Skip to main content

Sind Sie «compliant» mit dem neuen Schweizer Datenschutzgesetz (revDSG)?

Beim per 1. September 2023 in Kraft getretenen revDSG geht es um weit mehr als um Datenschutzerklärungen und Cookie-Banners. Sind Ihr Internetauftritt und eben auch Ihre ICT «compliant»? Wir unterstützen Sie dabei!

Höchste Zeit für (mehr) Datenschutz in der Schweiz

Das neue Gesetz bringt die in der Schweiz (bisheriger Datenschutzstatus: «Bananenrepublik») längst fälligen und aus internationaler Sicht sogar dringend nötigen Verbesserungen im Datenschutz - zugunsten von uns allen! Im Gegensatz zur Europäischen DSGVO basiert das Schweizer Gesetz weniger auf abstrakter juristischer Theorie und «Generalverdacht», sondern auf dem hierzulande verankerten Grundlage, dass unsere BürgerInnen mündig und grundsätzlich fähig sind, eigenverantwortlich zu handeln. Entsprechend ist das neue Datenschutzgesetz kein rein bürokratischer «Papiertiger», sondern setzt Nutzen und Umsetzungsaufwand in ein vernünftiges Verhältnis. Doch sollten Sie die neu geltenden Bestimmungen deswegen keineswegs auf die leichte Schulter nehmen.

Personen in leitender Funktion sind neu persönlich verantwortlich

Ob Sie als Privatperson einen Blog führen oder ob Sie in leitender Funktion für ein privates Unternehmen oder auch für einen Verein tätig sind - Sie sollten sich unbedingt vertiefter mit dem neuen Datenschutzrecht auseinandersetzen. Denn neu werden in erster Linie die verantwortlichen natürlichen Personen für (eventual-)vorsätzliche Versäumnisse bestraft und nicht die Firma. Dabei drohen immerhin Höchststrafen von bis zu 250’000 Franken! Und da es um Strafrecht geht, nehmen Sie auch mit einer noch so teuren ICT-Versicherung nicht einfach aus der Verantwortung.

Zwar muss Ihnen ein vorsätzlicher Verstoss nachgewiesen werden, jedoch zählt dabei u. U. bereits der sogenannte «Eventualvorsatz» (wenn Sie ein Vergehen wissentlich in Kauf genommen haben). Da auch hier Rechtsunkenntnis nicht vor Strafe schützt, sind Sie sind also absolut in der Pflicht, für die Umsetzung der neuen Bestimmungen zu sorgen und Ihre Mitarbeitenden entsprechend in Kenntnis zu setzen bzw. zu schulen. Nicht direkt betroffen vom revDSG sind übrigens öffentliche Verwaltungen und öffentliche Schulen, für die nach wie vor das kantonale Datenschutzgesetz gilt.

Datenschutz fängt immer bei der Datensicherheit an

Ganz wichtig: Das neue Datenschutzgesetz tangiert nicht nur Ihren Internetauftritt sondern Ihre gesamte Unternehmung bzw. Ihre ICT: Es geht um den Schutz sämtlicher persönlicher Daten, die Ihnen überlassenen oder von Ihnen erhobenen wurden (darunter fällt übrigens auch ein Papier-Archiv im Keller).

Wie gut Sie Ihren neuen Verpflichtungen beim Datenschutz überhaupt nachkommen können, hängt massgeblich von der Art und Weise ab, wie Sie bei sich für (digitale) Datensicherheit sorgen: Wie stellen Sie sicher, dass die von Ihnen gespeicherten (Kunden- / Mitarbeiter-)Daten vertraulich, integer und verfügbar sind und bleiben? Hier ist nicht nur eine professionell aufgebaute und gewartete ICT-Umgebung mit klar definierten Berechtigungsstrukturen wichtig, sondern auch Ihr Risiko-Bewusstsein sowie die «Awareness» der User zentral. Datenchaos und ICT-Umgebungen der Marke «Hobby-Gebastel» werden ab dem 1. September also noch riskanter. Denn Verstösse gegen das Datenschutzgesetz sind definitiv keine «Kavaliersdelikte» mehr!

Was muss ich nun konkret unternehmen?

