Neues Schweizer Datenschutzgesetz 2022: was müssen Webseitenbetreiber und Firmeninhaber wissen?

Ein brauner grosser Richterhammer

Zunächst mal Entwarnung

All die vielen zeitaufwändigen und teuren Anpassungen, die bereits von tausenden Schweizer Betrieben im Zuge der DSGVO vorgenommen wurden, müssen nicht komplett über den Haufen geworfen werden. Allerdings gibt es einige wichtige Neuerungen in der Schweizer Variante der Datenschutzgrundverordnung.

Das neue Gesetz umfasst 92 Seiten und heisst offiziell Bundesgesetz über den Datenschutz (Datenschutzgesetz, DSG) und ist unter BBl 2020 7639 zu finden.

Der Einfachheit halber wird hier jeweils vom nDSG, also vom neuen Datenschutzgesetz gesprochen. Dieser neue Teil umfasst nur 30 Seiten. In den restlichen Seiten werden die aufgehobenen Gesetzte aufgeführt.

Wir haben dir die wichtigsten Punkte aus dem nDSG zusammengetragen und verständlich aufbereitet.

Wir sind keine Anwälte, geben keine verbindliche Rechtsauskunft und empfehlen dir in jedem Fall, dich eingehend mit dem neuen Gesetz auseinanderzusetzen.

Nach der Lektüre dieses Beitrags solltest du aber über folgende Punkte schon mal deutlich besser Bescheid wissen:

  • Wann das neue Gesetz in Kraft tritt
  • Wieso die Schweiz ein neues Datenschutzgesetz kriegt
  • Was sich mit dem neuen Gesetz ändert
  • Was Daten mit hohem Risiko sind
  • Wie sich Firmen- und Webseiteninhaber vorbereiten können

Wann tritt das neue Gesetz in Kraft?

Das ist bis dato noch nicht bekannt. Der Bundesrat wird entscheiden und darüber informieren. Aktuell wird erwartet, dass das Gesetz im zweiten Halbjahr 2022 in Kraft treten wird.

Warum bekommt die Schweiz ein neues Datenschutzgesetz?

Die Frage wird verständlicher, wenn sie etwas ausgeweitet wird: Warum ist Datenschutz überhaupt wichtig? Es gibt diverse Argumente für und gegen den Datenschutz. Was man persönlich von welcher Massnahme hält ist allen Menschen individuell überlassen. Fakt ist aber, dass wir alle im selben digitalen Boot sitzen, ob wir nun wollen oder nicht.

Wir alle hinterlassen digitale Spuren und haben digitale Identitäten. Es spielt keine Rolle, wie oft wir uns privat oder beruflich im Netz bewegen oder wie oft wir automatisiert auf „Ich habe die Datenschutzbestimmungen gelesen“ klicken, denn unsere Krankenakten, unsere Bankkonten und unsere Identität sind längst digital.

Hat man verstanden, dass das Individuum schon seit Jahren sowohl öffentlich als auch privat, offiziell und inoffiziell, gewollt oder ungewollt und bewusst oder unbewusst immer auch digital existiert, ergibt der Gedanke

Datenschutz = Personenschutz

mehr Sinn.

Eine der Kernaufgaben eines jeden Staates ist es, seine Bürgerinnen und Bürger zu schützen. In der Vergangenheit ging es dabei häufig um den Schutz vor physischer Gewalt. Im digitalen Zeitalter kommen Identitätsraub, Betrug, Doxxing und noch vieles mehr hinzu.

Während die Erlangung eines Waffenscheins aufwändig und mühsam ist, kann das eigene Leben (oder das von anderen) mit ein paar Klicks massiv beschädigt werden. Anders als bei den Waffen gibt es für die Benutzung von Computern aber keinen Computerschein und alle, die es sich leisten können, können unabhängig von ihren Computerkenntnissen online herumfuhrwerken wie sie wollen.

Wie kann der Staat seine Funktion als Beschützer da noch ausüben? Indem das Individuum durch den gesetzlich verankerten besseren Schutz der persönlichen Daten zumindest ein wenig gegen die böse Seite der Welt und die eigene Unwissenheit abgeschirmt wird. Das ist weder ein digitaler Freipass noch eine Datenschutzgarantie, dafür aber ein wichtiger Grundstein des Personenschutzes des 21. Jahrhunderts.

