Es gibt einige wichtige Neuerungen in der Schweizer Variante des Datenschutzgesetzes. Alles rund um das neue Datenschutzgesetz der Schweiz (nDSG oder revDSG) die das Marketing betreffen. In diesem Beitrag erklären wir dir die wichtigsten Änderungen möglichst einfach und kompakt.
Das neue Gesetz umfasst 92 Seiten und heisst offiziell Bundesgesetz über den Datenschutz (Datenschutzgesetz, DSG BBl 2020 7639). Der Einfachheit halber sprechen wir hier jeweils vom revDSG, also vom neuen Datenschutzgesetz.
Die Schweiz hat ihr Datenschutzrecht grundlegend überarbeitet. Das neue Datenschutzgesetz (revDSG) trifft am 1. September 2023 in Kraft. Wir sind keine Anwälte, und können keine verbindliche Rechtsauskunft geben. Jedoch haben wir die wichtigsten Änderungen aus dem neuen Datenschutzgesetz, gerade im Hinblick auf Marketing Automation und das Sammeln von Kund:innendaten zusammengetragen und erklären dir in diesem Beitrag was du praktisch umsetzen muss.
Datenschutz Check.
Füll unseren Fragebogen aus und erfahre direkt mit dem Datenschutz-Check, wie es um dein Datenschutz steht.
Inhaltsverzeichnis
Wen betrifft das neue Datenschutzgesetz der Schweiz (revDSG)?
Das neue Datenschutzgesetz der Schweiz (revDSG) betrifft alle Unternehmen mit Sitz in der Schweiz und ausländische Unternehmen, die in der Schweiz tätig sind oder deren Datenbearbeitung sich in der Schweiz auswirkt. Wann sich eine Datenbearbeitung auf die Schweiz «auswirkt», ist im neuen Gesetz nicht näher definiert – wenn wir aber die Kriterien der Datenschutz-Grundverordnung der EU heranziehen – dürfte es bereits ausreichen, wenn ein ausländisches Unternehmen beispielsweise Waren in die Schweiz liefert.
Da sich das neue Schweizer Gesetz an der europäischen Datenschutz-Grundverordnung (DSGVO) orientiert, musst du davon ausgehen, dass du insbesondere dann einen erhöhten Handlungsbedarf hast, wenn dein Unternehmen noch nicht DSGVO konform arbeitet.
Datenschutzgesetz Schweiz: Was beinhaltet das Gesetz und warum wurde es revidiert?
Das aktuell gültige Schweizer «Bundesgesetz über den Datenschutz» stammt aus dem Jahr 1992 – seitdem hat die Erhebung von Personendaten und deren Nutzung stark zugenommen. Das neue Gesetz soll zum Einen die Selbstbestimmung von betroffenen Personen über ihre Daten stärken und zum Anderen bringt das neue DSG Unternehmen neue Pflichten, insbesondere bei der Erhebung, dem Verlust oder dem Missbrauch von Personendaten.
Zum Anderen soll mit der Revision sichergestellt werden, dass das Schweizer Datenschutzgesetz auf die im Jahr 2018 von der Europäischen Union eingeführte Datenschutz-Grundverordnung (DSGVO) abgestimmt ist. Schweizer Unternehmen drohen eklatante Wettbewerbsnachteile falls die EU die Schweiz nicht mehr als Drittstaat mit einem angemessenen Datenschutzniveau anerkennen würde.
Was sind die wichtigsten Änderungen im Schweizer Datenschutzgesetz?
Geltungsbereich und Umfang: Das neue DSG beschränkt sich wie die DSGVO auf den Datenschutz natürlicher Personen. Bisher inkludiert das Datenschutzgesetz auch juristische Personen. Auch neu: genetische und biometrische Daten gelten als besonders schützenswert.
