Neues Datenschutzgesetz der Schweiz

Das neue Schweizer Datenschutzgesetz (kurz nDSG oder auch revDSG genannt) tritt nach langem hin und her per 1. September 2023 in Kraft. Mit der Revision des Schweizer Datenschutzgesetzes ändern sich umfassend wichtige Bestimmungen über die Bearbeitung von Personendaten. In Zukunft müssen Unternehmen verschärfte Regeln beachten und sollten sich daher bereits heute mit den neuen Richtlinien auseinandersetzen.  

Um was genau geht es beim nDSG?

Das nDSG wird an die veränderten technologischen und gesellschaftlichen Verhältnisse (Cloud Computing, Big Data, soziale Netzwerke, Internet der Dinge) angepasst. Insbesondere stärkt die Totalrevision die Selbstbestimmung der betroffenen Personen über ihre Daten und verbessert die Transparenz der Datenbearbeitung.

In der Europäischen Union gelten seit 2018 mit der europäischen Datenschutzgrundverordnung (EU-DSGVO) ähnlich strenge Datenschutzbestimmungen, unter anderem auch strengere Pflichten in Bezug auf die Datenschutz-Zustimmungspflichten. Mit dem nDSG stellt die Schweiz somit auch sicher, dass die EU die Schweiz weiterhin als Drittstaat mit einem angemessenen Datenschutzniveau anerkennt.

Einen detaillierten Vergleich über die Neuerungen im Vergleich zur EU-DSGVO finden Sie im Beitrag der PwC Schweiz oder in der Gegenüberstellung der drei Gesetzestexte vom CH-DSG (1992), CH-nDSG (Stand 2020) und der EU-DSGVO (2018) der Rechtsanwälte Meyerlustenberger Lachenal.

Wann tritt das nDSG in Kraft?

Das neue Datenschutzgesetz (nDSG) und die neue Datenschutzverordnung (DSV) sowie die neue Verordnung über Datenschutzzertifizierungen (VDSZ) treten am 1. September 2023 ohne Übergangsfrist in Kraft. Bis dahin müssen alle Unternehmen die neuen Vorschriften umsetzen.

Was müssen Sie grundsätzlich beachten, um die neuen Datenschutzbestimmungen in der Schweiz zu erfüllen?

Für Unternehmen mit Sitz in der Schweiz und solche, die an Datenübermittlungen in die und aus der Schweiz beteiligt sind, bedeutet die Revision neue Pflichten bei der Bearbeitung von Personendaten. Hierfür müssen Sie eine Bestandsaufnahme der internen Prozesse von Bearbeitung personenbezogener Daten im Unternehmen durchführen (Verarbeitungsverzeichnis) und die Prozesse auf Risiken hin prüfen (Risikoanalyse). Zudem ist die (IT-)Sicherheit der Daten zu gewährleisten und zu berücksichtigen, dass Kundinnen und Kunden neu über ein umfassendes Auskunfts- und Löschrecht verfügen.

Weiter müssen Sie darauf achten, dass Sie für jeden Drittanbieter mit Zugriff auf personenbezogene Daten einen entsprechenden Vertrag vorweisen können, der bescheinigt, dass ein gewisses Sicherheits- und Sorgfaltsniveau eingehalten wird. Hierfür gibt es pro Drittanbieter dann entsprechende Auftragsverarbeitungsverträge (AVV). Glarotech GmbH sendet Ihnen auf Anfrage an support@glarotech.ch ein AVV-Formular zu.

Um den Umfang der Themen zu illustrieren, haben wir eine Liste zusammengestellt:

• Datenschutzorganisation
• Verarbeitungsverzeichnis (Prozessbeschreibungen im Datenschutz- und Löschkontext)
• Risikobewertungen
• Technische und organisatorische Massnahmen (v.a. IT-Sicherheit)
• Vertragliche Regelung der Bearbeitung durch Auftragsbearbeiter (AVV)
• Meldung von Datenschutzvorfällen
• Fristgerechte und vollständige Bearbeitung von Auskunfts- und Löschbegehren
• Schulung Mitarbeitende und Ausbildungskontrolle
• Garantien für Datentransfer in Drittländer
• Orientierung Kunden und Mitarbeitende
• Personal: Ggf. neue Datenschutzregelungen im Arbeitsvertrag / Personalreglement
• Haftung / Versicherung

Wir werden bezüglich nDSG weiter berichten und analysieren, was das neue Gesetz insbesondere für PepperShop genau bedeutet. Bereits heute ist beispielsweise in der Administration in der Kundenbearbeitungsmaske die Möglichkeit zur Beantwortung eines Kunden Auskunftsbegehrens in maschinenlesbarer Form gegeben.

