Digital Marketing

Das neue Schweizer Datenschutzgesetz (DSG) 2023 im Überblick

Geschrieben von Kevin Kyburz

Veröffentlicht am

Der Datenschutz von Personen in der Schweiz ist seit 1992 im Schweizer DSG geregelt. Dieses Gesetz soll die Persönlichkeit und die Grundrechte von Personen schützen. In seiner neuen Version tritt es zum 1. September 2023 mit all seinen Begleitvorschriften und ohne Übergangsfrist in Kraft. Das neue Datenschutzgesetz der Schweiz nähert sich weiter an die in der EU geltende Datenschutzgrundverordnung (DSGVO) an, setzt aber eigene Akzente.

Die Digitalisierung hat eine Totalrevision notwendig gemacht und trägt den technologischen Veränderungen der Gesellschaft Rechnung. Für Privatpersonen bedeutet dies eine erhöhte Transparenz und vermehrte Rechte bezüglich der Verarbeitung und Speicherung ihrer persönlichen Daten. In diesem Artikel erkläre ich dir, was das neue Datenschutzgesetz der Schweiz ist, welche neuen Regelungen zu beachten sind und welchen Einfluss das neue DSG auf deine Unternehmenswebseite hat.

Für wen gilt das neue Schweizer Datenschutzgesetz?

Grundsätzlich gilt das neue DSG für alle Schweizer Unternehmen, die Personendaten von Schweizer Bürgern verarbeiten. Auch internationale Unternehmen mit Sitz in der Schweiz und Unternehmen, die grenzüberschreitende Geschäfte tätigen, müssen das neue Datenschutzrecht beachten. Eine Datenverarbeitung umfasst nicht nur die aktuelle Datenverarbeitung, sondern auch deren Abspeicherung und Archivierung.

Unternehmen werden verpflichtet, zu begründen, weshalb sie persönliche Informationen sammeln. Sie müssen offenlegen, welchen Dritten sie diese persönlichen Daten zugänglich machen. Natürliche Personen erhalten zudem das Recht, nachzufragen, wie lange ihre Personendaten gespeichert und wofür sie verwendet werden. Jede private Person darf verlangen, dass fehlerhafte Daten korrigiert werden – ohne Gründe zu nennen.

Was sind «Personendaten» und was bedeutet «bearbeiten»?

Personendaten sind alle persönlichen Informationen, die sich auf eine natürlich bestimmte oder bestimmbare Person beziehen. Dieser Begriff ist im Gesetz sehr breit gefasst und kann sogar einzelne IP-Adressen oder die E-Mail-Adresse umfassen. Genauso allumfassend wird das Wort «bearbeiten» verwendet.

Das Bearbeiten beschreibt sämtliche Tätigkeiten, die im Zusammenhang mit dem Umgang mit personenbezogenen Daten stehen. Darunter fallen das Beschaffen, Speichern, Aufbewahren sowie die Veränderung, Verwendung und Bekanntgeben von Daten. Auch das Löschen, Archivieren und Vernichten des Datenmaterials gehören dazu. Das nDSG findet lediglich bei Privatpersonen Anwendung, nicht aber bei juristischen Personen.

Die fünf wichtigsten Änderungen im neuen Schweizer DSG

Im neuen DSG der Schweiz geht es um den Schutz personenbezogener Daten von natürlichen Personen. Genetische und biometrische Daten werden als besonders schützenswerte Personendaten angesehen. Das neue Datenschutzgesetz der Schweiz orientiert sich am hohen Datenschutzniveau der Datenschutzgrundverordnung der EU (DSGVO). Hier findest du die wichtigsten Änderungen:

  • Für mehr Transparenz sind Unternehmen verpflichtet, betroffenen Personen genau mitzuteilen, wie ihre personenbezogenen Daten verwendet werden. Dies gilt nicht mehr nur für besonders schützenswerte Daten, sondern auch in Fällen, wo die Daten nicht bei der betroffenen Person erhoben werden. Unternehmen verpflichten sich, einen Datenschutzbeauftragten zu benennen.
  • Bergen die Datenverarbeitungen ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person, muss das Unternehmen eine Datenschutz-Folgenabschätzung durchführen. Sie erhebt die nachfolgenden Risiken für betroffene Personen, deren Daten nicht rechtskonform verarbeitet wurden.
  • Durch datenschutzfreundliche Einstellungen und den Einsatz von Technik (Privacy-by Design und Privacy by Default) verpflichten sich Unternehmen, Regeln zu etablieren, die den Datenschutz bereits bei der Planung und Ausgestaltung von Anwendungen berücksichtigen. Alternativ müssen Einwilligungen seitens der Nutzer eingeholt werden.
  • Beim Profiling ist das Einholen einer Einwilligung ist nur dann verpflichtend, wenn “es zu einer Verknüpfung von Daten führt, die eine Beurteilung wesentlicher Aspekte der Persönlichkeit einer natürlichen Person erlaubt” (Artikel 5, Absatz g nDSG). Dies sieht das Gesetz als “Profiling mit hohem Risiko”.