Transparenz: Unternehmen sind verpflichtet, betroffene Personen über jede Datenbeschaffung angemessen zu informieren. Nicht wie bisher nur bei besonders schützenswerten Daten sondern auch dann, wenn die Daten nicht beim Betroffenen selbst erhoben werden. Ein für die Datenbearbeitung Verantwortlicher muss benannt werden. Bearbeitungszweck, Empfänger und das Empfängerland, falls ein Datenexport ins Ausland stattfindet, müssen übermittelt werden.
Verzeichnis der Bearbeitungstätigkeiten: Ab 250 Mitarbeitern sind Unternehmen verpflichtet, dieses zu führen. Dafür entfällt die Pflicht zur Führung eines Verzeichnisses der Datensammlungen.
Datenschutz-Folgenabschätzung: Unternehmen müssen eine dokumentierte Datenschutz-Folgenabschätzung durchzuführen, wenn die Datenbearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen mit sich bringt.
Profiling: Die Einholung einer Einwilligung ist nur dann verpflichtend, wenn «es zu einer Verknüpfung von Daten führt, die eine Beurteilung wesentlicher Aspekte der Persönlichkeit einer natürlichen Person erlaubt» (Artikel 5, Absatz g DSG). Das Gesetz spricht hier vom «Profiling mit hohem Risiko».
Privacy-by-Design / Privacy-by-Default (Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen): Unternehmen sind verpflichtet, die Regelungen bereits bei der Planung und Ausgestaltung von Applikationen zu berücksichtigen und z.B. Einwilligungen von Nutzer:innen, die über die unbedingt notwendige Datenbearbeitung hinausgehen, explizit zu erfragen und nicht durch entsprechende Voreinstellungen zu erreichen.
Praktische Umsetzung des revidierten Datenschutzgesetzes
Was muss ich grundsätzlich beachten, um die neuen Datenschutzbestimmungen in der Schweiz zu erfüllen?
Unternehmen mit Sitz in der Schweiz und solche, die an Datenübermittlungen in die und aus der Schweiz beteiligt sind, müssen eine Bestandsaufnahme der Bearbeitung von Personendaten im Unternehmen durchführen: Welche Personendaten werden, wofür und wie gesammelt. Personendaten sind «alle Angaben, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen» (Art. 5 lit. a DSG). Es ist eigentlich am einfachsten, davon auszugehen, dass alle Daten auch Personendaten sind. Mittels einer Risikobewertung kann geprüft werden, welche Anforderungen an die Datenschutz-Compliance gestellt werden. Im Rahmen einer Gap Analyse (Vergleich Ist- und Sollzustand) können Unternehmer:innen anschliessend die erforderlichen Schritte identifizieren.
Du musst darauf achten, dass du für jeden Drittanbieter einen entsprechenden Vertrag vorweisen kannst. Hierfür gibt es einen standardisierten Auftragsverarbeitungsvertrag (AVV) oder englisch Data Processing Agreement (DPA) nach europäischem Vorbild.
Die Pflicht-Angaben zu verantwortlicher Person und deren Kontaktdaten stellen datenschutzrechtlich eine Impressumspflicht dar. Mehr Informationen und Tippst zur praktischen Umsetzung findest du in der Datenschutz-Checkliste.
Das Wichtigste in Kürze.
Datenschutz Checkliste Schweiz.
Was muss ich beachten? Die wichtigsten Punkte zum neuen Datenschutzgesetz in einer Checkliste zusammengefasst.
Datenschutz Checkliste
Was muss ich zusätzlich im Hinblick digitale Marketing Aktivitäten und den Einsatz von Marketing Automations Tools beachten?
