{"id":19607,"date":"2023-09-04T10:00:00","date_gmt":"2023-09-04T08:00:00","guid":{"rendered":"https:\/\/marketing.ch\/?p=19607"},"modified":"2023-09-01T10:50:57","modified_gmt":"2023-09-01T08:50:57","slug":"das-neue-datenschutzgesetz-ndsg-in-der-schweiz-ist-da-hast-du-deine-hausaufgaben-gemacht","status":"publish","type":"post","link":"https:\/\/marketing.ch\/digital-marketing\/das-neue-datenschutzgesetz-ndsg-in-der-schweiz-ist-da-hast-du-deine-hausaufgaben-gemacht\/","title":{"rendered":"Das neue Datenschutzgesetz (nDSG) in der Schweiz ist da\u00a0 &#8211; hast du deine Hausaufgaben gemacht?\u00a0"},"content":{"rendered":"\n<p><strong>Der Bundesrat hat das neue totalrevidierte Datenschutzgesetz (nDSG) bereits am 31. August 2022 beschlossen. Um den Unternehmen genug Zeit zu geben, die neuen Bestimmungen des Gesetzes in die Praxis umzusetzen, wurde aber festgelegt, dass dieses am 1. September 2023 in Kraft tritt. Und das bedeutet auch f\u00fcr Unternehmen, dass sie einiges beachten m\u00fcssen hinsichtlich <a href=\"https:\/\/marketing.ch\/digital-marketing\/michael-senn-erklaert-liegt-die-zukunft-des-digitalen-marketings-im-serverseitigen-tracking\/\" target=\"_blank\" data-type=\"link\" data-id=\"https:\/\/marketing.ch\/digital-marketing\/michael-senn-erklaert-liegt-die-zukunft-des-digitalen-marketings-im-serverseitigen-tracking\/\" rel=\"noreferrer noopener\">ihrer digitalen Auftritte<\/a>. Hast du deine Hausaufgaben gemacht? Im Folgenden gebe ich einen \u00dcberblick \u00fcber die wichtigsten Aspekte.<\/strong><\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Neues mit EU-Recht vereinbares Datenschutzgesetz f\u00fcr das digitale Zeitalter<\/h2>\n\n\n\n<p>Grunds\u00e4tzlich legt das Schweizer DSG, das erstmalig 1992 verabschiedet wurde, die Prinzipien f\u00fcr die Bearbeitung von Personendaten fest und regelt die Pflichten derjenigen, die pers\u00f6nliche Daten bearbeiten. Damit ist es das Pendant zu der Datenschutzgrundverordnung (DSGVO) der EU. Zentraler Zweck beider Gesetze ist die Wahrung des Grundrechts auf informationelle Selbstbestimmung und der Schutz der Privatsph\u00e4re. Eine Revision des alten DSG war notwendig, um den technologischen Entwicklungen, der digitalen Transformation der Gesellschaft gerecht zu werden, die Transparenz hinsichtlich der Beschaffung von Personendaten zu erh\u00f6hen und allgemein die Selbstbestimmung \u00fcber die pers\u00f6nlichen Daten zu st\u00e4rken und Missbrauch zu verhindern. In diesem Zusammenhang st\u00e4rkt das Gesetz auch die Befugnisse und M\u00f6glichkeiten der verantwortlichen Kontrollorgane und f\u00f6rdert deren Unabh\u00e4ngigkeit.<\/p>\n\n\n\n<p>Das neue DSG ist so auch noch besser an die aktuelle EU-DSGVO angepasst, sodass die Schweiz von der EU weiterhin als Drittstaat mit angemessenem Datenschutzniveau eingestuft werden kann und die grenz\u00fcberschreitende Daten\u00fcbermittlung auch zuk\u00fcnftig ohne zus\u00e4tzliche Anforderungen m\u00f6glich bleibt, was f\u00fcr den Wirtschaftsstandort und die Wettbewerbsf\u00e4higkeit der Schweiz ganz wichtig ist. Damit das neue Gesetz auch tats\u00e4chlich eingehalten wird, wurden neben der St\u00e4rkung der Datenschutzaufsicht auch strengere Strafbestimmungen eingef\u00fchrt, bisherige Straftatbest\u00e4nde erweitert und die bislang geltende Bussenobergrenze f\u00fcr Verst\u00f6sse von CHF 10&#8217;000 auf CHF 250&#8217;000 bei einer Verj\u00e4hrungsfrist von f\u00fcnf Jahren angehoben. Diese Obergrenze gilt \u00fcbrigens im Gegensatz zur EU-DSGVO, in der nur Strafzahlungen f\u00fcr Unternehmen vorgesehen sind, auch f\u00fcr verantwortliche Privatpersonen.