Neues Datenschutzgesetz in der Schweiz: Das müssen Unternehmen jetzt beachten

Am 1. September 2023 tritt in der Schweiz das neue, stark verschärfte Daten­schutz­gesetz in Kraft. In zwei Praxis-Webinaren von Gryps erklärte die Expertin Sabine Fercher, was sich ändert und wie sich KMU darauf vorbereiten können.

Verfasst von Reto Stauffacher und Sabrina Frei

Kein Kavaliersdelikt mehr: Mit dem neuen Datenschutzgesetz werden Verstösse strafrechtlich relevant. (Bild erstellt mit Midjourney)

Das revidierte Datenschutzgesetz und die dazugehörige Datenschutzverordnung treten in der Schweiz am 1. September 2023 in Kraft und sind ohne Übergangsfrist anwendbar. Die neue Gesetzgebung betrifft sämtliche Unter­nehmen in allen Branchen, aber ganz besonders jene, die sen­sible, per­sön­liche Kunden­daten ver­walten, zum Beispiel Treuhand- und IT-Firmen, Gesundheitspraxen oder Immobilienverwaltungen.

Gryps möchte Schweizer KMU bei diesem Thema unterstützen und bietet in nächster Zeit verschiedene Themenschwerpunkte dazu an. Den Anfang machten zwei Praxis-Webinare. Das erste Webinar war speziell auf IT- und Treuhandfirmen ausgerichtet, das zweite auf unsere Kunden und Partner in den Bereichen Gesundheit, Steuer- und Finanzberatung sowie Immobilienverwaltung, die sensible Kundendaten bearbeiten.

Sabine Fercher, Datenschutzexpertin und Rechtsanwältin sowie Gründerin von Fercher Compliance, vermittelte jeweils in einer guten Stunde die wichtigsten In­for­mationen zum neuen Daten­schutz­gesetz. Für alle Interessierten lohnt es sich, die Webinare in voller Länge anzuschauen (mit Registrationspflicht) oder unseren Ratgeber zum Thema zu lesen.

Nachfolgend die wichtigsten Fragen und Antworten aus dem Webinar kurz zusammengefasst:

1. Was ändert sich konkret ab dem 1. September?

Zunächst einmal das Strafmass: Bisher galten Verstösse gegen den Datenschutz als Kavaliersdelikte, jetzt gilt nur schon ein Verstoss gegen die Informationspflicht als strafrechtlich relevant. Die wichtigsten Massnahmen in aller Kürze: Ab dem 1. September 2023 müssen Sie die Sicherheit der Personendaten gewährleisten, Multifaktorauthentifizierung einführen, Super-Administratoren bei der Datenbearbeitung definieren sowie interne Weisungen und Schulungen durchführen.

Die Datenschutzerklärung, die Sie auf Ihrer Website aufschalten, wird zentral. Der Wortlaut muss präzise, transparent, verständlich und leicht zugänglich sein. Betroffene müssen grundsätzlich VOR der Datenbearbeitung über dessen Verwendung informiert werden. Ausserdem müssen Sie fähig sein, auf Anfragen von Betroffenen zur Datenbearbeitung kostenlos und innert 30 Tagen reagieren zu können («Auskunftspflicht»). Die Daten müssen zudem in einem gängigen elektronischen Format übermittelt werden.

Frage aus der Praxis: Was bedeutet überhaupt «Daten bearbeiten»?
Alles, was grundsätzlich mit Personendaten gemacht wird, gehört zur sogenannten Bearbeitung: vom Speichern über das Aufbewahren und Übertragen bis hin zum Löschen. Auch das Zugänglichmachen von Personendaten, beispielsweise bei einem IT-Dienstleister, der Einsicht auf den Bildschirm eines Mitarbeitenden erhält, zählt dazu.

2. Welche Daten gehören zu den sogenannten «besonders schützenswerten Daten»?

Mit dem neuen Datenschutzgesetz werden die besonders schützenswerten Daten ausgeweitet. Neben Gesundheit, Rasse, Religion, Sozialhilfemassnahmen, strafrechtliche Angaben etc., werden neu auch genetische und biometrische Daten sowie die Ethnie als besonders schützenswerte Daten angesehen. Auch ein Bild, das nicht verpixelt ist, sodass man darauf Personen erkennen kann, zählt dazu.

