Das neue Datenschutz­gesetz (nDSG)

Ab dem 1. September 2023 tritt das neue Datenschutzgesetz (nDSG) in der Schweiz in Kraft. Das Gesetz regelt den Umgang mit personenbezogenen Daten und betroffene Personen sollen darüber informiert werden, welche Daten über sie gesammelt und wie sie verwendet werden. Das Gesetz bezieht sich nicht nur auf übliche personenbezogene Daten wie Name und Adresse, sondern auch auf IP-Adressen. Das nDSG verschärft die Datenschutzbestimmungen in der Schweiz und Verstösse können zu Bussen und Eingriffen seitens des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) führen.

Um die Anforderung des nDSG einzuhalten, prüfen und klären Sie folgende sechs Grundfragen:

• 1. Erstellen eines Dateninventares: Welche Daten über welche Personen werden wofür, wie und wo bearbeitet?
• 2. Klären eines Daten-Exportes: Werden Daten in unsichere Drittstaaten exportiert (z.B. USA)? Wenn ja, wurde der Export mit europäischen Standarddatenschutzklauseln abgesichert?
• 3. Klären von Outsourcing: Werden eigene Daten durch Dritte im Auftrag bearbeitet? Wenn ja, sind Auftragsbearbeitungsverträge vorhanden?
• 4. Erstellen einer Datenschutzerklärung: Veröffentlichung einer aktuellen und vollständigen Datenschutzerklärung (normalerweise auf der Website)
• 5. Klären der Datensicherheit: Sind die technischen und organisatorischen Massnahmen (TOM) zur Datensicherheit bekannt und dokumentiert?
• 6. Auf Anfragen und Datenpannen reagieren

Gerne können wir hier grundsätzliche Unterstützung leisten, insbesondere bei Punkt 1. Sinnvollerweise werden die obenstehenden Punkte jedoch mit den internen Datenschutzverantwortlichen bzw. mit der Rechtsabteilung erarbeitet.

Der Unterschied zwischen der DSGVO und dem nDSG:
In den EU-Ländern gilt die DSGVO, in der Schweiz das DSG, ab dem 1.9.2023 das nDSG. Die beiden unterscheiden sich ganz grundsätzlich:
DSGVO: Grundsätzlich dürfen persönliche Daten nur nach Einwilligung bearbeitet werden (Einwilligungspflicht).
nDSG: Persönliche Daten dürfen grundsätzlich bearbeitet werden, es muss jedoch transparent darüber informiert werden (Informationspflicht).

Konkrete Empfehlungen beziehen sich auf die Erstellung oder Aktualisierung einer Datenschutzerklärung (Unterstützung dazu gibt es z.B. hier: www.datenschutzpartner.ch), den Umgang mit Cookie-Bannern (die in der Schweiz weiterhin nicht obligatorisch sind), und Alternativen zu Google Analytics wie Plausible Analytics, Swetrix und Matomo, die als datenschutzfreundlichere Optionen betrachtet werden.

Sie sehen, das Thema ist nicht ganz selbsterklärend, aber trotzdem wichtig. Gerne können Sie sich an uns wenden, wenn Sie weitere Fragen zur Bearbeitung von personenbezogenen Daten haben. Wir empfehlen Ihnen jedoch, Ihr Datenschutzkonzept in jedem Fall mit Ihrer Rechtsabteilung oder Ihren Anwält:innen zu überprüfen.