Neues Datenschutzgesetz (nDSG)
24. Mai 2023
Am 1. September 2023 tritt in der Schweiz das neue Datenschutzrecht in Kraft. Mit diesem Beitrag geben wir von Küttel Partner allgemeine Hinweise und Tipps zu der aktuellen Thematik, insbesondere für die Massnahmen beim Betrieb einer Website. Für Abklärungen im Einzelfall, bei Unklarheiten und im Zweifelsfall empfehlen wir die gezielte Beratung durch eine erfahrene und qualifizierte Fachperson wie beispielsweise einem Rechtsanwalt. Wir haben uns dabei bei externen Quellen informiert, welche hier deklariert sind.

Einleitung

Ab dem 1. September 2023 ist es für Unternehmen Pflicht, die Bearbeitung von Personendaten zu dokumentieren und das datenschutzrechtliche Risiko zu bewerten. Weiter müssen Unternehmen technische und organisatorische Mindestanforderungen erfüllen, um die Datensicherheit zu gewährleisten.

Was sind die wichtigsten Punkte?

Transparenz

Erfüllen Sie die Informationspflichten so sorgfältig und genau wie möglich. Erfassen Sie, wo Sie welche Personendaten erheben, speichern und zu welchem Zweck Sie dies tun.

Link zur Datenschutzerklärung

Auf jeder Website (Privatperson, Verein, Firma etc.) muss eine Datenschutzerklärung vorhanden sein. Ein entsprechender Link auf diese Seite muss gut sichtbar von jeder Seite und Unterseite erreichbar sein. (z.B. im Footer)

Externe Datenverarbeiter

Wenn die Website keine Besucher oder Kunden aus dem EU-Raum anspricht, kein Google Analytics und weitere US-Dienste verwendet, muss weder ein Cookie Hinweis noch ein Cookie-Popup-Banner vorhanden sein. In der Schweiz ist es nicht nötig, eine Einwilligung einzuholen. (Ausnahme: Besonders schützenswerte Personendaten)

Datenverarbeitungsverzeichnis

Ein Datenverarbeitungsverzeichnis oder Inventar hilft auch bereits schon Firmen unter 250 Mitarbeiter, Ordnung und Transparenz über die Daten zusammenzufassen.

Verantwortung

Die Verantwortung liegt beim Betreiber der Website, also dem Besitzer.

Aktualität

Eine Datenschutzerklärung muss grundsätzlich jederzeit aktuell und gültig sein. Deshlab empfiehlt es sich, diese regelmässig zu prüfen und bei Bedarf anzupassen.

Datensicherheit

Implementieren und dokumentieren Sie die technischen und organisatorischen Sicherheitsmassnahmen (TOM), die Sie zum Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von Personendaten einsetzen.

Vorbereitung auf Fragen und Situationen

Planen Sie das Vorgehen, damit rasch auf Fragen und spezielle Situationen – wie beispielsweise auf Datensicherheitsvorfälle oder wenn ein Kunde seine Daten löschen möchte – reagiert werden kann. Im Falle einer Datenpanne muss das EDÖB informiert werden.

[Diese Liste ist nicht abschliessend]

Häufig gestellte Fragen

Wo finde ich das Bundesgesetz über den Datenschutz?

Das Bundesgesetz über den Datenschutz mit all seinen Artikel finden Sie unter folgendem Link:

https://www.fedlex.admin.ch/eli/oc/2022/491/de

Was ist ein Auftragsverarbeitungsvertrag AVV?

Bei der Weitergabe von personenbezogen Daten an einen Auftragsverarbeiter muss die Verarbeitung auf Grundlage eines Vertrags zwischen dem Verantwortlichen und dem Auftragsverarbeiter erfolgen. Der Auftragsverarbeitungsvertrag  (AVV) oder auf englisch Data Processing Agreement (DPA) regelt die Rechte und Pflichten von Auftraggeber und Auftragnehmer und nach Bedarf Subdienstleister.

Was gehört in die Datenschutzerklärung?

