Datenschutz ist ein wichtiges Thema für Unternehmen im Marketing- und E-Commerce-Bereich. Immer mehr Menschen teilen ihre persönlichen Daten online, sei es bei der Nutzung von Onlineshops, der Anmeldung für Newsletter oder der Teilnahme an Gewinnspielen. Unternehmen, die diese Daten sammeln und verarbeiten, müssen sicherstellen, dass sie den Datenschutzbestimmungen entsprechen, um das Vertrauen ihrer Kunden und Kundinnen zu gewinnen und zu erhalten. In der Schweiz hat die Regierung kürzlich das Datenschutzgesetz überarbeitet, um den Schutz personenbezogener Daten zu stärken. In diesem Blogpost werfen wir einen genaueren Blick auf das neue Gesetz und welche Auswirkungen es auf Marketing- und E-Commerce-Unternehmen hat. Profitieren Sie ausserdem von unseren kostenlosen Checkliste!
Das Wichtigste in Kürze
Am 1. September 2023 wird in der Schweiz ein neues, revidiertes Datenschutzgesetz in Kraft treten, das die Ausführungsverordnungen der neuen Datenschutzverordnung und der neuen Verordnung über die Datenschutzzertifikate umfasst. Dies hat der Bundesrat am 31. August 2022 beschlossen. Das aktualisierte Datenschutzgesetz und die dazugehörigen Verordnungen haben zum Ziel, den Schutz von Personendaten zu verstärken, sich dem technischen Fortschritt anzupassen, die Selbstbestimmung der Personen über ihre Personendaten zu stärken und die Transparenz bei der Beschaffung von Personendaten zu erhöhen. "Personendaten" werden dabei definiert als alle Informationen, die sich auf eine identifizierbare Person beziehen, einschliesslich, aber nicht beschränkt auf Namen, E-Mail-Adressen und IP-Adressen.
Mit dem neuen Datenschutzgesetz will die Schweiz ihre Datenschutzgesetzgebung an die Allgemeine Datenschutzverordnung (DSGVO) der Europäischen Union anpassen und ihren Status als Land mit angemessenen Datenschutzmassnahmen aufrechterhalten, was für die Erhaltung der Wettbewerbsfähigkeit der Schweizer Wirtschaft unerlässlich ist. Das aktualisierte Gesetz sieht eine einjährige Umsetzungsfrist vor, die den Unternehmen ausreichend Zeit gibt, die notwendigen Anpassungen vorzunehmen.
Das Gesetz sieht auch strengere Strafen bei Nichteinhaltung vor und legt mehr Gewicht auf die Rechte des Einzelnen, darunter das Recht auf Vergessenwerden und das Recht auf Datenübertragbarkeit. Diese Änderungen werden erhebliche Auswirkungen auf die Marketing- und E-Commerce-Branche haben, und die Unternehmen müssen die notwendigen Schritte unternehmen, um die Einhaltung der neuen Vorschriften zu gewährleisten.
Was beinhaltet das neue Datenschutzgesetz?
Das neue Datenschutzgesetz in der Schweiz ist Teil einer grösseren Revision der Schweizer Datenschutzbestimmungen, die notwendig war, um mit dem raschen technologischen Wandel und der digitalen Transformation der Gesellschaft Schritt zu halten. Das aktualisierte Gesetz enthält den neuen VDSZ, der sicherstellt, dass die Datenschutzstandards der Schweiz mit denen der Europäischen Union kompatibel sind und die Schweiz weiterhin als Drittland mit angemessenen Datenschutzmassnahmen anerkannt wird. Es stärkt auch die Befugnisse des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB), der für die Durchsetzung des Gesetzes zuständig ist.
Mit dem neuen Gesetz will die Schweiz den Schutz personenbezogener Daten stärken, die Transparenz erhöhen und sicherstellen, dass der oder die Einzelne mehr Kontrolle über seine oder ihre Daten hat. Dies ist ein positiver Schritt für den Schutz personenbezogener Daten und bringt die Schweiz in Einklang mit den EU-Standards. Der verstärkte Fokus auf den Datenschutz unterstreicht die Bedeutung eines verantwortungsvollen Datenmanagements und die Notwendigkeit für Unternehmen, die Privatsphäre ihrer Kunden und Kundinnen in den Vordergrund zu stellen.
Auswirkungen des neuen Datenschutzgesetzes
Das neue Datenschutzgesetz und die Verordnung gelten für die Verarbeitung personenbezogener Daten durch Einzelpersonen und Organisationen, einschliesslich Unternehmen und gemeinnützige Organisationen. Während Privatpersonen, die personenbezogene Daten ausschliesslich für den persönlichen Gebrauch verarbeiten, generell von den Vorschriften ausgenommen sind, gilt diese Ausnahme nur für die Datenverarbeitung für persönliche und familiäre Zwecke, nicht aber für den Betrieb einer öffentlichen Webseite. Private Webseite-Betreiber unterliegen daher dem neuen Datenschutzgesetz und der Verordnung ebenso wie kommerzielle Unternehmen.