Mit dem neuen DSG gelten ab dem 1. September 2023 erweiterte Informationspflichten für Unternehmen. Sie werden im Verzeichnis für Bearbeitung von Personendaten zusammengefasst, das ich dir im nächsten Abschnitt genauer erklären werde.

Neueinführung Verzeichnis der Bearbeitungstätigkeiten

Die wichtigste Änderung im neuen DSG liegt in der Führung eines Verzeichnisses der Bearbeitungstätigkeiten laut Artikel 12 DSG. Wenn du viele Personendaten bearbeitest, bist du verpflichtet, ein solches Verzeichnis anzulegen und zu führen. Dabei muss das Verzeichnis mindestens die folgenden Informationen enthalten, um konform mit dem neuen DSG zu sein:

  • Die Personendaten des Verantwortlichen;
  • Der konkrete Zweck der Verarbeitung;
  • Eine Kategorisierung und Beschreibung von Betroffenen und der Personendaten;
  • Eine Kategorisierung der Empfänger;
  • Die Dauer der Aufbewahrung bzw. eine Festlegung der Aufbewahrungsdauer;
  • Eine allgemeine Umschreibung des Massnahmenspakets, mit dem die Datensicherheit der Betroffenen gewährleistet wird (technisch und organisatorisch);
  • Sind ausländische Unternehmen mit involviert, ist die Angabe des Staates erforderlich. Gleichzeitig müssen Garantien zum Datenschutz gegeben werden.

Dieses Verzeichnis ist erstmals in der Schweiz eingeführt worden. Es lehnt sich an die DSGVO der Europäischen Union an, erfasst sämtliche Datenflüsse und dokumentiert den konkreten Zweck der Bearbeitung. So soll es einen besseren allgemeinen Überblick über die Datenbearbeitung geben.

Ausnahmen für den Datenschutz gemäss DSG

Ein solches Verzeichnis müssen fast alle Unternehmen führen. Eine Ausnahmeregelung sieht das neue DSG bei kleinen Unternehmen, die weniger als 250 Mitarbeiter beschäftigen und bei der Bearbeitung von Daten mit geringem hohem Risiko für die Persönlichkeit.

Meldepflichten bei Verstössen

Das neue Schweizer Datenschutzgesetz sieht im Artikel 24 DSG eine Meldepflicht bei Verletzungen des Datenschutzrechts vor. Bist du im Unternehmen für den Datenschutz verantwortlich, hast du die Pflicht, Verletzungen der Datensicherheit dem EDÖB zu melden. Die Abkürzung EDÖB steht für den “Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten“, der für die Beaufsichtigung der bundesrechtlichen Datenschutzvorschriften zuständig ist.

Meldepflichtig sind alle Verletzungen der Datensicherheit bei der Datenverarbeitung. Dabei muss die Meldung möglichst zeitnah erfolgen. Meldepflichtig sind dabei lediglich Verletzungen gegen das Persönlichkeits- und Grundrecht betroffener Personen. Gemäss Artikel 49 Absatz 1 neues DSG muss der EDÖB alle Verstösse gegen das neue DSG von Amts wegen untersuchen. Ist der Verstoss gegen das Datenschutzrecht nur geringfügig, kann nach Artikel 49, Absatz 2 nDSG von einer Untersuchung abgesehen werden. Falls dein Unternehmen von einem Cyberangriff betroffen wurde, benötigst du keine Meldung zu erstatten.

Gleichzeitig erhält der EDÖB mit der Revision des Datenschutzgesetzes mehr Befugnisse. Er kann schnellere Sanktionen durchsetzen, falls ein Unternehmen das neue Datenschutzrecht nicht respektiert. Er kann Anzeige gegen Verstösse erheben, hat aber keine Sanktionsbefugnis. Die Strafverfolgung bei Verstössen übernehmen die kantonalen Strafverfolgungsbehörden.

Wie machst du deine Website fit für das nDSG?

Wenn du in der Schweiz einen Onlineshop oder eine Webseite betreibst, musst du deine Seite an das neue Schweizer Datenschutzgesetz anpassen. Diese Handlungsempfehlungen sollen dir helfen, deinen Webauftritt datenschutzkonform zu gestalten. Folgende Punkte solltest du beachten:

Personendaten definieren – Im Artikel 5, a nDSG werden Personendaten als «alle Angaben, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen» definiert. Unter Bearbeiten wird «jeder Umgang mit Personendaten, unabhängig von den angewandten Mitteln und Verfahren, insbesondere das Beschaffen, Speichern, Aufbewahren, Verwenden, Verändern, Bekanntgeben, Archivieren, Löschen oder Vernichten von Daten» (Artikel 5, d nDSG) gefasst.