Definitiv letzteres. Das aktuelle Datenschutzgesetz der Schweiz trat 1993 in Kraft und musste zuvor erst noch entwickelt und gutgeheissen werden. Damals steckte das Internet noch in den Kinderschuhen und digitale Identitäten wie wir sie heute kennen gab es noch nicht.

Entsprechend ungeeignet ist das Gesetz für moderne Anwendungen mit hochkomplexen digitalen Sachverhalten. Ein paar Grundgedanken zum Datenschutz- und Persönlichkeitsschutz sind damit zwar jure gegeben, de facto aber nicht existent. Oder etwa doch?

Internationales Völkerrecht ist kein Zuckerschlecken. Dafür gibt es eigens Studiengänge! Hier reicht es zu wissen, dass die Datenschutzgrundverordnung der Europäischen Union unabhängig vom Ort angewendet werden kann, solange Daten von EU Bürgern gesammelt, bearbeitet oder mit Dritten geteilt werden. (Das gilt auch für die Schweiz. Was das Schweizer Gesetz dazu zu sagen hat, habe ich in diesem Beitrag erläutert.)

Um potentielle EU Kunden und Kundinnen nicht zu verlieren musste sich deswegen die ganze Welt der DSGVO fügen. Einige wenige Webseitenbetreiber hatten die Notbremse gezogen und das Browsen durch EU Bürgerinnen und Bürger schlichtweg verhindert, weil sie den Anforderungen der DSGVO nicht gerecht wurden.

Neu tut das die Schweiz der EU gleich: Artikel 3 nDSG legt den räumlichen Geltungsbereich so fest, dass auch „im Ausland veranlasste Sachverhalte, die sich in der Schweiz auswirken“ darunter fallen.

Faktisch bedeutet das, dass sich alle Länder, welche Daten von in der Schweiz ansässigen Menschen verarbeiten, ebenfalls diesem Gesetz fügen müssen. Im neuen Gesetz wird aber nur von Fällen gesprochen, in denen die Datenbearbeitung umfangreich und regelmässig ist. Was das also praktisch gesehen bedeutet ist demnach noch offen.

Was ändert sich mit dem neuen Gesetz?

So einiges. Aber keine Angst. Wie eingangs bereits erwähnt, muss nicht alles von Grund auf geändert werden. Grundsätzlich müssen sich aber alle mit denselben Grundthemen- und fragen auseinandersetzen: Gesetzeskonformität, Mehrwert für die Kunden/Webseitenbesucher und Aufwand vs. Kosten.

Liste der wichtigsten Fakten

  • Grundgedanken:
    – Datenschutz gleich Persönlichkeitsschutz
    – Ziel des neuen Gesetzes: Besserer Schutz der Person
    – Anforderungen des neuen Gesetzes: Verhältnismässigkeit, Sicherheit, Richtigkeit
    – Kategorisierung in hochriskante Daten und Daten mit geringem Risiko
    – Jegliche Datenbeschaffung obliegt der Informationspflicht
  • Maxime für den Cookie Banner/Datenschutzerklärung:
    Klare Auskunft darüber wer welche Daten wie, für was, wie lange und mit wem bearbeitet werden.
    Definition Bearbeitung: Als Bearbeitung gilt jeglicher Umgang mit den Daten.
  • Neue Anforderungen innerhalb von Organisationen
    Müssen detailliert angeschaut werden, siehe unten stehende Liste.
  • Kantönligeischt strikes again: Pro Kanton wird es eigene Gesetze geben. Noch nicht alle sind definiert.
  • EDÖB bei Unsicherheit einschalten
    Wenn man sich nicht sicher ist, ob der Datenschutz ausreicht oder wenn man merkt, dass der Datenschutz nicht mehr gewährleistet werden kann, muss der EDÖB (Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter) so bald wie möglich informiert werden.

Was sind hochriskante Daten?

Ein „Profiling mit hohem Risiko“ gilt als solches, wenn „es zu einer Verknüpfung von Daten führt, die eine Beurteilung wesentlicher Aspekte der Persönlichkeit einer natürlichen Person erlaubt“.

