Mit der Revision des Schweizer Datenschutzgesetzes (nDSG) ändern sich wichtige Bestimmungen über die Bearbeitung von Personendaten. Schweizer KMU müssen verschärfte Regeln beachten – sonst drohen hohe Bussen und ein Verfahren durch den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB). Das neue Schweizer Datenschutzgesetz tritt am 1. September 2023 in Kraft. Unternehmen sollten auf ihrer Website bis spätestens zum Inkrafttreten des nDSG eine rechtssichere Datenschutzerklärung publizieren.
Schweizer KMU müssen als Besitzer oder Betreiber einer Website sowohl die Schweizer wie auch die europäischen Anforderungen verstehen, um ihre Datenschutzerklärungen und die Verwendung von Cookies rechtssicher zu machen. Massgebend ist das neue Schweizer Datenschutzgesetz (nDSG) und die Datenschutz-Grundverordnung (DSGVO) der EU: Letztere müssen KMU beachten, wenn sie auch Nutzerinnen und Nutzer aus dem europäischen Raum ansprechen – zum Beispiel mit einem Online-Shop.
Das neue Schweizer Datenschutzgesetz tritt am 1. September 2023 in Kraft. Es enthält wichtige Neuerungen, die Unternehmen beachten müssen – bei Missachtung drohen hohe Bussen. Eine frühzeitige Überarbeitung der eigenen Datenschutzrichtlinien sowie eine sorgfältige Dokumentation sind notwendig, um die gesetzlichen Anforderungen zu erfüllen. Gefordert sind auch KMU und Kleinunternehmen.
Weshalb braucht es überhaupt eine Datenschutzerklärung?
Das Schweizerische Datenschutzgesetz verlangt, dass die Behandlung von Personendaten und ihr Zweck für die Betroffenen erkennbar sein müssen. So enthält das neue schweizerische Datenschutzgesetz (nDSG) ausdrückliche Informationspflichten. Was viele KMU nicht realisieren: Der Betrieb ihrer Website ist kaum denkbar ohne die Bearbeitung von Personendaten, auch wenn sie diese nicht aktiv erfassen: So stellen IP-Adressen, die in Server-Logdateien erfasst werden, bereits Personendaten dar. Um ihre Informationspflicht zu erfüllen, müssen Unternehmen die Besucherinnen und Besucher einer Website über die Beschaffung und Bearbeitung ihrer Personendaten in Kenntnis setzen. Dies geschieht durch Veröffentlichung einer Datenschutzerklärung.
Anforderungen an die Datenschutzerklärung
Das neue Datenschutzgesetz will Persönlichkeit und Grundrechte von natürlichen Personen mit Schweizer Wohnsitz besser schützen. Die Datenbearbeitung durch Private (oder den Staat) unterliegt strengen Bestimmungen: Betroffene Personen sollen mehr Transparenz und eine Stärkung ihrer Rechte zum Schutz ihrer Daten erhalten. Die Unternehmen sind bei der Erhebung von Personendaten zu grösster Sorgfalt verpflichtet – das gilt insbesondere für die Verhinderung von Verlust oder Missbrauch dieser Daten.
Folgende Punkte sind zentral für eine rechtssichere Datenschutzerklärung, die auf der Website eines Unternehmens veröffentlicht wird:
- Identität und Kontaktdaten des/der Datenschutzverantwortlichen: Die Datenschutzerklärung muss den Firmennamen, die Adresse und die Mailadresse der verantwortlichen Person enthalten.
- Personenbezogene Daten oder Kategorien von Daten: Information über die erfassten personenbezogenen Daten – auch indirekt, wenn Browserdaten gesammelt oder Google Analytics genutzt wird.
- Zweck der Verarbeitung: Aufklärung darüber, weshalb personenbezogene Daten verarbeitet werden, zum Beispiel
- zur Bereitstellung und Entwicklung von Produkten, Dienstleistungen und Websites.
- zur Rekrutierung von Mitarbeitenden.
- zur Vermarktung von Dienstleistungen.
- Empfänger/Kategorien von Empfängern: Auflistung der tatsächlichen Empfänger der Daten, typischerweise Datenspeicher- und Hosting-Anbieter oder CRM-Systeme. Je nachdem genügt es, die Empfängerkategorien anzugeben.
- Übertragungen von Daten ausserhalb der Schweiz: Die Datenschutzerklärung muss alle Länder auflisten, in die personenbezogene Daten übermittelt werden – und über die Massnahmen zu einem angemessenen Schutz informieren.
- Dauer der Datenspeicherung: Hier genügt eine allgemeine Erklärung im Sinne von: «Wir bewahren personenbezogene Daten so lange auf, wie sie für die Zwecke, für die sie erhoben wurden, benötigt werden.»
- Rechte der betroffenen Person: Die Datenschutzerklärung muss die Nutzerinnen und Nutzer zwingend über ihre Rechte informieren, insbesondere:
- Das Auskunftsrecht;
- Das Recht auf Zugang;
- Das Recht auf Berichtigung von unrichtigen oder unvollständigen Daten;
- Das Recht auf Löschung;
- Das Recht auf Einschränkung der Verarbeitung;
- Das Recht auf Datenübertragbarkeit;
- Das Widerspruchsrecht;
- Das Recht, die Zustimmung zu widerrufen;
- Rechte in Bezug auf automatisierte Entscheidungsfindung, einschliesslich Profiling; und
- Das Recht, eine Beschwerde bei einer Aufsichtsbehörde einzureichen.
