Schweizer nDSG vs. EU DSGVO
Neue Datenschutzregeln in der Schweiz – Was Firmen & Vereine jetzt wissen müssen
Das neue Schweizer Datenschutzgesetz (nDSG) gilt ab dem 1. September 2023.
Das nDSG (oder revDSG) strebt eine Harmonisierung zur EU-Datenschutzverordnung (DSGVO) an und soll durch eine Anpassung an die technologischen Entwicklungen die Daten von Schweizer Bürger:innen besser schützen.
In einer Ära, in der sich die Technologie rasant weiterentwickelt und KI-Anwendungen wie ChatGPT eine immer grössere Rolle in unserem Leben spielen, ist es wichtiger denn je, Privatsphäre und Datenschutz zu gewährleisten. Mit dem nDSG ist eine moderne Datenschutzversion in Aussicht. 🔭
Eine 🧭 Orientierung des nDSG an der DSGVO ist zu erkennen, auch wenn das nDSG nicht in allen Fällen mit der DSGVO übereinstimmt. Zumeist ist das neue schweizerische Gesetz weniger streng, und nur an einzelnen Stellen restriktiver als das europäische.
Das europäische Datenschutzgesetz gilt auch für viele Schweizer Organisationen.
Wann und wie die DSGVO auch für Schweizer Firmen & Vereine Geltung hat, können Sie in der DSGVO Schweiz Checkliste nachlesen. 🧾
So kommt es, dass einige Organisationen sowohl das europäische als auch schweizerische Datenschutzgesetz einhalten müssen. Deswegen besteht auch für Organisationen Handlungsbedarf, die bereits die Anforderungen der DSGVO erfüllen. 🎬
Hier erfährst du, welche wichtigen Unterschiede zwischen den beiden Datenschutzgesetzen stehen:
nDSG vs. DSGVO: 11 zentrale Unterschiede
| GDPR | nDSG | |
|---|---|---|
| Sanktionen | Fines of up to EUR 20 million or 4% of the company's global annual turnover, whichever is higher, imposed on the responsible company. | Penalties for violating regulations can be as high as CHF 250,000. With some exceptions, the penalty is linked to the responsible natural person. |
| Melden von Datenschutzverletzungen | Obligation to report data breaches that pose a risk to the individuals concerned to the data protection authority within 72 hours. If there is a high risk to the individual, the individual must be notified. | Pflicht, sofern es zum Schutz der betroffenen Personen erforderlich ist. Das EDÖB muss vom Verantwortlichen nur bei einem hohen Risiko informiert werden, sprich, wenn es zum Schutz der betroffenen Person erforderlich ist. Dabei gilt keine Frist von 72 Stunden, sondern “möglichst schnell”. |
| Datenexporte | The European Commission decides on admissibility. EU standard contractual clauses and binding internal company regulations are applicable. | The same concept. The Federal Council decides on the admissibility of data exports. The same standard contractual clauses and binding internal company regulations as in the EU apply. |
| Benennung eines Datenschutzbeauftragten | Mandatory if the company carries out regular and systematic monitoring on a large scale or processes special categories of data on a large scale, in accordance with Art. 37. | Not mandatory, but strongly recommended. Designation facilitates data processing that poses a high risk to the privacy or fundamental rights of the data subject. |
| Datenschutz-Folgenabschätzung | If, despite the measures taken, there is still a high risk, consultation with supervisory authorities is mandatory. | If there is a high risk to the personality or fundamental rights of the persons concerned, a data protection impact assessment (DPIA) must be carried out. If the risk persists despite the measures taken, it is possible to consult a data protection officer or the FDPIC. |
| Datenschutzvertretung | Companies based outside an EU/EEA country that offer their services to customers in EU/EEA countries, process data, or observe behavior must appoint an official representative in the EU/EEA. | If data processing is carried out by a controller based abroad, a representative must be appointed in Switzerland. The same applies if the data processing involves a high risk, is comprehensive, or is carried out on a regular basis. |
| Profiling | General obligation to obtain consent. | General obligation to obtain consent only in the case of high-risk profiling with high risk. |