3. Für wen gilt das neue Datenschutzgesetz?

Das neue Datenschutzgesetz schützt ausschliesslich natürliche Personen (jedoch nicht mehr juristische Personen) vor Missbrauch. In die Pflicht nimmt das Datenschutzgesetz allerdings alle, sowohl Unternehmen, die durch ihre Mitarbeitenden handeln, als auch Einzelpersonen, die Daten bearbeiten. Das Gesetz ist ausserdem weltweit für alle Sachverhalte anwendbar, sobald sich diese auf die Schweiz auswirken. Die weltweite Anwendbarkeit erlaubt, es gegen den Datenhunger von grossen Tech-Firmen wie Alpha (Google), Meta (Facebook), Amazon etc. vorzugehen.

Frage aus der Praxis: Was ist mit Kontaktdaten von Ansprechpartnern von Firmen (Namen, Telefonnummern, E-Mailadressen)?
Diese gehören allesamt zu den Personendaten. 

4. Was sind denn nun die Pflichten der Verantwortlichen und Auftragsbearbeitenden?

Sie sind verpflichtet, Kunden, Interessentinnen, Geschäftspartner, Mitarbeitende und Website-Besuchende – kurz, alle, die Ihnen Personendaten anvertrauen (= Betroffene) – darauf hinzuweisen, dass und wann Sie deren Daten sammeln und bearbeiten. In Ihrer Datenschutzerklärung müssen Sie über die Erhebung, den Zweck und die Art der Bearbeitung der Personendaten (zum Beispiel Profiling) informieren.

Sie sind ausserdem verpflichtet, die Betroffenen über ihre Rechte zu informieren. Dazu gehören beispielsweise das Recht, Auskunft über die gesammelten Personendaten zu verlangen, oder das Recht, die eigenen Personendaten berichtigen oder löschen zu lassen. Sie müssen den Betroffenen zudem zeigen, wie sie ihre Rechte wahrnehmen können und wen sie dafür kontaktieren müssen.

5. Was muss meine Datenschutzerklärung beinhalten?

Die Anforderungen an die Datenschutzerklärung steigen enorm: Das dürfte dazu führen, dass diese eher zu lang als zu kurz werden, um gegen alle Eventualitäten abgesichert zu sein.

Folgende Fragen müssen in Zukunft in der Datenschutzerklärung beantwortet werden:

• Welche Personendaten werden zu welchem Zweck erhoben? Wie wird der Benutzer, die Benutzerin darüber informiert? Wie wird sein respektive ihr Einverständnis eingeholt?
• Verwenden Sie die erhobenen Daten für Marketingmassnahmen – allenfalls durch dritte Trackinganbieter, insbesondere Google Analytics?
• Wie lange werden die Daten wo gespeichert? Wie schützen Sie die Daten beim Speichern?
• Werden die Daten weitergegeben? Wenn ja, an wen?
• Wohin wendet man sich mit einer Anfrage für Auskunft, Löschung, Korrektur oder Herausgabe der Daten? Welche Angaben (insbesondere Identitätsnachweis) sind nötig?
• Setzen Sie automatisierte Verfahren ein, um Benutzende zu identifizieren (Profiling) oder um aus den Daten rechtlich relevante Informationen abzuleiten (zum Beispiel Credit Score)?
• Verwenden Sie auf Ihrer Website Vorlagen von Google oder haben Sie Google-Fonts eingebunden, die Google einen Zugriff ermöglichen (heruntergeladene Fonts sind unproblematisch)?

Frage aus der Praxis: Muss die Datenschutzerklärung als separater Navigationspunkt auf der Website vorkommen?
Laden Sie Ihre Datenschutzerklärung auf Ihrer Website so hoch, dass sie gut zu finden ist – zum Beispiel im Footer. Dasselbe gilt für das Impressum.

6. Wie unterscheidet sich das neue Schweizer Gesetz zur DSGVO der EU?

Falls Sie Ihre Tätigkeiten bereits auf die DSGVO der EU ausgerichtet haben, dann ist das schon einmal sehr gut. Wichtig ist, dass die Auftragsdatenverarbeitung sowie die Standardvertragsklauseln ab 1. September 2023 dem Schweizerischen Datenschutzgesetz unterstehen. In der Schweiz besteht neu die gesetzliche Vorgabe, die Dokumentation zu Meldungen, die gegenüber dem EDÖB gemacht wurden, für 2 Jahre aufzubewahren.

