Das neue Datenschutzgesetz (revDSG)

Schön hast du unseren Blog gefunden. Wenn du hier bist, interessierst du dich bestimmt für das revidierte Datenschutzgesetz. Du bist bloss zufällig hier? Kein Problem, auch dann lohnt es sich, wenn du dich einmal über deine Rechte informierst, denn deine Daten sind kostbar und du solltest wissen, wie du damit umgehen kannst.

• Wenn du mehr über die Geschichte des Datenschutzes in der Schweiz erfahren willst, dann empfehlen wir dir den Abschnitt «Der Weg zum revidierten Datenschutzgesetz».

• Du möchtest dich über deine Rechte und die Neuerungen informieren, dann gehe zum Abschnitt «Alles, was du als Privatperson wissen musst!»

• Hast du ein Unternehmen? Dann schaue unbedingt beim Teil «Die wichtigsten Änderungen für mein Unternehmen» vorbei. So ist auch dein Unternehmen gerüstet und du bekommst keine Probleme.

Viel Spass beim Stöbern!

Der Weg zum neuen Datenschutzgesetz

Unter Datenschutz wird in der Schweiz der «Schutz der Persönlichkeit und der Grundrechte von Personen, über die Daten bearbeiten werden» (Art. 1 DSG) verstanden. Die Menschen sollen die Kontrolle darüber haben, wem sie welche Daten bekannt geben.

Datensicherheit bezeichnet den Schutz der Daten vor unbefugtem Zugriff. Zwar können Datenschutz und Sicherheit miteinander einhergehen, dennoch ist das revDSG, wie der Name bereits sagt, auf den Datenschutz und nicht auf die Datensicherheit ausgerichtet.

Die Aussage, dass der Datenschutz den technologischen Innovationen hinterherhinkt, ist ebenfalls auf die Schweiz übertragbar. So kommt die EU-DSGVO häufig für Schweizer Unternehmen zur Anwendung, da unser DSG teils weniger streng ist. Es gilt nämlich der Grundsatz, dass «Unternehmen ihre Datenschutzbestimmungen auf das jeweils strengere Gesetz ausrichten müssen». Es ist also dringend notwendig, dass das revDSG am 1. September 2023 in Kraft tritt. Damit werden wichtige Anforderungen dem Datenschutz angepasst und unsere Interessen gestärkt.

«Think globally, act locally» besagt, dass die lokalen Gesetzgebungen direkt umgesetzt und danach die globalen Gesetze berücksichtigt werden sollen [1].

Alles, was du als Privatperson wissen musst

Bist du dir bewusst, dass Unternehmen und Organisationen immer mehr personenbezogene Daten sammeln und verarbeiten? Das revDSG ist ein neues Gesetz, das den Schutz deiner persönlichen Daten verbessert und stärkt. Es gibt dir mehr Kontrolle über deine Daten und verpflichtet Unternehmen dazu, deine Daten sicher und verantwortungsvoll zu behandeln.

Unter das neue revDSG fallen nur Personendaten, welche dir zugeordnet werden können. Unternehmen werden nicht weiter geschützt.

Es werden folgende Personendaten unterschieden, welche auch schon bisher Teil des DSG waren, der Katalog wurde aber etwas erweitert.

• Öffentlich bekanntgemachte Daten: Sind Daten, welche wir freiwillig z.B. auf Social Media teilen. Diese Daten dürfen verwenden werden, solange die betroffene Person nicht der Verwendung widersprochen hat.

• Personendaten: Darunter fallen zum Beispiel: Name, Adresse, Geburtsdatum etc. Insofern diese Daten nicht bereits freiwillig öffentlich gemacht wurden, müssen sie besser geschützt werden. So sollten Unternehmen Personendaten als intern qualifizieren und entsprechende Schutzmassnahmen ergreifen [10].

