Das neue Datenschutzgesetz Schweiz nDSG 2023 – was gilt es zu beachten?

Mann am Computer informiert sich über das Datenschutzgesetz 2023 nDSG

Das neue Schweizer Datenschutzgesetz gilt ab dem 1. September 2023. Was gilt es dazu zu beachten? INTERNETGRAFIK beschäftigt sich seit langem mit Datenschutz im Internet und erklärt Ihnen, worauf Sie als Website-Besitzer eines Kleinunternehmens KMU ab dem 1. September achten müssen:

Für wen gilt das neue Datenschutzgesetz der Schweiz – und für wen nicht?

Das neue Schweizer Datenschutzgesetzt 2023 gilt für alle Unternehmen ob klein oder gross, aber nicht für Privatpersonen ohne kommerzielle Absichten. Bei Firmen wird unterschieden zwischen Firmen mit über 250 Mitarbeitern, die personenbezogene Daten auswerten, und allen kleineren Firmen. Ich spreche hier über die kleineren Firmen, mit weniger als 250 Mitarbeitern und keiner systematischen Auswertung von Personendaten:

Grundlegend gilt, wenn Ihre Website für die Datenschutzgrundverordnung DSGVO EU 2018 optimiert wurde, dann entspricht sie auch weitgehend bereits dem neuen Schweizer Datenschutzgesetz 2023. Das heisst konkret:

Datenschutzerklärung für Ihre Website erstellen

Sie benötigen eine eigens für Ihre Website zusammengestellte Datenschutzerklärung, die von jeder Seite her anklickbar ist. Gerne analysiere ich Ihre Website und erstelle einen Entwurf für Ihre massgeschneiderte Datenschutzerklärung. Um eine Garantie zu erhalten, sehen Sie diese Datenschutzerklärung noch mit Ihrem Rechtsberater durch.

Impressum – Anschrift auf jeder Seite des Webauftritts

Anschrift und Adresse Ihrer Firma, auch Impressum genannt, ist Pflicht auf jeder Website die nicht rein privater Natur ist. Am besten platzieren Sie die Anschrift unten auf jeder Seite. Alternativ reicht auch ein Link zu den Kontaktdaten, der aber auf jeder Seite erscheinen muss. Kontaktieren Sie mich, wenn das noch auf Ihrer Website fehlt.

Cookie Information einblenden

Zudem, falls Ihre Website Cookies verwendet, sollten Sie die Besucher darauf hinweisen. Cookie-Warnungen sind in der Schweiz nur für Schweizer Besucher zwar nicht ausdrücklich Pflicht, aber wenn Ihr Angebot auch von Besuchern aus dem EU-Ausland genutzt werden kann, dann schon. Zudem ist es nichts als transparent und höflich, dass man einen Besucher darauf hinweist, dass man auf seinen Computer zugreift und darauf Daten (Cookies) abspeichert. Wenn immer machbar, sollte man auf den Einsatz von Cookies verzichten.

Liste erstellen „wo speichern wir Personendaten?“

Firmen mit über 250 Mitarbeitern müssen eine Liste erstellen, wo sie überall Personendaten speichern. Das ist für kleine Firmen mit weniger als 250 Mitarbeitern keine Pflicht, aber trotzdem eine gute Idee. So sieht man, wo Daten gespeichert und abgelegt werden, und wo man sie in einem Löschungsbegehren finden wird. Versuchen Sie Personendaten an möglichst wenigen verschiedenen Orten zu speichern. Weniger ist hier mehr.

Personendaten sicher aufbewahren – vor allem Gesundheitsdaten

Sie sind verpflichtet Daten von Personen sicher aufzubewahren. Das heisst, sie dürfen Adresskarteien nicht offen auf dem Schreibtisch liegen lassen. Computer und Smartphones mit Daten Ihrer Kunden darauf müssen durch ein sicheres Passwort geschützt werden. Emails müssen verschlüsselt vom Server übertragen werden (SSL Verschlüsselung).

Vor allem Gesundheitsdaten will das Schweizer Datenschutzgesetz besonders schützen. Hier müssen Sie die Angelegenheit wirklich ernst nehmen und alles mögliche Unternehmen, dass Daten aus Ihrem Computer oder von Ausdrucken niemals in falsche Hände gelangen können. Emails mit Ihren Patienten müssen geschützt werden und dürfen auf jeden Fall vom Patienten zur Löschung beantragt werden. Die gleichen Hochsicherheitsvorschriften gelten zu Personendaten über Religiöse Zugehörigkeit, Rasse und Ethnie und Sexuelle Orientierung. Diese dürfen nie aus Ihrem Computer oder aus Ihrem Archiv in fremde Hände gelangen können.

Löschungsbegehren – Pflichten und Vorgehen

Jede Person hat nun das Recht, dass Sie durch ein „Löschungsbegehren“ alle Daten innerhalb 30 Tagen löschen, die Sie über sie gespeichert haben. Das heisst Sie müssen alle Emails mit dieser Person löschen und den Eintrag in Ihren Computer-Kontakten. Das betrifft natürlich auch Papierausdrucke, auch Sicherungen, aus denen Sie diese Person entfernen müssen und natürlich wenn Sie die Kontakte auf Ihr Smartphone oder andere Geräte übertragen haben. Es muss überall gelöscht werden.

