Das neue Schweizer Datenschutzgesetz soll 2022 in Kraft treten - was du bis dann unbedingt wissen musst:
Nach zahlreichen Jahren der Planung hat das Schweizer Parlament ein neues Datenschutzgesetz verabschiedet. Das Bundesgesetz über den Datenschutz (DSG) wird voraussichtlich in der zweiten Hälfte von 2022 ohne Übergangsfrist in Kraft treten. Dieser Blogbeitrag soll Klarheit verschaffen, welche Vorkehrungen zu treffen, um die Vorschriften einzuhalten und mögliche Strafen zu vermeiden, die das neue Gesetz mit sich bringt.
Was ist das Bundesgesetz über den Datenschutz (DSG)?
Bevor wir uns mit den Auswirkungen des Gesetzes befassen und welche Strafen bei Verstössen drohen, müssen wir kurz erläutern, worum es beim DSG geht. Um direkt zu den Details zu springen, hier der Link zum nächsten Abschnitt.
Bitte beachte, dass wir zwar Experten auf dem Gebiet des digitalen Marketings sind, aber keine Rechtsberatung anbieten. Die in diesem Blog enthaltenen Informationen sind kein Ersatz für eine professionelle Rechtsberatung.
Das DSG ist im Wesentlichen die Schweizer Version der DSGVO, die im Mai 2018 in Kraft getreten ist. Es zielt darauf ab, die Transparenz des Umgangs von Unternehmen mit Daten zu erhöhen und die Rechte von Personen zu stärken, deren Daten verwendet werden. Während das DSG sicherstellt, dass Schweizer Unternehmen mit den EU-GDPR-Vorschriften in Einklang bleiben, gibt es doch einige Unterschiede, die man in der Schweiz berücksichtigen muss.
Wen betrifft das DSG?
Ähnlich wie die DSGVO betrifft das DSG jedes Unternehmen, das in der Schweiz tätig ist oder mit Daten von Schweizer Bürgern arbeitet. Dazu gehören auch Unternehmen, die ihren Sitz außerhalb der Schweiz haben, aber personenbezogene Daten von Schweizer Bürgern verarbeiten.
Mit anderen Worten: Das DSG betrifft jedes Unternehmen, das mit Schweizer Personendaten umgeht. Für Unternehmen, die keinen Sitz in der Schweiz haben, gibt es jedoch einige zusätzliche Anforderungen.
Ausländische Unternehmen
Unternehmen, die keinen Sitz in der Schweiz haben, müssen dieselben Anforderungen erfüllen, die für Schweizer Unternehmen gelten. Ausserdem können sie verpflichtet sein, einen Vertreter in der Schweiz zu stellen, wenn das betreffende Unternehmen:
- Daten bezüglich Angebot von Waren oder Dienstleistungen verarbeitet
- Daten zum Verhalten von Schweizer Personen verarbeitet oder besitzt
- Daten der beiden vorangegangenen Punkte in erheblichem Umfang oder regelmässig verarbeitet
Welche Daten werden reguliert?
Nicht alle Daten sind gleichermassen durch das DSG geschützt. Welche Informationen geregelt sind und welche nicht unter die Zuständigkeit des DSG fallen, haben wir hier zusammengefasst:
Allgemeine Personendaten
Wie die DSGVO regelt und schützt das DSG die Daten von Schweizer Personen und verlangt individuelle Zustimmung und Protokollierung durch das Unternehmen. Allerdings legt das DSG auch fest, dass bestimmte Datenkategorien anders zu behandeln sind. Diese Definitionen in der neuesten Fassung des DSG erweitert. Wir werden sie in Kürze ansprechen.
Schützenswerte Personendaten
Zu den stärker regulierten Datenkategorien gehören "schützenswerte Personendaten", die eine Vielzahl von Datenthemen umfassen, darunter:
- Religiöse, politische oder gewerkschaftliche Ansichten oder Tätigkeiten
- Gesundheit und Intimsphäre
- Massnahmen der sozialen Hilfe
- Administrative oder strafrechtliche Verfolgungen und Sanktionen
Zusätzlich hat das neue DSG den Umfang "schützenswerter Personendaten" erweitert und umfasst nun auch:
- Rassenzugehörigkeit
- Genetische Daten
- Biometrische Daten
Anders als bei den üblichen Datenkategorien müssen die Unternehmen die ausdrückliche Zustimmung der betroffenen Personen einholen und diese darüber hinaus darüber informieren, dass ihre Daten erhoben wurden und zu welchem Zweck.