- Die Datenquellen: Wenn ein Unternehmen personenbezogen Daten nutzt, die nicht direkt von den betroffenen Personen stammen, müssen die Quellen in der Datenschutzerklärung erwähnt werden (z. B. öffentlich zugängliche Quellen).
- Hinweis auf das Datenschutzrecht: Hier genügt ein Hinweis auf «geltendes Datenschutzrecht».
Fazit: Eine Datenschutzerklärung ist eine rechtlich komplexe Angelegenheit. Es lohnt sich daher, professionelle Unterstützung in Anspruch zu nehmen.
Sanktionen bei einem Verstoss gegen das nDSG
Falls ein Unternehmen gegen das neue Datenschutzgesetz verstösst, drohen Bussen bis zu 250‘000 Franken. Die Sanktionen richten sich nicht gegen das fehlbare Unternehmen, sondern gegen die Person, die für die Einhaltung des Datenschutzes verantwortlich ist (z.B. Geschäftsführer oder Verwaltungsrat). Bestraft wird aber nur, wer vorsätzlich falsche oder unvollständige Angaben macht, die Zusammenarbeit mit dem EDÖB verweigert oder dessen Verfügungen missachtet.
Wichtig: Jede Website benötigt ein Impressum, sonst drohen dem Betreiber Abmahnung oder Busse. Das Impressum gibt Auskunft darüber, wer für einen Blog, Onlineshop oder eine Website verantwortlich ist und wie er oder sie kontaktiert werden kann.
Der Cookie Banner bzw. Cookie Consent
Betreiber müssen die Nutzer ihrer Website über die verwendeten Cookies, ihre Funktion und die gesammelten Daten informieren. Diese Informationen sollten sofort sichtbar sein, sobald ein Benutzer die Website des Betreibers aufruft. Cookies sind Dateien, die eine besuchte Webseite auf dem Rechner speichert: Sie erleichtern das Surfen im Internet, werden aber auch eingesetzt, um das Verhalten der Nutzerinnen und Nutzer auszuspähen.
Mit dem neuen Datenschutzgesetz genügt es nicht mehr, eine Information über die Verwendung der Cookies aufpoppen zu lassen, die der Nutzer oder die Nutzerin mit einem «OK» oder «Verstanden» wegklicken kann: Der Nutzer muss umfassend über die Verwendung der gesammelten Daten informiert werden, und er muss mit einer differenzierten Auswahl seine spezifische und aktive Zustimmung geben.
Es ist also von Vorteil, wenn eine Auswahl zur Verfügung steht, zum Beispiel:- Essenzielle Cookies mit grundlegenden Funktionen zur Nutzung der Website
- Statistik-Cookies zur anonymen Erfassung des Nutzerverhaltens
- Marketing-Cookies, um personalisierte Werbung zu ermöglichen
- Cookies von externen Medien wie Facebook oder YouTube
Der Nutzer muss eine echte Wahl haben, d. h. ohne Druck oder Zwang zustimmen können. Selbst wenn er alle Cookies ablehnt, darf ihm der Zugang zur Website nicht verweigert werden. Anders gesagt: Der Nutzer darf nicht gezwungen werden, Cookies zuzulassen, damit er oder sie auf die Website zugreifen kann.
Sowohl die europäische Datenschutz-Grundverordnung (DSGVO) wie auch das revidierte Schweizer Datenschutzgesetz (nDSG) schreiben vor, dass dem Nutzer eine spezifische Auswahl anzubieten ist, die er differenziert bestätigen oder ablehnen kann. Die Zustimmung muss also für jeden Zweck, den Cookies erfüllen, eingeholt werden. Die gesetzlichen Bestimmungen verlangen eine detailliertere Auswahl, kein «alles oder nichts». Erst die Zustimmung zu einzelnen Arten von Cookies ist datenschutzkonform.
Unsere Empfehlung für Schweizer KMU
Für Schweizer Unternehmen gilt primär das Schweizer Datenschutzgesetz. Als Betreiber von Websites tun sie gut daran, die Nutzerinnen und Nutzer umfassend zu informieren, welche Personendaten sie zu welchen Zwecken bearbeiten (Datenschutzerklärung, AGB).
Dazu gehören:
- Transparenz
- Verhältnismässigkeit
- Zweckbindung und die
- Rechte der Betroffenen
Die europäische Datenschutz-Grundverordnung (DSGVO) ist nicht direkt auf Schweizer Unternehmen anwendbar. Unter bestimmten Bedingungen sind die EU-Bestimmungen trotzdem einzuhalten. Es lohnt sich, dies bereits heute zu klären.
Nützliche Links:
• https://bit.ly/35vFTpg (Tipps des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten)
• https://bit.ly/3qpAtTV (Online-Check von Economy Suisse zur Anwendbarkeit der DSVGO für Schweizer Unternehmen
Bildquelle: Pixabay