background1  

Änderungen Datenschutzgesetz (DSG)

Ab September 2023 gilt das neue Datenschutzgesetz (DSG). Welche Änderungen die Revision mit sich bringt und welche Voraussetzungen eine Webseite nun erfüllen muss, erklären wir hier.

  1. Erweiterte Nutzereinwilligung: Unternehmen müssen klar über die Erhebung, Speicherung, Verarbeitung und Nutzung der Daten informieren.  

  2. Verbessertes Auskunftsrecht der betroffenen Personen: Jede natürliche Person kann Details zu den Daten verlangen, die ein Unternehmen von ihr erfasst und speichert. Jede Person kann die Verarbeitung ihrer Daten ablehnen, wenn kein berechtigtes Interesse daran besteht.

  3. Härtere Sanktionen: Gegen Unternehmen, die die neuen Standards nicht erfüllen oder missachten, können administrative Verfahren eröffnet werden. Bei vorsätzlichen Datenschutzverletzungen sind Strafverfahren mit individuellen Bussen möglich.

  4. Meldepflicht bei Verletzungen: Cyberangriffe oder eine Verletzung der Datensicherheit müssen, je nach den Auswirkungen auf Nutzerdaten, unverzüglich dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) und allen potenziell Betroffenen gemeldet werden. 

  5. Privacy by Design und by Default: Zum Schutz der Privatsphäre der Nutzerinnen und Nutzer müssen die aktuellen Datenschutz- und Bearbeitungsgrundsätze bereits in die Planung und das Design von Applikationen einfliessen.

    • «Privacy by Design» bedeutet, den Schutz der Privatsphäre der Nutzerinnen und Nutzer in die Struktur der Produkte einzubauen, welche personenbezogene Daten sammeln werden. 

    • «Privacy by Default» stellt sicher, dass schon bei der Entwicklung des Produktes die höchste Sicherheitsstufe vorhanden ist, in dem standardmässig alle nötigen Massnahmen für den Datenschutz und die Einschränkung der Datennutzung aktiviert sind.

  6. Folgeabschätzung und Verzeichnis der Bearbeitungstätigkeit: Besteht ein hohes Risiko für die Persönlichkeit der betroffenen Personen, ist eine Datenschutz-Folgenabschätzung (strukturierte Risikoanalyse) nötig. Das Führen eines Verzeichnisses der Verarbeitungstätigkeiten ist für mittlere und grosse Unternehmen obligatorisch.

  7. Zukünftig sind nur noch natürliche Personen geschützt: Die Revision des DSG bedeutet für Unternehmen, dass sie sich als juristische Person nicht mehr auf das Gesetz berufen können. Es gilt das Firmenrecht. 

Alle in der Schweiz ansässige Unternehmen müssen ihre Webseiten per 1. September an die neuen Vorschriften des revidierten DSG anpassen. Das bedeutet, dass auf der Webseite Hinweise bezüglich der Nutzung der Personendaten auffindbar sein müssen. Informationen über die Datenerfassung können in einer Datenschutzerklärung auf der Webseite publiziert werden. 

Cookie-Banner
Auf die Nutzung von Cookies muss ebenfalls hingewiesen werden. Für Webseitenanbieter in der Schweiz reicht grundsätzlich ein Opt-out-Hinweis. Das bedeutet, dass Webseitenbetreiber Nutzerinnen und Nutzer über die Verwendung von Cookies informieren und darauf hinweisen müssen, dass die Cookies über die Browser-Einstellungen abgelehnt werden können. Für notwendige und essentielle Cookies ist keine Einwilligung erforderlich. 

Da die Rechtslage in diesem Punkt nicht vollständig geklärt ist, empfiehlt es sich aber, sich an den (strengeren) Vorschriften der DSGVO zu orientieren. Gemäss diesen Vorschriften muss ein DSGVO-konformer Cookie Banner aufgeführt werden.

Google Analytics 4
Google Analytics ist ein kostenloser Online-Dienst von Google, der den Datenverkehr von Webseiten untersucht. Seit 2020 ist die neuste Version Google Analytics 4 (GA4) parallel zur Vorgängerversion UA in Betrieb. Per 1. Juli 2023 wird die alte Version von Google Analytics (UA) eingestellt. Eine zeitnahe Umstellung des Accounts zu Google Analytics 4 wird dringend empfohlen, da die alten Daten komplett verloren gehen. Die Umstellung bringt viele Vorteile mit sich – unter anderem datenschutzkonformes Tracking, das nicht länger auf die Verwendung von Cookies angewiesen ist.