Typischerweise müssen in einer Datenschutzerklärung für eine Website folgende Punkte deklariert werden, wenn sie verwendet werden:

Kontaktformular
Sofern ein Kontaktformular oder eine ähnliche Kontaktmöglichkeit eingebunden ist, muss der Nutzer darüber informiert werden, was mit seinen Daten, die er darüber bekanntgibt, genau gemacht wird (wahrscheinlich die Bearbeitung seiner Anfrage und die Kontaktaufnahme seitens Ihres Unternehmens).

Newsletter
Oft ist es möglich, sich über eine Maske auf der Website für einen Newsletter oder ähnliche Marketingkommunikation anzumelden, wobei der Abonnent mindestens seinen Namen und seine E-Mail-Adresse bekanntgibt. Hier muss beachtet werden, dass der Abonnent auch noch über eine Abmeldemöglichkeit informiert werden muss (dies ist keine Vorgabe des Datenschutzes, sondern von Art. 3 Abs. 1 lit. o des Bundesgesetzes über den unlauteren Wettbewerb).

Cookies
Auch wenn Ihre Website nur informativen Charakter hat, werden in der Praxis meist Cookies oder ähnliche Tracking-Technologien eingesetzt, mittels derer zumindest IP-Adressen oder ähnliche «Identifier» erhoben werden, welche Personendaten enthalten könnten.

Drittdienste
Werden Drittdienste eingebunden, z. B. Trackingtools wie Google Analytics oder Social-Media-Pixel, muss darüber informiert werden, welche Personendaten an Dritte übermittelt werden und für welche Zwecke. Fliessen dabei Daten ins Ausland (was eigentlich immer der Fall sein dürfte), muss darüber auch informiert werden. In der Schweiz ist dies zukünftig sogar ausdrücklich über das Empfängerland erforderlich. Für gängige Drittdienstleister wie Google, Facebook, Twitter etc. findet man im Internet Standardformulierungen. Diese können zwar genutzt werden, prüfen Sie diese aber dennoch kritisch und nehmen Sie notwendige Anpassungen vor.

[Diese Liste ist nicht abschliessend]

Welche typischen Fehler sollte ich in der Datenschutzerklärung vermeiden?

Datum
Ein Datum sollte nicht angegeben werden. Denn die Datenschutzerklärung muss jederzeit up-to-date sein, deshalb ist es kontraproduktiv, wenn man ein Datum erfasst.

Falschinformation
Was deklariert wird, gilt. So ist es nicht ratsam, möglichst viel Informationen reinzupacken. Es ist strafbar wenn man vorsätzlich die Informationenpflicht nicht einhält oder etwas verspricht was man gar nicht einhalten kann. Wenn zum Beispiel die Datenschutzerklärung erwähnt, man berufe sich auf die DSGVO, dann unterstellt man sich dieser Verordnung automatisch.

Cookie-Hinweis oder Cookie-Banner?
Nach Schweizer Recht (sowohl nach nDSG und Schweizer Fernmelderecht) ist kein Cookie Banner nötig, also keine aktive Einwilligung des Besuchers notwendig ist. Wenn man auf freiwilliger oder informativer Basis einen Cookie Banner setzt, dann müssen die Optionen „Cookies erlauben“ & „Cookies ablehnen“ gleich prominent dargestellt sein.

Sofern man nach Europäischem Recht Kunden ansprechen will (weil man Produkte/Dienstleistungen auch Personen aus der EU anbietet), muss auf jeden Fall ein Cookie Banner zur Einwilligung eingeblendet werden, um der DSGVO nachzukommen. Cookies dürfen erst gespeichert werden, nachdem der Benutzer zustimmt. Der benutzer muss jederzeit die Einstellung anpassen/widerrufen können.

Cookie Hinweis

Ein Hinweis als Information, meist am unteren Bildrand, welcher über die Notwendigkeit von Cookies informiert und auch Direktlinks zu Impressum & Datenschutzerklärung trägt.

Beispiel eines Cookie Banner

Cookie-Banner Plugin

Ein unübersehbares Fenster, welches dem Besucher die Gelegenheit gibt, sämtliche Cookies und Technologien zu akzeptieren oder auch abzulehnen. Ebenfalls sind Direktlinks zum Impressum & Datenschutzerklärung gegeben.

Beispiel eines Cookie-Consent-Banner
Wo bekomme ich den Cookie-Banner?

Kontaktieren Sie uns oder erwerben Sie das WordPress Plugin direkt über diesen Link.