Neue Datenschutz Gesetzgebung (nDSG) in der Schweiz
Die Einführung der EU-Datenschutz-Grundverordnung (DSGVO) im Jahre 2018 hat in der Schweiz bei vielen Unternehmen für grosse Aufmerksamkeit gesorgt. Nun wird das Schweizer Datenschutzgesetz (nDSG) revidiert und am 1. September 2023 in Kraft gesetzt.
Im Folgenden wollen wir darlegen, was dies für unsere Kundinnen und Kunden sowie für die Zusammenarbeit mit LST bedeutet. Dabei weisen wir darauf hin, dass dies keine vollständige und juristisch verbindliche Darstellung ist. Wir können somit auch keine Verantwortung für das Handeln unserer Kundschaft übernehmen.
A. Um was geht es genau beim nDSG?
Das neue Gesetz hat zum Ziel, personalisierte Daten von Personen, die sich in der Schweiz befinden und deren Daten durch Private oder den Staat bearbeitet werden, besser zu schützen.
Betroffenen Personen soll mehr Transparenz und somit eine Stärkung der Rechte in Bezug auf die eigenen Daten gegeben werden („informationelle Selbstbestimmung“). Im Weiteren soll die Eigenverantwortung der Datenbearbeiter gefördert und die Prävention gestärkt werden. Die Datenschutzaufsicht und die Strafbestimmungen werden ausgebaut. Das Gesetz schafft für Unternehmen und Organisationen neue Pflichten, besonderes bei der Erhebung, bei Verlust oder Missbrauch von Personendaten.
B. Was muss eine Firma unternehmen, um die neuen Datenschutzbestimmungen zu erfüllen?
1. Überprüfen und Anpassen von Datenschutzerklärungen im Internet und auf Werbe- und Vertragsdokumenten
Das Beschaffung von Personendaten unterliegt einer Informationspflicht. In der Praxis wird diese meist mit einer Datenschutzerklärung auf der Homepage erfüllt. Die Datenschutzerklärung hat zum Ziel, sämtliche Zielgruppen einer Unternehmung über die Art der Erhebung und Bearbeitung der Personendaten zu informieren. Dabei müssen alle eingesetzten technischen Mittel im Detail erläutert und hinsichtlich der Datenerhebung beschrieben werden.
Jedes Kontaktformular auf einer Webseite muss zwingend den Hinweis enthalten, für welchen Zweck die angegebenen Personendaten genutzt werden. Weiter muss jede Webseite ein Impressum aufweisen.
2. Interne Richtlinien zur Datenbearbeitung
Datenschutz-Richtlinien sollten auf drei Säulen basieren: IT-Sicherheit, rechtliche Aspekte und Data Governance. Falls nötig, sollten Unternehmen IT-Sicherheits- und Datenschutzexperten beiziehen, um detaillierte Massnahmen zu entwickeln, welche die neuen Anforderungen erfüllen.
3. Erstellen und Führen eines Datenbearbeitungsverzeichnisses
Jedes Unternehmen muss ein Verzeichnis der Bearbeitungstätigkeiten mit vorgeschriebenen Angaben führen.
4. Implementieren eines Prozesses, der die fristgerechte Bearbeitung von Betroffenenrechten gewährleistet
Die Transparenz und der Schutz der persönlichen Daten von betroffenen Personen sollen gestärkt werden. Natürliche Personen profitieren von neuen Rechten, wie z.B. in Bezug auf
- Recht auf Auskunft über die Bearbeitung von Personendaten (Art. 25-27 revDSG)
- Recht auf Herausgabe oder Übermittlung persönlicher Daten (Datenübertragbarkeit, Art. 28 und 29 revDSG)
- das Recht, nicht einer automatisierten Einzelentscheidung unterworfen zu werden, d.h. einer Entscheidung, die in Bezug auf eine Person mit Hilfe von Algorithmen getroffen und auf ihre persönlichen Daten angewendet wird, ohne dass ein Mensch in den Prozess eingreift (Art. 21 revDSG)
5. Implementieren eines Prozesses zur Meldung von Datenschutzverletzungen
Verletzungen des Datenschutzes – wie unbeabsichtigtes oder widerrechtliches Verlieren, Löschen, Vernichten, Verändern von Daten oder das zugänglich machen von Personendaten an Unbefugte – müssen neu so rasch als möglich (gemäss DSGVO innerhalb von 72 Stunden) dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) gemeldet werden, wenn sie voraussichtlich zu einem hohen Risiko für die Betroffenen führen (gemäss DSGVO genügt ein einfaches Risiko). In der Regel muss der Verantwortliche auch die betroffene Person informieren, wenn dies zu ihrem Schutz nötig ist oder der EDÖB es verlangt.