Mit der Inkraftsetzung des neuen Datenschutzgesetzes per 1. September 2023 (es gelten keine Übergangsfristen) müssen Sie als Person, die Ihnen oder Ihrer Firma überlassene bzw. von Ihnen oder Ihrer Firma erhobene Personendaten verarbeitet, verschiedene Anforderungen erfüllen. Hier ein Auszug der wichtigsten Massnahmen, die Sie als Verantwortliche(r) gemäss revDSG zu treffen haben:

  1. Transparenz mit Datenschutzinformationen / Datenschutzerklärung: Sie müssen als Unternehmung, aber auch als Privatperson oder als Verein auf Ihrem Internetauftritt in einer Datenschutzerklärung (z. B. wie unsere) darüber informieren, welche Daten Sie wozu sammeln und wie sie damit umgehen. Darin muss mindestens enthalten sein:

    1. Welche Daten sie erheben (Umfang)
    2. Wozu die Daten bearbeitet werden (Zweck)
    3. Empfänger von Personendaten (z. B. ext. Dienstleister)
    4. Sofern Daten ins Ausland gelangen, die Zielstaaten
    5. Die Identität / Kontaktdaten der verantwortlichen Person in Ihrem Unternehmen / Verein
  1. Beachten Sie, dass im Prinzip eine allgemeine oder dann eine externe Datenschutzerklärung (die den Umgang mit den Kundendaten beschreibt) sowie eine interne Datenschutzerklärung (für den Umgang mit Mitarbeiterdaten) nötigt ist. Grundsätzlich lässt sich dies in einer «allgemeinen Datenschutzerklärung» zusammenfassen, also eine, die auch über den Umgang mit Personendaten z. B. in Bezug auf den Einsatz von Überwachungskameras oder das Handling von Bewerbungsunterlagen in Ihrem Unternehmen Auskunft gibt.

    Copy / Paste? Bitte Vorsicht: Kopieren Sie dazu nicht einfach irgendwas juristisch Beeindruckendes aus dem Web. Nicht nur verstossen sie damit in den meisten Fällen gegen das Urheberrecht, Sie riskieren auch, dass die geklauten Bestimmungen nicht mit Ihren tatsächlichen Gegebenheiten übereinstimmen (was deren Gültigkeit minimiert bzw. sogar obsolet macht). Wir helfen Ihnen gerne dabei, Ihre revDSG-konforme Datenschutzerklärung zu generieren und einzubinden.

  2. Sie benötigen ein Auftragsverarbeitungsvertrag (AVV) (die Bezeichnung Auftragsdatenverarbeitungsvertrag (ADV) gilt als überholt), min. mit Ihren ICT- und Hosting-Partnern sowie Ihren (Cloud-)Service- / Software-Anbietern.

  3. Je nach Grösser Ihrer Unternehmung (konkret ab 250 Personen) ODER Art der gespeicherten Daten (sensitive Daten), sind Sie neu auch dazu verpflichtet, ein Datenbearbeitungsverzeichnis nach Art. 12 DSG zu führen.

    Darin müssen Sie mindestens festhalten
    • welcher Art die Daten sind
    • wozu sie erhoben werden
    • wo sie gespeichert werden
    • wer darauf Zugriff hat
    • wie lange sie gespeichert bleiben
    • wohin sie ggf. ins Ausland weitergegeben werden und
    • welche Massnahmen ergriffen wurden, um die Datensicherheit zu gewährleisten

      Welches sind sensitive Daten: Daten zur Gesundheit (v. a. medizinische / psychologische Befunde, die Zuweisung von speziellen, gesundheitsbedingten Leistungen z. B. an Schulen, der Bezug von Sozialleistungen), politische oder religiöse Ansichten, Information zur Intimsphäre (u. U. Gender-Wechsel-Thematik) oder zur Strafverfolgung (existierende Vorstrafen z. B. bei Bewerbungsunterlagen) und neu auch genetische oder biometrische Daten.
  4. Good News! Sie benötigen nur noch ein Cookie-Banner, wenn Sie Dienstleistungen und Produkte in der EU anbieten. Als Schweizer Unternehmen, das nur in der Schweiz tätig ist, gilt für Sie Schweizer Recht und somit ist grundsätzlich auch KEIN Cookie-Banner nötig! Bestimmungen zu Elementen wie Cookie-Banner sind in der Schweiz ohnehin nicht im Datenschutz- sondern im Fernmeldegesetz geregelt (das diesbezüglich nicht angepasst wurde). Gemäss schweizerischem Recht ist grundsätzlich keine Einwilligung (Opt-In) erforderlich. Falls Sie Ihre Waren und Dienstleistungen im EU-Raum anbieten, unterliegt Ihrer Tätigkeit dem DSGVO und Sie sollten einen Cookie-Banner aufschalten.