Diese Aspekte wiederum werden unter „Profiling“ gelistet: Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel (Artikel 5, Absatz f und g nDSG).

Neue Anforderungen an Organisationen

Governance bedeutet so viel wie Führung. In diesem Fall geht es darum, dass innerhalb der Organisation klar definiert und auch schriftlich festgehalten ist, wer wie für welche Daten zuständig ist. Das beinhaltet die folgenden Punkte im Detail:

  • Das Führen von Datenverarbeitungsinventaren ist Pflicht, ausser das Unternehmen ist kleiner als 250 Personen oder es besteht nur ein geringes Risiko für die Datenverarbeitung der betroffenen Person (Artikel 12, Absatz 5 nDSG).

    Dieses „geringe Risiko“ wird nirgends definiert. Via Umkehrschluss kann man aber davon ausgehen, dass alle Aspekte, die nicht wesentlich sind (siehe Box mit rotem Balken oben), darunter fallen. Der gesunde Menschenverstand sagt mir aber, dass bei den wesentlichen Aspekten durchaus der eine oder andere Begriff vergessen gegangen sein kann. Dem Grundgedanken folgend ist es demnach sinnvoll, kein unnötiges Risiko einzugehen und Daten lieber einmal mehr als weniger als hochriskant einzustufen.

    In diesen Inventaren sollen erfasst werden:
    – Identität des Datenbearbeitenden
    – Zweck der Datenbearbeitung
    – Kategorien der bearbeiteten Personendaten
    – Kategorien der Empfänger und Empfängerinnen (Z.B. kommerzielle Zwecke, wenn ja welche Branche)
    – Bei Auslandstransfer der Daten derjenige Staat, in den die Daten übermittelt werden

  • Meldepflicht von Datenverlusten und anderen Sicherheitsverstössen und Pflicht zur Vornahme von Datenschutz-Folgenabschätzungen (Artikel 12, 22 und 24 nDSG). Siehe dazu auch die Punkte Informationspflicht und Folgenabschätzung etwas weiter unten.

Da das „und“ in diesem Titel das einzige deutsche Wort ist, übersetze ich das mal eben:

  • Privacy by Design meint, dass die technischen Voreinstellungen datenschutzfreundlich sind. Das bedeutet beispielsweise, dass nur das gesammelt wird, was auch tatsächlich gesammelt werden muss und dass bei den omnipräsenten Cookie Banner jeweils alle Einstellungen standardmässig abgewählt sein müssen.
  • Privacy by Default meint, dass die Bearbeitung der Daten auf ein Minimum beschränkt wird. Warum? Je mehr Augen, Hände und Programme die Daten durchlaufen, desto grösser die Chance, dass Fehler passieren oder unnötige Aggregation betrieben wird.

Als Grundsatz kann man sich hier den Gedanken mitnehmen, dass die Standardeinstellung und das Standardvorgehen immer das sein soll, was die Privatsphäre am wenigsten verletzt.

Was ist Profiling? Die Erstellung eines Profils basierend auf Daten. In Zeiten der Digitalisierung ist das schiere Ausmass und die Automatisierung davon neu, weil grosse Datenmengen maschinell verarbeitet werden.

Beispiel: Eine automatische Lohnerhöhung aufgrund von Leistungsdaten eines Individuums. (Profiling wird in Artikel 5, Absatz f nDSG definiert.)

Neu ist, dass für Profiling mit hohem Risiko eine ausdrückliche Einwilligung vorliegen muss (Artikel 6 nDSG).

Das ist keine Pflicht, sondern eine Möglichkeit. „Private Verantwortliche können eine Datenschutzberaterin oder einen Datenschutzberater ernennen“ (Artikel 10, Ziffer 1 nDSG).

Nach Artikel 10, Ziffer 2 hat diese Person oder haben diese Personen zwei Aufgaben:

  • Schulung und Beratung des privaten Verantwortlichen in Fragen des Datenschutzes
  • Mitwirkung bei der Anwendung der Datenschutzvorschriften

Ausländische Unternehmen müssen eine Vertretung in der Schweiz bestimmen, wenn die Datenbearbeitung umfangreich und regelmässig ist und ein hohes Risiko für die Persönlichkeit der betroffenen Personen mit sich bringt (Artikel 14, Ziffer 1 b, c und d).