E-Mail Newsletter Anmeldungen und Co – «Leads»
Ob du nun ein spezielles E-Mail Newsletter Formular auf deiner Website hast, E-Mail-Adressen, Telefonnummern etc. auf deinem Kontaktformular sammelst oder während einer Messe Kontaktdaten von Besucher:innen auf Papier schreibst. Bitte die Personen, um ausdrückliche Einwilligung (Opt-in). Du musst dabei klar angeben, dass du zu Marketing- oder Werbezwecken kommunizieren möchtest. Die Benutzer:in gibt ihre Zustimmung durch das Anklicken. Lass dir diese Einwilligung nochmals bestätigen (Double-Opt-in), in dem du eine E-Mail mit einem entsprechenden Link versendest oder per Instant Messaging bzw. SMS bittest du um eine spezifische Antwort (JA) als Bestätigung.
Du musst als Versender aber nachweisen, dass jede Empfänger:in eine Einwilligung gegeben hat. In unserem Marketing Automation Tool Aivie ist das Double-Opt-in-Verfahren bereits integriert. Die Speicherung der Daten muss auf einem sicheren Server erfolgen. Viele Dienste speichern Ihre Daten z. B. in den USA – und es ist zu erwarten, dass wie bei der DSGVO der EU, diese als nicht sicherer Staat deklariert wird. Wir bei Aivie speichern unsere Daten auf Servern in der Schweiz.
Gezielte Werbung, wie z. B. Remarketing-Kampagnen
Das Speichern von Kund:innendaten für Remarketing Kampagnen darf nicht ohne ausdrückliche Zustimmung erfolgen. Einige Anbieter wie Google oder Facebook nutzen Cookies, um Nutzer:innen über verschiedene Websites hinweg zu erkennen (Sprichwort «Pixel»). Auch wenn du noch keine Remarketing Kampagnen durchführst, musst du die Einwilligung deiner Nutzer:innen einholen, bevor du die sogenannten Tracking-Pixel einsetzt.
Was muss ich bei Anfragen und Verletzungen der Datensicherheit beachten?
Als Website Betreiber:in musst du sicherstellen, dass du keine Anfragen von betroffenen Personen oder Behörden wie dem EDÖB verpasst und zeitnah auf diese reagierst. Auf ein Auskunftsbegehren einer betroffenen Person, musst du z.B. innerhalb von 30 Tagen reagieren (Art. 25 DSG). Wichtig: prüfe jede Anfrage sorgfältig und wäge in jedem Einzelfall genau ab, wie du reagierst. Zu beachten ist hier, dass die Rechte betroffener Personen nie absolut gelten. Beispiel: Ein Unternehmen darf auch auf Nachfrage keine Personendaten löschen, für die es einer gesetzlichen Aufbewahrungspflicht unterliegt.
Auch bei einer Verletzung der Datensicherheit solltest du schnell und sorgfältig reagieren und prüfen, ob du den Vorfall an den EDÖB und direkt an die betroffenen Personen melden musst. Dies hängt vom Risiko ab, das mit der Verletzung der Datensicherheit für die betroffenen Personen verbunden ist (Art. 24 DSG). Es muss hoch und konkret sein. Üblich ist zum Beispiel eine Aufforderung, das Passwort zu ändern, nach einem sogenannten «Data Breach».
Fazit
Es ist längst überfällig, dass sich die Schweiz in Sachen Datenschutz an internationale Standards anpasst. Einige Details des DSG sind allerdings noch genauso offen wie die Frage, wann genau das Gesetz in Kraft tritt und wie genau es praktisch umgesetzt wird. Der Grundsatz ist aber klar: Informiere deine Nutzer:innen darüber, welche Daten du wie, wo, warum und wie lange sammelst. Wichtig ist auch, sich darüber im Klaren zu sein, dass jede Besucher:in deiner Website das Recht hat, Auskunft über die gesammelten Daten zu erfragen und ggf. auch deren Löschung zu beantragen.
Hat deine Website auch noch keinen DSGVO und revDSG konformen Cookie-Banner?
Mit dem neuen Datenschutzgesetz der Schweiz (revDSG) wird ein korrekt aufgesetzter Cookie-Banner wichtiger.
Wir haben den passenden Service dafür. Mit unserem Service ist deine Website schnell ready und du kannst dich sicher zurücklehnen.