• Besonders schützenswerte Personendaten: Dies sind heikle Informationen, wie z.B. der Lohn und begangene Straftaten [10]. Der Katalog der besonders schützenswerten Personendaten wurde in Art. 5 des revDSGs erweitert [4]:
  • Daten über die Zugehörigkeit einer Ethnie, z.B. Kosovo-Albaner*in, Fahrende…

  • Genetische Daten, wie DNA-Profil…

  • Biometrische Daten, die eine natürliche Person eindeutig identifizieren, z.B. Gesichtsbilder, die mit einer Gesichtserkennungssoftware bearbeitet werden, Fingerabdrücke…

  • Der Begriff Profiling wurde neu ins revDSG aufgenommen: 

    «[…] automatisierte Bearbeitung von Personendaten, die darin besteht, dass diese Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten […]».

Weitere wichtige Änderungen für dich sind [5]:

• Es ist nun möglich, Auskunft über die Bearbeitung der Daten zu verlangen (Art. 25 bis 27 revDSG).

• Personenbezogene Daten darfst du nun von einem Unternehmen zum anderen Unternehmen übertragen lassen oder du darfst deine Daten verlangen (Art.28 und 29 revDSG).

• Informationen über Personen dürfen nicht mehr nur einer automatisierten Einzelentscheidung (Art. 21 revDSG) unterworfen werden, d.h. Entscheidungen dürfen nicht nur aufgrund eines Algorithmus, der Personendaten verarbeitet, getroffen werden.

Das revidierte Datenschutzgesetz ist ein wichtiger Schritt in Richtung des Schutzes deiner Privatsphäre und deiner Daten. Es gibt dir mehr Kontrolle über deine persönlichen Daten und verpflichtet Unternehmen dazu, deine Daten sicher und verantwortungsvoll zu behandeln.

Die wichtigsten Änderungen für dein Unternehmen

Für Unternehmen ändert sich, dass bewusster mit Daten umgegangen werden muss. So müssen sich Unternehmen fragen: Welche Personendaten haben wir und wie werden sie behandelt? Je nach Risiko und Menge der Daten gibt es höhere Compliance Anforderungen [3].

Was muss bis zum 1. September 2023 erledigt sein?

Im revDSG gibt es, mit Ausnahme von einzelnen Verpflichtungen, keine relevanten Übergangsvorschriften. Die meisten Pflichten werden mit dem Inkrafttreten am 1. September 2023 des revDSGs sofort geltend [5]. Die Umsetzung des Datenschutzgesetzes lohnt sich, nicht nur um Strafen zu entgehen, sondern ebenfalls, um die Reputation zu stärken und die Kundenbeziehungen zu verbessern [6].  

Eine Bestandesaufnahme und eine Risikoabschätzung sind notwendig. Zudem sollte eine Gap-Analyse (Vergleich Ist und Soll-Zustand) Aufschluss darüber geben, welche Massnahmen erforderlich sind, um sich dem neuen Gesetz anzupassen [5]. Gesetzliche Mindestvorgaben sollten bereits vor dem 1. September 2023 umgesetzt werden [6]. Basierend auf der GAP-Analyse kann dann ein Aktionsplan entwickelt werden. Dieser Plan soll die Lücke der GAP-Analyse mit Massnahmen schliessen [5].

Das revDSG schreibt vor, dass ein*e Datenverantwortliche*r bestimmt wird. Diese Person ist dafür verantwortlich, dass die entsprechenden Schritte, welche für den Datenschutz notwendig sind, im Unternehmen umgesetzt werden [7].

Unsere Tipps und Tricks

Da es einige Neuerungen gibt, haben wir dir hier einige Tipps und Tricks zusammengestellt:

Mache dir selbst allgemeine Gedanken zum Datenschutz und stelle bestehende Prozesse in Frage [10].  Schule und sensibilisiere deine Mitarbeitenden. Nur so kann der Datenschutz in deinem Unternehmen langfristig gewährleistet werden.

