Der Datenschutz wird noch wichtiger – Bereiten Sie sich vor

Ab dem 1. September 2023 gilt in der Schweiz ein neues Datenschutzgesetz. Was wird sich genau ändern? Und was heisst das für Ihr Unternehmen?

Das aktuelle Datenschutzgesetz wurde 1993 eingeführt und wurde seither lediglich marginal angepasst. Durch die immer grösseren Datenfluten ist der Handlungsbedarf natürlich stets gewachsen. Als 2018 die Europäische Union die DSGVO eingeführt hatte, war die Schweiz im Datenschutz auf einmal schlechter aufgestellt, als das umliegende Europa. In der vernetzten Wirtschaft ist dies für die Schweiz jedoch ein Problem.

In Zukunft betrifft das Schweizer Datenschutzgesetz nur Daten von bestimmbaren natürlichen Personen. Firmen und andere juristische Personen sind nicht betroffen. Jeglicher Umgang mit Personendaten ist davon betroffen. Namentlich beinhaltet dies die Beschaffung, das Speichern oder Aufbewahren, das Verwenden, das Verändern, die Bekanntgabe, die Übermittlung oder Zugänglichmachung sowie das Löschen oder Vernichten von Personendaten.

Die Bearbeitung von Personendaten kann die Persönlichkeitsrechte der betroffenen Person verletzen. Zum Ziel der Gesetzesrevision gehört neben der Anpassung an die technologischen Entwicklungen eine Stärkung der Selbstbestimmung über die persönlichen Daten und mehr Transparenz bei der Beschaffung von Personendaten. Zudem wurde eine gewisse Angleichung an die EU-DSGVO angestrebt.

Eine gewichtige Änderung des DSG ist die Informationspflicht. Betroffene Personen müssen zwingend bei der Datenbeschaffung darüber informiert werden, welche Daten erfasst und gespeichert werden sowie an Dritte übermittelt werden. Die Daten dürfen lediglich für den angegebenen Zweck bearbeitet werden und die Datensicherheit muss gewährleistet werden.

Outbound-Marketing

Beim Versand von Werbung, welche auf Personendaten beruht (Adresse, Name, E-Mail-Adresse etc.) ist eine vorgängige Einwilligung der betroffenen Person erforderlich. Diese Einwilligung muss dokumentiert sein. Beispielsweise bei Newsletter gilt das Double-Opt-in-Verfahren als rechtlich sichere Variante. Hier wird bei der Anmeldung zum Newsletter erst ein Verifizierungslink versendet, wo der Empfänger die Anmeldung bestätigt.

Ebenfalls kann eine Einwilligung für die Zustellung von Werbesendungen über die AGB erfolgen, sofern diese separat in einem Absatz stehen und farblich oder mittels fetter Schriftart hervorgehoben werden. Es wird jedoch von Rechtsexperten geraten, die Einwilligung dezidiert und klar dokumentiert einzufordern, beispielsweise über eine optionale Checkbox, die aktiv angeklickt werden muss.

Eine einfache Abmeldemöglichkeit muss gewährleistet und es muss darauf hingewiesen werden. Generell ist solch eine Aufforderung, ob persönlich, telefonisch oder über eine technische Lösung, für das Unternehmen zwingend. Bei vielen Personendaten ist daher eine zentrale Datenbank (z.B. CRM-System) eine geeignete Lösung.

Bezüglich Cloud-Systemen wird von Rechtsexperten geraten, auf Provider zurückzugreifen, welche die Europäische bzw. Schweizer Vorschriften einhalten. Für Anbieter aus Drittstaaten, insbesondere aus den USA, sollte dringend darauf geachtet werden, dass diese einen Auftragsverarbeitungsvertrag (AVV/DPA) anbieten.

Personen haben das Recht, von Unternehmen sämtliche gespeicherten Daten herausgeben zu lassen oder, sofern kein Bedarf für die Datenverwendung besteht, löschen zu lassen. Die Herausgabe muss in einem gängigen elektronischen Format und innerhalb einer kurzen Frist sichergestellt werden.

Im Gegensatz zur EU-DSGVO ist es nicht zwingend einen Datenschutzbeauftragten zu ernennen, sowie für KMU (<250 MA) ist kein Datenverarbeitungsverzeichnis nötig*. Gehören jedoch EU-Einwohner zum Zielpublikum, müssen nach wie vor die DSGVO-Richtlinien beachtet werden.

Inbound-Marketing

Besucht ein User eine Website, werden Personendaten oftmals mittels Cookies bearbeitet. Technisch notwendige Cookies benötigen keine Einwilligung, etwa wie der Warenkorb beim Onlineshopping. Jedoch sind bei Performance Cookies sowie Werbe- und Tracking Cookies eine Einwilligung erforderlich. Für den User muss ersichtlich sein, welche Daten zu welchem Zweck bearbeitet werden und ob diese an Drittanbieter weitergegeben werden. Ein Cookie Banner ist hier eine gängige Lösung.

Wenn über die Website Waren oder Dienstleistungen angeboten werden, ist ein Impressum rechtlich notwendig. Aber auch in anderen Fällen ist ein Impressum auf jeden Fall vertrauensfördernd, auch wenn keine Pflicht besteht. Ins Impressum gehören zumindest der Firmenname, die Postadresse sowie eine E-Mail-Adresse.

Jedes Unternehmen mit einer Website hat eine Informationspflicht über die Datenverarbeitung, da auch die IP-Adresse zu den Personendaten gehören. Dies wird idealerweise über eine Datenschutzerklärung auf der Website zugänglich gemacht. Diese Unterseite muss jederzeit zugänglich sein, daher bietet sich dafür der Footer sehr gut an. Bei der Übermittlung von Formularen soll die Akzeptanz der Datenschutzerklärung klar definiert sein, beispielsweise über eine Checkbox.

Auf Kontakt- oder Bestellformularen – sei dies Print oder Online – wird empfohlen einen optionalen Marketing-Consent einzuholen. Das heisst, eine freiwillige Einverständniserklärung für die Zusendung von Marketing-Material, beispielsweise via Checkbox.

Mit dem neuen Datenschutzgesetz kommen einige Neuerungen hinzu. Es lohnt sich also, sich schon jetzt Gedanken darüber zu machen, wo Handlungsbedarf besteht und allfällige Prozesse bereits anzupassen. Wir von MisSpelling beraten Dich gerne individuell darüber.

*Ausgenommen bei ganz bestimmten Arten der Datenverarbeitung.
Quellen: Gryps AG, Julian Schenkel (AXA-ARAG Rechtschutz AG), Benjamin Kocher (Stuiq AG)