Dezember 2021 – Das neue Schweizer Datenschutzgesetz

WAS BRINGT DAS NEUE CH-DATENSCHUTZGESETZ?

 

Noch nicht allzu lange ist es her, als im Mai 2018 die Datenschutz-Grundverordnung (DSGVO) der EU in Kraft trat. Zahllose Websitebetreibende mussten sich plötzlich mit Datenschutzerklärungen, Cookie Bannern und Auftragsdatenverarbeitungsverträgen auseinandersetzen. Insbesondere in der Schweiz herrschte viel Verwirrung, weil die Schweiz zwar grundsätzlich kein Teil der EU ist, die DSGVO aber auf alle Websites Anwendung findet, die potentiell durch EU Bürger*innen erreichbar sind.

Nun, knappe 4 Jahre später hat die Schweiz ihr Datenschutzgesetz überarbeitet und sorgt damit auch hier für mehr Klarheit und Rechtssicherheit.
In diesem Artikel möchten wir Ihnen einen kurzen Überblick über die Neuheiten geben, und ob für die DSGVO getroffene Massnahmen im Hinblick auf das neue Gesetz angepasst oder überarbeitet werden müssen.
Bitte beachten Sie jedoch, dass wir weder Anwälte, noch Rechtsexperten sind. Sie sollten immer die für Sie relevanten Massnahmen selbst rechtlich abklären.

Das neue Schweizer Datenschutzgesetz tritt voraussichtlich Mitte / Ende 2022 in Kraft, es bleibt also noch einiges an Vorlaufzeit, um sich darauf vorzubereiten.

 

Personendaten und Auskunftspflicht

Grundsätzlich müssen Websitebetreibende einen Überblick darüber haben, welche Personendaten erfasst werden, wo sie gespeichert sind, welchem Zweck sie dienen, und wie sie verarbeitet werden. Als Beispiel wären hier z.B. die Verwendung eines Newsletterdienstes zu nennen, bei dem sich User*innen über die eigene Website anmelden können. Auch allein schon das Logging von IP Adressen durch den Hosting-Dienst des Servers auf dem Ihre Website läuft, wird allgemein als Sammeln von Personendaten aufgefasst.

Betreiben Sie eine Website, sollten Sie also idealerweise eine Dokumentation anlegen, in dem sämtliche Dienste aufgeführt sind, die auf Ihrer Website persönliche Daten sammeln, inklusive

  • Zweck der Sammlung
  • Art und Weise, wie die Daten verarbeitet werden
  • wo die Daten gespeichert werden

Weiterhin ist diese Dokumentation auf einem aktuellen Stand zu halten.

Grundsätzlich gilt hier eine Ausnahme für Unternehmen mit weniger als 250 Mitarbeiter*innen, allerdings ist es ratsam, dennoch einen Überblick über die gesammelten und gespeicherten Daten zu haben.

Zudem müssen Personen, die sich an Ihr Unternehmen wenden, und Auskunft zu den über sie gespeicherten Daten ersuchen, innerhalb von 30 Tagen eine Antwort erhalten, in der die geforderten Informationen über die gesammelten Daten und ihre Verarbeitung enthalten sind. Auch die Löschung dieser Daten muss auf Wunsch möglich sein und rechtzeitig erfolgen.

 

Cookies und Cookie-Banner

Grundsätzlich gilt nach den Regeln der DSGVO: Wer mit einem Cookie Banner auf der absolut sicheren Seite stehen will, muss auf Cookie Banner mit “Hard Opt-in” setzen. Das bedeutet, dass alle Cookies, die nicht technisch notwendig sind, erst dann gesetzt werden, wenn die User*innen explizit einwilligen. Willigen die User*innen nicht ein (z.B. durch einen Klick auf “Nein” oder “Ablehnen”), so dürfen nur die technisch essentiellen Cookies, die für die Darstellung und Funktion der Website notwendig sind, gesetzt werden.

“Softere” Varianten sind z.B. ein regulärer “Opt-In”, bei dem nur eine Annahme von Cookies, nicht aber eine Ablehnung möglich ist. Die noch vielerorts gängige Variante, dass die User*innen im Cookie Banner darauf hingewiesen werden, dass die Einwilligung zur Speicherung von Cookies durch die weitere Nutzung der Website quasi stillschweigend gegeben wird, ist leider nicht rechtssicher. Auch andere Möglichkeiten, im Cookie Banner nur auf die Datenschutzerklärung zu verweisen, in der dann die Möglichkeiten zum “Opt-out” aufgeführt sind, ist rechtlich gesehen zumindest fragwürdig.

