Seit dem 1. September 2023 gelten einige wichtige Änderungen und Neuerungen für die Verarbeitung personenbezogener Daten in der Schweiz.
In der Kürze:
Das neue Schweizer Datenschutzgesetz bezweckt den Schutz der Grundrechte und der Persönlichkeit von natürlichen Personen, über die Personendaten verarbeitet werden.
Aber wer ist eigentlich betroffen?
Das Gesetz betrifft in erster Linie private Personen und Bundesorgane, die personenbezogene Daten aus der Schweiz verarbeiten – auch, wenn dies vom Ausland aus geschieht. Nicht anwendbar ist das Gesetz auf Personendaten, die wirklich nur zum persönlichen Gebrauch bearbeitet werden. Ausserdem wird das nDSG nicht mehr auf Daten juristischer Personen angewandt. Das bedeutet, dass das Gesetz für dich als privater Webseiten-Betreiber genauso gilt wie für kommerzielle Betreiber.
Die entscheidende Frage ist immer: Verarbeitet meine Webseite auf irgendeine Art personenbezogene Daten?
Anders gesagt: werden auf meiner Webseite Personendaten beschafft, gespeichert, verändert, gelöscht oder anderweitig verwendet? In den meisten Fällen ist die Antwort darauf ein klares JA. Denn auch wenn du nicht bewusst Personendaten bearbeitest, werden bei deinem Webhosting-Provider bspw. die IP-Adressen der Nutzer deiner Webseite geloggt, die bereits als Personendaten gelten können.
Unsere Empfehlung um auf Nummer sicher zu gehen lautet daher:
Gehe im Zweifelsfall davon aus, dass das nDSG auch deine Webseite betrifft.
Wer kontrolliert die Umsetzung des nDSG?
Eine der wichtigsten Änderungen des Datenschutzgesetzes betrifft die Zuständigkeit für die Durchsetzung des Datenschutzrechts. Während die bisherigen Datenschutzgesetze den Kantonen die Verantwortung für die Durchsetzung des Datenschutzrechts übertrugen, wird diese Aufgabe nun auf Bundesebene zentralisiert. Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) wird künftig für die Überwachung und Durchsetzung des Datenschutzrechts in der Schweiz zuständig sein.
Was sind die zentralen Bestimmungen des nDSG?
Informationspflicht
Unternehmen und private Personen sind mit dem nDSG dazu verpflichtet, Betroffene über jede Datenbeschaffung ausreichend zu informieren. Dabei müssen einige Pflichtangaben gemacht werden. Unter anderem die Folgenden:
- Kontaktdaten des Verantwortlichen
- Bearbeitungszweck
- Empfänger, Empfängerkategorien bei Bekanntgabe der Daten
- Empfängerland bei Export der Daten ins Ausland
Profiling
Werden Personendaten einer natürlichen Person automatisch erhoben, braucht es dafür eine explizite Einwilligung, wenn dadurch «Profiling mit hohem Risiko» möglich ist. Darunter versteht das Gesetz die automatisierte Erhebung und Zusammenführung von Daten, durch die sich die Persönlichkeit der betroffenen Person ableiten lässt. Das können bspw. die Gesundheit, Beziehungsstatus, Interessen, Standort oder das Vermögen sein. Falls eine Einwilligung erfragt wird, muss diese freiwillig sein und der Betroffene muss vorher ausreichend über die Folgen seiner Einwilligung informiert werden.
Betroffenenrechte
Unternehmen und Organisationen sind mit dem nDSG dazu verpflichtet, betroffene Personen umfassend über die Verarbeitung ihrer personenbezogenen Daten zu informieren. Ausserdem haben Betroffene das Recht, jederzeit Auskunft über die von einem Unternehmen oder einer Organisation verarbeiteten Daten zu erhalten, sowie das Recht auf deren Berichtigung, Löschung und Einschränkung der Verarbeitung. Diese Rechte gelten allerdings nicht immer uneingeschränkt.
Datenschutz-Folgenabschätzung
Wenn eine neue Erhebung personenbezogener Daten erfolgen soll, muss vorher eine entsprechende Datenschutz-Folgenabschätzung durchgeführt werden. In dieser wird festgehalten, welche Daten betroffen sind und wie diese geschützt werden sollen.
