Infos zum neuen Datenschutzgesetz in der Schweiz

Infos zum neuen Datenschutzgesetz in der Schweiz

Das neue Datenschutzgesetz tritt definitiv am 01. September 2023 in Kraft. Alles, was Sie für Ihre Webseite oder Ihren Online Shop wissen sollten. Rechtzeitig ihre Datenschutzerklärungen und die bestehenden Datenschutz- Richtlinien anpassen, denn es gibt keine Übergangsfrist! Diesmal wird strenger kontrolliert und auch härter bestraft. Die Kompetenzen des EDÖP (Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter) wurden dazu ausgebaut. Konnten Sie bisher nur Abklärungen durchführen, ist es ihnen nun erlaubt, Untersuchungen oder Verfahren einzuleiten. Die Bussen reichen dabei bis zu 250 000 Franken. 

Die guten Nachrichten zuerst:

  • Haben Sie sich im Voraus bereits ausführlich mit dem DSGVO auseinandergesetzt und ihre Webseite oder ihren Onlineshop danach ausgerichtet, dann ist Ihr Aufwand zur Umsetzung des nDSG gering.
  • Neu sind vor allem die Informationsplicht und die Datensicherheit. Was das für Sie bedeutet, wird weiter unten erklärt.
  • Und noch zum Schluss: Niemand schafft es das Datenschutzgesetz zu 100% umzusetzen, dafür hat es im Gesetz einige Widersprüche und Unklarheiten. Zudem ist der Aufwand nicht immer verhältnismässig. Es lohnt sich jedoch sein Bestes zu geben, die neuen Richtlinien anzupassen, um allfällige Untersuchungen und aufwendige Abmahnungen zu umgehen. Dadurch, dass mit dem nDSG die Kosten für den Kläger erlassen wurden, wird es nun leichter sein eine Anzeige bei Datenschutzverletzung zu erstatten. Bestraft werden aber nur vorsätzliche Verstösse, nicht Fahrlässigkeit.

Was muss jetzt angepasst werden, falls ich eine Webseite oder einen Online-Shop besitze?

Grundsatz ist: Jegliche Datenbeschaffung obliegt der Informationsplicht. Der Kunde muss immer nachvollziehen können, welche Daten, weshalb und wozu genutzt werden und auch wissen, wohin diese Daten übermittelt werden. Der einfachste Weg um dies zu bewerkstelligen, ist mit einer ausführlichen Datenschutzerklärung. Das bedeutet, dass eine Datenschutzerklärung mit dem nDSG auf jeder Webseite Pflicht wird! Fehlt die Datenschutzerklärung, wird nämlich die Informationspflicht verletzt.

Die Information muss aber nicht unbedingt mit einem Pop-up Fenster kenntlich gemacht werden, sondern es genügt, dass die Datenschutzerklärung ein fester Bestandteil der Seite ist. Am besten im Footer eingebaut und als Datenschutz beschrieben. Denn für Schweizer Webseitenbesucher braucht es auch mit dem nDSG noch immer keine explizite Zustimmung zur Bearbeitung von Personendaten.

Achtung: Die Datenschutzerklärung nicht mit den AGBs oder dem Impressum vermischen. Das sind andere Informationen!

Die Datenschutzerklärung – Folgende Informationen sollten vorhanden sein:

  • Identität des Verantwortlichen der Webseite/des Online-Shops oder des Datenschutzbeauftragten. Die Nutzer müssen jederzeit die Möglichkeit zur Kontaktaufnahme haben und wissen, an wen sie sich wenden können. Die Ernennung eines Datenschutzbeauftragten ist anders als im europäischen Raum immer noch freiwillig.
  • Die bearbeiteten personenbezogenen Daten. Hierzu zählen Kontaktangaben, Browser Daten, Cookies, Stellenbewerbungen etc.
  • Allgemeine Zwecke zur Bearbeitung von Personendaten
  • Kategorien von Empfängern, welchen die Personendaten bekannt gegeben werden
  • Eingesetzte Dienste und Dienstanbieter auf Ihrer Seite (ausführlichster Teil)
 
Zudem noch:
  • Präsenz in Social Media Kanälen
  • Aufbewahrung personenbezogener Daten
  • Rechte der betroffenen Personen
  • Was wird von Ihrem Unternehmen für die Datensicherheit getan

 

Wichtig: Immer wenn Sie in Ihrer Webseite oder Ihrem Onlineshop Änderungen vornehmen, bei denen Sie selber oder Drittanbieter zusätzliche Daten erfassen, sollten Sie dies in Ihrer Datenschutzerklärung aktualisieren!

Die reine Datenschutzerklärung reicht nicht aus! Die Inhalte der Datenschutzerklärung müssen auch in den Geschäftsabläufen implementiert werden. 

Das bedeutet für Sie:

  • Es müssen nach Artikel 7 (nDSG) alle technischen und organisatorischen Massnahmen getroffen werden, dass die Datenschutzvorschriften eingehalten werden (Datenschutz, Passwortsicherheit, sichere Datenaufbewahrung, https Webseite etc.)
  • Beziehen Sie Ihre Mitarbeiter mit ein, denn diese sind es, die mit den Daten umgehen. 
  • Bei Datenklau oder sonstigen Verletzungen des nDSG besteht neu eine Meldepflicht beim EDÖP.
  • Werden Drittanbieter genutzt, muss deren Datenschutzbestimmungen gelesen und akzeptiert werden. Sie müssen sich sicher sein, dass Sie für jeden Anbieter ein Data Processing Agreement (DPA) vorweisen können. Je nach Anbieter ist der DPA Teil der allgemeinen Geschäftsbedingungen, welchen Sie ausdrücklich zustimmen müssen. Hat ein Anbieter dies nicht, dann sollten Sie diesen lieber nicht für ihre Seite nutzen.
  • Es muss von Ihnen sichergestellt werden, dass die erhobenen Personendaten nicht vom Anbieter selber verwendet werden oder der Anbieter diese verkauft. Ansonsten bräuchten Sie die Zustimmung der betroffenen Person, also ihrer Kunden.
  • Prüfen Sie also immer zuerst die Datenschutzbestimmungen eines Tools, bevor Sie dieses implementieren.