Jegliche Datenbeschaffung obliegt nun der Informationspflicht. (Und nicht mehr nur bei besonders schützenswerte Daten. Siehe Artikel 19, 20 und 21 nDSG.)

Artikel 19, Ziffer 2 a, b und c nDSG sagen ausserdem, dass mindestens die Identität und die Kontaktdaten des Verantwortlichen, der Bearbeitungszweck und Dritte oder die Kategorien Dritter, denen Personendaten bekannt gegeben werden, den betroffenen Personen mitgeteilt werden müssen.

Der einfachste und effizienteste Weg, das zu bewerkstelligen, ist mit einer Datenschutzerklärung. Wir bieten unseren Kunden jeweils eine Vorlage für die Datenschutzerklärung auf ihren Webseiten. Die Idee dabei ist nicht ein simples copy & paste, sondern die Anpassung und Ergänzung der Vorlage mit kunden- und projektspezifischen Daten.

Nachfolgende Informationen müssen in jedem Fall auf Anfrage mitgeteilt werden (Artikel 25, Ziffer 1 und 2 a, b, c, d, e, f und g):

  1. die Identität und die Kontaktdaten des Verantwortlichen;
  2. die bearbeiteten Personendaten als solche;
  3. der Bearbeitungszweck;
  4. die Aufbewahrungsdauer der Personendaten oder, falls dies nicht möglich ist, die Kriterien zur Festlegung dieser Dauer;
  5. die verfügbaren Angaben über die Herkunft der Personendaten, soweit sie nicht bei der betroffenen Person beschafft wurden;
  6. gegebenenfalls das Vorliegen einer automatisierten Einzelentscheidung sowie die Logik, auf der die Entscheidung beruht;
  7. gegebenenfalls die Empfängerinnen und Empfänger oder die Kategorien von Empfängerinnen und Empfängern, denen Personendaten bekanntgegeben werden, sowie die Informationen nach Artikel 19 Absatz 4.

Punkt 6 wartet mit der rechtlichen Beschreibung für eine vom Computer gefällte Entscheidung auf. „Automatisierte Einzelentscheidung“ bedeutet schlicht, dass Programme über die Daten entscheiden. Die dahinterstehende Logik dürfte insbesondere bei selbstlernenden Algorithmen für Kopfzerbrechen sorgen. Aber da steht ja auch noch das Wörtchen „gegebenenfalls“. Wie genau dieses Gesetz also zur Anwendung kommen wird, ist offen.

Noch zu Punkt 7: Artikel 19, Absatz 4 ergänzt hier prinzipiell nur, dass dieselben Informationen, also die Empfängerinnen und Empfänger sowie deren Kategorien, mitgeteilt werden, wenn Personendaten ins Ausland bekannt gegeben werden.

„Bei der umfangreichen Bearbeitung besonders schützenswerter Personendaten“ und “ wenn systematisch umfangreiche öffentliche Bereiche überwacht werden“ muss von den Datenschutzverantwortlichen eine Datenschutz-Folgenabschätzung ausgearbeitet werden, welche „eine Beschreibung der geplanten Bearbeitung, eine Bewertung der Risiken für die Persönlichkeit oder die Grundrechte der betroffenen Person sowie die Massnahmen zum Schutz der Persönlichkeit und der Grundrechte“ enthält (Artikel 22 nDSG).

Davon ausgenommen ist man besonders in zwei Fällen: wenn man als Berufs- Branchen- oder Wirtschaftsverband den Statuten entsprechend zur Wahrung der wirtschaftlichen Interessen seiner Mitglieder befugt ist und dem EDÖB Verhaltenskodizes vorgelegt hat oder aber ein vom Bund zertifiziertes Datenverarbeitungssystem benutzt (Artikel 22, Absatz 5 nDSG).

Eine weitere Ausnahme bildet die gesetzliche Verpflichtung zur Datenbearbeitung, was bedeutet, dass zum Beispiel Rechtsorgane davon ausgenommen sind. (Siehe dafür den gesamten Artikel 4.)

„Ergibt sich aus der Datenschutz-Folgenabschätzung, dass die geplante Bearbeitung trotz der vom Verantwortlichen vorgesehenen Massnahmen noch ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person zur Folge hat, so holt er vorgängig die Stellungnahme des EDÖB ein“ (Artikel 23, Absatz 1).

