Bereit für revDSG?

Deine Website und das neue Schweizer Datenschutzgesetz

Braucht deine Website einen Cookie-Banner? Vielleicht. Für die meisten KMUs reicht eine transparente, gut zugängliche, inhaltlich korrekte Datenschutzerklärung.

DALLE 2023 08 30 17 52 04 A computer from the 90s in the style of vaporwave

Die farbigen Illustrationen in diesem Journaleintrag hat die KI DALL·E nach unseren Anweisungen geliefert – alle im Vaporwave-Stil.

Worum gehts?

Ab 1. September 2023 gilt es. Ohne Übergangsphase und ohne Schonfrist. Das neue Bundesgesetz über den Datenschutz (revDSG), das im September 2020 vom Parlament verabschiedet wurde. Es ist die erste gesetzliche Anpassung des Datenschutzgesetzes in der Schweiz seit 1992 – also seit es das World Wide Web gibt.

DALLE 2023 08 30 17 55 45 the beatles band say help in the style of vaporwave

Hilfe! Sind wir zu spät?

Jaein. Klar ist: Das Gesetz gilt für alle Schweizer Unternehmen, Stiftungen, Vereine und Bundesbehörden ab 1. September 2023. Trotzdem sind wir – und viele Fachleute – der Meinung, dass der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) sich nicht gleich auf die kleinen Fische stürzen, bzw. mit Kanonen auf Spatzen schiessen wird. Es ist also noch Zeit, dein Unternehmen und insbesondere deine Website in Sachen Datenschutz auf den neusten Stand zu bringen.

revDSG? – Das Wichtigste in Kürze

«Schluss mit dem Schnüffelstaat». Die Fichenaffäre von 1989 hat in Sachen Datenschutz einiges in Bewegung gesetzt. Das erste Datenschutzgesetz der Schweiz von 1992 sollte die Rechte der Schweizer Bevölkerung und den Schutz ihrer Daten (auch vor dem Staat!) stärken. – Bild: SRF

Warum ein neues Gesetz?

Internet, Smartphones, Online-Shopping oder Soziale Netzwerke – das alles gab es 1992 noch nicht. Der Datenschutz in diesen Gefilden war in vielen Fällen nicht oder unzureichend geregelt. Die EU hat bereits 2018 ein neues Datenschutzgesetz verabschiedet, das auch für viele international tätige Schweizer Unternehmen seither gilt. Nun zieht die Schweiz nach.

Ziel 1 – Zeitgemäss

Der Bevölkerung einen an die technologischen und gesellschaftlichen Veränderungen angepassten Datenschutz garantieren.

Ziel 2 – Kompatibel

Die Kompatibilität mit EU-Recht gewährleisten, damit der freie Datenverkehr mit der Europäischen Union erhalten bleibt.

DALLE 2023 08 30 18 41 07 cool people in the style of vaporwave

Was ändert sich?

Die wichtigsten Änderungen im neuen Schweizer Datenschutzgesetz betreffen folgende Punkte:

Nur noch die Daten natürlicher Personen sind betroffen, die von juristischen Personen nicht mehr.
Genetische und biometrische Daten werden in die Definition der besonders schützenswerten Daten aufgenommen.
Für Unternehmen mit mehr als 250 Mitarbeitenden oder mit besonders schützenswerten Daten (Arztpraxis, Anwaltskanzlei, etc.) gelten strengere Vorschriften. (z.B. Verzeichnis der Bearbeitungstätigkeiten, Datenschutz-Folgenabschätzung)
Die Grundsätze «Privacy by Design» (Datenschutz durch Technikgestaltung, Datenvermeidung) und «Privacy by Default» (Datenschutz durch Voreinstellung, Datensparsamkeit) werden eingeführt. Heisst: sämtliche Software, Hardware sowie die Dienstleistungen müssen so konfiguriert sein, dass die Daten geschützt sind und die Privatsphäre der Nutzer*innen gewahrt wird.
Die Informationspflicht wird ausgeweitet: Bei jeder Beschaffung von Personendaten – und nicht mehr nur von sogenannten besonders schützenswerten Daten – muss die betroffene Person vorgängig informiert werden (z.B. mittels Datenschutzerklärung).
Die Meldepflicht, wenn die Datensicherheit verletzt wurde. Meldungen sind zeitnah an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) zu richten.
Der Begriff Profiling (die automatisierte Bearbeitung personenbezogener Daten) wurde in das Gesetz aufgenommen. Profiling mit hohem Risiko ist in gewissen Fällen unzulässig und bedarf einer Datenschutz-Folgenabschätzung, allenfalls in Rücksprache mit dem EDÖB.
Bei vorsätzlicher Verletzung von Informations-, Auskunfts- und Mitwirkungspflichten durch verantwortliche Personen, können persönliche Bussen von bis zu CHF 250'000 ausgesprochen werden. Der EDÖB erstattet in diesen Fällen Anzeige bei der zuständigen Strafverfolgungsbehörde.