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Die wichtigsten Neuerungen f\u00fcr Websites im \u00dcberblick<\/h2>\n\n\n\n<p>F\u00fcr wen gilt das neue DSG einschlie\u00dflich der dazugeh\u00f6rigen Ausf\u00fchrungsbestimmungen und Verordnungen? Grunds\u00e4tzlich gilt es f\u00fcr die Bearbeitung von Personendaten sowohl durch Akteure des privaten als auch des \u00f6ffentlichen\/staatlichen Sektors. Demzufolge sind private Unternehmen (auch internationale, die in der Schweiz aktiv sind), aber auch Vereine und prinzipiell auch Privatpersonen davon betroffen. Dabei m\u00fcssen Unternehmen und Vereine sich in aller Regel an die Vorgaben des Datenschutzrechts halten, w\u00e4hrend Privatpersonen, solange sie Personendaten nur zum pers\u00f6nlichen Gebrauch bearbeiten, davon ausgenommen sind. Bei genauerem Hinsehen bedeutet \u201ezum pers\u00f6nlichen Gebrauch\u201c aber nur das Bearbeiten von pers\u00f6nlichen Daten im ganz engen Privat- und Familienleben, also im Familien- und Freundeskreis. Das trifft bei einer \u00f6ffentlichen Website im Normalfall nicht zu, so dass private Website-Betreiber deswegen, genauso wie kommerzielle, regelm\u00e4ssig dem neuen DSG unterliegen.<\/p>\n\n\n\n<p>Was aber versteht man unter \u201ePersonendaten\u201c genau? Darunter fallen im Prinzip alle Daten, die sich auf eine bestimmte oder bestimmbare nat\u00fcrliche Person beziehen. In der Praxis kann dies unter Umst\u00e4nden sogar eine einfache IP-Adresse sein.<\/p>\n\n\n\n<p>Sehr weit gefasst ist auch der Begriff \u201ebearbeiten\u201c, f\u00e4llt doch darunter so ziemlich alles, was man mit Daten machen kann, vom Beschaffen, \u00fcbers Speichern, Aufbewahren, Verwenden f\u00fcr bestimmte Zwecke, Ver\u00e4ndern, Bekanntmachen, Archivieren bis hin zum L\u00f6schen oder Vernichten, wobei das bei der bisherigen Gesetzeslage nicht anders war. Eine \u201eErleichterung\u201c bringt die Revision immerhin mit sich: Das neue DSG ist nicht mehr anwendbar, wenn Daten, die sich auf eine juristische Person beziehen, bearbeitet werden. Aber Vorsicht: Die einzelnen Mitarbeiter eines Unternehmens unterliegen sehr wohl dem Schutz des DSG. Was gilt bez\u00fcglich der Datenbearbeitung? Hier \u00e4ndert sich durch die Revision nichts grunds\u00e4tzlich: Die Bearbeitung von Personendaten ist grunds\u00e4tzlich erlaubt, muss aber recht- und verh\u00e4ltnism\u00e4ssig sein und nach Treu und Glauben erfolgen. Wichtig: Daten d\u00fcrfen nur zu dem Zweck bearbeitet werden, f\u00fcr den sie erhoben wurden, wobei der Zweck f\u00fcr die betroffene Person auch erkennbar sein muss. Werden Personendaten zu einem anderen Zweck bearbeitet oder andere datenschutzrechtliche Grunds\u00e4tze verletzt, kann eine Pers\u00f6nlichkeitsverletzung vorliegen. Eine solche kann jedoch gerechtfertigt werden, ist also nicht widerrechtlich, wenn ein \u00fcberwiegendes privates oder \u00f6ffentliches Interesse besteht oder wenn die betroffene Person einwilligt.