Neues Schweizer Datenschutzgesetz: Was Sie für Ihren Onlineshop & Webseite beachten müssen!
von Sebastian Hartmann – 14.03.2023
Am 1. September 2023 tritt das neue Schweizer Datenschutzgesetz (nDSG) in Kraft. Diese Gesetzesrevision bringt regulatorische Änderungen für die Bearbeitung von Personendaten mit sich. Im folgenden Beitrag geben wir einen praxisorientierten Überblick und zeigen konkrete Handlungsempfehlungen auf.
Die gute Nachricht zuerst: Wenn Sie die DSGVO (Datenschutz-Grundverordnung der EU seit Mai 2018) bereits korrekt umgesetzt haben, müssen Sie nicht mehr viel unternehmen. Denn das Schweizer Datenschutzgesetz ist grundsätzlich liberaler als die europäische Verordnung. Erlaubt ist, was nicht verboten ist. Zudem müssen nach Schweizer Recht die Betroffenen (fast) nie explizit um Einwilligung in die Verarbeitung ihrer personenbezogenen Daten gebeten werden.
Brauche ich jetzt einen Cookie-Banner für meine Webseite oder meinen Onlineshop? Das neue Datenschutzgesetz sieht keine Verpflichtung vor Cookie-Banner auf Webseiten oder Onlineshops zu platzieren. Die Schweiz hat die EU-Cookie-Richtlinie nicht übernommen. Wird in der Datenschutzerklärung über die gesetzten Cookies informiert und erklärt, wie diese über den Browser blockiert oder gelöscht werden können, muss keine Einwilligung eingeholt werden. Empfehlung: Podcast «Datenschutz Plaudereien» Episode Cookie-Banner und das neue Datenschutzgesetz. Jetzt anhören. |
Um was geht es beim nDSG?
Das neue Datenschutzgesetz passt die bestehenden Regeln an die aktuelle technologische und gesellschaftliche Realität an, in welcher die Verwendung von Cloud-Diensten, Big Data und Social Media eine grosse Rolle spielt. Im Wesentlichen stärkt das Gesetz die Rechte der Benutzer auf Selbstbestimmung über ihre Daten und verpflichtet die Anbieter, ihre Datenverarbeitung transparent zu kommunizieren. Kurz zusammengefasst stellt das Gesetz folgende Anforderungen:
- Sie müssen angemessene technische und organisatorische Massnahmen ergreifen, um die Datensicherheit zu gewährleisten.
- Die IT-Infrastruktur muss regelmässig optimiert werden, um kriminelle Angriffe zu verhindern.
- Schon bei der Entwicklung oder Anschaffung von technischen Lösungen muss berücksichtigt werden, dass möglichst wenig personenbezogene Daten erhoben werden.
- Wenn besonders sensible Daten erhoben werden (z.B. Gesundheits- oder Finanzdaten), muss der Anbieter eine Datenschutz-Folgenabschätzung durchführen und dokumentieren.
- Im Falle von Datenpannen oder bei einem Risiko, dass personenbezogene Daten gefährdet wären, muss der Anbieter unverzüglich den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) informieren.
Ja, wir wissen, dass die oben genannten Anforderungen recht abstrakt sind. Im weiteren Verlauf des Artikels werden wir konkrete Tipps geben.
Gilt das nDSG auch für mich?
Ja, wenn Sie in der Schweiz eine Webseite oder einen Onlineshop betreiben, sind Sie verpflichtet, das neue Datenschutzgesetz umzusetzen. Es ist wichtig, dies ernst zu nehmen, denn das Gesetz sieht empfindliche Strafen vor. Es drohen nicht direkt hohe Bussgelder, aber schon ein einziges Verfahren kann viel Zeit und Ressourcen in Anspruch nehmen - wer will das schon? Wichtig ist in diesem Zusammenhang auch eine interessante Aussage in der offiziellen Stellungnahme des EDÖB - immerhin die zuständige Behörde:
«Aufgrund seiner beschränkten Ressourcen ist generell davon auszugehen, dass der EDÖB bei der Behandlung von Anzeigen auch nach Inkrafttreten des neuen Gesetzes nach Massgabe des Opportunitätsprinzip Prioritäten setzen wird.»
Man kann also davon ausgehen, dass Verstösse anhand ihrer Schwere priorisiert werden.
Was muss ich konkret tun?
Wir möchten Ihnen folgende Handlungsempfehlungen geben:
Prüfen Sie, welche personenbezogenen Daten Sie erheben, verarbeiten und speichern.
Prüfen Sie, ob Personendaten durch Dritte bearbeitet werden und schliessen Sie gegebenenfalls einen Auftragsverarbeitungsvertrag ab.
Schenken Sie dem Datenexport ins Ausland besondere Aufmerksamkeit.
Aktualisieren Sie Ihre Datenschutzerklärung, um sicherzustellen, dass sie klar und transparent ist.