Dokumentiere deine Massnahmen im Datenschutz. Versichere dich, dass du von den Kund*innen für die Verwendung ihrer Daten eine entsprechende Zustimmung hast [1]. Dein Unternehmen muss für die technische und organisatorische Sicherheit der Daten sorgen. Wenn zum Beispiel Daten gestohlen werden, muss dies gemeldet werden [8]. Falls dein Unternehmen Daten an Drittländer übermittelt, überprüfe, ob du die notwendigen Garantien erhalten hast [12]. Versuche, die erhaltenen Daten zu anonymisieren. Wenn die Daten den Kund*innen nicht mehr zugeordnet werden können, sind sie nicht mehr schützenswert und fallen nicht unter das revDSG [1].

Bei deinen Websitebesucher*innen musst du darauf achten, dass die datenschutzfreundlichsten Einstelllungen zuerst angezeigt werden «privacy by default».

Halte das revDSG ein! Wenn du unsicher bist, sei eher vorsichtig oder lasse dich beraten. Bei Verstössen können sich Busgelder von bis 250'000 CHF für die verantwortlichen Personen ergeben. Die Eidgenössische Datenaufsicht kann weitere Massnahmen ergreifen, wie z.B. die Löschung sämtlicher Personendaten [9].

Es ist nicht schlimm, wenn du bis am 1. September 2023 nicht alle Massnahmen umgesetzt hast. Achte aber trotzdem darauf, dass die Mindestanforderungen des revDSG eingehalten sind [6]. Um herauszufinden, ob dein Unternehmen die nötigen Anforderungen erfüllt, kannst du im Internet einen Schnelltest ausfüllen, z.B. Test der Wirtschaftsprüfungs- und Treuhandfirma BDO (https://www.bdo.ch/de-ch/dsg-test).

Wichtig für jedes Unternehmen ist ein guter Kontakt zu den Kund*innen. Versuche sie über deine bisherigen Datenschutzbemühungen zu informieren und teile deine Fortschritte z.B. mithilfe eines Newsletters, aber natürlich nur, wenn du die Zustimmung hast.

Targeting

Beim Targeting wird dein potenzieller Kunde mit Cookies identifiziert. Ein Cookie ist eine Textdatei, welche im Browser an den Server gesendet wird (Frage-Antwort-Sequenz). Durch diese Cookies kannst du dein potenzieller Kunde erkennen, aber nicht direkt identifizieren, wer dahintersteckt. Da diese Cookies nicht direkt einem potenziellen Kunden zugeordnet werden können, ist es für dich unproblematisch. Du kannst weiterhin als Digital Marketing Engineer Targeting verwenden.

Schwierigkeiten haben hingen die Anbieter, welche Targeting erlauben. Google kann problemlos durch die eingeloggten User*innen und unzähligen Cookies deine potenziellen Kund*innen bestimmen und erlaubt dadurch gezieltes Targeting. Dies sind personenbezogene Daten, welche gemäss dem revDSG geschützt werden müssen. Dieses Problem betrifft Google und nicht dich! [16]

Die Problematik des Targetings bezogen auf das Online-Marketing

Durch das Targeting werden bestimmte Zielgruppen aufgrund ihrer Verhaltensmuster identifiziert. So ist es für Marketing-Kampagnen möglich, die Effektivität durch das Targeting zu steigern, da nun Menschen angesprochen werden, die bereits Interesse gezeigt haben und somit die Wahrscheinlichkeit gross ist, sie als Kunden zu gewinnen. Durch das Targeting ergeben sich jedoch auch einige Probleme für das Online-Marketing. Die erste Problematik ergibt sich aus der Identifizierung der Zielgruppe, welche unter Umständen fehlerhaft und schwierig sein kann. So kann bei veralteten und ungenauen Daten die Werbung auf falsche Personengruppen gerichtet werden, welche kein Interesse haben. So wird ein Effekt bei den Menschen erzielt, welcher nicht erwünscht ist, denn wenn Nutzer Werbung und Anzeigen bekommen, die nicht ihr Interesse weckt, dann melden sie sich ab. Eine weitere Problematik ist Ad-Blocker-Software, durch welche die auf die gewünschten Personen angepasste Werbung nicht bei den Personen ankommt und so das Targeting den Nutzen nicht erfüllen kann. Personen, die Anzeigen erhalten, welche genau auf sie abgestimmt worden sind, befürchten, dass ihre Daten ohne Einwilligung gesammelt und verwendet werden, so ergeben sich Probleme bei den Datenschutzbestimmungen. So ergeben sich die folgenden Guidelines für Unternehmen:

