Neues CH-Datenschutzgesetz (nDSG)

Neues Datenschutzgesetz

Ab 2023 ändern sich mit der Revision des Schweizer Datenschutzgesetzes (nDSG) eine Reihe wichtiger Bestimmungen, welche auch Webseiten-Betreiber betreffen. Vor allem im Zusammenhang mit der Bearbeitung von personenbezogenen Daten kommen verschärfte Regeln zum Einsatz. Die Schweiz steht seit einiger Zeit unter Druck der EU, welche eine Angleichung an die Europäische Datenschutz-Grundverordnung (DSGVO) fordert, welche im Mai 2018 in Kraft getreten ist.

Ausgangslage

Das Schweizer Parlament hat sich nach über 3 Jahren Verhandlungen im September 2020 zu einem neuen Gesetz durchgerungen. Offen ist noch die Entscheidung des Schweizer Bundesrates, wann der Zeitpunkt für die Inkraftsetzung des revidierten Datenschutzgesetzes (nDSG) sein wird. In Fachkreisen wird vermutet, dass dies Mitte bis Ende 2022 oder Anfang 2023 sein wird. Es ist zu beachten, dass es keine Übergangsfrist gibt und das Gesetz sofort in Kraft tritt.

Nachtrag vom 31.08.2022:
Das neue Schweizer Datenschutzgesetz (nDSG) tritt nun definitiv am 1. September 2023 in Kraft, dies hat der Bundesrat heute entschieden, siehe Medienmitteilung.
Siehe auch neuer Beitrag: Sind Sie bereit für das neue Datenschutzgesetz?

Bisher hatte man kaum etwas zu befürchten, wenn das bestehende Schweizer Datenschutzgesetz (DSG) nicht eingehalten wurde. Mit dem neuen Datenschutzgesetz ändert sich dieser Sachverhalt schlagartig. Waren bisher die Mittel des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) nur auf Abklärungen beschränkt, so kann er nun mit dem nDSG Verfahren führen und man könnte bei groben Datenschutzverletzungen mit bis zu CHF 250‘000 gebüsst werden.

Welches Datenschutzrecht kommt zur Anwendung?

Ein Webseiten-Betreiber muss sich zunächst bewusst sein, dass in Abhängigkeit vom entsprechenden Zielpublikum einer Website unterschiedliche Datenschutzverordnungen zur Anwendung gelangen können:

  • Bei einer Website, dessen Zielpublikum ausschliesslich in der Schweiz liegt, gilt das Schweizer Datenschutzgesetz (nDSG).
  • Eine Website, dessen Angebot (z.B. Webshop, Newsletter, usw.) sich auch an EU-Bürger richtet, muss nebst dem nDSG auch die Europäische Datenschutz-Grundverordnung (DSGVO) einhalten. Dies ist zu beachten, wenn ein Schweizer Webshop-Betreiber z.B. auch das Fürstentum Liechtenstein beliefern möchte.

Zum Glück fordert das nDSG keine lästigen Cookie-Banner, wie sie im EU-Raum gefordert sind, doch müssen eingesetzte Cookies sowie eventuelle Dienste von Drittanbietern in der Datenschutzerklärung genau deklariert sein und es müssen Aufträge von Drittanbietern durch einen Auftragsverarbeitungsvertrag (AVV, frühere Bezeichnung ADV) abgesichert sein.

Probleme ergeben sich dabei, wenn Dienste von Drittanbietern in den USA genutzt werden, da der sog. Pivacy Shield durch den Europäischen Gerichtshof (EuGH) am 16.07.2020 als unwirksam erklärt wurde. Mit dem Privacy Shield bestand für amerikanische Unternehmen die Möglichkeit, freiwillig einen angemessenen Datenschutz gegenüber Personen in Europa zu gewährleisten. (Mehr Informationen siehe unten stehender Link auf Blog von Martin Steiger).

Personenbezogene Daten

Wer im Internet surft, hinterlässt in der Regel unweigerlich eine Datenspur. Das Datenschutzgesetz soll helfen, dass jeder Internet-Benutzer selber entscheiden kann, ob und wie seine Personendaten im Web hinterlassen werden.

Zur Einhaltung des Datenschutzrechts sollte ein Webseiten-Betreiber notwendigerweise wissen, welche personenbezogenen Daten (Personendaten) wo, wie und wofür bearbeitet werden. Bei Personendaten handelt es sich dabei nicht nur um persönliche Daten wie Name, Adresse, usw. Zu diesen Daten werden auch die IP-Adressen der Webseiten-Besucher/innen gezählt.

Je nach verwendeten Internet-Komponenten (Plugins) sowie Diensten von Drittanbietern, werden sog. Cookies generiert und gespeichert. Zudem werden oftmals Server der Drittanbieter eingebunden, welche sich in den meistens Fällen im Ausland befinden. Es kommen auch sog. Zählpixel zur Anwendung.

