Das neue Datenschutzgesetz der Schweiz
Hinweis: Dieser Artikel dient ausschliesslich informativen Zwecken und stellt keine rechtliche Beratung dar.
nDSG oder DSGVO für meine Website?
– Das nDSG bezieht sich auf das neue Datenschutzgesetz in der Schweiz.
– Die DSGVO bezieht sich auf die Datenschutzgrundverordnung der EU.
– Die DSGVO bezieht sich auf die Datenschutzgrundverordnung der EU.
Welches Gesetz gilt nun für Ihre Website? Sobald Ihre Website auch von EU-Ländern aufgerufen werden kann, findet die etwas strengere DSGVO Anwendung.
Datenschutzanforderungen der DSGVO für Ihre Website
📌 1. Datenschutzerklärung
Es gibt kostenlose und kostenpflichtige Generatoren, mit denen Sie automatisch Datenschutzerklärungen erstellen können. Die Herausforderung besteht darin, diese Generatoren mit den richtigen technischen Informationen zu füttern. Wir können Ihnen dabei helfen.
📌 2. Cookie-Banner
Es gibt verschiedene Anbieter, die Ihnen dabei helfen, das Cookie-Banner korrekt zu implementieren. Gerne beraten wir Sie dazu und sorgen für die Sicherheit Ihrer Website. Viele Schweizer Websites sind entweder nicht ausreichend mit einem Cookie-Banner geschützt oder verwenden die «lockere» Schweizer Version. Dies ist jedoch nicht ausreichend, wenn Ihre Website auch aus Deutschland oder anderen EU-Ländern erreichbar ist.
Wissenswertes zum neuen Datenschutzgesetz Schweiz
Wer ist von dem neuen Gesetz betroffen?
Das neue Datenschutzgesetz und die zugehörige Verordnung gelten für die Verarbeitung personenbezogener Daten durch private Akteure (einschliesslich Bundesbehörden). Dies betrifft sowohl private Unternehmen und Vereine als auch grundsätzlich Privatpersonen.
Obwohl Unternehmen und Vereine in der Regel verpflichtet sind, die datenschutzrechtlichen Bestimmungen einzuhalten, sind Privatpersonen von diesen Vorgaben ausgenommen, solange sie personenbezogene Daten ausschliesslich für persönliche Zwecke verarbeiten.
Beachte, dass die Ausnahme «zum persönlichen Gebrauch» sich jedoch nur auf Datenverarbeitungen im engsten privaten und familiären Umfeld (enge Familie und Freunde) bezieht.
Normalerweise sind öffentliche Websites nicht von dieser Ausnahme betroffen. Daher unterliegen private Website-Betreiber ebenso wie kommerzielle Betreiber in der Regel dem neuen Datenschutzgesetz und der neuen Datenschutzverordnung.
Strafbarkeit gemäss Strafrecht
Ab dem 1. September 2023 wird die Verletzung bestimmter Pflichten strafrechtlich geahndet. Im Gegensatz zur DSGVO betrifft dies jedoch nicht das Unternehmen selbst, sondern die natürliche Person, die dafür verantwortlich ist. Verantwortliche Personen können Mitglieder der Geschäftsführung, andere entscheidungsbefugte Personen im Unternehmen oder auch Personen sein, die eine Pflichtverletzung begangen haben, z. B. eine Verletzung der Geheimhaltung. Im schweizerischen Recht ist nur die vorsätzliche Begehung strafbar.
Es können Geldstrafen von bis zu CHF 250.000 verhängt werden, insbesondere bei folgenden Verstössen:
📌 Verletzung von Informationspflichten, z. B. fehlende oder unzureichende Datenschutzerklärung.
📌 Fehlen eines Vertrags mit dem Datenverarbeiter/Auftragsbearbeiter, normalerweise dem Hosting-Partner, bei dem die Website gehostet wird.
📌 Verletzung der Datensicherheit, d. h. Verletzung der Vertraulichkeit, Verfügbarkeit oder Integrität der Daten sowie mangelhafte technische und organisatorische Massnahmen.