Halte Datenschutzbestimmungen ein

Die Anbieter, welche Targeting verwenden, müssen die Datenschutzbestimmungen einhalten und personenbezogene Daten den Richtlinien nach Speichern und verarbeiten. Das revDSG verlangt zusätzlich von dir, dass du personenbezogene Daten schützt und sicher aufbewahrst. Stelle sicher, dass deine IT-Systeme und Datenbanken gegen unbefugten Zugriff und Missbrauch geschützt sind. Passiert ein Missbrauch der Daten musst du es melden.  Wenn du dir nicht sicher, wie welche Personendaten geschützt werden müssen, gehe zum Abschnitt «Für Privatpersonen». Es macht keinen Sinn, wenn trotz strengen Massnahmen, die Mitarbeitenden für das Schreiben von Mails Chat GPT nutzen. Mache dir also generelle Gedanken über den Datenschutz und dokumentiere es entsprechend («privacy by design»). Beachte, dass du die Grundsätze des revDSG einhältst. So musst du keine Angst haben, auch wenn du noch nicht alle Formulare zum revDSG ausgefüllt hast.

Informiere Kund*innen

Um das Targeting anzuwenden, musst du deine Kund*innen transparent über die Verwendung ihrer Daten informieren. Erkläre ihnen, welche Daten du sammelst, warum du sie benötigst und wie du sie verarbeitest. Prüfe zudem, ob eine Übermittlung von Daten in Drittländer stattfindet und falls ja, Bestimmung der angemessenen Garantien [12]. Weiter können nur Daten von Personen analysiert und bearbeitet werden, welche dazu eingewilligt haben, dass ihre Daten zur Verwendung von Targeting benutzt werden dürfen. Die Einwilligung muss freiwillig sein und darf jederzeit widerrufen werden. Die Daten, welche für das Targeting gesammelt werden, sollten Transparent sein, sowie die sicher aufbewahrt und von unbefugtem Zugriff geschützt sein. Weiter sollten die ethischen Standards bei der Nutzung von Targeting-Methoden eingehalten werden, ohne dass die Privatsphäre verletzt wir.

Halte das Gesetz ein

Das revDSG ist verpflichtend und Unternehmen, die dagegen verstoßen, riskieren hohe Strafen. Es ist wichtig, dass du das Gesetz einhältst und sicherstellst, dass alle Mitarbeiterinnen und Mitarbeiter deines Unternehmens auch über das revDSG informiert sind. Im Falle eines Verstosses drohen Bussgelder bis CHF 25

0'000. Die Sanktionen des revDSG richtet sich gegen die natürlichen Personen, welche das Datenschutzgesetz nicht eingehalten haben, z.B. den Geschäftsführer*in oder den Verwaltungsrat [3]. Trotzdem kann neben der verantwortlichen Person, dein Unternehmen unter dem Verstoss leiden: Die Eidgenössische Datenaufsicht kann sich einschalten und Verwaltungsmassnahmen treffen. Neben den Verwaltungsmassnahmen z.B. Löschung der Personendaten wird die Reputation deines Unternehmens ebenfalls in Mitleidenschaft gezogen. [16]

Schulungen und Sensibilisierung

Schule und sensibilisiere deine Mitarbeiterinnen und Mitarbeiter regelmässig zum Thema Datenschutz. Nur so kann gewährleistet werden, dass alle im Unternehmen wissen, wie man personenbezogene Daten sicher und problemlos behandelt.