  5. Auskunfts- / Änderungs- / Löschungspflicht: Sie müssen sicherstellen, dass die Betroffenen auch zu ihrem Recht kommen (innert 30 Tagen). Stellen Sie vorgängig unbedingt eine eindeutige Identifikation der / des Anfragenden sicher und schulen Sie Ihre Mitarbeitenden entsprechend (keine Auskünfte per Telefon oder auf Mailanfragen!).

  6. «Privacy by Default» (Datenschutz als Standard): Stellen Sie sicher, dass Sie den Umfang der «Datensammlung» in Ihren Systemen auf das für die Ausführung Ihres Jobs nötige Minimum begrenzen. Legen Sie also keine unbegründete «Datensammelwut auf Vorrat» zu Tage.

  7. «Need to know» (nur, was wir unbedingt wissen müssen): Sammeln Sie nur Daten, die Sie für die Ausführung Ihrer Geschäftstätigkeit auch wirklich benötigen. Stellen Sie sicher, dass Ihre Nutzer nur Zugang zu Daten haben, die sie für die Erledigung ihrer Aufgabe auch wirklich benötigen. Üben Sie sich grundsätzlich in «Datensparsamkeit»!

  8. Kleines Berufsgeheimnis: Was bisher vor allem für Ärzte, Juristen oder Priester galt, gilt nun strafrechtlich verfolgbar für alle: Uns anvertraute Personendaten sind geheim zu halten (also kein «Ausplaudern von geschäftlichen persönlichen Informationen am Stamm- oder Familientisch»)!

  9. Meldepflicht: Wurde offensichtlich die Vertraulichkeit, Integrität oder Verfügbarkeit von ihnen zur Nutzung übergebenen Daten verletzt (bzw. sie müssen dies z. B. nach einem Angriff annehmen) und es entstehen daraus negative Folgen für die Betroffenen, sind Sie verpflichtet, dies umgehend dem EDÖB zu melden.

Benötigen Sie weitere / spezifischere Infos?

Wir unterstützen Sie gerne z. B.

  • bei der Erstellung Ihrer gesetzteskonformen (und sich aktualisierenden) Datenschutzerklärung, die auch wirklich die von Ihnen auf Ihrer Website angebotenen Services abdeckt.

  • bei der Analyse Ihrer Ausgangslage bezüglich Datensicherheit (welche Daten sind zu schützen, wovor und wie sind sie zu schützen nach «C. I. A. Triade»?)

  • dem Finden und Schliessen von Sicherheitslücken, die mit Inkrafttreten des neuen Datenschutzgesetzes negative Auswirkungen auf Ihren Betriebe haben könnten.

  • bei der Erhöhung der «Awareness» Ihrer Mitarbeitenden in Bezug auf Datensicherheit und Datenschutz

Beachten Sie bitte:

  • Die Verantwortung für die Einhaltung des Datenschutzgesetzes obliegt grundsätzlich Ihnen selber (nicht etwa Ihrem Webdesigner oder ICT-Partner, der selbstverständlich aber wiederum für seine Tätigkeit verantwortlich ist).

  • Wir haben uns intensiv mit dem neuen Datenschutzgesetz auseinandergesetzt, sind jedoch keine Juristen bzw. gar Datenschutzexperten. Unsere Beratungstätigkeit beruht auf dem aktuellen Wissensstand und erfolgt selbstverständlich nach bestem Wissen und Gewissen. Jedoch können wir keine allgemeine Garantie abgeben, dass unsere Informationen juristisch absolut korrekt und in jedem Fall «wasserdicht» sind. Wenn Sie denken, dass unsere Information für Sie nicht ausreichen könnten, bzw. Sie auf ein juristisch professionelles Niveau angewiesen sind, kontaktieren Sie bitte eine entsprechend spezialisierte Anwaltskanzlei für die rechtlichen Belange, wir unterstützen Sie selbstverständlich gerne bei der technischen Umsetzung.

Kontakt

inbox@innosolutions.ch

041 449 03 87
076 690 0 815

Montag bis Freitag
09:00 - 12:00 Uhr
13:30 - 17:00 Uhr
+ nach Vereinbarung 

2. OG
Zielacherstrasse 25
6274 Eschenbach LU

vCard

Wir unterstützen Sie mit Rat & Tat!

Gerne helfen wir Ihnen dabei, ihre Konformität mit dem neuen Datenschutzgesetz zu erlangen bzw. zu verbessern.  

Stellen Sie jetzt Ihre Konformität sicher!

fragen Sie uns

Schreiben Sie uns