Blog - Datenschutz
Teamviewer

Webwaren

Weyermannstrasse 28

3008 Bern


Tel: 031 381 57 00

Email: info@webwaren.ch

Das neue Schweizer Datenschutzgesetzt - DSG

Als Website Betreiber oder als Website Betreiberin musst du bis am 1. September 2023 alle nötigen Massnahmen umsetzen, um gegenüber dem neuen Schweizer Datenschutzgesetzt gesetzeskonform zu sein.

Das neue Datenschutzgesetz, DSG

Bitte behafte mich nicht für Vollständigkeit oder die inhaltliche Korrektheit dieses Artikels. Ich bin kein Rechtsprofesso, sondern trage hier lediglich die Informationen zusammen, die ich als Web-Dienstleister erhalte oder im Web gefunden habe. Für Korrekturen und Ergänzungen bin ich jederzeit offen

Jede Website-Betreiberin oder jeder Website-Betreiber muss sich mit diesem Thema auseinandersetzen. Es wird etwas Zeit benötigen, insbesondere für die Erstellung oder Aktualisierung der Datenschutzerklärung.

Als Kundin oder Kunde von Webwaren komm bitte auf uns zu, wenn du Hilfe benötigst.

Kurz

Am 1. September 2023 tritt in der Schweiz das neue Datenschutzgesetz (DSG) in Kraft. Ziel des neuen DSG ist es, die Transparenz der Datenverarbeitungen und somit den Schutz der persönlichen Daten zu verbessern. Ebenso soll die Kompatibilität zur Datenschutzgrundverordnung (DSGVO) der Europäischen Union sichergestellt werden.

Jede Website-Betreiberin oder jeder Website-Betreiber ist verpflichtet, das neue DSG bis zum 1. September 2023 umzusetzen. Bei Missachtung dieser Regelungen können Bussen bis zu CHF 250’000 drohen. Die Strafen können die Datenschutzbeauftragte oder der Datenschutzbeauftragte als Person oder auch die Betreiberorganisation betreffen. Insbesondere, wenn keine Datenschutzbeauftragte oder kein Datenschutzbeauftragter bestimmt und in der Datenschutzerklärung veröffentlicht wurde.
Folgende Massnahmen musst du als Website-Betreiberin oder Website-Betreiber bis zum 1. September 2023 umgesetzt haben:

  1. Ernennung einer Datenschutzbeauftragten oder eines Datenschutzbeauftragten.
  2. Du bist auf Anfragen von betroffenen Personen vorbereitet (Auskunftsbegehren).
  3. Dateninventar (Nur für Unternehmen und Organisationen mit über 250 Personen).
  4. Absicherung Outsourcing durch Auftragsverarbeitungsvertrag (AVV) z.B. für Hosting.
  5. Transparenz & Ausstrahlung: Vollständige Datenschutzerklärung.
  6. Datensicherheit: Sichere Passwörter (oder besser 2-Faktor-Authentisierung).
  7. Impressumspflicht

Erfreulich: Ein Cookie-Consent ist mit dem neuen DSG in der Schweiz immer noch nicht nötig. Es empfiehlt sich aber ein Cookie-Banner (Info-Banner) mit Link auf die Datenschutzerklärung. Beispieltext: “Bitte lies unsere Datenschutzerklärung betreffend der Verarbeitung deiner Personendaten”.

Bist du Betreiberin oder Betreiber einer Website, die den EU-Raum bedient? Dann hast du wahrscheinlich schon die DSGVO umgesetzt, und dieser Artikel ist für dich weniger spannend.

Als Kund:in von Webwaren helfen wir dir bei Bedarf, die Massnahmen umzusetzen und in deiner WordPress, TYPO3 oder Neos CMS Website einzubauen.