Zu guter Letzt noch ein Tipp für die Praxis: Machen Sie Ihre Mitarbeitenden auf das Datenschutzgeheimnis aufmerksam. Jede Person, die Daten verarbeitet, ist dem neuen Gesetz verpflichtet und muss auf Anfrage innert 30 Tagen und grundsätzlich kostenlos Transparenz über die Verwendung der Daten herstellen können.

6. Fragen aus der Praxis:

Ist die Nutzung beispielsweise von Google Fonts gemäss DSG nicht mehr erlaubt?

Mit dem Onlinedienst Cookiebot kann überprüft werden, ob eine Website datenschutzkonform ist und welche Cookies tatsächlich verwendet werden. Es sind meistens viel mehr, als man denkt. Das Tool ist sehr praktisch und zu empfehlen.

Bei der Schrift von Google («Font») ist es tatsächlich so, dass diese nicht verwendet werden sollte, wenn die Schrift auf der Webseite eingebettet wird. So hat Google Zugriff auf Daten, was entsprechend in der Datenschutzerklärung deklariert werden muss. Um auf der sicheren Seite zu sein, sollte die Schrift heruntergeladen und neu hochgeladen werden. Dasselbe gilt für Integrationen von Facebook, Instagram oder Twitter.

Ein weiteres Beispiel ist Google Analytics: In vielen Ländern ist das Analysetool von Google sogar verboten, weil die Daten zwingend zu Google abfliessen. Mit einem neuen Update, das Google ausgespielt hat, sollte dieses Problem nun behoben sein. So oder so müssen Sie in Ihrer Datenschutzerklärung darauf hinweisen, welche Tools von Drittanbietern Sie für Ihre Website nutzen.

Kann ein Unternehmen seine Datenschutzpflichten outsourcen? Wenn ja, welche Pflichten verbleiben beim Unternehmen selbst?

Es ist denkbar, gewisse Datenschutz-Aufgaben auszulagern oder externe Spezialisten zur Unterstützung hinzuzuziehen. Es sollte aber intern trotzdem jemand bestimmt werden, der die Verantwortung innerhalb des Unternehmens übernimmt, gerade auch als Ansprechpartner für die externe Person. Der oder die sogenannte Verantwortliche bleibt aber immer auch verantwortlich. Diese Verantwortung für den Datenschutz kann nicht abgegeben oder ausgelagert werden. Zudem müssen Sie sicherstellen, dass sich auch Ihr Partner daran hält. Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) stellt dafür eine Checkliste zur Verfügung.

Definition «Verantwortliche (Controller)»: Private Person, die allein oder zusammen mit anderen über den Zweck und die Mittel der Bearbeitung entscheidet, wie Personendaten bearbeitet werden. 

Welche Firmen müssen ein Verzeichnis mit Angaben der Datenbearbeitungen führen?

Es gibt eine Ausnahme, nach der Unternehmen, die am 1.1. des jeweiligen Jahres weniger als 250 Mitarbeitende beschäftigen, kein solches Verzeichnis führen müssen. Gegenausnahme: es werden besonders schützenswerte Daten in grossem Umfang bearbeitet oder es werden Profilings mit hohem Risiko durchgeführt.

Definition «Profiling»: automatisierte Bearbeitung von Personendaten, beispielsweise zum Bewerten (Analysieren, Vorhersagen) der Arbeitsleistung, der Gesundheit oder des Verhaltens.

Sabine Fercher sowie ihre Expertenkolleginnen und -kollegen empfehlen aber auch kleinen Unternehmen, ein solches Verzeichnis zu erstellen, denn Sie können die Daten nur schützen, wenn Sie auch wissen, wo Sie welche Daten zu welchem Zweck bearbeiten. Zudem ist es auch im Bereich der Cybersicherheit sehr wichtig, Massnahmen zum Schutz Ihrer Daten zu treffen.

Hinweis: Bei Gryps finden Sie eine Vorlage für ein Verzeichnis der Bearbeitungstätigkeiten, die Sie kostenlos (mit Registrationspflicht) downloaden können.

Zur Expertin: Sabine Fercher ist Rechtsanwältin sowie Gründerin und Inhaberin von Fercher Compliance.