6. Implementieren eines Prozesses zur Datenschutz-Folgenabschätzung
Wenn die Datenbearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen mit sich bringt, sind Unternehmen neu verpflichtet, eine Datenschutz-Folgenabschätzung durchzuführen. Diese muss dokumentiert sein.
7. Verträge mit den Auftragsbearbeitern (Dritten)
Bei der Weitergabe von Personendaten an externe Unternehmen zum Zwecke der Verarbeitung dieser Daten – beispielsweise an IT- oder Marketing-Dienstleister – muss die Bearbeitung vertraglich mittels eines Auftragsverarbeitungsvertrags abgesichert werden. Er stellt sicher, dass die Personendaten nicht an Dritte weitergegeben werden und dass die nötigen technischen oder organisatorischen Massnahmen (TOM) auch beim Subunternehmen implementiert sind.
8. Personendaten müssen gelöscht/anonymisiert werden, sobald sie nicht mehr benötigt werden
Es empfiehlt sich Deadlines festzulegen, nach deren Ablauf Personendaten im Unternehmen gelöscht werden. Das gleiche gilt für Daten auf Papier oder mobilen Datenträgern.
9. Sicherstellen, dass Personendaten nur in Länder transferiert werden, die einen angemessenen Schutz gewährleisten
Dies gilt auch für die Speicherung auf ausländischen Systemen (Cloud-Services). Daten sollen nur noch mit dem ausdrücklichen Einverständnis der Betroffenen gespeichert werden.
10. Sicherstellen der Datensicherheit durch geeignete technische und organisatorische Massnahmen
Verletzungen der Datensicherheit müssen vermieden werden. Da die Datenübermittlung per E-Mail unsicher ist, sollte zumindest bei besonders schützenswerten Personendaten eine E-Mail-Verschlüsselung zur Verfügung stehen.
11. Sicherstellen der Datenportabilität
Das heisst, sicherstellen der Datenherausgabe in einem gängigen elektronischen Format, wenn die Daten elektronisch und vor allem in unmittelbarem Zusammenhang mit dem Abschluss oder der Abwicklung eines Vertrags bearbeitet werden.
12. Datenschutzberaterin oder Datenschutzberater mit Meldung an den EDÖB (empfohlen)
Im Unterschied zur DSGVO ist die Ernennung eines Datenschutzberaters freiwillig. Es bringt jedoch gewisse Vorteile. Einerseits als Anlaufstelle für Mitarbeitende, Kunden (bei Ausübung ihrer Betroffenenrechte) und Behörden zu Datenschutzthemen. Andererseits entfällt die obligatorische Konsultation des EDÖB im Zusammenhang mit Datenschutz-Folgenabschätzungen bei hohen Risiken, wenn stattdessen der Datenschutzberater konsultiert wird.
(Quellennachweis: www.axa.ch, www.economiesuisse.ch, www.publisher.ch)
C. Anforderungen an die Websites unserer Kundinnen und Kunden
Eine moderne Website erfasst in vielerlei Hinsicht «personifizierte Daten». Am offensichtlichsten sind die Kontaktformulare auf einer Webseite. Vor dem Absenden jedes Formulars, muss der Nutzer die Datenschutzerklärung als gelesen bestätigen. Bei Formularen, die den Zweck haben, Personendaten in einer Datenbank zu speichern (z.B. Newsletter-Versandtool), ist ein sogenanntes «Double-Opt-In» Verfahren zwingend. Das heisst, der Nutzer bekommt ein E-Mail mit einem Bestätigungslink, den er anklicken muss. Erst dann dürfen die Daten gespeichert werden.
Es gibt zahlreiche weitere Technologien im Hintergrund einer Website, die weniger offensichtlich Benutzerdaten erheben:
- Google Analytics – wird dazu eingesetzt, die Benutzung der Website statistisch zu analysieren
- Google Map – zur Darstellung von dynamischen Karten
- Google Fonts – dynamisches Einbinden von Schriften über den Google Service
- Vimeo / YouTube – Einbinden von Videos
- Google Ad Sense
- Google Remarketing
- Google Conversion Tracking
- Social-Media-Plugins wie Facebook Connect, Instagram-, LinkedIn-Plugins
- …und viele mehr
Bei all diesen Technologien werden auf den Geräten der Webseiten-Benutzer sogenannte Cookie-Dateien gespeichert, welche benutzerspezifische Einstellungen speichern und die IP-Adressen der Benutzer den Serviceanbietern zustellen können. Diese Cookies können in verschiedene Kategorien eingeteilt werden: 1. unbedingt erforderliche Cookies, 2. funktionale Cookies, 3. Performance-Cookies, 4. Marketing-Cookies (siehe https://www.advidera.com/glossar/cookies/).