| Informationspflicht | Obligation to inform the data subject when personal data is collected. | The controller must inform the data subject about the collection of personal data, even if the data is not collected from the data subject (in accordance with Art. 18a). |
| Bearbeitung von persönlichen Daten | The processing of personal data is generally prohibited unless there is a legal basis for doing so (e.g., consent, contract, legal obligation). | Here, the processing of personal data is generally permitted, unless there is an impermissible violation of personal rights. |
| Auskunftsrecht | Data subjects have the right to obtain information about their processed personal data. This includes, among other things, the purposes of processing and the origin of the data. | Similar to the GDPR, but with more exceptions. For example, access may be denied if the privacy of third parties or overriding interests are affected. |
| Verzeichnis der Verarbeitungstätigkeiten | Companies must keep a record of their processing activities in accordance with Article 37. | Verantwortliche/Auftragsbearbeiter führen ein Verzeichnis der Bearbeitungstätigkeiten mit einer Mindestinhaltsvorgabe. Eine Ausnahme ist der Fall bei Unternehmen mit weniger als 250 Mitarbeitenden und Datenbearbeitungen mit geringen Risiken für Persönlichkeitsverletzungen. Es gibt jedoch keine Ausnahme bei einem Profiling mit hohem Risiko oder Bearbeitung von besonders schützenswerten Daten in einem grossen Umfang. |
Das neue Schweizer Datenschutzgesetz stellt sicher, dass der freie Datenverkehr mit der EU weiter bestehen kann und gewährleistet eine Wettbewerbsfähigkeit der Schweizer Unternehmen. Es ist wichtig, sich an die Bestimmungen zu halten, um hohe Busse und Reputationsschäden zu vermeiden und das Vertrauen der Kunden zu unterstützen. 🤝
Und die Cookies?🍪
„Nein, das neue Datenschutzgesetz in der Schweiz bringt kein Obligatorium für Cookie-Banner. Die Schweiz übernimmt nicht die EU-Cookie-Richtlinie.“
Gemäss Martin Steiger führt das neue Datenschutzgesetz in der Schweiz nicht zur Pflicht von Cookie-Bannern. Die Schweiz hat also die EU-Cookie-Richtlinie nicht übernommen.
Statt expliziter Einwilligung setzt das Schweizer Gesetz auf Information und Ablehnungsmöglichkeit für Nutzer:innen. Die Verantwortlichen müssen lediglich sicherstellen, dass die Datenverarbeitung auf ein notwendiges Mindestmass beschränkt ist.
Optionale Datenschutzeinstellungen erfordern nur dann voreingestellte Einschränkungen, wenn tatsächlich Auswahlmöglichkeiten vorhanden sind. 💡
Trotz des neuen Gesetzes bleibt die Verwendung von Cookie-Bannern in der Schweiz also freiwillig. 💪
✅ Kurz:
Für Webseiten, die in der Schweiz gehostet werden, reicht eine Information in der Datenschutzerklärung über die Verwendung von Cookies aus.
Besucher aus der EU sind weiterhin durch ihre eigenen Datenschutzgesetze geschützt und müssen daher ausdrücklich in die Verwendung von Cookies einwilligen.
Conclusion
Das nDSG stürmt auf die Bühne, bereit, das Spiel des Datenschutzes der Schweiz neu zu definieren. Dabei stärkt es den Datenschutz der Schweizer Bürger:innen erheblich und nähert sich an der DSGVO an.
Doch wie bei jedem spannenden Spiel gibt es Unterschiede zu beachten – das nDSG und die DSGVO sind nicht identisch und erfordern daher eine Anpassung unserer Datenschutzpraktiken.
Durch die richtige Vorbereitung stärken Schweizer Firmen und Vereine ihre Marktposition und die Zuverlässigkeit ihren Klienten gegenüber. Game on! 💾
Verliere keine Zeit, dich auf das neue Gesetz vorzubereiten! ⏰
Disclaimer
Dieser Artikel dient nur zur Information und stellt keine verbindliche Rechtsauskunft dar. Bitte beachte, dass die Interpretation der Gesetze je nach Kontext und Situation variieren kann. Wir sind keine Anwälte und empfehlen, sich gut mit dem neuen Gesetz auseinanderzusetzen und sich angemessen auf die anstehenden Änderungen vorzubereiten. Gerne stehen wir für Fragen zur Verfügung.
Suchst du eine Marketing-Agentur, die Professionalität und Kreativität verbindet? 🧑💻🌈
Dann melde dich bei uns! 😊👇