Unterschiede CH und EU in Bezug auf Datenverarbeitung

Übernimmt das neue Schweizer Datenschutzgesetz nun einfach die DSGVO der Europäischen Union? Nicht ganz. Es gibt einen wesentlichen Unterschied und vieles das ähnlich gehandhabt wird. In Bezug auf die Datenverarbeitung auf Websites gilt folgendes:

DALLE 2023 08 30 18 07 03 european and swiss flag in the style of vaporwave

revDSG CH

Grundsätzliche Zulässigkeit
– mit Verbotsvorbehalt

Rechtmässigkeit und Verhältnismässigkeit
Transparenz
Zweckbindung
Privacy by Design (Datenvermeidung)
Privacy by Default (Datensparsamkeit)
Speicherbegrenzung: Löschung / Anonymisierung
Datenrichtigkeit
Integrität und Vertraulichkeit

DSGVO EU

Grundsätzliches Verbot
– mit Erlaubnisvorbehalt

Rechtmässigkeit und Verhältnismässigkeit
Transparenz
Zweckbindung
Datenvermeidung und Datensparsamkeit
Bearbeitung nach Treu und Glauben
Speicherbegrenzung
Rechenschaftspflicht
Integrität und Vertraulichkeit

Fazit – Was heisst das für deine Website?

Braucht deine Website nun einen Cookie-Banner oder gar ein Consent-Management-Plugin? Das hängt von deinem Unternehmen ab.

Mit einer transparenten, gut zugänglichen, inhaltlich korrekten Datenschutzerklärung bist du als Schweizer KMU bereits gut gerüstet. Darin muss unter anderem festgehalten sein, welche Daten, wo, wofür und wie lange gespeichert werden. Willst du bei deinen User*innen eine ausdrückliche Einwilligung für das Speichern von Cookies einholen, kannst du das mit einem entsprechenden Banner tun, musst du aber nicht.

Wenn du im EU-Raum tätig bist und deine Website bereits für die DSGVO der Europäischen Union von 2018 fit gemacht hast, sollte ein Cookie-Banner oder Consent-Management-Plugin inkl. Datenschutzerklärung implementiert sein. Damit bist du auch revDSG-technisch auf der sicheren Seite.

Wenn du besonders schützenswerte Personendaten bearbeitest, einen Webshop betreibst oder mehr als 250 Mitarbeitende beschäftigst, raten wir dir, den Datenschutz auf deiner Website und überhaupt im ganzen Unternehmen mit einer Fachperson juristisch zu klären.

DALLE 2023 08 30 19 29 18 cookie banner in the style of vaporwave

Unser Angebot

* Folgende Packages und Preise gelten für Craft CMS Websites. Andere Technologien unterstützen wir mit individuellen Lösungen und nach Aufwand.

Cookie-Banner CH*

Einfacher Cookie-Banner Plugin (gratis)
Grafische/technische Implementierung auf Website
Text Datenschutzerklärung von Kund*in geliefert
Pauschal CHF 450

Cookie-BannerPlus CH*

Einfacher Cookie-Banner Plugin (gratis)
Grafische/technische Implementierung auf Website
Personalisierter Standardtext Datenschutzerklärung, inkl. Passage Newsletter und Google Analytics (ohne rechtl. Gewähr)
Pauschal CHF 900

Cookie-Banner EU*

Vollständig konfigurierbarer Cookie Consent Plugin von Craft CMS
Grafische/technische Implementierung auf Website
Einführung/Schulung Tool, Konfiguration
Kund*in für Text und Konfiguration verantwortlich
Pauschal CHF 1000
(+ Kosten Plugin: Initial CHF 39, anschl. CHF 10/Jahr für Updates)

Interessiert? Lass uns über deine Website und über Cookies reden.

Nicolas Haeberli
Inhaber, Geschäftsleitung, Creative Director
[email protected]
+41 43 333 12 52

Quellen und weiterführende Links:

https://www.kmu.admin.ch/kmu/d...
https://www.edoeb.admin.ch/edo...
https://www.netzwoche.ch/news/...
Lorenz P. Zwahlen, BPA Treuhand AG

Disclaimer:
Wir haben uns als Anbieter von Weblösungen und selbst Betroffene in die Materie vertieft und ein paar Erkenntnisse gewonnen, die wir gerne mit euch teilen. Dies ist aber in keinster Weise eine Rechtsberatung by Büro Haeberli. Alle Infos sind ohne Gewähr. Bei Unsicherheiten zum Datenschutz empfehlen wir euch, eine ausgewiesene juristische Fachperson beizuziehen.