[Wichtig, dieser Beitrag dient rein informativen Zwecken. Es ist ggf. kein Ersatz für eine Beratung bei einem Rechtsanwalt.]
Wenn Sie schon länger eine Website haben, ist die Wahrscheinlichkeit gross, dass Sie bereits ein Cookie-Banner und die Datenschutzerklärung implementiert haben. Eine Ausnahme sind Websites, welche nicht in der EU aufrufbar sind, diese sind nicht mehrheitlich strengeren Anforderungen der DSGVO der EU unterworfen. Aber auch für diese Websites gilt ab 1. September 2023, das neue Datenschutzgesetz in der Schweiz.
nDSG oder DSGVO für meine Website?
Das nDSG ist das neue Datenschutzgesetz in der Schweiz
Die DSGVO ist die Datenschutzverordnung in der EU.
Welches Gesetz ist denn nun für Ihre Website anwendbar? Sobald Ihre Website auch von EU-Ländern aufgerufen werden kann, ist die etwas strengere DSGVO anwendbar.
DSGVO Datenschutz-Anforderungen für Ihre Website
1 – Die Datenschutzerklärung
Es gibt kostenlose und kostenpflichtige Generatoren für das automatische Erstellen von Datenschutzerklärungen. Die Herausforderung dabei ist, diese Generatoren mit den richtigen technischen Angaben zu füttern. Dabei kann Sie Ihr Webdesigner unterstützen. Der bekannteste und meiner Meinung nach Beste ist von E-Recht24.
2 – Das Cookie-Banner
Es gibt verschiedene Anbieter, die das korrekte Implementieren des Cookie-Banners vereinfachen. Gerne beraten wir Sie dazu und sichern Ihre Website damit ab. Viele Schweizer Websites sind nicht mit einem Cookie-Banner abgesichert oder nur mit der “lascheren” Schweizer Version. Dies ist leider nicht genügend, wenn Ihre Website auch von Deutschland oder anderen EU-Ländern aufrufbar ist.
Wissenswertes zum neuen Datenschutzgesetz
Wer ist von dem neuen Gesetz betroffen?
Das neue Datenschutzgesetz und die zugehörige Verordnung gelten für die Verarbeitung von personenbezogenen Daten durch private Akteuere (sowie Bundesbehörden). Dies betrifft sowohl private Unternehmen und Vereine als auch grundsätzlich Privatpersonen.
Obwohl Unternehmen und Vereine in der Regel dazu verpflichtet sind, die datenschutzrechtlichen Bestimmungen einzuhalten, sind Privatpersonen von diesen Vorgaben ausgenommen, solange sie personenbezogene Daten ausschließlich für persönliche Zwecke verarbeiten.
Die Ausnahme “zum persönlichen Gebrauch” bezieht sich jedoch nur auf Datenverarbeitungen im engsten privaten und familiären Umfeld (nahe Familie und Freunde).
Normalerweise sind öffentliche Websites nicht von dieser Ausnahme erfasst. Daher sind private Website-Betreiber, ebenso wie kommerzielle Betreiber, in der Regel vom neuen Datenschutzgesetz und der neuen Datenschutzverordnung betroffen.
Strafrechtliche Verantwortlichkeit
In Bezug auf die strafrechtliche Verantwortlichkeit ist zu beachten, dass ab dem 1. September 2023 die Verletzung bestimmter Pflichten eine Strafbarkeit begründet. Im Unterschied zur DSGVO betrifft dies jedoch nicht das Unternehmen, sondern die verantwortliche natürliche Person. Verantwortliche Personen können Mitglieder der Geschäftsführung, andere entscheidungsbefugte Personen im Unternehmen oder auch Personen sein, die eine Pflichtverletzung (z.B. Geheimhaltungsverletzung) begangen haben. Im schweizerischen Recht ist nur die vorsätzliche Begehung strafbar.
Eine Geldstrafe von bis zu CHF 250.000 kann insbesondere bei folgenden Verstößen verhängt werden:
Verletzung von Informationspflichten (z.B. fehlende oder unzureichende Datenschutzerklärung)
Fehlen eines Vertrags mit dem Datenverarbeiter/Auftragsbearbeiter. Dies ist meistens der Hosting-Partner, bei dem Ihre Website gehostet wird.
Verletzung der Datensicherheit (Verletzung der Vertraulichkeit, Verfügbarkeit oder Integrität der Daten, technische und organisatorische Maßnahmen)
Weitergabe von personenbezogenen Daten in Länder ohne angemessenes Datenschutzniveau, ohne zusätzliche Schutzmaßnahmen oder ohne Anwendung einer Ausnahme (z.B. Einwilligung)
Was sind eigentlich Personendaten?