Inventar der Datenbearbeitungen
Wie bei der DSGVO wird es auch nach Schweizer Recht verpflichtend sein, ein Verzeichnis aller Datenbearbeitungen zu führen. Dies gilt grundsätzlich nur für Unternehmen und Organisationen ab 250 Mitarbeitern, es sei denn, es werden besonders viele schützenswerte Personendaten erhoben oder «Profiling mit hohem Risiko» betrieben.
Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen
- Privacy-by-Design: Mit dem Datenschutz durch Technik ist gemeint, dass für die Erhebung personenspezifische Daten frühzeitig technische und organisatorische Massnahmen ergriffen werden müssen, um diese Daten angemessen zu schützen.
- Privacy-by-Default: Die Voreinstellungen einer Anwendung oder Webseite müssen nach dem «Privacy-by-Default» Grundsatz so gesetzt sein, dass standardmässig nur die Personendaten erhoben werden, die für den Verwendungszweck mindestens notwendig sind. Im Falle einer Webseite dürfen also im Cookie-Banner in den Default-Einstellungen nur die Cookies vorausgewählt sein, die für die Webseite essenziell sind.
Datensicherheitsvorfall
Wird die Datensicherheit verletzt, wie z.B. durch Datenverluste (Data-Breach-Notifications), musst du dies möglichst schnell überprüfen. Falls es sich wirklich um ein erhebliches Sicherheitsrisiko handelt, muss das EDÖB über den Vorfall informiert werden. Ob du auch die betroffenen Personen kontaktierst, ist von Fall zu Fall unterschiedlich.
Strafbarkeit bei Verstössen
Im Falle des Falles ist es am wichtigsten, dass du als Webseitenbetreiber keine Anfragen von betroffenen Personen oder Behörden wie etwa dem EDÖB übersiehst und rechtzeitig auf diese reagierst. Hier gibt es auch den grössten Unterschied des nDSG zur DSGVO: Die EDÖB kann nämlich im Falle einer Pflichtverletzung dem privaten Verantwortlichen eine Busse bis zu CHF 250’000 aussprechen. Im Gesetz der EU ist keine Busse für private Personen vorgesehen, sondern nur für Unternehmen.
Hier gibt es allerdings auch gute Neuigkeiten: Die neuen Strafbestimmungen gelten nur bei vorsätzlichen Verstössen, nicht aber aufgrund von Fahrlässigkeit. Darauf ankommen lassen sollte man es aber nicht.
Was sind meine next Steps als Webseitenbetreiber?
Um deine Website für das neue Schweizer Datenschutzgesetz zu wappnen, kannst du folgende Schritte umsetzen:
- Überprüfe, welche personenbezogenen Daten auf deiner Webseite erhoben werden und wofür diese verwendet werden. Gegebenenfalls lohnt sich hier die Erstellung eines Bearbeitungsverzeichnisses (Daten-Inventar), in dem du alle exportierten Daten sowie deren Empfänger, Kategorien von Empfängern, etc. dokumentierst.
- Stelle sicher, dass die Datenschutzerklärung auf dem neuesten Stand und vollständig ist
- Werden Personendaten ins Ausland übermittelt und falls ja, sind diese durch Standardvertragsklauseln abgesichert?
- Werden die erhobenen Daten von Dritten bearbeitet und falls ja, sind diese durch einen Auftragsverarbeitungsvertrag abgesichert?
Insgesamt bringt das neue Datenschutzgesetz viele positive Veränderungen mit sich und stärkt die Rechte von Betroffenen. Es stellt sicher, dass Unternehmen und Organisationen verantwortungsbewusst mit personenbezogenen Daten umgehen und dass diese Daten angemessen geschützt werden. Ausserdem war es schon lange überfällig, dass die Schweiz sich beim Thema Datenschutz nach internationalen Standards richtet.
Bitte beachte, dass dieser Beitrag keine rechtsverbindliche Beratung darstellt. Wenn du eine rechtsverbindliche Beratung wünscht, solltest du dich an einen entsprechend qualifizierten Rechtsanwalt wenden.