Schweizer
Datenschutzgesetz
ab 1. September 2023

Am 1. September 2023 tritt das neue Datenschutzgesetz (DSG) und die neue Datenschutzverordnung (DSV) der Schweiz in Kraft.

Fünf Jahre nach der DSGVO kommt in der Schweiz ein ähnlich strenger Ansatz zum Schutz von Privatpersonen im Internet. Es betrifft grundsätzlich jede/n der/die Personendaten verarbeitet.

Als Ihre Webagentur helfen wir Ihnen, Ihre Webseite oder Ihren Webshop DSG konform zu machen.

Das Wichtigste in Kürze

Wer, Wie, Wo, Was?

Wir unterscheiden zwischen juristischen / organisatorischen und technischen Massnahmen. Wir unterstützen Sie sehr gerne bei der Umsetzung der technischen Massnahmen. Für die Juristischen Massnahmen suchen Sie am besten Unterstützung durch einen Datenschutz-Anwalt.

Juristischen / Organisatorischen Massnahmen

Darunter verstehen wir die grundsätzliche Durchleuchtung und Optimierung Ihrer digitalen Datenverarbeitung. Wo speichern/verarbeiten Sie welche Daten? z.B. im E-Mail System, ERP, CRM, Notiz-App, Newsletter-Tool, Cloud-Speicher, Buchhaltungs-, Lohnbuchhaltungs-Tool, etc. Brauchen Sie diese Tools noch? Sind die Daten gut geschützt? Gibt es datenschutzfreundliche Alternativen? Muss ein Auftragsverarbeitungsvertrag(AVV) vereinbart werden? Werden die Daten im Ausland gespeichert/verarbeitet? Sind all diese Informationen im Datenschutz-Hinweis? Sind Sie in der Lage, auf Anfrage alle Personendaten eines Antragstellers auszuhändigen oder auf Wunsch zu löschen?

Technische Massnahmen

Dies betrifft alle durch den Aufruf der Webseite/Webshops ausgelösten Datenverarbeitungen. Sprich z.B. wenn Sie Drittanbieter-Tools wie Google Analytics, Google Maps, Google Fonts, Youtube, Vimeo, Recaptcha, Buchungssysteme, etc. oder aber auch versteckte Datenübertragungen, wie z.B. den Versand von Kontaktanfragen an ein CRM o.ä.
Auch hier stellen sich ähnliche Fragen: Notwendigkeit? Sicherere Alternativen? Speicherung im Ausland? Daraus resultiert die Frage, ist eine Einwilligung des Endkunden (Cookie-Meldung) und/oder ein AVV notwendig? Hier unterstützen wir Sie gerne mit unserer technischen Datenschutz-Überprüfung.

Wer ist betroffen?

Grundsätzlich gilt das neu Recht für jede Person (Egal ob Privat, Verein oder Unternehmen) die Personendaten bearbeitet. Einzige Ausnahme ist die Bearbeitung der Daten aussschliesslich «zu persönlichem Gebrauch», worunter aber z.B. eine öffentliche Webseite im Normalfall nicht fällt. Also auch wenn Sie eine nicht kommerzielle Webseite betreiben, sollten Sie sich an das neue Recht halten.

Was sind «Personendaten» und was bedeutet «bearbeiten»?

Personendaten sind alle Daten, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen. z.B. Namen, E-Mail Adressen, Telefonnummern, AHV-Nummern, aber auch technische Erkennungsmerkmale wie die IP-Adresse.

Unter «bearbeiten» versteht sich mehr oder weniger jede vorstellbare Tätigkeit in Bezug auf Daten, wie z.B. Beschaffen, Speichern, Aufbewahren, Verwenden, Verändern, Bekanntgeben, Archivieren, Löschen oder Vernichten.

Datenschutz-Überprüfung anfordern

Was muss gemacht werden?

Unsere Zusammenfassung der wichtigsten Themen

Das Datenschutzrecht definiert eine Reihe von Pflichten die den Umgang mit Personendaten definiert, sprich auch ausserhalb Ihrer Webseite / Webshops.