“Personendaten” sind Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Mit anderen Worten, es handelt sich um Daten, die direkt oder indirekt mit einer bestimmten Person in Verbindung gebracht werden können. Personendaten können Namen, Adressen, Telefonnummern, E-Mail-Adressen, Geburtsdaten oder sogar IP-Adressen und Online-Kennungen umfassen.
Das sogenannte “Bearbeiten von Personendaten” bezieht sich auf alle Vorgänge, die mit Personendaten durchgeführt werden, unabhängig davon, ob sie automatisiert sind oder nicht. Dazu gehören das Erheben, Erfassen, Organisieren, Speichern, Anpassen, Verwenden, Offenlegen, Übermitteln, Löschen und Vernichten von Personendaten. Das Bearbeiten von Personendaten ist also ein weit gefasster Begriff, der im Grunde genommen alle Aktivitäten umfasst, die in irgendeiner Weise mit personenbezogenen Daten zu tun haben.
Was ist Privacy by Design? – Was muss ich dabei auf meiner Website beachten?
“Privacy by Design” ist ein Konzept, das besagt, dass Datenschutz von Anfang an in die Entwicklung und Gestaltung von Produkten, Dienstleistungen und Systemen integriert werden sollte. Es bedeutet, dass der Schutz personenbezogener Daten als grundlegender Bestandteil in den Entwurfsprozess einfließt, anstatt erst nachträglich als zusätzliche Maßnahme hinzugefügt zu werden.
Um Privacy by Design auf Ihrer Website zu gewährleisten, sollten Sie folgende Punkte beachten:
Datenminimierung: Sammeln Sie nur die personenbezogenen Daten, die für den angegebenen Zweck wirklich notwendig sind, und vermeiden Sie unnötige Datensammlung.
Sicherheit: Implementieren Sie geeignete technische und organisatorische Sicherheitsmaßnahmen, um die auf Ihrer Website gesammelten personenbezogenen Daten vor unbefugtem Zugriff, Verlust oder Missbrauch zu schützen.
Einwilligung: Stellen Sie sicher, dass Sie für die Verarbeitung personenbezogener Daten (z.B. für Marketingzwecke oder zur Weitergabe an Dritte) die ausdrückliche Einwilligung der betroffenen Personen einholen, sofern dies erforderlich ist.
Transparenz: Informieren Sie die Nutzer Ihrer Website klar und verständlich über Ihre Datenschutzpraktiken und stellen Sie eine leicht zugängliche Datenschutzerklärung zur Verfügung.
Zugriffs- und Berichtigungsrechte: Gewähren Sie den betroffenen Personen das Recht, auf ihre personenbezogenen Daten zuzugreifen, sie zu berichtigen oder zu löschen, sowie weitere Datenschutzrechte auszuüben, die ihnen nach dem geltenden Gesetz zustehen.
Auftragsverarbeitung: Wenn Sie mit externen Dienstleistern zusammenarbeiten, die personenbezogene Daten in Ihrem Auftrag verarbeiten, stellen Sie sicher, dass auch diese Dienstleister angemessene Datenschutz- und Sicherheitsmaßnahmen einhalten.
Überprüfung und Aktualisierung: Führen Sie regelmäßige Überprüfungen Ihrer Datenschutzpraktiken durch, um sicherzustellen, dass sie stets auf dem neuesten Stand sind und den aktuellen gesetzlichen Anforderungen entsprechen.
Indem Sie diese Grundsätze befolgen, können Sie Privacy by Design auf Ihrer Website umsetzen und einen proaktiven Ansatz zum Schutz der Privatsphäre Ihrer Nutzer verfolgen.
FAQs zum Datenschutzgesetz
Hier sind einige häufig gestellte Fragen (FAQs) zum Thema neues Datenschutzgesetz (nDSG) und Datenschutz-Grundverordnung (DSGVO):
Was ist der Hauptunterschied zwischen dem nDSG und der DSGVO?
Das nDSG ist ein Schweizer Gesetz, das den Datenschutz in der Schweiz regelt, während die DSGVO eine EU-Verordnung ist, die den Datenschutz in der gesamten Europäischen Union standardisiert. Obwohl beide Gesetze viele Gemeinsamkeiten haben, gibt es Unterschiede in Bezug auf die Anwendungsbereiche, die Sanktionen und die Zuständigkeiten der Aufsichtsbehörden.
Gilt die DSGVO auch in der Schweiz?
Die DSGVO gilt direkt für Unternehmen und Organisationen in der EU. Sie kann jedoch auch Auswirkungen auf Schweizer Unternehmen haben, die in der EU tätig sind, dort Kunden haben oder personenbezogene Daten von EU-Bürgern verarbeiten. In solchen Fällen müssen Schweizer Unternehmen möglicherweise sowohl das nDSG als auch die DSGVO einhalten.
Muss ich mein Unternehmen bei der Datenschutzbehörde anmelden?