Praxistipp Der EDÖB bietet Unternehmen und Privatpersonen eine kostenlose telefonische Beratung bei Fragen zum Datenschutz an. Öffnungszeiten: Montag bis Freitag von 10.00 bis 12.00 Uhr. Telefonnummer: 058 462 43 95 |
Prüfen Sie, welche personenbezogenen Daten Sie erheben, verarbeiten und speichern
» umfassend und transparent beantworten können. Dieses Wissen bildet die Grundlage für die gesamte Umsetzung des Datenschutzgesetzes.
Was sind personenbezogene Daten? Personenbezogene Daten sind Informationen, die sich auf eine bestimmte Person beziehen und diese identifizieren oder identifizierbar machen können. Beispiele: Name, Adresse, Telefonnummer, E-Mail-Adresse, Alter, Geschlecht, IP-Adresse, Kreditkartendaten oder Gesundheitsdaten. Was sind besonders schützenswerte Personendaten? Besonders schützenswerte Personendaten sind Informationen, welche die Privatsphäre, die individuelle Freiheit oder die Menschenwürde stark beeinträchtigen können. Beispiele: Gesundheitszustand, ethnische Herkunft, sexuelle Orientierung, finanzielle Situation oder strafrechtliche Verurteilungen. |
Erstellen Sie idealerweise eine Liste aller Funktionen im Shop oder auf der Webseite, die Personendaten verarbeiten (Art. 12 nDSG). Eine solche Liste kann beispielsweise folgende Elemente enthalten.
- Verarbeitungszweck
Beschreibung der betroffenen Personendaten
Empfänger von Datenübermittlungen
Offenlegung von Datenübermittlung ins Ausland
Löschfristen der Daten
Beschreibung von technischen und organisatorischen Schutzmassnahmen
Vorlage: Eine wesentlich umfassendere Vorlage finden Sie hier (Autor: David Rosenthal). Sie können dieses PDF direkt bearbeiten oder die Struktur für Ihr eigenes Personendateninventar verwenden.
Typische Webfunktionen, die Personendaten verarbeiten Kontaktformulare, Newsletter, Check-out im Onlineshop, Terminbuchungstools, Schnittstellen zu Drittsystemen oder Analysetools (Google Analytics). Wo speichert Inware die Daten? Alle Lösungen, die wir für Sie programmieren, werden auf unseren Servern gespeichert. Diese befinden sich in Zürich und werden von dem Unternehmen METANET betrieben. Ein Anbieter, der seit 23 Jahren auf Webhosting und Serversysteme spezialisiert ist. |
Prüfen Sie, ob Personendaten von Drittparteien verarbeitet werden und falls ja, schliessen Sie einen Auftragsverarbeitungsvertrag ab.
Sobald Sie als Betreiber einer Webseite oder eines Onlineshops Personendaten durch Dritte bearbeiten lassen, spricht man von Outsourcing. Ein solches Outsourcing ist aus datenschutzrechtlicher Sicht zulässig - sofern folgende Voraussetzungen erfüllt sind:
- Die Daten werden nur so verarbeitet, wie Sie es als Betreiberin auch tun würden.
- Die Auftragsbearbeitung wird durch keine andere vertragliche Vereinbarung verboten.
- Der Auftragnehmer ist grundsätzlich in der Lage, die Datensicherheit zu gewährleisten.
- Sub-Auftragnehmer dürfen nur mit vorgängiger Genehmigung tätig werden.
Outsourcing ist bereits die Erstellung und das Hosting Ihres Projekts durch uns. Beachten Sie jedoch, dass auch andere Dienste von Google, Newsletter-Anbietern oder Zahlungsanbietern eingebunden werden können. Experten empfehlen, diese Verarbeitung durch einen Auftragsverarbeitungsvertrag (AVV) abzusichern.
Beispiele Dienstleistungen von Dritten
|
Als Betreiber einer Webseite oder eines Onlineshops sind Sie für die Einhaltung dieser Anforderungen verantwortlich. Kommen Sie gerne auf uns zu, damit wir gemeinsam einen Auftragsverarbeitungsvertrag (AVV) ausarbeiten können.
Schenken Sie dem Datenexport ins Ausland besondere Aufmerksamkeit
Wenn Sie die ersten Punkte unserer Handlungsempfehlungen befolgt haben, wissen Sie, welche Drittanbieter Sie nutzen und wo diese Ihre Daten verarbeiten. Besonderes Augenmerk sollten Sie auf die Datenübermittlung in andere Länder legen. Länder mit einem ähnlichen Datenschutzniveau sind in Ordnung. Der EDÖB stellt dafür diese Liste zur Verfügung. Beachten Sie, dass die USA als Land ohne angemessenes Datenschutzniveau gelten und eine Datenübermittlung ohne zusätzliche Vorkehrungen nicht zulässig ist.
Eine umfassende vertragliche Regelung der Bearbeitung Ihrer Personendaten durch US-Firmen ist ratsam, aber praktisch nicht möglich. Unsere Empfehlung: Wählen Sie nur US-Anbieter mit Privacy-Shield-Zertifizierung und EU-Standardvertragsklauseln in den AGB, um ein einheitliches Datenschutzniveau beim Datenaustausch zu gewährleisten.