Newsletter

Bei Newslettern gibt es keine grossen Veränderungen, trotzdem sollten einige Punkte beachtet und überprüft werden. Der wichtigste Punkt ist die Einwilligung der Empfänger*innen. Die Einwilligung sollte freiwillig, informiert, spezifisch und nachweisbar sein. Am besten erstellt man eine Liste mit den Einwilligungen, um im Zweifelsfall diese vorweisen zu können. Die Empfänger*innen müssen klar darüber informiert werden, welche Art von Informationen sie erhalten und wie ihre personenbezogenen Daten verwendet werden.

Für die Einholung der Einwilligung empfiehlt sich am besten ein «double Opt-in +». Dabei müssen die Empfänger*innen nach Angabe ihrer Daten die Anmeldung über eine separat gesendete E-Mail bestätigen. Ein weiterer wichtiger Punkt ist die Transparenz. Du musst klar angeben, wer der Absender ist. Zusätzlich müssen die Empfänger*innen immer informiert werden, wie ihre Daten gespeichert werden und bei allfälligen Änderungen ihre Zustimmung einholen. Gleichzeitig musst du auch immer sicherstellen, dass angemessene technische und organisatorische Massnahmen getroffen sind, um die Sicherheit der Daten zu gewährleisten. Weiter müssen die Empfänger*innen immer die Möglichkeit besitzen, sich jederzeit vom Newlsetter abzumelden. Dies muss sehr einfach mit einem Link im Newsletter möglich sein. Zusätzlich haben die Empfänger*innen immer das Recht auf die Löschung ihrer Daten [1].

Wenn du keine Zustimmung für den Versand von Newslettern hast, darfst du auf keinen Fall solche Mails versenden.

In der Regel werden Newsletter automatisiert versendet. Es kann trotzdem den Fehler geben, dass bei allen die E-Mail-Adressen deiner Kund*innen, ohne ihre Zustimmungen erkennbar sind. Dies gilt es unter allen Umständen zu vermeiden.

In der Kürze liegt die Würze

Das neue Datenschutzgesetz, welches am 1. September 2023 in Kraft tritt, ist notwendig, um den aktuellen Anforderungen an den Datenschutz gerecht zu werden. Personendaten werden künftig besser geschützt. Für Unternehmen lohnt es sich, sich allgemein Gedanken über den Datenschutz zu machen, nur so können die Datenschutzziele implementiert werden.

Als Privatpersonen profitieren wir von mehr Transparenz und Wahlmöglichkeiten. Unternehmen müssen jetzt klar angeben, warum sie unsere Daten benötigen und um unsere Zustimmung bitten, besonders bei heiklen Informationen. Wir haben auch das Recht, auf unsere Daten zuzugreifen, sie zu aktualisieren oder sogar zu löschen, wenn wir das möchten.

Für Unternehmen bedeutet das revDSG mehr Verantwortung im Umgang mit unseren Daten. Sie müssen eine solide Datenschutzstrategie haben und Massnahmen ergreifen, um Datenpannen oder -verluste zu verhindern. Es ist wichtig, dass sie unsere Daten nur für den vorgesehenen Zweck verwenden und sie nicht unnötig sammeln oder speichern.

Was Targeting und Cookies betrifft, hat das revDSG auch hier Auswirkungen. Unternehmen müssen klar kommunizieren, wie sie Cookies und Tracking-Technologien verwenden, und um unsere Zustimmung bitten. Wir sollten die Möglichkeit haben, diese Einwilligung jederzeit zu widerrufen oder Cookies abzulehnen, ohne dass uns der Zugriff auf die Website verweigert wird.

Insgesamt zielt das revDSG darauf ab, unseren Datenschutz zu stärken und das Bewusstsein für unsere Privatsphäre zu schärfen. Es gibt uns mehr Kontrolle über unsere Daten und stellt sicher, dass Unternehmen verantwortungsvoll mit ihnen umgehen [13].

Impressum

Die Autor*innen