Im nDSG gibt es keine generelle Meldepflicht für Datenbearbeitungen oder die Anmeldung von Datenschutzbeauftragten bei der Datenschutzbehörde. In der DSGVO hingegen sind bestimmte Unternehmen, die umfangreiche Datenverarbeitungen durchführen oder besondere Kategorien von Daten verarbeiten, verpflichtet, einen Datenschutzbeauftragten zu benennen und dessen Kontaktdaten an die zuständige Aufsichtsbehörde zu übermitteln.
Was sind die Sanktionen bei Verstößen gegen das nDSG und die DSGVO?
Verstöße gegen das nDSG können zu Geldstrafen von bis zu CHF 250.000 für verantwortliche natürliche Personen führen. Im Gegensatz dazu richten sich die Sanktionen in der DSGVO gegen Unternehmen und können bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes betragen, je nachdem, welcher Betrag höher ist.
Wie stelle ich sicher, dass meine Website den Anforderungen des nDSG und der DSGVO entspricht?
Um die Anforderungen beider Gesetze zu erfüllen, sollten Sie Datenschutzpraktiken wie Privacy by Design implementieren, eine klare und leicht zugängliche Datenschutzerklärung bereitstellen, nur notwendige Daten erheben und angemessene Sicherheitsmaßnahmen ergreifen. Stellen Sie auch sicher, dass Sie die Einwilligung der betroffenen Personen einholen, wenn dies erforderlich ist, und ihre Datenschutzrechte wahren.
Welches Datenschutzgesetz gilt in der Schweiz?
Das Bundesgesetz über den Datenschutz (DSG) ist das Hauptdatenschutzgesetz in der Schweiz. Es schützt die Privatsphäre von Personen, deren Daten von Dritten bearbeitet werden, und stellt sicher, dass persönliche Informationen vertraulich behandelt werden.
Wann kommt das neue Datenschutzgesetz Schweiz?
Die neue Datenschutzverordnung tritt am 1. September 2023 in Kraft.
Was beinhaltet das neue Datenschutzgesetz?
Verstärkte Datenschutzrechte für Einzelpersonen, wie das Recht auf Zugang, Berichtigung und Löschung von Daten. Mehr Transparenz bei der Verarbeitung von Daten, z.B. durch Informationspflichten bei der Datenerhebung. Strengere Sanktionen bei Verstößen, einschließlich höherer Geldbussen. Anforderungen an Unternehmen zur Einhaltung des Datenschutzes, z.B. durch Datenschutz-Folgenabschätzungen oder die Bestellung eines Datenschutzbeauftragten.
Ist die DSGVO auch in der Schweiz gültig?
Die DSGVO ist das Datenschutzgesetz der Europäischen Union und des Europäischen Wirtschaftsraums (EWR). Sie ist nicht direkt in der Schweiz anwendbar. Dennoch sind viele Unternehmen in der Schweiz von der DSGVO betroffen, wenn sie in der EU tätig sind oder Daten von EU-Bürgern verarbeiten. Wenn Ihre Website also nicht nur in der Schweiz aufgerufen werden kann, sondern auch in Deutschland oder anderen EU-Staaten, dann muss auf Ihrer Website auch die DSGVO eingehalten werden. Dies ist besonders wichtig, was das Cookie-Banner und die Datenschutzerklärungen betrifft. Gerne helfen wir Ihnen auch in diesem Punkt weiter.
Was ist DSGVO Schweiz?
DSGVO Schweiz bezieht sich auf die Anwendung der DSGVO auf Unternehmen in der Schweiz, die personenbezogene Daten von Personen im EU-Raum verarbeiten oder Waren und Dienstleistungen im EU-Raum anbieten.
Wann unterliegt ein Unternehmen in der Schweiz der DSGVO?
Ein Unternehmen in der Schweiz unterliegt der DSGVO, wenn es eine Niederlassung in der EU hat, personenbezogene Daten von Personen im EU-Raum verarbeitet oder Waren und Dienstleistungen im EU-Raum anbietet. Dies umfasst auch die Überwachung des Verhaltens von Personen im EU-Raum.
Was ändert sich mit dem neuen Datenschutzgesetz?
1 – Die Rechte der betroffenen Personen: Diese erhalten verstärkte Rechte, z.B. das Recht auf Zugang, Berichtigung und Löschung von Daten. 2 – Die Transparenz: Unternehmen müssen mehr Informationen über die Verarbeitung von personenbezogenen Daten bereitstellen. 3 – Die Sanktionen bei Verstößen: Bei Verstößen gegen das Datenschutzgesetz drohen höhere Geldbußen. 4 – Die Anforderungen an Unternehmen: Diese müssen unter Umständen Datenschutz-Folgenabschätzungen durchführen oder einen Datenschutzbeauftragten bestellen. 5 – Das neue DSG nähert sich inhaltlich der DSGVO an, sodass die Regelungen für Unternehmen, die sowohl in der Schweiz als auch in der EU tätig sind, ähnlicher werden.