Kurz und verständlich: Es muss klar sein, was mit den gesammelten Daten passieren kann. Benutzt man Software, die vom Schweizer Staat nicht zertifiziert wurde oder falls die Datensammlung ein Risiko für die zu schützende Person darstellt, muss die Stellungnahme des EDÖB eingeholt werden oder aber mindestens eine Folgenabschätzung verfasst werden.

Liegt eine Verletzung der Datensicherheit vor, beispielsweise wenn Daten gestohlen, versehentlich gelöscht oder durch Dritte verbreitet werden, muss das dem EDÖB so rasch wie möglich gemeldet werden (Siehe Artikel 24).

Zusammenfassung

Endlich schliesst die Schweiz in Sachen Datenschutz zu den internationalen Standards auf. Die praktische Anwendung des Gesetzes ist dabei aber noch ebenso offen wie einige Details.

Der Grundgedanke und das Grundverhalten sind aber klar: informiere darüber, welche Daten wie, wo, warum, mit wem und wie lange gesammelt werden. Kannst du den Schutz der Daten und damit den Schutz der Person nicht garantieren, dann sprich dich mit dem eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten ab.

Wegen der neuen Informationspflicht für alle gesammelten Daten ist eine Datenschutzerklärung auf deiner Webseite ein absolutes Muss.

Ein Cookie Hinweis kann sinnvoll sein, aber auch schnell unnütz oder gar illegal werden, wenn die Voreinstellung eine grössere Datensammlung empfiehlt als für deine wirtschaftlichen Interessen nötig sind. Sprich: sammle nur das, was du musst und informiere auch darüber.

Sei dir ausserdem bewusst, dass die Besucher deiner Webseite jederzeit Auskunft über die gesammelten Daten, Einsicht darin oder auch deren Löschung beantragen können. Bereite deine IT Infrastruktur entsprechend vor und lege Wert auf Klarheit und Sicherheit.

Klar – das neue Gesetz wird für einige interne Anpassungen in Organisationen sorgen. Es geht hier aber um die Etablierung eines neuen Standards. Einer, der längst überfällig war und spätestens im Zeitalter von Big Data dringend benötigt wird.

Ausblick

Innerhalb der nächsten paar Tage wird dieser Artikel noch ein wenig ergänzt, unter anderem mit Unterschieden zur DSGVO. Da wird ein Schwerpunkt der Bearbeitungsgrundsatz sein.

Die Frage „Was muss ich tun, wenn ich Programm XY im Einsatz habe?“ wird sicherlich bei einigen auftauchen. Die Universalantwort bietet da der letzte Teil mit der Datenschutz-Folgenabschätzung. Um der Leserschaft aber noch ein wenig mehr zu bieten wird es noch Praxisbeispiele zu gängigen Tools wie Google Analytics geben.

Ausserdem kommen noch einige aufgehobene Gesetze zum Zug. Also Dinge, die man nicht mehr beachten oder aber neu anders machen muss.

Zu guter Letzt wird es noch Informationen darüber geben, mit was für Strafen bei der Nichteinhaltung des neuen Gesetzes gerechnet werden muss. Hier kann schon einmal vorweg genommen werden, dass auch die Meinung des EDÖB dazu kommen wird. Er hat sich nämlich in einer Stellungnahme zum neuen Gesetz geäussert.

Die Senfnote – eine persönliche Anmerkung

Datenschutz als Personenschutz auszulegen ist ein guter, starker Gedanke. Gut deswegen, weil Datenschutz als etwas positives konnotiert werden soll und nicht als etwas, was Zeit und Geld frisst.

Einem Missbrauch des Gesetzes kann nie 100% vorgebeugt werden. Das soll aber keine Begründung gegen die Grundgedanken des Datenschutzes und deren bestmöglichen Umsetzung sein. Den Aufwand die Rechtmässigkeit einer Sache bestimmen zu lassen ist für mich schlicht verwerflich.

Euki Ziehbrunner

Ich kann mich für fast alles begeistern und bin für vieles von dem verantwortlich, was du hier liest. Gefällt dir etwas davon (oder eben nicht), erreichst du mich via E-Mail.