Outsourcing von Dienstleistungen absichern – Wenn du für deine Webseite Dienstleistungen anderer Unternehmen, unter anderem Agenturen nutzt, musst du Artikel 9 Absatz 1-3 nDSG beachten. Die Daten dürfen von deinen Partnern demnach nur so verarbeitet werden, wie es deine Pflicht als Webseitenbetreiber ist. Als Auftragsbearbeiter müssen solche Unternehmen die Datensicherheit gewährleisten können. Eine Vergabe von Tätigkeiten an Auftragsunternehmen bleibt gesetzlich erlaubt.

Sicherer Datenexport – Gemäss Artikel 16, Absatz 1 nDSG ist der Datenexport in Staaten, die einen angemessenen Datenschutzstandard gewährleisten, problemlos möglich. Dazu gehören die Staaten der EU sowie Grossbritannien, Kanada, Israel und Neuseeland. Wenn du im Datenaustausch mit ausländischen Unternehmen stehst, kannst du in einer Staatenliste des EDÖB erkennen, welche Länder als sicher gelten.

Aktualität der Datenschutzerklärung – Checke, ob die Datenschutzerklärung deiner Webseite aktuell und vollständig ist. Laut Artikel 19, Absatz 1 nDSG sind Webseitenbetreiber verpflichtet, Nutzer über die Beschaffung ihrer Personendaten zu informieren. Nach Art. 19 Abs. 2 ff. nDSG muss ersichtlich sein, wer für die Webseite verantwortlich ist, wer und zu welchem Zweck die Personendaten bearbeitet werden. Sind Datenexporte abgesichert und welche Rechte haben die betroffenen Personen?

Richtige Reaktion auf Anfragen – Erhältst du Anfragen von Personen bezüglich ihrer Datenverwendung, musst du diese Anfrage laut Artikel 25 ff nDSG innert 30 Tagen beantwortet haben. Jede Anfrage muss genau geprüft und die betroffene Person identifiziert werden. Es gilt das Recht auf Auskunft und Löschung personenbezogener Daten. Wichtig dabei ist, dass auf jede diesbezüglich Anfrage von Personen reagiert werden muss.

Wenn du gegen die neue Datenschutzverordnung der Schweiz verstösst, musst du mit finanziellen Konsequenzen rechnen. Private werden bei Verstössen mit einer Geldbusse von bis zu 250’000 Schweizer Franken belegt. Vorsätzliches Handeln und eine Missachtung von Informationspflichten werden geahndet. Unternehmen müssen Bussen bis zu 50’000 Schweizer Franken zahlen, wenn verantwortliche Personen nicht ausfindig gemacht werden können. Besonders schwere Verstösse können sogar Gefängnisstrafen nach sich ziehen.

nDSG versus EU-DSGVO – der grösste Unterschied

Das neue Schweizer Datenschutzgesetz orientiert sich an der strengeren Datenschutz-Grundverordnung der EU. Es gibt mehrere Unterschiede. Entscheidend ist, dass betroffene Personen keine explizite Einwilligung zu Datenverarbeitung geben müssen. Diese ist nur dann der Fall, wenn es um besonders schützenswerte persönliche Daten mit hohem hohes Risiko geht. Pflicht ist es , Personen auf geplante Datenbearbeitungen hinzuweisen.

Gilt die DSGVO der EU auch in der Schweiz?

Zwar gehört die Schweiz nicht zur EU, doch die DSGVO ist auch für Schweizer Unternehmen von Belang. Dies gilt insbesondere in Fällen, wenn die Datenverarbeitung personenbezogene Daten von EU-Bürgern betrifft oder Vertragsbeziehungen zu Auftragsnehmern im europäischen Ausland bestehen. Das neue DSG gilt auch für Datenverarbeitungen, die sich in der Schweiz auswirken, obwohl sie im Ausland veranlasst wurden.

Das nDSG – ein kurzes Fazit

Das neue DSG tritt mit dem ersten September 2023 in der Schweiz in Kraft. Diese Revision des Gesetzes hat zum Hauptziel, dem technologischen Fortschritt und der datenschutzrechtlichen Entwicklung in den Nachbarländern Rechnung zu tragen. Das neue Datenschutzgesetz regelt zusätzliche Informationspflichten gegenüber den Personen, deren Daten verarbeitet werden. Es geht um mehr Transparenz und eine zusätzliche Datensicherheit.

Unternehmen müssen externe und interne Massnahmen ergreifen, um die Datenbearbeitung sicherer zu gestalten. Werden Anpassungen notwendig, müssen diese vor Inkrafttreten des Bundesgesetzes im September 2023 abgeschlossen sein. Datenschutzverantwortliche müssen die Mitarbeiter für das Thema Datensicherheit sensibilisieren, er muss aktiv gelebt werden. Datenschutzzertifizierungen schaffen Vertrauen und fördern das Image des Unternehmens.

Kevin Kyburz

Kevin Kyburz

Founder & CEO

Mit meinem ersten Schritt im Internet war ich bereits von den unbegrenzten Möglichkeiten überwältigt. Seither sind 20 Jahre vergangen und das Interesse daran ist kein bisschen kleiner geworden. Heute vereine ich meine Leidenschaft für SEO, Marketing und WordPress innerhalb von this:matters.