Wie erwähnt, ist es sehr wichtig, dass all diese Technologien in der Datenschutzerklärung detailliert beschrieben werden. Zudem müssen neu Cookie-Banner eingesetzt werden, die den Benutzern der Website die Möglichkeit bieten, gezielt Optionen bzw. Cookies abzulehnen (Consent-Management). In diesem Fall muss das entsprechende Cookie, bzw. der dazugehörige Service deaktiviert werden.
D. Versand von Newsletter und Mitteilungen
Im Auftrag vieler Kundinnen und Kunden versenden wir Newsletter, Medien- und Ad-hoc-Mitteilungen an Ihre Zielgruppen. Sehr oft wird dafür die Cloud-Lösung «MailChimp» eingesetzt. MailChimp ist ein US-Anbieter, dessen Server mehrheitlich in den USA stationiert sind. Dies ist aus Sicht der nDSG wie auch aus Sicht der EU-Gesetzgebung DSGVO problematisch, da personalisierte Adressdaten auf den Servern von MailChimp gespeichert und verarbeitet werden. Auf jeden Fall ist es sehr wichtig, dass die Personen der Zielgruppen ihr Einverständnis zur Speicherung der persönlichen Daten durch ein Double-Opt-In Verfahren geben können. Zudem berücksichtigt das Gesetz die «berechtigten Interessen» eines Unternehmens, den eigenen Kunden und Kundinnen Informationen und Marketingunterlagen zustellen zu dürfen. Somit lässt das Gesetz auch bezüglich MailChimp eine gewisse Grauzone offen. Für Kunden aus heiklen Branchen (z.B. Finanzinstitute) ist der Verzicht auf MailChimp zu empfehlen. Es gibt gute Mailservices mit Server-Standorten in Europa.
E. Prinzip der Accountability
Eine wichtige Anforderung des Datenschutzrechts ist die Dokumentation der Selbstbeurteilung (Prinzip der Accountability): Unternehmen müssen zeigen können, dass sie den Datenschutz einhalten, d.h. dass sie sich mit den Anforderungen des Datenschutzrechts auseinandergesetzt, ihre eigenen Datenbearbeitungen (und flankierenden Massnahmen) auf ihre Konformität hin beurteilt haben und, wenn nötig, Massnahmen zur Verbesserung identifiziert und ergriffen haben. Datenschutzbehörden können sich diese Dokumentation zeigen lassen.
Eine mögliche Unterstützung für diese Selbstbeurteilung bietet die Online-Plattform www.dsat.ch. Weitere Links mit wertvollen Informationen und guten Zusammenfassungen sind im Anhang aufgeführt.
F. Termine
Das neue Datenschutzgesetz der Schweiz wird aller Voraussicht nach Anfang September 2023 in Kraft gesetzt. Das bedeutet, dass alle Marktteilnehmer sich in den nächsten Monaten mit diesem Thema beschäftigen, die Auswirkungen auf die eigene Unternehmung klären und die nötigen Massnahmen und Prozesse bis Mitte 2023 implementieren müssen.
Zusammenfassend die wichtigsten Punkte
Führen eines Datenverarbeitungsinventars
Meldepflicht bei Datenverlusten und anderen Sicherheitsverstössen
Vereinbarung zur Auftragsverarbeitung mit allen externen Dienstleistern, die personalisierte Kundendaten weiterverarbeiten oder erheben
Datenschutzerklärung auf der Website überprüfen und komplettieren (Informationspflicht)
Neuer Cookie-Banner/Consent Manager mit Verwaltungsmöglichkeiten auf der Webseite einrichten
Quellenverzeichnis und Links
- https://www.economiesuisse.ch/de/artikel/datenschutz-eine-uebersicht-zum-neuen-gesetz
- https://www.axa.ch/de/unternehmenskunden/blog/sicherheit-und-recht/recht-und-justiz/neues-datenschutzgesetz.html
- www.dsat.ch
- https://publisher.ch/2022/01/10/neues-schweizer-datenschutzgesetz/
- https://www.datenschutzpartner.ch/angebot-datenschutz-generator/
- https://www.geissmannlegal.ch/publikationen/die-totalrevision-des-datenschutzgesetzes-ueberblick-ueber-die-wichtigsten-neuerungen-2/
- https://zoa-gdpr.com/
- https://unitedads.de/blog/google-analytics-illegal/
- https://unitedads.de/blog/tracking-ohne-cookies-der-google-consent-mode/