Datenschutzbeauftragte Person

Datenschutzbeauftragte Person und Bussenregelung

Mit der Einführung des neuen DSG sind Website-Betreiberinnen und Website-Betreiber verpflichtet, auf ihrer Datenschutzerklärung eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu ernennen. Diese Person ist die Expertin oder der Experte für Datenschutz innerhalb der Organisation. In den meisten Fällen wird es die Inhaberin oder der Inhaber, CEO oder beispielsweise die Präsidentin oder der Präsident eines Vereins sein. Denn seien wir ehrlich, welcher mitarbeitende Person ist bereit, ihren Namen für das Risiko einer Busse in einer Höhe zu riskieren, die nicht seinem Gehaltsniveau entspricht? Wie dies intern in der Organisation geregelt ist, spielt dann wiederum keine Rolle.
Neu kann bei Nichteinhaltung des DSG der Datenschutzbeauftragten oder dem Datenschutzbeauftragten eine Busse auferlegt werden. Die Höhe der Bussen wird je nach Schwere des Vergehens unterschiedlich festgesetzt und kann bis zu CHF 250.000 betragen. Inwieweit diese Bussen tatsächlich verhängt werden, ist unklar. Auf jeden Fall ist dies ein klarer Anreiz, das neue DSG einzuführen und umzusetzen.

Weitere Informationen

Aufgaben der Datenschutzbeauftragten Person

  • Tragen die Verantwortung für den Datenschutz und die Datensicherheit nach aussen.
  • Sind die internen Expertinnen und Ansprechpersonen für Datenschutz und Datensicherheit.
  • Unterrichten die relevanten internen Stellen zu diesem Thema.
  • Überwachen die Einhaltung des DSG (z.B. Aktualisierung der Datenschutzerklärung).
  • Kümmern sich um Auskunftsbegehren.

Falls du dir unsicher bist: Es ist auch möglich, externe Datenschutzbeauftragte zu ernennen. Hierfür gibt es verschiedene Angebote, wie zum Beispiel: https://www.infosec.ch/services/externer-datenschutzbeauftragter/

Auskunftsrecht und Auskunfs-begehren

Jede Person ist jederzeit berechtigt, mittels eines Auskunftsbegehrens Auskunft über ihre Personendaten oder deren Verarbeitung zu verlangen und ihre Daten löschen zu lassen. Im DSG ist geregelt, über welche Daten Auskunft erteilt werden muss. Dies kann beispielsweise den Verwendungszweck und die Dauer der Datenspeicherung umfassen. Personen, die ihr Auskunftsrecht geltend machen, müssen dies nicht begründen.
Wie du ein solches Auskunftsbegehren verfasst und wie es gehandhabt wird, erfährst du beispielsweise in diesem Video.

Du kannst dein Begehren per E-Mail oder über ein Webformular (sofern vorhanden) an die Datenschutzbeauftragte oder den Datenschutzbeauftragten senden. Du musst dich beispielsweise mittels deines Personalausweises (Kopie) identifizieren. Daten wie das Foto, die Grösse und die Ausweisnummer kannst du unkenntlich machen. Der Name und das Geburtsdatum müssen jedoch ersichtlich sein.

Falls du innerhalb von 30 Tagen keine Auskunft erhältst, kannst du das Begehren per Einschreiben senden.

Als Datenschutzbeauftragte oder Datenschutzbeauftragter bist du verpflichtet, das Begehren innerhalb von 30 Tagen zu beantworten.

Weitere Informationen und ein Musterbrief zum Download findest du hier: https://www.edoeb.admin.ch/edoeb/de/home/datenschutz/grundlagen/auskunftsrecht.html

Dateninventar

Gilt nur für Unternehmen und Organisationen mit über 250 Personen.

Als Datenschutzbeauftragte oder Datenschutzbeauftragter bist du in einer Organisation mit mehr als 250 Personen verpflichtet, ein Dateninventar zu erstellen. Das Dateninventar enthält eine Indexierung aller möglichen Personendaten und deren Verarbeitungsorte.
Ein Muster kannst du hier finden: https://dsat.ch/download/

Auftragsverarbeitungsvertrag – AVV


Im Auftragsverarbeitungsvertrag (AAV) sind die Rechte und Pflichten sowohl des Verarbeiters (z.B. Hoster) als auch des Auftraggebers (also du als Hosting-Kunde) in Bezug auf die Verarbeitung von Personendaten festgehalten. Als Datenschutzbeauftragte oder Datenschutzbeauftragter musst du sicherstellen, dass alle Verträge mit Verarbeitern abgeschlossen und aktuell sind. In den meisten Fällen wird dies nur der AAV für das Hosting der Website sein.
Als Kundin oder Kunde von Webwaren kannst du deinen AAV direkt über das Hostingpanel auf https://my.cyon.ch herunterladen.