Grundsatz der Datenbearbeitung

Daten dürfen nur zu dem Zweck bearbeitet werden, für welchen sie erhoben wurden, und der Zweck für die betroffene Person auch erkennbar ist (Zweckbindung) oder z.B. Datenbearbeitung in unmittelbarem Zusammenhang mit einem Vertrag.

Löschen von Personendaten

Personendaten müssen gelöscht oder anonymisiert werden, sobald sie für den Zweck der Bearbeitung nicht mehr erforderlich sind.

Inventar der Bearbeitungen

Firmen mit mindestens 250 Mitarbeitenden müssen ein Inventar sämtlicher Bearbeitungen führen. Firmen mit weniger als 250 Mitarbeitenden sind grundsätzlich davon befreit, ausser es werden besonders schützenswerte Personendaten in grossem Umfang bearbeitet oder ein Profiling mit hohem Risiko durchgeführt.

Informationspflichten und Datenschutzerklärung

Wie bisher soll eine gut auffindbare (z.B. auf jeder Webseite im Footer) Datenschutzerklärung über den Umfang und Zweck der Datenbearbeitung informieren.

Auftragsbearbeiter

Mit jedem externen Anbieter, der in Ihrem Auftrag Personendaten bearbeitet - also z.B. wir als Webagentur, Ihr Webhoster, E-Mail Anbieter, Statistik-Tool wie Google Analytics, etc. sollten Sie einen Auftragsbearbeitungsvertrag bzw. Auftragsdatenverarbeitungsvertrag (ADV) abschliessen. Ein ADV nach der europäischen Datenschutz-Grundverordnung (DSGVO) genügt grundsätzlich auch in der Schweiz.

Datensicherheit

Der Zugriff auf Personendaten sollte nur für diejenigen Personen (z.B. Mitarbeiter, Vereinsmitglieder) möglich sein, welche den Zugriff auch wirklich benötigen. Websites und IT-Systeme sollten technisch auf dem aktuellsten Stand gehalten werden, damit keine Sicherheitslücken entstehen, die unter Umständen verheerende Auswirkungen haben könnten.

Sollte es dennoch zu einem Datenleck kommen und deswegen ein hohes Risiko für betroffene Personen besteht, muss dies dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) gemeldet werden.

Datenbekanntgabe ins Ausland

Werden Daten ins Ausland bekannt gegeben, muss entweder das Land über ein angemessenes Datenschutzniveau verfügen oder es müssen zusätzliche Massnahmen ergriffen werden. Die betroffene Person muss in jedem Fall über die Weitergabe der Personendaten ins Ausland informiert werden.

Betroffenenrechte

Personen, deren Personendaten bearbeitet werden, haben das Recht, Auskunft über ihre eigenen Daten zu erhalten. Diese Auskunft sollte in der Regel innert 30 Tagen und ohne Kostenfolge für die Betroffenen erfolgen. Ferner besteht auch das Recht der Personen, fehlerhafte Daten korrigieren zu lassen oder die Löschung von Daten zu verlangen.

Einwilligung

Ist für eine Datenbearbeitung eine Einwilligung nötig, muss die betroffene Person über die Folgen der Einwilligung informiert werden und die Einwilligung muss freiwillig erfolgen.

«Privacy by Default und Privacy by Design»

Wir als Webagentur und Sie als Betreiber einer Webseite oder eines Webshops sind verpflichtet, die Datenbearbeitungen technisch und organisatorisch so auszugestalten, dass das Datenschutzrecht eingehalten wird, sowie dass Voreinstellungen möglichst datenschutzfreundlich ausgestaltet sind.

Datenschutz-Folgenabschätzung

Werden neue Datenbearbeitungen geplant, welche potenziell ein hohes Risiko für betroffene Personen haben können, muss eine Datenschutz-Folgenabschätzung durchgeführt werden. In einer solchen sind sowohl das genaue Vorhaben zu dokumentieren als auch entsprechende Massnahmen zum Schutz der betroffenen Personen zu prüfen.