Diese Regelungen beziehen sich jedoch allgemein auf die DSGVO. Das schweizerische Datenschutzgesetz sah eine Information der Nutzer*innen via Cookie Banner bisher nur für die “Bearbeitung besonders schützenswerter Personendaten vor”:

“Eine Einwilligung ist nur ausnahmsweise erforderlich, nämlich bei der Bearbeitung von besonders schützenswerten Personendaten – zum Beispiel zu politischen Ansichten oder zur Gesundheit – sowie beim Zusammenstellen von Daten, die ein Persönlichkeitsprofil ergeben. […]”

Das neue Datenschutzgesetz sieht weiterhin den allgemeinen Einsatz von Cookie-Bannern nicht vor, weshalb Webangebote, die sich ausschliesslich an Schweizer Nutzer*innen richten, und den Gegebenheiten der DSGVO nicht unterliegen, weiterhin darauf verzichten können.
Wer aber auf der sicheren Seite sein möchte, sollte ein Cookie Banner mit Wahlmöglichkeiten und Hinweisen auf die Datenerfassung einrichten, und vor der expliziten Einwilligung der Nutzer*innen auf die Speicherung von nicht essentiellen Cookies auf dem Gerät der Besucher*innen verzichten.

Insbesondere beim Einsatz von Analyse- und Tracking-Diensten (Google, Hotjar, o.ä.) sollte auf einen Datenschutzkonformen Einsatz besonderes Augenmerk gelegt werden.

 

Newsletter

Bei den Newslettern ändert sich auch durch das neue Datenschutzgesetz nichts. Weiterhin müssen Nutzer*innen in der Datenschutzerklärung über Art der Information, zu erwartende Frequenz und eventuelles Tracking durch den Newsletterdienst (z.B. für Öffnungsraten, Klicks, etc.) informiert werden.
Bei der Anmeldung ist weiterhin das Double Opt-in die rechtssicherste Methode, allein schon deshalb, weil damit die Einwilligung der User*innen dokumentietrt wird. Die allermeisten seriösen Newsletterdienste bieten diese Option ohnehin an, oder setzen sie gar voraus.

 

Auftragsbearbeitung

Sobald Personendaten an Dritte übergeben werden (was prinzipiell erlaubt ist, wenn diese Dritten die Bestimmungen für einen sicheren und rechtskonformen Umgang mit diesen Daten erfüllen), muss mit diesen dritten Parteien ein Auftragsverarbeitungsvertrag geschlossen werden. Das ist oftmals im Dienst selbst möglich, z.B. bei Hostern über einen Standardvertrag, der sich per Klick bestätigen lässt.

 

Datenschutzerklärung

Um eine aktuelle und vollständige Datenschutzerklärung (welche i.d.R. ohnehin bereits vorhanden sein sollte), wird man spätestens zum Inkrafttreten des neuen Datenschutzgesetzes nicht mehr herumkommen.
Falls Sie also zur Einführung der DSGVO via Generator eine solche Erklärung erzeugt, und auf Ihrer Website hinterlegt haben, diese zwischenzeitlich aber nicht mehr angerührt haben, wird es wahrscheinlich Zeit, sie an die aktuellen Gegebenheiten anzupassen. So können sich etwa Adressen von verantwortlichen Firmen geändert haben, oder auf Ihrer Site könnten neue Dienste im Einsatz sein, die Daten weitergeben, aber in ihrer Datenschutzerklärung keine Erwähnung finden.

 

Fazit

Grundsätzlich lässt sich festhalten: Wer sich bereits auf die DSGVO entsprechend vorbereitet hat, sollte auch mit dem neuen Schweizerischen Datenschutzgesetz nicht allzu viele Überraschungen erleben. Wichtig ist es auch weiterhin, einen vollumfänglichen Überblick über die Verwendung der gesammelten Daten zu haben, mit Drittparteien Auftragsverarbeitungsverträge zu schliessen, in einer Datenschutzerklärung detailliert über Umfang und Zweck der Datensammlung zu informieren, und im Zweifelsfall lieber weniger als mehr Daten zu sammeln.

Falls Sie Unterstützung bei der Vorbereitung auf das neue Datenschutzgesetz benötigen, oder Ihre bestehenden Massnahmen überprüfen und auf den neuesten Stand bringen möchten, stehen wir Ihnen gerne zur Verfügung und helfen Ihnen dabei ein Konzept zu erstellen.
Kommen Sie gerne auf uns zu!

 

Quellen:
https://www.cyon.ch/blog/Welche-Websites-benoetigen-Cookie-Banner
https://www.cyon.ch/blog/neues-datenschutzgesetz-schweiz
https://www.economiesuisse.ch/de/artikel/datenschutz-eine-uebersicht-zum-neuen-gesetz
https://www.webkinder.ch/blog/strategie/neues-schweizer-datenschutzgesetz-2022-was-muessen-webseitenbetreiber-und-firmeninhaber-wissen/

Bildquelle: Matthew Henry on Unsplash

Wollen Sie mehr über uns erfahren?

Gerne können Sie mit uns Kontakt aufnehmen. Wenn Sie auf dem Laufenden bleiben wollen, können Sie sich gerne für unseren Newsletter anmelden.