflicht, Datenschutzverletzungen mit Risiken für die betroffenen Personen der Datenschutzbehörde innerhalb von 72 Stunden zu melden. Besteht ein hohes Risiko für die Persönlichkeit, so muss die Person benachrichtigt werden. | Pflicht, sofern es zum Schutz der betroffenen Personen erforderlich ist. Der EDÖB muss vom Verantwortlichen nur bei einem hohen Risiko informiert werden, sprich, wenn es zum Schutz der betroffenen Person erforderlich ist. Dabei gilt keine Frist von 72 Stunden, sondern “möglichst schnell”. |
| 3. Datenexporte | Die Europäische Kommission entscheidet über die Zulässigkeit. EU-Standardvertragsklauseln und verbindliche unternehmensinterne Vorschriften sind anwendbar. | Das gleiche Konzept. Der Bundesrat entscheidet über die Zulässigkeit von Datenexporten. Dieselben Standardvertragsklauseln und verbindlichen unternehmensinternen Vorschriften wie in der EU sind anwendbar. |
| 4. Benennung eines Datenschutzbeauftragten | Pflicht, wenn das Unternehmen regelmässige und systematische Überwachung in grossem Umfang durchführt oder besondere Kategorien von Daten in grossem Umfang verarbeitet, gemäss Art. 37. | Keine Pflicht, aber ausdrücklich empfohlen. Die Benennung führt zu Erleichterung bei einer Datenverarbeitung mit einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person. |
| 5. Datenschutz-Folgenabschätzung | Wenn trotz ergriffener Massnahmen ein hohes Risiko besteht, dann ist eine Rücksprache mit Aufsichtsbehörden obligatorisch. | Wenn ein hohes Risiko für die Persönlichkeit oder Grundrechte der betroffenen Personen besteht, so ist eine Datenschutz-Folgeabschätzung (DSFA) durchzuführen. Wenn trotz der Massnahmen das Risiko weiter besteht, dann ist die Rücksprache mit einem Datenschutzbeauftragten oder dem EDÖB möglich. |
| 6. Datenschutz- vertretung | Unternehmen mit einem Sitz ausserhalb eines EU/EWR-Landes, die ihr Angebot an Kunden in EU/EWR-Ländern richten, Daten verarbeiten oder das Verhalten beobachten, müssen einen offiziellen Vertreter in der EU/EWR bestimmen. | Bei der Datenverarbeitung durch einen Verantwortlichen mit einem Sitz im Ausland ist eine Vertretung in der Schweiz zu benennen. Ebenso wenn die Datenverarbeitung mit einem hohen Risiko hergeht, umfassend oder regelmässig ist. |
| 7. Profiling | Allgemeine Pflicht zur Einholung der Zustimmung. | Allgemeine Pflicht zur Einholung der Zustimmung nur bei Profiling mit hohem Risiko. |
| 8. Informationspflicht | Pflicht, betroffene Person bei Erhebung von personenbezogenen Daten zu informieren. | Der Verantwortliche muss die betroffene Person über die Beschaffung von Personendaten informieren, auch wenn die Daten nicht bei der betroffenen Person beschafft werden (gem. Art. 18a). |
| 9. Bearbeitung von persönlichen Daten | Die Verarbeitung von Personendaten ist grundsätzlich verboten, es sei denn, es besteht eine rechtliche Grundlage (z.B. Einwilligung, Vertrag, gesetzliche Verpflichtung). | Hier ist die Bearbeitung von Personendaten generell erlaubt, es sei denn, es liegt eine unzulässige Verletzung der Persönlichkeitsrechte vor. |
| 10. Auskunftsrecht | Betroffene Personen haben das Recht, Informationen zu ihren verarbeiteten personenbezogenen Daten zu erhalten. Dies umfasst unter anderen Verarbeitungszwecke und Datenherkunft. | Ähnlich wie in der DSGVO, jedoch mit mehr Ausnahmen. Die Auskunft kann z.B. verweigert werden, wenn die Privatsphäre Dritter oder überwiegende Interessen betroffen sind. |
| 11. Verzeichnis der Verarbeitungstätigkeiten | Unternehmen müssen ein Verzeichnis über ihre Verarbeitungstätigkeiten führen, gemäss Art. 37. | Verantwortliche bzw. Auftragsbearbeiter führen ein Verzeichnis der Bearbeitungstätigkeiten mit einer Mindestinhaltsvorgabe. Eine Ausnahme ist der Fall bei Unternehmen mit weniger als 250 Mitarbeitenden und Datenbearbeitungen mit geringen Risiken für Persönlichkeitsverletzungen. Es gibt jedoch keine Ausnahme bei einem Profiling mit hohem Risiko oder Bearbeitung von besonders schützenswerten Daten in einem grossen Umfang. |
Cookie-Banner für Schweizer Websites?