<\/p>\n\n\n\n<p>Sobald sie nicht mehr f\u00fcr den Zweck der Bearbeitung notwendig sind, m\u00fcssen Personendaten gel\u00f6scht bzw. anonymisiert werden.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Auch die technischen Massnahmen m\u00fcssen im Blick behalten werden<\/h2>\n\n\n\n<p>Das neue Datenschutzgesetz bringt auch umfassendere Informationspflichten mit sich, d.h. die f\u00fcr die Datenverarbeitung Verantwortlichen m\u00fcssen die Betroffenen \u00fcber den Zweck und Umfang der Verarbeitung informieren, wobei dies neuerdings f\u00fcr alle Daten gilt und nicht nur wie bisher f\u00fcr besonders sch\u00fctzenswerte. Dies geschieht in der Regel mittels einer Datenschutzerkl\u00e4rung. Diesbez\u00fcglich sollten Unternehmen ihre bestehenden Datenschutzerkl\u00e4rungen \u00fcberpr\u00fcfen (lassen) und gegebenenfalls an die neuen Bestimmungen anpassen. Weiterhin ist darauf zu achten, dass die Datenschutzerkl\u00e4rung auf einer Website leicht aufzufinden ist und nicht durch den Benutzer akzeptiert werden muss, sondern stattdessen dar\u00fcber informiert wird, wo sie zu finden ist.<\/p>\n\n\n\n<p>Des Weiteren wird f\u00fcr Unternehmen und Organisationen mit 250 und mehr Mitarbeitern das Anlegen eines recht detaillierten Verzeichnisses aller Bearbeitungst\u00e4tigkeiten verpflichtend, was mit einem erheblichen Umsetzungsaufwand verbunden sein d\u00fcrfte, vor allem wenn man sich in der bisherigen Praxis noch nicht an der EU-DSGVO orientiert hat.<\/p>\n\n\n\n<p>Was die Sicherheit der Datenverarbeitung betrifft, sind die Verantwortlichen bzw. von diesen eingesetzten Auftragsbearbeiter verpflichtet, diese mittels technischer und organisatorischer Massnahmen zu gew\u00e4hrleisten. Dazu geh\u00f6rt beispielsweise, dass der <a href=\"https:\/\/marketing.ch\/marketing-strategie\/im-interview-mit-juan-baron-die-zukunft-des-marketings-ohne-third-party-cookies\/\" target=\"_blank\" data-type=\"link\" data-id=\"https:\/\/marketing.ch\/marketing-strategie\/im-interview-mit-juan-baron-die-zukunft-des-marketings-ohne-third-party-cookies\/\" rel=\"noreferrer noopener\">Zugriff auf Personendaten<\/a> nur f\u00fcr diejenigen (Mitarbeiter, Vereinsmitglieder usw.) m\u00f6glich sein soll, die den Zugriff beispielsweise f\u00fcr die Erf\u00fcllung ihrer dienstlichen Aufgaben auch tats\u00e4chlich ben\u00f6tigen. Idealerweise sollten diejenigen, die mit Personendaten zu tun haben, auch geschult werden, um die Bearbeitung gesetzeskonform durchf\u00fchren zu k\u00f6nnen. Zu den technischen Massnahmen k\u00f6nnen eingeschr\u00e4nkte Zugriffsrechte oder Firewalls geh\u00f6ren. Websites und andere IT-Systeme sollten zudem technisch immer auf dem aktuellen Stand gehalten werden, um die Entstehung von potenziell schwerwiegenden Sicherheitsl\u00fccken zu vermeiden.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Technische Aspekte spielen bei der Umsetzung eine grosse Rolle<\/h2>\n\n\n\n<p>Ohnehin sieht das neue Datenschutzgesetz das Prinzip \u201ePrivacy by default\/design\u201c vor. Darunter versteht man den Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen. So wird es jetzt verpflichtend, Datenbearbeitungen technisch und organisatorisch von vornherein so zu designen, dass sie datenschutzrechtlich-konform sind, und auch dass Voreinstellungen m\u00f6glichst datenschutzfreundlich ausgestaltet sind. Dazu geh\u00f6rt f\u00fcr Betreiber von Websites, Apps oder anderer Software, dass, wenn sie unterschiedliche Einstellungen zum Datenschutz anbieten, die datenschutzfreundlichste Variante immer als Standardeinstellung vorgesehen ist.