 

Braucht es einen Cookie-Banner?

  • Cookie-Banner sind nur erforderlich, wenn man das DSGVO einhalten muss. Das heisst, nur für Schweizer Unternehmen, die eine Niederlassung im EU-Raum haben oder eine Dienstleistung dort anbieten.
  • Was ist aber, wenn meine Seite Besucher aus dem EU-Raum hat? Das trifft auf fast jede Seite zu, doch hier muss eine Aufwandschätzung gemacht werden. Befinden sich Ihre Zielgruppe und Ihre Kunden nicht ausserhalb der Schweiz, dann sind nur diese personenbezogenen Daten für Ihre Dienstleistung relevant. Dann reicht die Information zu den Cookies in der Datenschutzerklärung und wie man diese abstellen kann.
  • Für die Schweiz gilt mit dem revidierten Datenschutzgesetz also weiterhin, dass die Zustimmung zur Datenbearbeitung auch bei den Cookies nicht explizit eingeholt werden muss.

Wollen Sie die Besucher Ihrer Webseite dennoch genauer informieren, können Sie in einem Pop-up auf die Nutzung von Cookies und auf die Datenschutzerklärung verweisen:

Falls Sie auf dieser Webseite weitersurfen stimmen Sie der Verwendung von Cookies zur Unterstützung der Benutzerfreundlichkeit zu.

Mehr Informationen finden Sie in unserer Datenschutzerklärung

Rechtfertigung für die Bonitätsprüfung:

  • Eine Bonitätsprüfung ist nur gerechtfertigt, wenn
    • die betroffene Person volljährig ist
    • die Daten nicht älter als 10 Jahre sind
    • die Daten nur an Dritte weitergegeben werden, wenn diese zur Vertragsabwicklung dienen
    • keine besonders Schützenswerten Personendaten bearbeitet werden und es sich um kein Profiling mit hohem Risiko handelt.
  • In der Datenschutzerklärung muss das Tool inkl. Sitz und der Umgang mit den Daten erläutert werden.
  • Prüfen Sie auch, ob Ihr Bonitätsanbieter sich an die revidierten Datenschutzbestimmungen hält, spätestens ab dem 01. September 2023.
  • Wohin gehen die Daten? Werden diese wirklich nur zur Vertragsabwicklung gebraucht oder werden diese an Dritte weitergegeben. Wäre Letzteres der Fall, dann dürfte das Tool ab dem 01. September 2023 nicht mehr zur Bonitätsprüfung verwendet werden. 

Newsletter Marketing:

  • Das Unternehmen muss neu die Einwilligung der betroffenen Person beweisen.
  • Erheben Sie nur die nötigsten Daten! Fragen Sie beispielsweise nach der Telefonnummer bei der Newsletteranmeldung, dann müssen Sie begründen können weshalb.
  • Der Newsletterversand ist nur zulässig, wenn diese ihre Einwilligung erteilt haben (Opt-in).
  • Es wird das Douple-opt-in Verfahren empfohlen. Das bedeutet, dass der Kunde sich registriert und ihm danach ein Bestätigungs-Link an seine Emailadresse gesendet wird, um sich definitiv für den Newsletter anzumelden.
  • Auch hier müssen die Datenschutzbestimmungen des von Ihnen genutzten Anbieters geprüft werden! Nutzen Sie beispielsweise MailChimp, dann muss sichergestellt werden, dass dieser die Kundendaten nicht selber verwendet oder an Dritte verkauft. Dies wäre eine Datenweitergabe an einen Dritten und das Unternehmen müsste dafür von der betroffenen Person eine Einwilligung haben. Andererseits ist zu prüfen, wohin die Daten übermittelt werden und es sind die entsprechenden Erläuterungen in der Datenschutzerklärung transparent darzulegen.
  • In der Datenschutzerklärung bekanntgeben, welches Tool genutzt wird inkl. Sitz des Unternehmens.
 

Weitere wichtige Infos:

  • Das neue Gesetz ist auch für Unternehmen mit Sitz im Ausland anwendbar, falls diese Personendaten aus der Schweiz bearbeiten
  • Falls Sie systematisch heikle Daten wie Gesundheitszustand oder politische Einstellung erfassen, braucht es auch in der Schweiz einen Datenschutzbeauftragten!

 

Hinweis: Der vorliegende Beitrag kann nur allgemeine Hinweise zum Einstieg in die Thematik geben. Für individuelle Abklärungen oder bei Fragen und Unklarheiten empfiehlt sich die Beratung durch professionelle Institutionen. 

Mehr
Entdecken

Wir sind Pickware Partner

Pickware Partner aus dem schönen Zug Um unsere Kunden auch bei der für Shopware passenden Warenwirtschaft optimal unterstützen zu können, sind wir jetzt auch Pickware

Weiterlesen ›

Wenn Sie unsere Webseite nutzen, akzeptieren Sie unsere Datenschutzerklärung. Mehr Informationen