Neues Datenschutzgesetz der Schweiz: So werden Sie rechtskonform
Das neue Bundesgesetz über den Datenschutz – kurz: neues Datenschutzgesetz (nDSG oder DSG) der Schweiz – passt das eidgenössische Datenschutzrecht an die Datenschutz-Grundverordnung (DSGVO) der EU an. Unternehmen in der Schweiz müssen ihren Umgang mit personenbezogenen Daten auf den Prüfstand stellen und bis 1. September 2023 eine Lösung gefunden haben, um diese Daten zu schützen.
Wie in der EU, droht auch das DSG mit empfindlichen Strafen für den rechtswidrigen Umgang mit personenbezogenen Daten. Allerdings haften nicht Firmen, sondern die Geschäftsführer für die Einhaltung der Datenschutzvorgaben (bis zu 250.000 Franken).
Was ist das neue DSG?
Das neue Datenschutzgesetz (DSG) passt des Datenschutzniveau der Schweiz an jenes der EU an, das unter anderem durch die DSGVO geregelt ist. Die neuen Bestimmungen betreffen nur noch den Schutz personenbezogener Daten von natürlichen Personen und nicht mehr von juristischen Personen wie Vereinen, Stiftungen oder Handelsgesellschaften.
Für Besucherinnen aus der EU auf Schweizer Webseiten galten bisher schon die Regelungen der DSGVO. Für Schweizer Besucher auf Schweizer Webseiten gilt nun das Datenschutz revidiert und neu verfasst.
Opt-out ist eine allgemeine Regel im neuen DSG. Das bedeutet, das Unternehmen keine Einwilligung einholen müssen, solange NutzerInnen über die Datenverarbeitungsaktivitäten informiert sind und das Recht haben, der Datenerhebung zu widersprechen – im Gegensatz zu Opt-in, bei dem NutzerInnen explizit zustimmen müssen.
Es gibt jedoch einige sehr wichtige Ausnahmen.
Opt-in ist zum Beispiel erforderlich für:
- Datenübermittlungen in Drittländer ohne angemessenes Schutzniveau (zum Beispiel in die USA )
- Die Verarbeitung sensibler Daten
- Automatisierungen (z.B. Analytics zur Verbesserung eines personalisierten Dienstes)
Weitere wichtige Neuerungen des DSG
Zu sensiblen personenbezogenen Daten zählen nun neben Gesundheitsdaten, Gewerkschaftszugehörigkeit oder politischen Ansichten auch biometrische Daten wie DNA oder Fingerabdrücke, wenn sie eine Person eindeutig identifizieren können.
Das neue Schweizer DSG basiert auf zwei neuen Datenschutzprinzipien: Privacy by Design bedeutet zum Beispiel, dass Unternehmen Daten systematisch anonymisieren oder löschen müssen, wenn sie nicht mehr benötigt werden.
Privacy by Default bedeutet, dass nur wesentliche Daten verarbeitet werden dürfen und für die Verarbeitung von anderen Daten zusätzliche Genehmigungen erforderlich sind.
Wenn die Verarbeitung von Daten voraussichtlich ein Risiko für die grundlegenden und persönlichen Rechte von Nutzern darstellt, muss im Rahmen des neuen Schweizer DSGs ein Impact Assessment durchgeführt werden.
Die Pflicht zur Informationsbereitstellung wurde gestärkt. Um Transparenz zu gewährleisten, müssen Datenverantwortliche für die private Verarbeitung von Daten den Benutzer über die Erhebung aller seiner personenbezogenen Daten und nicht nur der sensiblen Daten informieren.
Es ist nun verpflichtend, ein Register aller mit der Verarbeitung von Daten verbundenen Aktivitäten zu führen. Ausgenommen sind nur kleine Unternehmen mit weniger als 250 Mitarbeitern, da ihr Datenverarbeitungsprozess kein hohes Risiko für Verstöße gegen Persönlichkeits- oder Grundrechte darstellt.
Bei Verstößen gegen den Datenschutz müssen der Bundesbeauftragte für Datenschutz und Information und sofort benachrichtigt werden.