Profiling
Jede Form der automatisierten Verarbeitung personenbezogener Daten, die dazu dient, persönliche Aspekte einer Person wie Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Erreichbarkeit zu bewerten oder vorherzusagen, wird als "Profiling" eingestuft.
Obwohl das Profiling im Parlament heftig debattiert wurde, ist es nach dem derzeitigen und dem vorgeschlagenen DSG vorläufig noch zulässig. Jedes Profiling, das Daten aus der oben beschriebenen Kategorie "schützenswerte Personendaten" umfasst, wird jedoch als "Profiling mit hohem Risiko" bezeichnet und unterliegt denselben Vorschriften wie schützenswerte Personendaten.
Dies bedeutet, dass Profiling mit "schützenswerten Personendaten" nur mit ausdrücklicher Genehmigung durchgeführt werden darf, wobei die betroffene Person benachrichtigt werden muss.
Unternehmensdaten sind nicht mehr durch das DSG geschützt
Zu beachten gilt, dass das überarbeitete DSG nicht mehr auf Daten von juristischen Personen anwendbar ist. Dies bedeutet zwar, dass die Datenverarbeitung in Bezug auf Unternehmen nicht unter die Lupe genommen wird, erstreckt sich aber nicht auf die Verarbeitung von Daten natürlicher Personen, z.B. derjenigen, die für das Unternehmen arbeiten (z.B. Kontaktpersonen, Supportmitarbeiter, Verkäufer).
Welche Rechte haben Personen, die durch das DSG geschützt sind?
Durch das DSG geschützte Personen, können an Unternehmen Forderungen stellen, die ihre Daten besitzen, verarbeiten oder anderweitig nutzen. Dies wurde mit dem revidierten DSG erweitert und umfasst nun Folgendes:
Recht auf Information
Jede Person hat das Recht, von den für die Verarbeitung ihrer Daten Verantwortlichen Auskunft darüber zu verlangen, ob und warum die sie betreffenden Daten verarbeitet werden. Auf dieses Recht kann der Einzelne nicht im Voraus verzichten.
Folgende Informationen müssen auf Anfrage bereitgestellt werden:
- Alle verfügbaren Daten zur Person, einschliesslich der Quelle der Daten
- Zweck und (gegebenenfalls) Rechtsgrundlage für die Datenverarbeitung
- Wer an der Verarbeitung der Daten beteiligt?
- Werden Daten über einen Dritten verarbeitet, muss er dies angegeben werden
Zusätzlich zu diesen Informationen müssen nach dem neuen DSG auch folgende Angaben gemacht werden:
- Identität und Kontaktangaben des Verantwortlichen für die Verarbeitung;
- Die Verarbeitungszwecke;
- Bei Weitergabe von Daten: die Empfänger oder die Kategorien von Empfängern;
- Bei Weitergabe von Daten ins Ausland: der Staat oder internationale Einrichtung und gegebenenfalls die Garantien für einen angemessenen Datenschutz oder die Ausnahme, wenn keine solchen Garantien gegeben sind;
- Im Falle einer indirekten Datenerhebung (d.h. die Daten werden nicht bei der betroffenen Person selbst erhoben), zusätzlich: die Kategorien der verarbeiteten personenbezogenen Daten;
- Einzelentscheidungen, die ausschliesslich auf einer automatisierten Verarbeitung beruhen und Rechtsfolgen oder erhebliche Auswirkungen für die Person haben.
Das neue DSG verzichtet auch auf die Forderung der "Schriftlichkeit" eines Ausdrucks oder einer Fotokopie und besagt stattdessen lediglich, dass ein "geeignetes" Formular verwendet werden muss. Es gilt jedoch zu beachten, dass eine Datenschutzerklärung nicht immer ausreicht.
Recht auf Widerruf der Einwilligung und Löschung der Daten
Jede Person kann jederzeit ihre Zustimmung widerrufen oder die Löschung ihrer Daten verlangen. Diesem Wunsch muss nachgekommen und die Daten unverzüglich aus dem System entfernt werden.
Recht auf Datenübertragbarkeit
Nach dem neuen DSG kann jede Person die Herausgabe und Übermittlung ihrer Daten verlangen. Diese Daten müssen in einem üblichen elektronischen Format bereitgestellt oder auf Anfrage an andere Anbieter übermittelt werden.
