Das neue Schweizer
Datenschutzgesetz (nDSG)
gilt ab dem 1. September 2023
Bist du ready für das Schweizer Datenschutzgesetz?
Was sich im neuen Schweizer Datenschutzgesetz ändert, liest du hier. Lernst du leichter visuell, schau dir das Video an.
Möchtest du gleich loslegen und dir konkret einen Überblick verschaffen, ob und was du auf deiner Website noch umsetzen musst, gehe die folgenden fünf Schritte durch.
Wichtig: Nimm bitte Folgendes zur Kenntnis:
- Hier geht es lediglich um Websites. Das Thema Datenschutz umfasst noch viel mehr, unabhängig von deinem Internet-Auftritt. Das würde den Rahmen allerdings sprengen.
- Die Informationen sind auf Schweizer Websites ausgerichtet.
- Dieser Datenschutz-Check ist weder abschliessend noch ersetzt er eine individuelle Einschätzung.
- Die Hinweise sind stark vereinfacht und geben lediglich die Richtung an, womit du dich dann vertiefter auseinandersetzen musst.
Alles klar? Dann legen wir los.
Gehe die einzelnen Schritte durch und beantworte für dich die Fragen. Für mehr Details klickst du jeweils auf «Mehr erfahren».
Kannst du überall ein Gutzeichen setzen, bist du mit der Umsetzung schon sehr, sehr weit.
Schritt 1
Personendaten erfassen
Auf einer Website werden praktisch immer Personendaten erfasst. Und genau diese gilt es schützen.
Beantworte folgende Frage:
Welche Personendaten sammelst du auf deiner Website und für welchen Zweck?
Schritt 2
Personendaten extern bearbeiten
Vermutlich holst du dir für bestimmte Aufgaben technische Unterstützung, wie zum Beispiel für den Newsletter. Das ist nach dem Schweizerischen Datenschutzgesetz grundsätzlich erlaubt. Aber Vorsicht, du gibst damit möglicherweise Personendaten weiter.
Beantworte folgende Fragen:
- Welche Personendaten gibst du an Externe weiter?
- Hast du mit den Externen einen Auftragsverarbeitungsvertrag abgeschlossen?
Schritt 3
Personendaten ins Ausland exportieren
In der Online-Welt kommt wohl niemand an den praktischen Tools und Dienstleistungen aus den USA vorbei. Leider wird’s hier etwas unangenehm. Die Daten dürfen nämlich ausserhalb der Schweiz nur in einem Land gespeichert werden, welches einen angemessenen Datenschutz gewährleisten kann. Und das ist gerade in den USA nicht möglich. Doch es gibt eine vertragliche Lösung.
Beantworte folgende Fragen:
- Werden Personendaten in einem Land mit angemessenem Datenschutz gespeichert?
- Wenn nein, sind Standardvertragsklauseln im Einsatz?
Update: Hier findet im Moment gerade ein Umbruch statt, was die Sachlage deutlich vereinfachen könnte. Mehr erfährst du im ausführlichen Text.
Schritt 4
Exkurs: DSGVO
Ich empfehle dir, unbedingt den Blick über den Tellerrand zu wagen. Auch wenn deine Website primär dem Schweizer Datenschutzgesetz unterliegt, kommt sehr schnell auch die Datenschutzgrundverordnung der EU / des EWR zum Zug:
Beantworte folgende Fragen:
- Sprichst du Personen in der EU / im EWR an (auch kostenlos mit beispielsweise einem Blog)?
- Hast du ein Tracking-Tool auf deiner Website im Einsatz?
Lautet die Antwort auch nur bei einer Frage «ja», dann unterliegt die Website teilweise der DSGVO.
Schritt 5
Datenschutzerklärung
Werden Personendaten bearbeitet, müssen die betroffenen Personen, hier die Besuchenden einer Website, darüber informiert werden. Diese Informationspflicht betrifft nach dem neuen Datenschutzgesetz der Schweiz jetzt alle Websites und nicht mehr nur solche, welche besonders schützenswerte Personendaten bearbeiten.
Beantworte folgende Frage:
Hast du eine aktuelle und vollständige Datenschutzerklärung auf deiner Website?
Das Schweizer Datenschutzgesetz leicht umgesetzt
Falls du dir jetzt die Haare raufst, die Augen verdrehst und nur noch Fragezeichen in deinem Kopf herum tanzen, keine Panik! Ich helfe dir gerne weiter. Schau’ mal, ob eines der Datenschutz-Sorglospakete für dich passt.
Was ist neu im Schweizer Datenschutzgesetz?
Mit dem neuen Datenschutzgesetz der Schweiz ändert sich einiges, hier eine Auswahl mit Fokus auf Websites:
- Privacy by Design: Es dürfen nur Personendaten gesammelt werden, die unbedingt gesammelt werden müssen. Denke da vor allem auch an die technischen Voreinstellungen auf deiner Website.
- Privacy by Default: Reduziere die Bearbeitung von Personendaten auf ein Minimum, je weniger Personen, Programme und externe Dienstleister im Einsatz sind, umso besser.
- Wenn du Personendaten bearbeitest, und das tust du fast immer auf einer Website, musst du darüber informieren, welche Daten, zu welchem Zweck und von wem bearbeitet werden. Am einfachsten geht das mit einer Datenschutzerklärung. Fehlt eine solche, kannst du nach dem neuen Schweizer Datenschutzgesetz gebüsst werden.
- Betroffene Personen haben das Recht auf Auskunft über die von dir erfassten Daten. Es lohnt sich also, die bearbeiteten Personendaten im Griff zu haben.
- Die Strafbestimmungen betreffen eine private Person und keine Firma. Eine fehlende Datenschutzerklärung auf der Website kann zu einer Busse führen.
Weitere Informationen zu Änderungen und allgemein zum Thema findest du beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten EDÖB.
Hey, ich bin die Datenschützerin
… und heisse Tanja Bischofberger. Ich helfe dir, deine Website datenschutzrechtlich in Ordnung zu bringen oder zu halten. Auch wenn das vielleicht seltsam klingt, ich mag das, wie eine Detektivin nach geheimen Cookies oder schwatzhaften Tools und Plugins zu suchen und sie dingfest zu machen.