Neues Datenschutzgesetz der Schweiz: So werden Sie rechtskonform

Am 1. September tritt das neue Datenschutzgesetz (DSG) der Schweiz in Kraft. Worauf Schweizer Unternehmen beim Umstieg auf datenschutzkonformes Tracking jetzt achten müssen.

Das neue Bundesgesetz über den Datenschutz – kurz: neues Datenschutzgesetz (nDSG oder DSG) der Schweiz – passt das eidgenössische Datenschutzrecht an die Datenschutz-Grundverordnung (DSGVO) der EU an. Unternehmen in der Schweiz müssen ihren Umgang mit personenbezogenen Daten auf den Prüfstand stellen und bis 1. September 2023 eine Lösung gefunden haben, um diese Daten zu schützen.

Wie in der EU, droht auch das DSG mit empfindlichen Strafen für den rechtswidrigen Umgang mit personenbezogenen Daten. Allerdings haften nicht Firmen, sondern die Geschäftsführer für die Einhaltung der Datenschutzvorgaben (bis zu 250.000 Franken).

Was ist das neue DSG?

Das neue Datenschutzgesetz (DSG) passt des Datenschutzniveau der Schweiz an jenes der EU an, das unter anderem durch die DSGVO geregelt ist. Die neuen Bestimmungen betreffen nur noch den Schutz personenbezogener Daten von natürlichen Personen und nicht mehr von juristischen Personen wie Vereinen, Stiftungen oder Handelsgesellschaften.

Für Besucherinnen aus der EU auf Schweizer Webseiten galten bisher schon die Regelungen der DSGVO. Für Schweizer Besucher auf Schweizer Webseiten gilt nun das Datenschutz revidiert und neu verfasst.

Opt-out ist eine allgemeine Regel im neuen DSG. Das bedeutet, das Unternehmen keine Einwilligung einholen müssen, solange NutzerInnen über die Datenverarbeitungsaktivitäten informiert sind und das Recht haben, der Datenerhebung zu widersprechen – im Gegensatz zu Opt-in, bei dem NutzerInnen explizit zustimmen müssen.

Es gibt jedoch einige sehr wichtige Ausnahmen.

Opt-in ist zum Beispiel erforderlich für:

  • Datenübermittlungen in Drittländer ohne angemessenes Schutzniveau (zum Beispiel in die USA )
  • Die Verarbeitung sensibler Daten
  • Automatisierungen (z.B. Analytics zur Verbesserung eines personalisierten Dienstes)

Zu sensiblen personenbezogenen Daten zählen nun neben Gesundheitsdaten, Gewerkschaftszugehörigkeit oder politischen Ansichten auch biometrische Daten wie DNA oder Fingerabdrücke, wenn sie eine Person eindeutig identifizieren können.

Das neue Schweizer DSG basiert auf zwei neuen Datenschutzprinzipien: Privacy by Design bedeutet zum Beispiel, dass Unternehmen Daten systematisch anonymisieren oder löschen müssen, wenn sie nicht mehr benötigt werden.

Privacy by Default bedeutet, dass nur wesentliche Daten verarbeitet werden dürfen und für die Verarbeitung von anderen Daten zusätzliche Genehmigungen erforderlich sind.

Wenn die Verarbeitung von Daten voraussichtlich ein Risiko für die grundlegenden und persönlichen Rechte von Nutzern darstellt, muss im Rahmen des neuen Schweizer DSGs ein Impact Assessment durchgeführt werden.

Die Pflicht zur Informationsbereitstellung wurde gestärkt. Um Transparenz zu gewährleisten, müssen Datenverantwortliche für die private Verarbeitung von Daten den Benutzer über die Erhebung aller seiner personenbezogenen Daten und nicht nur der sensiblen Daten informieren.

Es ist nun verpflichtend, ein Register aller mit der Verarbeitung von Daten verbundenen Aktivitäten zu führen. Ausgenommen sind nur kleine Unternehmen mit weniger als 250 Mitarbeitern, da ihr Datenverarbeitungsprozess kein hohes Risiko für Verstöße gegen Persönlichkeits- oder Grundrechte darstellt.

Bei Verstößen gegen den Datenschutz müssen der Bundesbeauftragte für Datenschutz und Information und sofort benachrichtigt werden.