Was müssen die Unternehmen tun?
Das neue Datenschutzgesetz und die neue Verordnung erlegen den für die Datenverarbeitung Verantwortlichen mehrere Verpflichtungen auf, darunter auch einige neue. Hier sind die wichtigsten Verpflichtungen, die Unternehmen beachten müssen:
Informationspflicht
Personen müssen über die Erhebung, Verarbeitung und Nutzung ihrer personenbezogenen Daten informiert werden, einschliesslich der Zwecke der Verarbeitung und der Kategorien der verarbeiteten Daten. Die Unternehmen müssen die Personen auch über ihre Rechte und deren Ausübung informieren.
Einwilligung
Bevor personenbezogene Daten verarbeitet werden, muss die Einwilligung der betroffenen Personen eingeholt werden, und zwar freiwillig, ausdrücklich und in Kenntnis der Sachlage. Die Einwilligung muss auch dokumentiert werden.
Datenschutz-Folgenabschätzung
Eine weitere wichtige neue Verpflichtung besteht darin, dass Unternehmen vor der Aufnahme neuer Datenverarbeitungstätigkeiten eine Datenschutz-Folgenabschätzung durchführen müssen. Eine Datenschutz-Folgenabschätzung ist eine systematische Überprüfung der potenziellen Auswirkungen einer neuen Datenverarbeitungstätigkeit auf die Privatsphäre natürlicher Personen und dient dazu, etwaige Risiken zu ermitteln und abzumildern. Eine solche Datenschutz-Folgenabschätzungen muss insbesondere für risikoreiche Verarbeitungstätigkeiten durchgeführt werden, z. B. für die Verarbeitung sensibler personenbezogener Daten. Diese Anforderung stellt sicher, dass Unternehmen einen proaktiven Ansatz für den Datenschutz und den Schutz der Privatsphäre verfolgen, und trägt dazu bei, das Vertrauen der Kunden und Kundinnen zu stärken.
Strengere Transparenzanforderungen
Mit dem neuen Gesetz werden auch strengere Transparenzanforderungen eingeführt, die von den Unternehmen verlangen, dass sie mehr Informationen darüber bereitstellen, wie sie personenbezogene Daten verarbeiten. Dazu gehören Informationen über den Zweck der Verarbeitung, die Kategorien der verarbeiteten Daten und die Rechtsgrundlage für die Verarbeitung. Die Unternehmen werden auch verpflichtet sein, Einzelpersonen mehr Informationen über ihre Rechte zur Verfügung zu stellen, z. B. das Recht auf Zugang, Berichtigung oder Löschung ihrer personenbezogenen Daten.
Profiling
Neu wird dem Begriff "Profiling" grosse Bedeutung zumessen. Unter Profiling versteht man Kundendaten, die zur Erstellung eines detaillierten Profils einer Person verwendet werden können. Dazu gehören Merkmale wie Wohnort, Hobbys und Interessen, aber auch Daten über die Arbeitsleistung, die finanzielle Situation oder den Gesundheitszustand. Solche Daten können zwar weiterhin sensibel verarbeitet werden, dürfen aber nur dann verarbeitet werden, wenn dadurch die Persönlichkeitsrechte des Einzelnen nicht verletzt werden. Wenn es um eindeutig identifizierbare persönliche Merkmale geht, handelt es sich um ein "risikoreiches Profiling", das die ausdrückliche Zustimmung der betroffenen Person erfordert, bevor es durchgeführt wird.
"Privacy-By-Default" und "Privacy-By-Design"
"Privacy-by-Default" bezieht sich auf die Anforderung, dass die Verarbeitung personenbezogener Daten in eindeutiger Übereinstimmung mit dem beabsichtigten Zweck erfolgen muss. Die Verwendung zusätzlicher "vermeidbarer" Informationen erfordert das vorherige Wissen und die Zustimmung der betroffenen Person. "Privacy-by-Design" umfasst eine Reihe von vorgeschriebenen Verarbeitungsgrundsätzen, die von Beginn der Datenerfassung an umgesetzt werden müssen. Eine sorgfältige Planung der Datenschutzeinstellungen ist hier von entscheidender Bedeutung.
Löschung von personenbezogenen Daten
Personenbezogene Daten müssen gelöscht oder anonymisiert werden, sobald sie für den Zweck, für den sie erhoben wurden, nicht mehr benötigt werden.
Datenschutzverletzungen
Die für die Datenverarbeitung Verantwortlichen müssen dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) alle Datenverletzungen melden, die ein hohes Risiko für die Rechte und Freiheiten von Personen darstellen.