Was ist EU-US Privacy Shield? Privacy Shield ist ein Abkommen zwischen der EU und den USA über den Datenschutz bei der Datenübermittlung von Europa in die USA. Es gewährleistet ein angemessenes Datenschutzniveau für europäische Bürgerinnen und Bürger. Unternehmen können sich registrieren lassen, wenn sie bestimmte Anforderungen erfüllen, um ein Privacy-Shield-Zertifikat zu erhalten. Achtung: Die europäische Rechtsprechung bewertet dieses Zertifikat derzeit als unzureichend, daher sollte das Unternehmen zusätzlich EU-Standardvertragsklauseln in seinen AGB verwenden. Was sind EU-Standardvertragsklausel? EU-Standardvertragsklauseln sind von der EU-Kommission genehmigte, standardisierte Vertragsklauseln zur Gewährleistung des Datenschutzes bei der Übermittlung personenbezogener Daten aus der EU an Empfänger ausserhalb der EU. Sie dienen als rechtliche Grundlage für die Übermittlung und stellen sicher, dass diese im Einklang mit dem EU-Datenschutzrecht erfolgt. Unternehmen können sie in ihre Verträge mit Dritten aufnehmen, um eine sichere und gesetzeskonforme Übermittlung zu gewährleisten. Die Schweiz übernimmt in der Regel die datenschutzrechtliche Beurteilung der Europäischen Kommission. Empfehlung: Podcast “Datenschutz Plaudereien” Episode Standarddatenschutzklauseln, aber nicht für die Schweiz. Jetzt anhören. |
Aktualisieren Sie Ihre Datenschutzerklärung, um sicherzustellen, dass sie klar und transparent ist.
Sie haben nun umfassende Kenntnisse über Ihre Verarbeitung personenbezogener Daten gesammelt. Dieses Wissen müssen Sie nun in Ihre Datenschutzerklärung einfliessen lassen. Art. 19 nDSG sieht dazu eine explizite Informationspflicht vor. Beachten Sie, dass eine gute Datenschutzerklärung folgende Punkte enthalten sollte:
Art der gesammelten Daten
Zweck der Datensammlung
Empfänger oder Kategorien von Empfängern, denen die Daten bekannt gegeben werden können
Dauer der Datenspeicherung
Rechte der Betroffenen, z.B. Auskunftsrecht, Recht auf Löschung, Widerspruchsrecht
Informationen über den Einsatz von Cookies oder ähnlichen Technologien
Information über die Verwendung von Daten für automatisierte Entscheidungsfindung, einschliesslich Profilerstellung (Profiling)
Kontaktdaten des Verantwortlichen oder eines Datenschutzberaters
Informationen über die Verpflichtung zur Bereitstellung von Daten und mögliche Folgen bei Nichtbereitstellung
Vorlage: Der Autor David Rosenthal bietet auf seiner Webseite «DSAT Datenschutz Self Assessment Tool» nützliche Vorlagen für die Datenschutzerklärung in verschiedenen Sprachen an.
Datenschutz-Generator Mit diesem Generator erstellen Sie mit wenigen Klicks Ihre Datenschutzerklärung. Er berücksichtigt sowohl das schweizerische als auch das europäische Recht. Wir empfehlen Ihnen, das generierte Ergebnis sorgfältig zu prüfen und gegebenenfalls einzelne Abschnitte an die individuellen Bedürfnisse Ihres Unternehmens anzupassen. |
Wenn Sie das Thema vertiefen möchten, können wir Ihnen zum Abschluss folgende weiterführende Literatur empfehlen.
Steiger, M. (2021, 1. Oktober). Neues Datenschutzgesetz: Diese 5 Schritte müssen Webseite-Betreiber:innen umsetzen, um 2022 bereit zu sein. Cyon Blog. Abgerufen am 7. Februar 2023, von https://www.cyon.ch/blog/neues-datenschutzgesetz-schweiz
Webkinder AG. (2023, 31. Januar). Neues Schweizer Datenschutzgesetz 2022: was müssen Webseitenbetreiber und Firmeninhaber wissen? Webkinder Blog. Abgerufen am 9. Februar 2023, von https://www.webkinder.ch/insights/neues-schweizer-datenschutzgesetz-2022-was-muessen-webseitenbetreiber-und-firmeninhaber-wissen/
Gross, H. (2022, 4. März). Neues Datenschutzgesetz: Was müssen Schweizer Unternehmen beachten? AXA Blog. Abgerufen am 9. Februar 2023, von https://www.axa.ch/de/unternehmenskunden/blog/sicherheit-und-recht/recht-und-justiz/neues-datenschutzgesetz.html
Staatssekretariat für Wirtschaft SECO. (2023, 2. Februar). Neues Datenschutzgesetz (revDSG). KMU-Portal des SECO. Abgerufen am 21. Februar 2023, von https://www.kmu.admin.ch/kmu/de/home/fakten-trends/digitalisierung/datenschutz/neues-datenschutzgesetz-rev-dsg.html