Kurz zum neuen Datenschutzgesetz. Also relativ kurz.

Rechtliche Aspekte
Verfasst von Oliver Weinstock

Ab dem 1. September 2023 tritt in der Schweiz das revidierte Datenschutzgesetz (revDSG) in Kraft. Solltest du dich bisher nicht mit dem neuen DSG auseinandergesetzt haben, ist es höchste Zeit, dies zu tun.

Für dich haben wir eine (nicht abschliessende) Übersicht zusammengetragen, die dir zeigt, was es zu beachten gilt.

Wen betrifft das neue Datenschutzgesetz?

Das neue Datenschutzgesetz betrifft alle Unternehmen mit Sitz in der Schweiz und ausländische Unternehmen, die in der Schweiz aktiv sind oder deren Datenverarbeitung hier Auswirkungen hat.

Ausschliessliches Ziel des revidierten DSG ist der Schutz der Persönlichkeit von natürlichen Personen, über die Personendaten bearbeitet werden. Daten von juristischen Personen wie kaufmännischen Gesellschaften, Vereinen oder Stiftungen werden vom neuen DSG nicht mehr erfasst.

Die wichtigsten Punkte, die du beim neuen Datenschutzgesetz beachten musst

  • Informationspflichten und Datenschutzerklärung:
    Du musst die betroffenen Personen darüber informieren, welche Daten du sammelst und warum. Deine Datenschutzerklärung umfasst alle Datenverarbeitungen und ist leicht auffindbar – zum Beispiel im Footer deiner Webseite.

  • Löschung von Personendaten:
    Sobald du die Daten nicht mehr brauchst, musst du sie löschen oder anonymisieren.

  • Besonders schützenswerte Personendaten:
    Dazu gehören neu auch Daten über die Ethnie, genetische Daten und biometrische Daten, die eine natürliche Person eindeutig identifizieren.

  • Betroffenenrechte:
    Personen haben das Recht, Auskunft über ihre personenbezogenen Daten zu erhalten, diese berichtigen oder löschen zu lassen.

  • Verzeichnis der Bearbeitungen:
    Wenn du mehr als 250 Mitarbeitende hast, musst du ein Verzeichnis über deine Datenverarbeitungen führen.

  • Auftragsbearbeitung:
    Regle Auftragsbearbeitungen durch externe Partner mittels Auftragsdatenbearbeitungsvereinbarungen (ADV).

  • Datensicherheit:
    Ermögliche den Zugriff auf personenbezogene Daten nur denjenigen Personen, die ihn für ihre Arbeit benötigen. Halte deine IT-Systeme aktuell, um Sicherheitslücken zu vermeiden.
    Falls eine Verletzung der Datensicherheit zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte von betroffenen Personen führt, musst du dies dem Eidgenössischen Datenbeauftragten (EDÖB) melden.

  • Datenbekanntgabe ins Ausland:
    Nutzt du Dienstleister und Anbieter im Ausland (zum Beispiel E‑Mail-Versandplattformen)? Dann prüfe, ob das jeweilige Land einen angemessenen Datenschutz verlangt. Falls nicht, ist es deine Pflicht, Massnahmen zum Datenschutz nach DSG zu ergreifen

  • Privacy by Default:
    Falls du Apps oder Software anbietest, muss immer die datenschutzfreundlichste Variante als Standard eingestellt sein.

  • Privacy by Design:
    Gestallte deine Apps oder Software so, dass die Daten standardmässig anonymisiert oder gelöscht werden.

  • Kleines Berufsgeheimnis:
    Halte geheime Personendaten, die du im Rahmen der Ausübung deiner beruflichen Tätigkeit anvertraut erhältst, geheim. Falls du das nicht garantieren kannst oder willst, musst du vorgängig mitteilen, mit wem du die Angaben möglicherweise teilst.

  • Datenschutz-Folgenabschätzung:
    Wenn du neue Datenbearbeitungen planst, die potenziell ein hohes Risiko für betroffene Personen haben können, musst du eine Datenschutz-Folgenabschätzung durchführen. Darin dokumentierst du das genaue Vorhaben und prüfst Massnahmen zum Schutz der betroffenen Personen.

  • Datenschutzberater und Vertreter in der Schweiz:
    Du kannst freiwillig einen Datenschutzberater in deinem Unternehmen benennen.
    Unternehmen mit Sitz im Ausland, die Personendaten in der Schweiz bearbeiten, müssen unter gewissen Voraussetzungen einen Vertreter in der Schweiz bestimmen.

Wenn du das DSG nicht einhältst, kann es teuer für dich werden. Für sich persönlich.

Bis zu 250’000 Franken Busse können bei der Verletzung des DSG auferlegt werden. Je nach Verstoss trifft die Busse nicht das Unternehmen, sondern die dafür verantwortliche Person. Das können Mitglieder der Geschäftsleitung sein, andere entscheidungsbefugte Personen aber auch Personen, die eine Pflichtverletzung (z.B. Verletzung der Geheimhaltung) begangen haben. Im Schweizer Recht ist jedoch nur die bewusste Begehung strafbar.

Datenschutz und E‑Mail-Marketing

Über dieses Thema haben wir bereits letztes Jahr ausführlich in drei Blogbeiträgen berichtet. Ein Klick bringt dich auf den ersten davon:

Rechtssicheres E‑Mail-Marketing

Fazit

Das neue Datenschutzgesetz in der Schweiz bringt einige wichtige Änderungen mit sich, die du als Unternehmen im Blick behalten solltest. Es ist wichtig, dass du dich rechtzeitig darauf vorbereitest und deine Datenschutzpraktiken entsprechend anpasst. Indem du deine Informationspflichten erfüllst, personenbezogene Daten sicher aufbewahrst und transparent mit den Betroffenen kommunizierst, kannst du den Datenschutzanforderungen gerecht werden und das Vertrauen deiner Kunden stärken. Also, leg los und mach dich fit für den Datenschutz!

Weiterführende Infos

Die Kanzlei VISCHER hat auf einem einzigen Blatt zusammengefasst, was punkto DSG zu tun ist – kurz und knapp, ohne juristische Floskeln. Der Leitfaden ist kostenlos und kann als interne Datenschutzweisung benutzt werden, falls dein Betrieb noch keine solche hat.

Leitfaden als PDF herunterladen

Noch mehr Infos – allerdings in Juristensprech – findest du direkt auf der Webseite des EDÖB.

Quellen:

www.edoeb.admin.ch/edoeb/de/home/datenschutz/grundlagen/ndsg.html

www.mailxpert.ch/blog/218/das-neue-datenschutz-gesetz-der-schweiz-revdsg-was-gilt-es-zu-beachten

Oliver Weinstock
Zurück

Marketing-Automation – Think big and start little!
Weiter

Digitales Dialogmarketing? Was soll das denn sein?