Ausnahmen Löschungsbegehren – welche Daten nicht gelöscht werden dürfen

Nur dort nicht, wo das Steuerrecht greift, also eine Aufbewahrungspflicht besteht. Rechnungen an diese Person zum Beispiel dürfen Sie nicht löschen, sondern müssen sie trotz Löschungsbegehren 10 Jahre für die Steuerbehörde aufbewahren.

Wie muss sich eine Person für das Löschungsbegehren ausweisen?

Die Person muss sich für das Löschungsbegehren nicht ausweisen, sie haben kein Recht eine Identitätskarte zu verlangen, sondern es kann idealerweise per Email über die Emailadresse geschehen, mit der Sie mit der Person Kontakt hatten. Um sicher zu gehen, sollten sie auf die Emailadresse zurückschreiben und sie so verifizieren. Der Email-Absender ist leicht zu fälschen, das Erhalten über eine Emailadresse aber nicht.

Strafen sind sehr hoch – bis 250’000 Franken Busse

Die Strafen für Zuwiderhandlungen gegen das Schweizer Datenschutzgesetz 2023 sind enorm hoch und gehen neu nun bis 250’000 Franken Busse. Das wird wohl für Kleinunternehmen nicht die Normstrafe sein und sich eher gegen Grossfirmen richten, die grobe Verstösse gegen das Datenschutzgesetz begehen oder sich dem Gesetz ganz verweigern möchten. Trotzdem empfehle ich Ihnen, die Angelegenheit ernst zu nehmen.

Spezialfall Google Analytics

Die Lage bei Google Analytics ist zur Zeit noch etwas unübersichtlich. Denn die Schweiz bezeichnet die USA immer noch als „unsicheres Drittland“ was den Datenschutz betrifft. Demzufolge darf eigentlich keine ungefragte Weitergabe von Personendaten an die USA erfolgen. Der Grossteil der Google-Server und -Center steht aber in den USA. Somit ist eigentlich der ungefragte Einsatz von Google Analytics in der Schweiz untersagt, man braucht die aktive Genehmigung des Website-Besuchers, dass man Google Analytics einsetzen dürfte. Es darf dem Besucher kein Nachteil durch die Ablehnung entstehen, man darf ihn auch nicht belohnen mit der Annahme von Google Analytics. Zudem müssen die Voreinstellungen so sein, dass Google Analytics automatisch abgeleht wird, und man Google Analytics aktiv annehmen müsste (Opt-In Verfahren, ausdrückliche Zustimmung). Der Trick mit dem grossen farbigen Button für „Annehmen“ und dem farblosen kleinen Button für „Ablehnen“ ist also bereits nicht erlaubt, obwohl ihn viele Websites (noch) einsetzen.

Google stellt sich auf den Standpunkt, dass alle Personendaten anonymisiert würden, die Schweiz konterte, dass die Personendaten zuerst an Google übertragen und erst dann anonymisiert werden. Zudem dürfen einige US-Regierungsorganisationen auf die Personendaten, auch sensible Personendaten wie Gesundheitsdaten etc. zugreifen, was die Schweiz nicht erlaubt. Bis die Schweiz und die USA sich hier irgendwie einigen, bleibt die Lage etwas unklar. Ich rate daher zur Zeit vom Einsatz von Google Analytics ab.

Alternativen für Google Analytics – Open Web Analytics und Matomo

Als Alternative zu Google Analytics empfehle ich „Open Web Analytics“, das lokal auf Ihrem Server installiert wird, und ganz ähnlich aussieht wie Google Analytics. Es übermittelt keine Daten irgendwohin und ist Open-Source, somit kostenlos und der Code frei ersichtlich. Als zweite Alternative bleibt noch „Matomo“ zu erwähnen, das sehr verbreitet ist. Matomo ist ebenfalls Open-Source und kann kostenlos auf dem Serverplatz installiert werden.

Spezialfall Google Search Console – vormals Google Webmastertools

Die „Google Search Console“, früher als „Google Webmastertools“ bezeichnet, hingegen darf weiterhin in der Schweiz unter dem neuen Datenschutzgesetz Schweiz 2023 eingesetzt werden. Die Personendaten werden hier nicht auf der Website des Betreibers erhoben, sondern von Google über ihre Suchmaschine gesammelt. Die in der Google Search Console präsentierten Daten und Statistiken sind damit bloss für die entsprechende Domain zusammengefasste Google-Statistiken. Für den Datenschutz ist somit Google zuständig und nicht der Websitebetreiber, Google Search Console kann also weiter eingesetzt werden.

Bei Fragen kontaktieren Sie INTERNETGRAFIK einfach. Zu Datenschutzfragen am besten per Email.

Disclaimer: Dieser Artikel dient nur der grundsätzlichen Information zum Zeitpunkt des Verfassens und enthält keine Gewährleistung oder Garantie. Für verbindliche Aussagen zu Datenschutz, der DSGVO und dem neuen Datenschutzgesetz der Schweiz nDSG kontaktieren Sie bitte immer Ihren Rechtsberater.

Nach oben scrollen