Unterschiede zur DSGVO
- Individuelle Haftung: Unternehmen werden nur in Ausnahmefällen bestraft. In der Regel haften Geschäftsführer
- Auch eine strafrechtliche Haftung ist möglich
- Obergrenze der Geldbußen: bis zu 250.000 Franken
- Für die Erhebung sensibler Daten ist Consent erforderlich
Wie können Unternehmen das DSG einhalten?
Aufgrund des neuen Datenschutzgesetzes müssen Schweizer Unternehmen ihre Datenschutzmaßnahmen bis spätestens 1. September 2023 angepasst haben.
Die notwendigen Maßnahmen ähneln jenen, die die DSGVO der EU verlangt.
Webseitenbetreiber müssen ihre Nutzerinnen vor der Erfassung und Verarbeitung von personenbezogenen Daten etwa über die Zwecke der Erfassung informieren und in vielen Fällen explizit den Consent einholen.
Schrems II hat ebenfalls auch auf Schweizer Unternehmen Auswirkungen. Der Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) hat die USA von seiner Whitelist von Staaten mit angemessenen Datenschutzniveau gestrichen. Das bedeutet, dass Transfers von personenbezogenen Daten in die USA, zum Beispiel mittels US-Tools wie Google Analytics, auf unsicherer rechtlicher Basis geschehen.
Das DSG und Schrems II
Das Vorbild DSGVO bietet auch für das DSG eine Lösung: Aus den bisherigen Entscheidungen der Datenschutzbehörden der EU-Mitgliedsländer kristallisierte sich eine Empfehlung dafür heraus, wie US-Tools DSGVO-konform genutzt werden können. Nämlich via Proxy.
Anstatt Daten direkt in die USA zu übertragen (oder an US-Server in der EU) gelangen die Daten zuerst auf einen Server in der EU. Dort werden die Daten pseudonymisiert, um den Personenbezug zu entfernen. Dann erst werden die Daten an die US-Tools wie Google Analytics weitergeleitet. Wichtig ist, dass sowohl Server als auch die Tracking-Software von EU-Unternehmen in der EU betrieben werden.
So können Webseitenbetreiber ihre Tools wie gewohnt weiter nutzen. Diese Vorgehensweise können Unternehmen auch anwenden, um DSG-konform zu werden. JENTIS bietet dafür die einfachste und fortschrittlichste Lösung.
DSG-konform werden: Die Vorteile von JENTIS
Mit der Data Capture Platform von JENTIS können Unternehmen die Anforderungen des neuen DSG erfüllen und ihr Tracking auf die Herkunft ihrer WebseitenbesucherInnen abstimmen – je nachdem ob sie aus der EU, der Schweiz oder Drittstaaten stammen. Kern der Plattform bildet hochentwickeltes Server-Side-Tracking, dass First-Party-Daten in maximaler Qualität erfasst.
Der Privacy by Design-Ansatz von JENTIS ermöglicht das Minimieren des Datenschutzrisikos, die Differenzierung zwischen sensiblen und nicht-sensiblen Daten sowie das Schützen von sensible Daten. Außerdem bietet die Data Capture Platform von JENTIS höchste Flexibilität und weitere wesentliche Datenschutzfunktionen, wie etwa die Pseudonymisierung von personenbezogenen Daten.
So können Unternehmen ihre Daten datenschutzkonform erfassen und an ihr bestehendes MarTech-Setup weiterleiten, ohne größere Veränderungen im Tech-Stack vornehmen zu müssen – auch, wenn es sich um US-Tools handelt.
Haben Sie Fragen? Wir freuen uns auf Ihre Nachricht!
Mehr lesen
Case Study – Wie Pixum bis zu 44% mehr Bestellungen in Safari-Browsern generiert
JENTIS Masterclass auf der OMR 2024
First-Party-Remarketing: Geniales Feature oder Epic Fail? Der Live-Reveal – am 8. Mai um 10.30 Uhr.
Better together: Mit CDP & Server-Side Tracking den ROI maximieren
Ein 360Grad Blick, wie eine CDP und Server-Side Tracking personalisiertes Marketing und verbesserte User Experiences für einen gesteigerten ROI ermöglichen.