Recht auf Widerspruch
Betroffenen Personen haben nun das Recht, gegen automatisierte Entscheide Widerspruch einzulegen. Einzelpersonen können ihren Standpunkt in dieser Angelegenheit darlegen und verlangen, dass automatisierte Entscheide von einer natürlichen Person und nicht von einem System oder automatisierten Verfahren überprüft werden.
Welche Pflichten haben Unternehmen gemäss DSG?
Unternehmen, die Personendaten von Schweizer Bürgerinnen und Bürgern speichern oder bearbeiten, haben gewisse Pflichten einzuhalten. Kommen sie diesen Pflichten nicht nach, können sie mit einer Busse belegt oder strafrechtlich verfolgt werden.
Pflicht zur Beantwortung privater Anfragen
Wenn Privatpersonen im Rahmen ihrer Rechte einen Antrag stellen, müssen deren Wünsche respektiert und innert angemessenen Frist nachgekommen werden.
Protokollpflicht
Unternehmen müssen jetzt und in Zukunft ein detailliertes Verzeichnis aller Verarbeitungstätigkeiten führen und pflegen.
Die erforderlichen Mindestinformationen sind:
- Die Identität des Verantwortlichen
- Der Zweck der Datenverarbeitung
- Kategorien der betroffenen Personen und verarbeiteten Daten
- Die Kategorien der Empfänger
- Die Aufbewahrungsdauer oder Kriterien zur Festlegung dieser Dauer, wenn möglich
- Wenn möglich, eine Beschreibung der Massnahmen zur Datensicherheit (geeignete technische und organisatorische Massnahmen)
- Falls Daten ins Ausland weitergegeben werden, Angaben zum Land und zu den Garantien, wie angemessener Datenschutz gewährleistet wird
Meldepflicht
Unternehmen, die eine Datenverletzung mit einem hohen Risiko für Personendaten oder Grundrechte feststellen, müssen dies unverzüglich dem EDÖB und den betroffenen Personen melden.
Bewertungspflicht
Wenn die Datenverarbeitung ein hohes Risiko für schützenswerte Daten oder Grundrechte birgt, muss der Verantwortliche eine Risikoauswertung vornehmen. Im Falle neuer Technologien, einer umfangreichen Verarbeitung oder einer systematischen öffentlichen Überwachung wird dieses Risiko automatisch als hoch eingestuft.
Datenschutzpflicht
Wie die DSGVO besagt auch das DSG ausdrücklich, dass die Verarbeitung personenbezogener Daten auf das absolut notwendige Minimum beschränkt werden muss. Daher müssen geeignete technische und organisatorische Massnahmen getroffen werden, um sicherzustellen, dass alle Anwendungen und Prozesse diesen Grundsatz einhalten. Ausserdem müssen alle Standardeinstellungen für Benutzer wenn möglich auf "datenschutzfreundliche" Optionen eingestellt werden.
Was sind die Sanktionen bei Nichteinhaltung des DSG?
Das revidierte DSG hat die Sanktionen erweitert, die der EDÖB bei Verstössen verhängen kann. Dazu gehören Bussen, Strafverfahren und Verschulden von Mitarbeitenden oder Führungskräften.
Strafverfahren
Unternehmen und Einzelpersonen, die sich nicht an die Vorschriften halten, riskieren Sanktionen in Form einer Geldstrafe von bis zu 250'000 CHF. Die Nichtbezahlung der Busse kann zu Gefängnisstrafen und weiteren Sanktionen führen.
Darüber hinaus kann der EDÖB eine Administrativuntersuchung einleiten und Verfügungen erlassen, die bei Missachtung weitere strafrechtliche Sanktionen in gleicher Höhe nach sich ziehen können.
Zivilrechtliche Ansprüche
Privatpersonen, die von Unternehmen betroffen sind, die gegen das DSG verstossen, können weiterhin zivilrechtlich auf Beseitigung, Unterlassung oder Schadenersatz klagen.
Ein Hinweis zur Strafverfolgung
Während der Gesetzgebung wurde festgelegt, dass strafrechtliche Sanktionen und Bussgelder in erster Linie auf Führungskräfte abzielen und nicht auf Mitarbeiter. Weiter wurde bestimmt, dass im Falle von Unternehmen ohne Führungspersonal, eine Geldstrafe von bis zu 50'000 CHF verhängt werden kann.
In Fällen, in denen es zu schwierig ist, einen Täter innerhalb eines Unternehmens zu ermitteln, kann das Unternehmen anstelle einer natürlichen Person zur Zahlung der Geldbusse verurteilt werden.