In my.cyon.ch unter “meine Daten” wir der AVV abgeschlossen.

Datenschutz-erklärung

Die Datenschutzerklärung ist ein unverzichtbares Element. Es gibt keinen Weg daran vorbei. Die Datenschutzerklärung muss auf jeder einzelnen Webseite verlinkt sein, idealerweise im Footer, neben dem Impressum. Sie kann entweder als PDF-Download oder als eigene Webseite veröffentlicht werden. Die Datenschutzerklärung und das Impressum sind zwei separate Seiten. Als Datenschutzbeauftragte Person bist du verpflichtet, die Inhalte der Datenschutzerklärung kontinuierlich zu aktualisieren, beispielsweise bei Vertragsänderungen mit Dritten oder Änderungen ihrer AGB und Datenschutzerklärung.

Die Datenschutzerklärung muss unter anderem folgende Inhalte enthalten:

  • Kontaktinformationen des Datenschutzbeauftragten
  • Zweck oder Zwecke der Datenverarbeitung
  • Eventuelle Empfänger:innen der verarbeiteten Personendaten
  • Sicherung eines eventuellen Datenexports
  • Rechte der betroffenen Personen im Zusammenhang mit den Datenschutz

    Ein Muster, das frei verwendet werden kann, findest du hier: https://dsat.ch/download

    Datensicherheit

    Personendaten müssen durch angemessene technische und organisatorische Massnahmen vor unbefugter Verarbeitung geschützt werden.

    Stelle sicher, dass die Passwörter in deinem CMS für alle Redakteur:innen sicher sind oder lasse eine Zwei-Faktor-Authentifizierung einrichten, beispielsweise durch den Versand eines Bestätigungscodes per E-Mail oder SMS.

    Impressumspflicht

    Das Impressum hat zwar nichts mit dem DSG zu tun, in der Schweiz besteht aber seit 2012 eine generelle
    Impressumspflicht.

    Das Impressum muss ebenfalls auf jeder Webseite verlinkt sein und folgende Informationen enthalten:

    • Name und Vorname für natürliche Personen
    • Vollständiger Firmenname für Unternehmen (einschliesslich Rechtsform, wie im Handelsregister eingetragen)
    • Vertretungsberechtigte Person
    • Handelsregister-Nummer, falls vorhanden
    • Postadresse
    • E-Mail-Adresse

    Quellen und weitere Links

    Das neue Gesetzt mit seinen 74 Artikeln: https://www.fedlex.admin.ch/eli/oc/2022/491/de

    https://www.edoeb.admin.ch/edoeb/de/home/datenschutz.html

    https://www.cyon.ch/blog/neues-datenschutzrecht-agentur-webmaster

    https://www.cyon.ch/blog/neues-datenschutzgesetz-schweiz

    https://www.kmu.admin.ch/kmu/de/home/fakten-trends/digitalisierung/datenschutz/neues-datenschutzgesetz-rev-dsg.html

    https://podcast.datenschutzpartner.ch/88-cookie-banner-dsg-david-rosenthal

    https://www.axa.ch/de/unternehmenskunden/blog/sicherheit-und-recht/recht-und-justiz/neues-datenschutzgesetz.html

    Mailchimp: https://mailchimp.com/de/help/mailchimp-european-data-transfers/

    Impressumspflicht: https://www.cyon.ch/blog/Impressum-Websites

    Auskunftsbegehren: https://www.datenschutzpartner.ch/2021/02/28/winterkongress-auskunftsrecht/

    Datenschutz-Generator: https://www.datenschutzpartner.ch/angebot-datenschutz-generator/

    Allgemeine Infos zum Gesetzt und für die neue Regelung über Verantwortlichkeit und Busse: https://www.myright.ch/de/business/rechtstipps/datenschutz/dsg-neu