Quelle: https://www.bj.admin.ch/bj/de/home/staat/gesetzgebung/datenschutzstaerkung.html

Tools und Unterstützung

Die BDO bietet hierzu online einen Datenschutz-Test an, um zu prüfen, ob Ihr Unternehmen für das nDSG bereit ist. Dies ist ein guter Einstieg in das Thema.

Das DSAT, Datenschutz Self Assessment Tool, besteht aus einem Satz von Formularen, der eine strukturierte Selbstbeurteilung der Datenschutz-Compliance eines Unternehmens erlaubt, d.h. die Überprüfung, inwieweit die Bestimmungen des Datenschutzes sowohl unter dem revidierten DSG als auch der DSGVO eingehalten sind.

PepperShop Konfiguration und Anwendung

Basiskonfiguration:

• Beantragen Sie bei uns kostenlos einen Auftragsverarbeitungsvertrag (AVV) via support@glarotech.ch falls Sie noch keinen AVV-Link erhalten haben.
• Webshop: Schalten Sie den PepperShop internen Consent Manager ein (falls sie nicht schon eine andere Lösung in Betrieb haben): „Einstellungen“ – „Allgemein“ – „Shop-Konfiguration“ oder „System-Konfiguration“: Je ein Häkchen setzen bei „Cookie Manager verwenden“ und „Standardmässig essentielle Cookies“ und mit Klick auf „Speichern“ bestätigen
• Webshop: Prüfen Sie die Aktualität und Verlinkung Ihrer „Datenschutzerklärung“ (Bearbeitung, siehe in der Administration: „Inhalte“ – „Seiten“ – „Datenschutzerklärung“, diese wird vom System automatisch um Cookie-Informationen ergänzt und im Consent-Manager verlinkt. Verlinkung: Bitte im Footer verlinken). Eine mögliche Vorlage der Datenschutzerklärung finden Sie auf https://www.dsat.ch
• Konfigurieren Sie den Shop so, dass Besucher*innen informiert werden, wie Sie Daten verarbeiten, bevor die Daten übermittelt werden: „Einstellungen“ – „Allgemein“ – „Kundeninfos / Widerruf / AGB“. Setzen Sie ein Häkchen bei folgenden Orten:
  • Datenschutzerklärung:
    • [X] Soll der Kunde zwingend die Datenschutzerklärung bei allen Formularen akzeptieren, bei welchen personenbezogene Daten erfasst werden? Z.B. „Newsletter“, „Artikel nicht gefunden“ und „Kontakt“
    • [X] Soll der Kunde zwingend die Datenschutzerklärung akzeptieren, bevor er seine Daten im Formular für eine Neuregistrierung eingibt?
• Wenn Sie das Newsletter-Modul verwenden, bitte via „Marketing“ – „Newsletter“ – „Einstellungen / Export Link“ – „Vorwahl“: Auf „nein“ setzen und speichern. Je nachdem müssen Sie zuoberst bei Export-Benutzername und -Passwort noch individuelle Angaben hinterlegen – auch wenn Sie diese Exportfunktion nicht verwenden.
• Wenn Sie externe Systeme wie z.B. den Google Tag-Manager verwenden, stellen Sie einen Datenschutz konformen Betrieb sicher (siehe auch hier)
• Firmeninterne Themen: Gehen Sie alle im oberen Kapitel erwähnten Punkte systematisch an.

Auskunfts- oder Löschbegehren:

Wenn Sie ein Auskunfts- oder Löschbegehren erhalten, können Sie dies in der Administration im Kundenprofil für die in Ihrem PepperShop gespeicherten Daten handhaben:

• Gehen Sie zu „Kunden/Bestellungen“ – „Kundenmanagement“
• Wählen Sie den oder die betroffene/n Kundendatensätze aus und klicken Sie jeweils auf „Bearbeiten“
• Ganz nach unten Scrollen, bei „DSGVO-Datenverwaltung“ nach rechts scrollen und das v-Symbol zum Ausklappen des Bereichs anklicken
• Nun stehen drei Operationen zur Verfügung: „Gespeicherte Daten ansehen“, „Gespeicherte Daten herunterladen“ und „Gespeicherte Daten löschen“
• Beim Löschvorgang die Angaben beachten oder ggf. zuerst rechtlich prüfen, ob der Vorgang nicht wegen anderer Gesetzgebungen erst später erfolgen darf (Aufbewahrungsdauer)

Weiterführende Informationen / Dokumentation:

• Umsetzung CH-DSG / EU-DSGVO