Was sollten Unternehmen tun, um sich auf das neue DSG vorzubereiten?
Es gibt keine Übergangsfrist, was bedeutet, dass Unternehmen sofort mit den Vorbereitungen für das neue DSG beginnen müssen, wenn sie für dessen Inkrafttreten in 2022 gerüstet sein wollen.
Hier einige Massnahmen zur Vorbereitung auf das überarbeitete DSG:
Einholung und Aufzeichnung von Zustimmung
Das neue DSG schreibt vor, dass für jede betroffene Person auf Anfrage ein Nachweis der Einwilligung vorgelegt werden muss. Dies bedeutet, dass Unternehmen sich jetzt die Zeit nehmen sollten, ihre Datenbanken in Ordnung zu bringen, bevor die Verordnung in Kraft tritt.
Unternehmen müssen die Zustimmung aller Personenen aufzeichnen und Massnahmen zum 'Double Opt-In', sowie Erinnerungs-E-Mails verwenden, um über die Verwendung von Daten zu informieren.
Protokoll über alle Datenverarbeitungstätigkeiten
Unternehmen müssen in der Lage sein, auf Anfrage einen Nachweis über alle Datenverarbeitungstätigkeiten zu erbringen. Dazu müssen sie mindestens die folgenden Informationen bereitstellen:
- Die Identität des Verantwortlichen
- Der Zweck der Datenverarbeitung
- Kategorien der betroffenen Personen und verarbeiteten Daten
- Die Kategorien der Empfänger
- Die Aufbewahrungsdauer oder Kriterien zur Festlegung dieser Dauer, wenn möglich
- Wenn möglich, eine Beschreibung der Massnahmen zur Datensicherheit (geeignete technische und organisatorische Massnahmen)
- Falls Daten ins Ausland weitergegeben werden, Angaben zum Land und zu den Garantien, wie angemessener Datenschutz gewährleistet wird
Es wäre daher ratsam, diese Informationen rechtzeitig vorzubereiten.
Vertreter zuweisen
Ausländische Unternehmen, die Daten von Schweizer Personen verfügen oder diese verarbeiten, müssen einen Vertreter mit Sitz in der Schweiz ernennen. Unternehmen, die dies nicht tun, müssen mit einer Geldstrafe und einer Anordnung zur Löschung von Personendaten rechnen.
Sicherstellen, dass die gesamte elektronische Kommunikation mit einem hohen Mass an Vertraulichkeit behandelt wird
Das Abhören, Abfangen, Scannen und Speichern von Textnachrichten, E-Mails und Sprachanrufen ist ohne die Zustimmung des Nutzers nicht gestattet. Der Grundsatz gilt für aktuelle und künftige Kommunikationsmittel - einschliesslich aller IoT-Geräte.
An allen Kontaktpunkten um Zustimmung bitten
Für die Auswertung, den Zugriff oder die Verarbeitung von Daten auf privaten Geräten ist die Zustimmung der Nutzer erforderlich. Somit müssen Websites, die Cookies oder andere Technologien verwenden um auf lokal gespeicherte Informationen zuzugreifen, ausdrücklich um Zustimmung bitten und den Grund dafür liefern.
Die Zukunft des Datenschutzes ist hier
Das DSG ist nicht die einzige neue Datenschutzmaßnahme, die in Kraft tritt. Länder auf der ganzen Welt beginnen, den Datenschutz ihrer Bürger ernst zu nehmen und verhängen hohe Geldstrafen und Maßnahmen gegen Unternehmen, die die Privatsphäre der Verbraucher nicht schützen. Es ist besser, dem Trend voraus zu sein und den Schutz der Privatsphäre für die eigenen Geschäftsprozesse jetzt zu implementieren, als später.
Eine der besten Möglichkeiten, Kunden und Unternehmen zu schützen, ist dafür zu sorgen, dass Prozesse und Richtlinien auf dem neuesten Stand der aktuellen Datenschutzvorschriften sind. Um auf dem Laufenden zu bleiben, was zu beachten ist und wie man an am besten Online-Marketing im neuen Rahmen des DSG betreibt, kontaktiere Demodia.
Demodia hilft zahlreichen Unternehmen und Personen dabei, online zu überleben und zu gedeihen. Als Beratungsunternehmen für digitales Marketing mit jahrzehntelanger Erfahrung ist Demodia der ideale Partner für digitales Marketing und Online-Geschäftsberatung.