Das Datenschutzgesetz (nDSG) fordert, dass Webseiten-Betreiber diese Aktionen exakt in Form einer Datenschutzerklärung deklarieren müssen. Es muss darin auch über die Rechtsgrundlagen der Verarbeitung von personenbezogenen Daten informiert werden, zum Beispiel Recht auf Auskunft, Widerspruch und Löschung.

Cookies müssen in der Datenschutzerklärung deklariert werden. Cookie-Banner sind jedoch gemäss nDSG in der Schweiz im Gegensatz zum EU-Raum nicht erforderlich.



Was sind Cookies?

Cookies (engl. „Kekse“) sind kleine Textdateien, die im Browser des Internet-Benutzers zwischengespeichert werden.

Allgemein werden zweierlei Arten von Cookies unterschieden:

  1. Session-Cookies (oft auch ‚gute‘ Cookies genannt), welche zum Beispiel zur Funktionalität eines Webshop-Warenkorbs oder für die Spracheinstellung einer mehrsprachigen Webseite zum Einsatz kommen. Diese Cookies sind unproblematisch.
  2. Tracking-Cookies (sog. ‚böse‘ Cookies), welche für Werbe- und Analysezwecke verwendet werden.

In jedem Webbrowser ist es möglich, die Speicherung von Cookies auf dem Endgerät generell zu verhindern oder zu löschen. Dieser Vorgang ist in der Hilfe-Funktion des jeweiligen Webbrowsers beschrieben.

Dienste von Dritten müssen ebenfalls in der Datenschutzerklärung deklariert werden.
Hier eine Liste von möglichen Diensten von Drittanbietern:

  • Dienste für Webseiten-Analyse und Tracking-Dienste wie zum Beispiel Google Analytics
  • Werbedienste wie Google AdWords / AdSense
  • Inhalte und Plugins von Social Media-Plattformen wie beispielsweise Facebook oder Instagram
  • Newsletter-Dienste wie beispielsweise MailChimp
  • Dienste für Kartenmaterial, Schriftarten oder Videos wie beispielsweise Google Maps, Google-Fonts oder Vimeo sowie YouTube.
  • Komponenten von Websites, die bei Dritten gehostet werden, müssen erwähnt werden, zum Beispiel Spamschutz mit Google reCAPTCHA.

Da diese Dienste meistens auf ausländischen Servern ablaufen, ist es sinnvoll mit jedem Dienster einen sog. AVV-Vertrag abzuschliessen, welcher den Datenschutz des entsprechenden Dienstes garantiert. Zudem muss dies in der Datenschutzerklärung vermerkt sein.

Ob eine Website Cookies generiert und / oder Dienste von Dritten beansprucht, kann mit dem Webbkoll Online-Tool getestet werden.


Signet Cookie freie Website

In eigener Sache:
Einige von mir entwickelten Websites generieren keine Cookies und nehmen keine Dienste von Drittanbietern in Anspruch -> siehe Referenzen. Gerne entwickle ich für Sie einen Cookie-freien und von Drittanbietern befreiten Internet-Auftritt.

Damit personenbezogene oder andere vertrauliche Daten beim Übermitteln über ein Kontaktformular oder beim Bestellvorgang in einem Webshop nicht von Dritten mitgelesen werden können, muss die Datenübertragung zwingend durch eine SSL-Verschlüsselung geschützt sein.
Die meisten Web-Hoster bieten kostenlose Verschlüsselungs-Zertifikate von Lets‘ Encrypt an. Eine verschlüsselte Verbindung erkennt man am Eintrag von «https://» in der Adresszeile des Browsers und am Schloss-Symbol in der Browserzeile.

Datenschutzerklärung

Es ist erstaunlich, dass viele Websites in der Schweiz noch nicht eine Datenschutzerklärung enthalten. Mit einer Datenschutzerklärung auf der Webseite wird die Informationspflicht gemäss dem neuen Datenschutzgesetz (nDSG) umgesetzt. Sie muss dem Webseiten-Besucher eine vollständige Einsicht gewähren, wie, wo und wozu die Personendaten verarbeitet werden.

Einleitende Texte wie „der Schutz Ihrer Daten ist uns wichtig“ wirken weniger glaubwürdig, als eine umfassende und transparente Information über den Umgang mit Personendaten, zudem haben solche Sätze rechtlich keine Bedeutung.

Weiter ist es nicht sinnvoll, die Datenschutzerklärung mit dem Impressum und den Allgemeinen Geschäftsbedingungen (AGB) zu vermischen, da jeder dieser Bestandteile einem anderen Zweck dient.
Es sollten für die Datenschutzerklärung, das Impressum (siehe Impressumspflicht) und die AGB separate Seiten erzeugt werden, welche im Fussbereich der Webseite von jeder Seite aus aufrufbar sein sollten.