📌 Weitergabe von personenbezogenen Daten in Länder ohne angemessenes Datenschutzniveau, ohne zusätzliche Schutzmassnahmen oder ohne Anwendung einer Ausnahme, z. B. Einwilligung.
Was sind Personendaten?
«Personendaten» beziehen sich auf Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Mit anderen Worten handelt es sich um Daten, die direkt oder indirekt mit einer bestimmten Person in Verbindung gebracht werden können. Dazu gehören Namen, Adressen, Telefonnummern, E-Mail-Adressen, Geburtsdaten sowie IP-Adressen und Online-Kennungen.
Das Konzept von "Privacy by Design" und was auf Websites beachtet werden muss
«Privacy by Design» bezieht sich auf das Konzept, Datenschutz von Anfang an in die Entwicklung und Gestaltung von Produkten, Dienstleistungen und Systemen zu integrieren. Dies bedeutet, dass der Schutz personenbezogener Daten von grundlegender Bedeutung ist und nicht nachträglich als zusätzliche Massnahme hinzugefügt werden sollte.
Um «Privacy by Design» auf Ihrer Website umzusetzen, sollten Sie die folgenden Punkte beachten:
📌 Datenminimierung: Sammeln Sie ausschliesslich die erforderlichen personenbezogenen Daten für den angegebenen Zweck und vermeiden Sie die Erfassung überflüssiger Daten.
📌 Sicherheitsmassnahmen: Implementieren Sie geeignete technische und organisatorische Vorkehrungen, um die personenbezogenen Daten, die auf Ihrer Website erfasst werden, vor unbefugtem Zugriff, Verlust oder Missbrauch zu schützen.
📌 Einwilligung: Stellen Sie sicher, dass Sie die ausdrückliche Einwilligung der betroffenen Personen einholen, sofern erforderlich, um personenbezogene Daten (z. B. für Marketingzwecke oder Weitergabe an Dritte) zu verarbeiten.
📌 Transparenz: Informieren Sie die Nutzer Ihrer Website klar und verständlich über Ihre Datenschutzpraktiken und stellen Sie eine leicht zugängliche Datenschutzerklärung bereit.
📌 Zugriffs- und Berichtigungsrechte: Gewähren Sie den betroffenen Personen das Recht auf Zugriff, Berichtigung und Löschung ihrer personenbezogenen Daten sowie die Ausübung weiterer Datenschutzrechte gemäss geltendem Recht.
📌 Auftragsverarbeitung: Wenn Sie mit externen Dienstleistern zusammenarbeiten, die personenbezogene Daten in Ihrem Auftrag verarbeiten, stellen Sie sicher, dass diese Dienstleister ebenfalls angemessene Datenschutz- und Sicherheitsmassnahmen implementieren.
📌 Überprüfung und Aktualisierung: Führen Sie regelmässige Überprüfungen Ihrer Datenschutzpraktiken durch, um sicherzustellen, dass sie stets auf dem aktuellen Stand sind und den geltenden gesetzlichen Anforderungen entsprechen.
Indem Sie diese Grundsätze befolgen, können Sie Privacy by Design auf Ihrer Website umsetzen und einen proaktiven Ansatz zum Schutz der Privatsphäre Ihrer Nutzer verfolgen.
Häufig gestellte Fragen (FAQs) zum Datenschutzgesetz
Im Folgenden finden Sie einige häufig gestellte Fragen (FAQs) zum neuen Datenschutzgesetz (nDSG) und zur Datenschutz-Grundverordnung (DSGVO):
Was sind die Hauptunterschiede zwischen dem neuen Datenschutzgesetz (nDSG) und der Datenschutz-Grundverordnung (DSGVO)? Das nDSG ist ein schweizerisches Gesetz, das den Datenschutz in der Schweiz regelt, während die DSGVO eine Verordnung der Europäischen Union ist, die den Datenschutz in der gesamten EU harmonisiert. Obwohl beide Gesetze viele Gemeinsamkeiten aufweisen, gibt es Unterschiede hinsichtlich ihres Anwendungsbereichs, der Sanktionen und der Zuständigkeiten der Aufsichtsbehörden.
