Wichtige Informationen zum neuen Schweizer Datenschutzgesetz
Neues Datenschutzgesetz tritt ab 1.9.2023 in Kraft
Im Herbst 2020 hat das Schweizer Parlament das neue Bundesgesetz für den Datenschutz (revDSG) verabschiedet. Es soll die Bearbeitung persönlicher Daten und die Information über die Verwendung der Daten deutlich verbessern. Mit dieser wichtigen Gesetzesänderung gehen auch einige Verpflichtungen für Unternehmen und Webseitenbetreiber einher. Das total revidierte Datenschutzgesetz (DSG), die Ausführungsbestimmungen in der neuen Datenschutzverordnung (DSV) und der neuen Verordnung über Datenschutzzertifizierungen (VDSZ) treten am 1. September 2023 in Kraft.
Was regelt das Datenschutzrecht?
Das Datenschutzrecht legt die Grundsätze für die Ver- und Bearbeitung von Personendaten fest. Es regelt die Pflichten derjenigen, welche die persönlichen Daten bearbeiten und verankert die Rechte der betroffenen Person. Damit diese Regeln in der Praxis auch angewandt werden, wird der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) mit der Aufsicht über die bundesrechtlichen Datenschutzvorschriften beauftragt.
Information und Transparenz stehen im Mittelpunkt
Das zentrale «Motto» des neuen Schweizer Datenschutzrechts lautet: Transparenz und Information. Das bedeutet, die Beschaffung von Personendaten und der Zweck, für den oder die diese Personendaten bearbeitet werden, wie sie bearbeitet werden und an wen diese weitergegeben werden, müssen für die betroffenen Personen erkennbar sein, wie es das heutige schweizerische Datenschutzgesetz (DSG) formuliert (Art. 4 Abs. 4 DSG). Art.19 revDSG spricht von der zentralen Informationspflicht: Wer Daten bearbeitet, muss dies den betroffenen Personen im Zeitpunkt der Beschaffung offenlegen. Dies gilt selbst dann, wenn die Daten nicht bei der betroffenen Person beschafft werden.
Im Fokus: die Datenschutzerklärung
Eine Webseite ist ohne Personendaten heute kaum funktionstüchtig zu betreiben. Der Betrieb einer Website ohne die Bearbeitung von Personendaten ist kaum denkbar. Bereits IP-Adressen, die in Server-Logdateien erfasst werden, fallen unter den Begriff Personendaten. Das gängige Mittel, um die Besucherinnen und Besucher einer Website über die Beschaffung und Bearbeitung ihrer Personendaten zu informieren, ist die Erstellung und Veröffentlichung einer Datenschutzerklärung.
Es lässt sich festhalten: Geäss der neuen Datenschutzverordnung wird eine Datenschutzerklärung für jede Webseite zur Pflicht.
Was genau ist eine Datenschutzerklärung?
Die Datenschutzerklärung versteht sich als Informationsschreiben bzw. Erklärung an die Besucherinnen und Besucher Ihrer Webseite. Es ist kein Vertrag, dem die Besuchenden zustimmen können, sondern eine einseitige Erklärung. Von dem her macht auch eine Zustimmungsaufforderung, z.B. in Form eines Kästchens/Hakens bei Eingabeformularen, keinen Sinn.
Wie muss ich eine Datenschutzerklärung schreiben?
Sie können grundsätzlich die Datenschutzerklärung in Ihrem Stil formulieren, es gibt keine grundlegenden Formulierungsvorgaben. Allerdings gibt es inhaltliche Vorgaben. In der europäischen Verordnung wird gefordert, die notwendigen Informationen «in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln.»
Welche Länge sollte eine Datenschutzverordnung haben?
Es ist wichtig, die inhaltlichen Mindestanforderungen abzudecken. Darüber hinaus zeigt die Praxis: Je ausführlicher beispielsweise eine Datenschutzerklärung ausfällt, desto eher wird sie nicht gelesen. Das Erstellen einer Datenschutzerklärung ist nicht somit nur eine Rechtsfrage, sondern gleichzeitig immer auch eine Stil- und Haltungsfrage und eine Frage des Kundenservices.
Was muss eine Datenschutzerklärung alles enthalten?
Eine Datenschutzerklärung muss darüber informieren, welche Personendaten via Webseite beschafft werden, wie, wofür und wo die Personendaten bearbeitet werden und wohin die Personendaten ggf. übermittelt werden. Dazu gehören beispielsweise Informationen über die Verwendung von Cookies, Server-Logdateien und Zählpixel, aber auch über den Einsatz von Kontaktformularen, Newslettern sowie Diensten von Google und anderen Dritten, wie sie auf Websites gängig sind.
Eine Datenschutzerklärung sollte Aussagen zu folgenden Punkten enthalten:
- Name und Kontaktdaten des Verantwortlichen, das heisst des Website-Betreibers
- Kontaktdaten eines allfälligen betrieblichen oder externen Datenschutzbeauftragten (für Unternehmen ab 10 Mitarbeitende)
- Zwecke, für die Personendaten erhoben und bearbeitet werden
- Dauer, für welche die Personendaten gespeichert werden, oder zumindest die Kriterien für die Festlegung der Dauer
- Übermittlung von Personendaten an Dritte (inkl. technische Dienste von Dritten und deren Datenverwendung)
- Information über eine allfällige automatisierte Entscheidungsfindung einschliesslich Profiling und Tracking
- Aufklärung, inwiefern die Bereitstellung von Personendaten zwingend erforderlich ist, zum Beispiel aus rechtlichen Gründen oder für die Erfüllung von bestimmten Verträgen
- Recht auf Auskunft, Recht auf Berichtigung oder Löschung sowie Recht auf Datenübertragbarkeit
- Recht auf Einschränkung der Datenbearbeitung sowie Recht auf Widerspruch gegen die Datenbearbeitung
- Recht auf Widerruf nach erfolgter Einwilligung
Wer ist für die Datenschutzerklärung verantwortlich?