Nach dem neuen Datenschutzgesetz sind Cookie-Banner in der Schweiz nicht verpflichtend (Quelle: EDÖB). Die Regelungen der EU verlangen wiederum Cookie-Banner, die die Einwilligung der Nutzer:innen einholen.
Wenn Schweizer Websites Cookies verwenden, müssen Betreiber Informationen zur Datenbeschaffung transparent, verständlich und leicht zugänglich hinterlegen. Die Bearbeitung besonders schützenswerter Personendaten verlangt in der Schweiz auch weiterhin eine Zustimmung.
Wie sieht ein rechtskonformes Cookie-Banner aus?
Einwilligungs-Banner dürfen Cookies nicht standardmässig aktivieren, Nutzer:innen zur Einwilligung zwingen oder das Surfen auf der Seite als Einwilligung interpretieren.
Es ist nicht zulässig, den Zugriff auf die Website von der Zustimmung abhängig zu machen. Wichtig ist, dass Cookie-Banner eine freiwillige Einwilligung ermöglichen und die Möglichkeit bieten, einzelnen Cookies zuzustimmen oder zu widersprechen.
Welche Richtlinien gelten für Cookie-Banner?
Laut EDÖB müssen Betreiber bei der Verwendung von Cookies für Webtracking-Zwecke die Anforderungen ePrivacy-Richtlinie des Europäischen Parlaments und des Rates über die Verarbeitung personenbezogener Daten und Schutz der Privatsphäre im Bereich der elektronischen Kommunikation berücksichtigen.
Wann müssen Schweizer Websites DSGVO-konform sein?
Die geltende Gesetzgebung hängt vom Standort der Nutzer:innen ab. Für Besucher:innen aus der EU müssen also auch Schweizer Websites die Voraussetzungen der DSGVO, wie Cookie-Banner, erfüllen.
Schweizer Organisationen müssen individuell entscheiden, ob Cookie-Banner für ihre Website nötig sind. Gerne unterstützen wir bei der Einschätzung und anfallenden technischen Umsetzung.
Fazit
Das nDSG kommt und wird neue Massstäbe für den Datenschutz in der Schweiz setzen. Auf den ersten Blick verbessert es vor allem den Schutz für Schweizer Bürger:innen und orientiert sich dabei an der DSGVO der EU.
Wer genauer hinschaut, erkennt jedoch einige wichtige Unterschiede, die KMUs beachten sollten. Durch die Anpassung an die neuen Richtlinien bereiten sich Schweizer Unternehmen und Vereine bestmöglich auf den 1. September vor. So stärken sie nicht nur Kundenvertrauen und Marktposition, sondern halten auch dem Druck der Digitalisierung stand.
Keine Zeit verlieren und schon heute mit der Vorbereitung starten!
Digital Marketing können wir noch besser als Datenschutz.🙂 Als innovative Online Marketing Agentur sind wir der richtige Ansprechpartner, wenn es um eine individuelle und erfolgreiche Marketing-Strategie geht.