<\/p>\n\n\n\n<p>Sollte es trotzdem vorkommen, dass die Vertraulichkeit, Integrit\u00e4t oder Verf\u00fcgbarkeit von Personendaten gef\u00e4hrdet werden und sich daraus ein hohes Risiko f\u00fcr betroffene Personen ergeben, muss diese Verletzung der Datensicherheit dem Eidgen\u00f6ssischen Datenschutz- und \u00d6ffentlichkeitsbeauftragten (ED\u00d6B) schnellstm\u00f6glich gemeldet werden (in der EU-DSGVO ist daf\u00fcr eine konkretere 72-Stunden-Frist verankert). Damit dies im Fall des Falles auch gew\u00e4hrleistet ist, sollten in Unternehmen funktionierende Strukturen und Prozesse etabliert werden.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Fazit<\/h2>\n\n\n\n<p>Das nDSG bringt einige neue Bestimmungen mit sich, auf die Unternehmen vorbereitet sein m\u00fcssen, um potenziell hohe Strafzahlungen auch f\u00fcr verantwortliche Privatpersonen zu vermeiden. Damit kann ein erheblicher Aufwand verbunden sein. Allerdings sind Unternehmen da nicht alleine und k\u00f6nnen sich, vor allem wenn die Zeit und Expertise daf\u00fcr fehlt, professionell beraten lassen. Ob deine Website nDSG-konform ist, kannst du jetzt hier kostenlos \u00fcberpr\u00fcfen lassen: <a href=\"https:\/\/marketing.sichtbar.ag\/ndsg-schweiz\" target=\"_blank\" rel=\"noreferrer noopener\">https:\/\/marketing.sichtbar.ag\/ndsg-schweiz<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Der Bundesrat hat das neue totalrevidierte Datenschutzgesetz (nDSG) bereits am 31. August 2022 beschlossen. Um den Unternehmen genug Zeit zu geben, die neuen Bestimmungen des Gesetzes in die Praxis umzusetzen, wurde aber festgelegt, dass dieses am 1. September 2023 in Kraft tritt. Und das bedeutet auch f\u00fcr Unternehmen, dass sie einiges beachten m\u00fcssen hinsichtlich ihrer [&hellip;]<\/p>\n","protected":false},"author":294,"featured_media":19633,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"inline_featured_image":false,"footnotes":""},"categories":[173],"tags":[],"class_list":["post-19607","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-digital-marketing"],"acf":[],"_links":{"self":[{"href":"https:\/\/marketing.ch\/wp-json\/wp\/v2\/posts\/19607"}],"collection":[{"href":"https:\/\/marketing.ch\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/marketing.ch\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/marketing.ch\/wp-json\/wp\/v2\/users\/294"}],"replies":[{"embeddable":true,"href":"https:\/\/marketing.ch\/wp-json\/wp\/v2\/comments?post=19607"}],"version-history":[{"count":1,"href":"https:\/\/marketing.ch\/wp-json\/wp\/v2\/posts\/19607\/revisions"}],"predecessor-version":[{"id":19610,"href":"https:\/\/marketing.ch\/wp-json\/wp\/v2\/posts\/19607\/revisions\/19610"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/marketing.ch\/wp-json\/wp\/v2\/media\/19633"}],"wp:attachment":[{"href":"https:\/\/marketing.ch\/wp-json\/wp\/v2\/media?parent=19607"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/marketing.ch\/wp-json\/wp\/v2\/categories?post=19607"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/marketing.ch\/wp-json\/wp\/v2\/tags?post=19607"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}