Strafbarkeit

In Bezug auf die Strafbarkeit ist insbesondere zu berücksichtigen, dass ab dem 1. September 2023 die Verletzung gewisser Pflichten eine Strafbarkeit begründet, welche – im Gegensatz zu der DSGVO – nicht das Unternehmen trifft, sondern die dafür verantwortliche natürliche Person. Die verantwortlichen Personen können sowohl Mitglieder der Geschäftsleitung als auch andere entscheidungsbefugte Personen im Unternehmen oder aber auch diejenigen Personen sein, welche eine Pflichtverletzung (z.B. Verletzung der Geheimhaltung) begangen haben. Im Schweizer Recht ist jedoch nur die bewusste Begehung strafbar.

Datenschutz-Überprüfung anfordern

Wie weiter?

Unsere Empfehlung

Generelle Massnahmen

Wir empfehlen Ihnen innerhalb Ihres Unternehmens oder Vereins jemanden zu bestimmen, der sich das Thema Datenschutz genauer anschaut und die nötigen Massnahmen für Ihren Betrieb ausarbeitet. Die Massnahmen betreffen alle digitalen Arbeitsprozesse die Personendaten behandeln und nicht nur die Webseite oder den Webshop.

Online Massnahmen

Im Bereich des Online-Auftritts können wir Ihnen gerne mit unserer Expertise zur Seite stehen. Unten sehen Sie einige Beispiele, wie man die Webseite oder den Webshop DSG-Konform machen kann.

Wir erstellen Ihnen sehr gerne ein unverbindliches Angebot.

Datenschutz-Überprüfung anfordern

Sie wollen keinen Cookie-Banner auf Ihrer Website?

Alternative Tools, die keine Einwilligung voraussetzen

Matomo anstatt Google Analytics

Mit Matomo kann man Herkunft, Geräteeigenschaften, Userverhalten, Conversions, uvm. Anonym, Cookieless und Datenschutz-Konform messen und auswerten. Wir betreiben in der Schweiz eine eigene Instanz.

HTML5/PeerTube anstatt Youtube/Vimeo

Auf Videos muss nicht verzichtet werden, es gibt Alternativen, die keine Personendaten in die USA schicken und somit keine Einwilligung voraussetzen.

WAMaps anstatt Google Maps

Es gibt auch Alternative Kartendienste die Datenschutz-Konform sind und ohne Einwilligung eingesetzt werden können.

Friendly Captcha anstatt Google-Recaptcha

Auch Formulare können entweder mit Contao-Boardmitteln oder Datenschutz-Konformen Lösungen vor SPAM-Bots geschützt werden.

CCM-19

Unsere Lösung für die DSG-Konforme Einwilligung

DSG-Konforme Einwilligung

Immer komplett auf der sicheren Seite bei sämtlichen rechtlichen Anforderungen (BGH, EuGH, DSG, TTDSG) an die technische Umsetzung eines Cookie Banners.

Passend & nahtlos integrieren!

Optimale Nutzererfahrung durch komplette Anpassung an Ihr Design/CI. So erzielen Sie die höchstmöglichen OptIn Raten.

Updates inklusive!

Wenn sich an rechtlichen Rahmenbedingungen etwas ändert, bekommen Sie notwendige Anpassungen frei Haus. Sie müssen die rechtlichen Rahmenbedingungen nicht mehr im Auge behalten.

Alle Daten in der Schweiz!

Die gesamte Infrastruktur inkl. aller Server ist komplett in der Schweiz gehostet – es werden keine Daten in ein unsicheres Drittland (z. B. die USA) exportiert.

Einwilligung einholen mit CCM19

Nach einer umfangreichen Evaluation verschiedener Einwilligungsmöglichkeiten sind wir als Agentur bei CCM19 gelandet.

Rory Zünd

Rory Zünd

Projektleiter & Webentwickler
  • Mitglied der Agenturleitung

Ihr Ansprechpartner: Rory Zünd

Fragen zum Datenschutz?

Sie möchten mehr über das Thema Datenschutz erfahren oder Lösungen für Ihre Webseite / Ihren Webshop besprechen?