Sicherheit von Personendaten
Das neue Gesetz enthält Bestimmungen zur Verbesserung der Sicherheit von Personendaten und verpflichtet die Unternehmen, Datenverletzungen innerhalb von 72 Stunden dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) zu melden. Dies wird dazu beitragen, dass die Unternehmen angemessene Massnahmen zum Schutz personenbezogener Daten ergreifen und das Vertrauen der Kunden und Kundinnen stärken.
Grenzüberschreitende Datenübermittlung
Schliesslich können Personendaten nur dann ins Ausland übermittelt werden, wenn das Empfängerland einen angemessenen Datenschutz bietet. Ist dies nicht der Fall, muss der oder die für die Datenverarbeitung Verantwortliche geeignete Schutzmassnahmen ergreifen oder die Zustimmung der betroffenen Person einholen.
Best Practices für Unternehmen
- Überprüfen und aktualisieren Sie Ihre Datenschutzrichtlinien: Stellen Sie sicher, dass Ihre Datenschutzrichtlinie aktualisiert wird, um dem neuen Datenschutzgesetz zu entsprechen. Stellen Sie sicher, dass Ihre Richtlinie transparent und für Ihre Kunden und Kundinnen leicht verständlich ist.
- Holen Sie die Zustimmung ein: Vergewissern Sie sich, dass Sie von Ihren Kunden und Kundinnen die erforderliche Zustimmung zur Erhebung und Verwendung ihrer personenbezogenen Daten erhalten haben. Die Zustimmung muss freiwillig, ausdrücklich, in Kenntnis der Sachlage und unmissverständlich erteilt werden.
- Ernennen Sie einen Datenschutzbeauftragten: Ernennen Sie eine datenschutzbeauftragte Person, welche die Einhaltung des neuen Datenschutzgesetzes überwacht und als Ansprechpartner:in für Betroffene und Behörden fungiert.
- Sicherheitsmassnahmen einführen: Führen Sie Sicherheitsmassnahmen ein, um personenbezogene Daten vor unbefugtem Zugriff, Diebstahl oder Verlust zu schützen. Die Sicherheitsmassnahmen müssen den mit der Datenverarbeitung verbundenen Risiken angemessen sein.
- Aufzeichnungen führen: Führen Sie Aufzeichnungen über alle Datenverarbeitungsaktivitäten, einschliesslich der Zwecke der Verarbeitung, der Kategorien personenbezogener Daten und der Empfänger der Daten.
- Mitarbeitende schulen: Schulen Sie Ihre Mitarbeitenden in Bezug auf das neue Datenschutzgesetz und die Richtlinien und Verfahren des Unternehmens zum Datenschutz.
- Überprüfen Sie Datenverarbeitungsverträge: Überprüfen Sie alle Datenverarbeitungsverträge mit Drittanbietenden, um sicherzustellen, dass sie mit dem neuen Datenschutzgesetz übereinstimmen.
- Reagieren Sie auf Anfragen von Betroffenen: Legen Sie Verfahren für die Beantwortung von Anfragen der betroffenen Personen fest, einschliesslich Anträgen auf Auskunft, Berichtigung, Löschung und Datenübertragbarkeit.
- Regelmässige Audits durchführen: Führen Sie regelmässig Audits durch, um sicherzustellen, dass das Unternehmen das neue Datenschutzgesetz einhält und dass die eingeführten Massnahmen wirksam sind.
- Aktualisierungen überwachen: Überwachen Sie Aktualisierungen des neuen Datenschutzgesetzes und passen Sie die Unternehmensrichtlinien und -verfahren entsprechend an, um eine kontinuierliche Einhaltung zu gewährleisten.
Fazit
Zusammenfassend lässt sich sagen, dass das revidierte Schweizer Datenschutzgesetz darauf abzielt, den Schutz personenbezogener Daten zu stärken, sich an den technologischen Fortschritt anzupassen, den Einzelnen die Kontrolle über ihre Daten zu ermöglichen und die Transparenz bei der Beschaffung personenbezogener Daten zu erhöhen. Das aktualisierte Gesetz zielt darauf ab, die schweizerische Datenschutzgesetzgebung mit der Allgemeinen Datenschutzverordnung (DSGVO) der EU in Einklang zu bringen und den Status der Schweiz als Land mit angemessenen Datenschutzmassnahmen zu erhalten. Das neue Gesetz wird erhebliche Auswirkungen auf die Marketing- und E-Commerce-Branche haben, und die Unternehmen müssen die notwendigen Schritte unternehmen, um die neuen Vorschriften einzuhalten. Insgesamt ist das neue Gesetz ein positiver Schritt zum Schutz personenbezogener Daten und unterstreicht die Bedeutung eines verantwortungsvollen Datenmanagements für Unternehmen.
Quellen
Schweizerische Eidgenossenschaft. (2022, August 31). Neues Datenschutzrecht ab 1. September 2023.Schweizerische Eidgenossenschaft. https://www.admin.ch/gov/de/start/dokumentation/medienmitteilungen.msg-id-90134.html