  • Individuelle Haftung: Unternehmen werden nur in Ausnahmefällen bestraft. In der Regel haften Geschäftsführer
  • Auch eine strafrechtliche Haftung ist möglich
  • Obergrenze der Geldbußen: bis zu 250.000 Franken
  • Für die Erhebung sensibler Daten ist Consent erforderlich

Wie können Unternehmen das DSG einhalten?

Aufgrund des neuen Datenschutzgesetzes müssen Schweizer Unternehmen ihre Datenschutzmaßnahmen bis spätestens 1. September 2023 angepasst haben.

Die notwendigen Maßnahmen ähneln jenen, die die DSGVO der EU verlangt.

Webseitenbetreiber müssen ihre Nutzerinnen vor der Erfassung und Verarbeitung von personenbezogenen Daten etwa über die Zwecke der Erfassung informieren und in vielen Fällen explizit den Consent einholen.

Schrems II hat ebenfalls auch auf Schweizer Unternehmen Auswirkungen. Der Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) hat die USA von seiner Whitelist von Staaten mit angemessenen Datenschutzniveau gestrichen. Das bedeutet, dass Transfers von personenbezogenen Daten in die USA, zum Beispiel mittels US-Tools wie Google Analytics, auf unsicherer rechtlicher Basis geschehen.

Das DSG und Schrems II

Das Vorbild DSGVO bietet auch für das DSG eine Lösung: Aus den bisherigen Entscheidungen der Datenschutzbehörden der EU-Mitgliedsländer kristallisierte sich eine Empfehlung dafür heraus, wie US-Tools DSGVO-konform genutzt werden können. Nämlich via Proxy.

Anstatt Daten direkt in die USA zu übertragen (oder an US-Server in der EU) gelangen die Daten zuerst auf einen Server in der EU. Dort werden die Daten pseudonymisiert, um den Personenbezug zu entfernen. Dann erst werden die Daten an die US-Tools wie Google Analytics weitergeleitet. Wichtig ist, dass sowohl Server als auch die Tracking-Software von EU-Unternehmen in der EU betrieben werden.

So können Webseitenbetreiber ihre Tools wie gewohnt weiter nutzen. Diese Vorgehensweise können Unternehmen auch anwenden, um DSG-konform zu werden. JENTIS bietet dafür die einfachste und fortschrittlichste Lösung.

DSG-konform werden: Die Vorteile von JENTIS

Mit der Data Capture Platform von JENTIS können Unternehmen die Anforderungen des neuen DSG erfüllen und ihr Tracking auf die Herkunft ihrer WebseitenbesucherInnen abstimmen – je nachdem ob sie aus der EU, der Schweiz oder Drittstaaten stammen. Kern der Plattform bildet hochentwickeltes Server-Side-Tracking, dass First-Party-Daten in maximaler Qualität erfasst.

Der Privacy by Design-Ansatz von JENTIS ermöglicht das Minimieren des Datenschutzrisikos, die Differenzierung zwischen sensiblen und nicht-sensiblen Daten sowie das Schützen von sensible Daten. Außerdem bietet die Data Capture Platform von JENTIS höchste Flexibilität und weitere wesentliche Datenschutzfunktionen, wie etwa die Pseudonymisierung von personenbezogenen Daten.

So können Unternehmen ihre Daten datenschutzkonform erfassen und an ihr bestehendes MarTech-Setup weiterleiten, ohne größere Veränderungen im Tech-Stack vornehmen zu müssen – auch, wenn es sich um US-Tools handelt.


 

Haben Sie Fragen? Wir freuen uns auf Ihre Nachricht!

Jetzt Kontakt aufnehmen

Mehr lesen

Blog

Was ist Server-Side-Tracking?

Ein ausführlicher Überblick über Server-Side-Tracking für Online-Marketer und Web-Analysten.

Blog

Google Consent Mode V2 schnell erklärt

Der neue Google Consent Mode V2, dass Sie Ihre Tracking-Einstellungen bis März 2024 anpassen. Hier erfahren Sie, was das für Ihr Setup bedeutet.

Blog

Pagespeed optimieren: Best Practices für eine schnellere Website

Schnelle Ladezeiten führen zu mehr Konversionen und mehr Verkäufen im E-Commerce. Erfahren Sie, wie Sie Ihren Pagespeed optimieren können.