Für die Erklärung ist immer der Betreiber bzw. die verantwortliche Person der Webseite verantwortlich. Nur Sie wissen, auf welche Art und Weise Daten in Ihrem Unternehmen über den gesamten Datenverarbeitungsprozess hinweg behandelt und verarbeitet werden.
Dabei gilt es zu beachten, dass es auch weitere, über die Webseite hinausgehende Datenerfassungen und -verarbeitungen gibt, die ebenfalls dem Kunden transparent und offen dargelegt werden müssen, z.B. beim Eingang von Bewerbungsunterlagen, Anmeldeformulare, Bestellungen usw., die entweder postalisch, telefonisch oder schriftlich eingehen können.
Es gilt immer: Eine Datenschutzerklärung ist immer individuell und bezieht sich ausschliesslich auf diesen individuellen Fall.
Was gilt bezüglich Dienste von Dritten, auf die Ihre Webseite zurückgreift?
Grundsätzlich vollziehen sich hinter einer Webseite viele Prozesse, die nicht immer ganz offensichtlich zu erkennen sind. Und zudem ist es auch nicht immer einfach herauszufinden, welche Dienste eigentlich eingebunden sind und was diese Dienste bewirken. Auch hierüber muss die Datenschutzerklärung Auskunft geben.
In diesem Kontext stehen vor allem Dienste von Dritten wie u.a. Tracking- und Analyse-Dienste, Social Media-Plattformen, Banner-Services, Karten, Newsletter-Dienste, Content-Blocker, Formulare, Shops, Schriftenanbieter, Spamschutzdienste usw. Dabei gilt es zudem zu beachten, dass diese Dienste mehrheitlich von Unternehmen angeboten werden, die ihren Sitz nicht in der Schweiz haben. Es gilt daher zu prüfen, inwieweit diese einen der Schweiz und EU adäquaten Datenschutz anbieten.
Bei diesen Aspekten stehen wir Ihnen sehr gerne zur Seite und bieten fachliche wie technische Unterstützung.
Was ist ein Cookie-Banner und wann braucht es diesen?
Ein Cookie-Banner informiert die Besucherinnen und Besucher vor dem Besuch der eigentlichen Webseite darüber, ob und in welcher Form Daten an Dritte (in Form von sessionsübergreifenden Cookies, Tracking usw.) verarbeitet oder weitergegeben werden und bietet eine entsprechende Möglichkeit zur Zustimmung oder Ablehnung.
Grundsätzlich erfordert das Datenschutzgesetz in der Schweiz – im Vergleich zur europäischen DSGVO – allerdings per se keinen obligatorischen Cookie-Banner. Die Schweizer Gesetzgebung unterscheidet sich diesbezüglich von der EU-Cookie-Richtlinie. Es reicht aus, wenn dazu in der Datenschutzerklärung informiert wird, wie die Webseite mit Cookies, Tracking-Diensten usw. umgeht und dass die Möglichkeit besteht, diese im Browser zu blockieren oder zu löschen. Allerdings gilt es in diesem Zusammenhang zu prüfen, inwieweit sich Ihre Webseite auch an Besucherinnen und Besucher aus der EU richtet. In diesem Falle würde dann die DSGVO zum Einsatz kommen.
Werden auf Ihrer Webseite z.B. nur essentielle bzw. sessionsbezogene Cookies eingesetzt, wie das in den meisten Fällen der Webseite, die wir mit unserem WebJazz CMS erstellen, ist sowieso kein Cookie-Banner notwendig.
Zum Schluss noch ein paar persönliche Worte zu diesem Thema …
Aus unserer Sicht ist das neue Datenschutzgesetz sehr wichtig und dringend erforderlich. Der Gesetzgeber hat mit diesem Gesetz den Fokus auf die Transparenz und Information von Daten verstärkt. Es ist aus unserer Sicht heute entscheidend, dass ein Unternehmen wie auch die Kund:innen wissen, was mit den personenrelevanten Daten passiert und was ggf. an wen weitergegeben wird; und auf Wunsch diese auch einfordern oder löschen können. Gleichzeitig wurden im Vergleich zur europäischen DSGVO einige Aspekte im Schweizer Gesetz leicht anders geregelt, was aus unserer Sicht eine oftmals unnötige Verkomplizierung der Thematik verhindert.
Wie weiter mit diesem Thema?
1. Prüfen Sie zunächst, ob Ihre Webseite über eine Datenschutzerklärung verfügt.
2. Wenn vorhanden, gilt es diese mit Blick auf die neue Schweizer Gesetzgebung ggf. inhaltlich anzupassen, teilweise zu erweitern und ggf. zu optimieren.
3. In diesem Zusammenhang sollten Sie – gerne in Zusammenarbeit mit uns – Ihre Webseite bzgl. der eingesetzten technischen Komponenten überprüfen, um Ihre Datenschutzerklärung entsprechend aktuell und gesetzeskonform zu halten. Gerne unterstützen wir Sie auch bei der inhaltlichen Ausarbeitung.
Wir freuen uns auf Ihre Kontaktaufnahme.
P.S.: Gerne verweisen wir an dieser Stelle nochmals auf unseren früheren Blogartikel zur Einführung der europ. DSGVO >>>