Gilt die Datenschutz-Grundverordnung (DSGVO) auch in der Schweiz? Die DSGVO gilt unmittelbar für Unternehmen und Organisationen in der EU. Sie kann jedoch auch Auswirkungen auf schweizerische Unternehmen haben, die in der EU tätig sind, dort Kunden haben oder personenbezogene Daten von EU-Bürgern verarbeiten. In solchen Fällen müssen schweizerische Unternehmen möglicherweise sowohl das neue Datenschutzgesetz (nDSG) als auch die DSGVO beachten.
Muss mein Unternehmen sich bei der Datenschutzbehörde anmelden? Im neuen Datenschutzgesetz (nDSG) gibt es keine allgemeine Meldepflicht für Datenverarbeitungen oder die Registrierung von Datenschutzbeauftragten bei der Datenschutzbehörde. In der DSGVO hingegen sind bestimmte Unternehmen, die umfangreiche Datenverarbeitungen durchführen oder besondere Kategorien von Daten verarbeiten, verpflichtet, einen Datenschutzbeauftragten zu benennen und dessen Kontaktdaten an die zuständige Aufsichtsbehörde zu übermitteln.
Welche Sanktionen drohen bei Verstössen gegen das neue Datenschutzgesetz (nDSG) und die Datenschutz-Grundverordnung (DSGVO)? Verstösse gegen das nDSG können zu Geldstrafen von bis zu CHF 250.000 für verantwortliche natürliche Personen führen. Im Gegensatz dazu richten sich die Sanktionen in der DSGVO gegen Unternehmen und können bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes betragen, je nachdem, welcher Betrag höher ist.
Wie kann ich sicherstellen, dass meine Website den Anforderungen des neuen Datenschutzgesetzes (nDSG) und der Datenschutz-Grundverordnung (DSGVO) entspricht? Um die Anforderungen beider Gesetze zu erfüllen, sollten Sie Datenschutzpraktiken wie Privacy by Design implementieren, eine klare und leicht zugängliche Datenschutzerklärung bereitstellen, nur die erforderlichen Daten erheben und angemessene Sicherheitsmassnahmen ergreifen. Stellen Sie ausserdem sicher, dass Sie die Einwilligung der betroffenen Personen einholen, wenn dies erforderlich ist, und ihre Datenschutzrechte respektieren.
Wann tritt das neue Datenschutzgesetz in der Schweiz in Kraft? Das neue Datenschutzgesetz tritt am 1. September 2023 in Kraft.
Wann unterliegt ein Unternehmen in der Schweiz der DSGVO? Ein Unternehmen in der Schweiz unterliegt der DSGVO, wenn es eine Niederlassung in der EU hat, personenbezogene Daten von Personen im EU-Raum verarbeitet oder Waren und Dienstleistungen im EU-Raum anbietet. Dies umfasst auch die Überwachung des Verhaltens von Personen im EU-Raum.
Was ändert sich mit dem neuen Datenschutzgesetz? Mit dem neuen Datenschutzgesetz erlangen betroffene Personen erweiterte Rechte, wie das Recht auf Zugang, Berichtigung und Löschung von Daten. Unternehmen müssen mehr Transparenz über die Verarbeitung personenbezogener Daten bieten, beispielsweise durch Informationen bei der Datenerhebung. Die Sanktionen bei Verstössen gegen das Datenschutzgesetz werden strenger, einschliesslich höherer Geldbussen. Unternehmen müssen bestimmte Anforderungen zum Datenschutz erfüllen, wie Datenschutz-Folgenabschätzungen durchführen oder einen Datenschutzbeauftragten bestellen. Zudem nähert sich das neue DSG inhaltlich der DSGVO an, um die Regelungen für Unternehmen, die sowohl in der Schweiz als auch in der EU tätig sind, zu vereinheitlichen.
Haben Sie weitere Fragen?
Kontaktieren Sie uns und lassen Sie sich von uns beraten. Wir helfen Ihnen gerne weiter!