In der Schweiz gibt es eine Impressumspflicht

Das Gesetz gegen den unlauteren Wettbewerb (UWG) verlangt von den Betreibern von Webseiten klare und vollständige Angaben über deren Identität sowie eine Post- und E-Mail-Adresse (Art. 3 Abs. 1 lit. s UWG).

Zur Erfüllung der Impressumspflicht sollten folgende Angaben gemacht werden:

  • Name des Unternehmens oder der Organisation
  • Vorname und Name der verantwortlichen Person
  • Vollständige Postadresse (Postfach alleine reicht nicht)
  • E-Mail-Adresse

Empfehlenswert sind diese ergänzenden Angaben:

  • Rechtsform der Unternehmung
  • Telefon- und Faxnummer
  • Mehrwertsteuernummer (falls vorhanden)
  • UID oder Handelsregisternummer (falls vorhanden)

Siehe auch unten stehender Blog-Beitrag von Martin Steiger.

Die Datenschutzerklärung sollte in der gleichen Sprache wie die Website abgefasst sein und bei mehrsprachigen Websites alle vorhandenen Sprachen enthalten.

Gemäss Datenschutzgesetz  (nDSG) muss ein Webseiten-Betreiber folgende Angaben mittels einer Datenschutzerklärung bereitstellen:

  • Angabe des Webseiten-Betreibers oder des Verantwortlichen der Website, sowie dessen Kontaktmöglichkeit.
  • Angabe der Zwecke, für die personenbezogene Daten bearbeitet werden.
  • Angabe der Empfänger von bearbeiteten Personendaten.
  • Informationen, wie ein allfälliger Datentransport abgesichert ist.
  • Informationen über Rechte der Webseiten-Besucher im Zusammenhang mit dem Datenschutz.

Folgende konkrete Angaben sollte somit eine Datenschutzerklärung enthalten:

  • Nennung des Verantwortlichen für Datenschutz auf der Website mit Link zum Impressum.
  • Informationen über eine allfällige verschlüsselte SSL-Verbindung (dies ist Pflicht bei Datenübertragung mittels eines Kontaktformulars oder bei einem Webshop).
  • Informationen über Server-Log-Dateien des Hosters.
  • Informationen über die generierten Cookies.
  • Informationen über Drittanbieter mit den entsprechenden Links zu deren Datenschutzerklärungen, wie z.B. :
    • Google-Dienste: Google Maps, Google Analytics, Google Werbedienste (AdWords / AdSense), Google Fonts (Einbindung von Schriftbibliotheken), Spamschutz mit reCAPTCHA, usw.
    • Social Media Plugins von Facebook und Instagram
    • Einbettung von Videos von Vimeo und YouTube
    • Newsletter-Dienste z.B. von MailChimp
    • usw.
  • Informationen über die Verwendung eines Kontaktformulars.
  • Informationen über die Verwendung und Bearbeitung von personenbezogenen Daten.
  • Informationen über Recht auf Auskunft, Widerspruch und Löschung von Personendaten.

Hier noch ein Beispiel, wie man es nicht machen sollte:



So nicht! – Beispiel einer im Internet gefundenen Datenschutzerklärung

„Diese Website benutzt Cookies und den ganzen anderen modernen Datensammelshit. Diese Webseite ist daher mit den Diensten von Google (Analytics, AdSense, usw.) verbunden. Wenn Du diese Website weiter nutzt, gehe ich davon aus, dass du die ganzen Datenschutzbedingungen von sämtlichen hier verwendeten Googlediensten gelesen, verstanden und auch akzeptiert hast. Falls Du ein Problem mit einem der Punkte hast musst du diese Webseite sofort schliessen, dein Browsercache löschen und darüber nachdenken ob Du das Internet jemals wieder betreten möchtest.“

Weitere Informationen über die Erstellung einer Datenschutzerklärung, kann im unten stehenden Blog-Beitrag von Martin Steiger nachgelesen werden.

Fazit

Da es bei der voraussichtlichen Inkraftsetzung des neuen Schweizer Datenschutzgesetzes (nDSG), Mitte – Ende 2022 oder Anfangs 2023, keine Übergangsfristen gibt, sollte man sich jetzt schon mit dem Datenschutzgesetz und dessen Umsetzung befassen. Jede Website benötigt zwingend eine Datenschutzerklärung und ein Impressum. Zudem müssen vielleicht noch entsprechende Datenschutzverträge mit Drittanbietern abgeschlossen werden.

Wie Martin Steiger in seinem unten stehenden Blog-Beitrag schreibt, sei niemand in der Lage, das Datenschutzgesetz zu 100% einzuhalten, da dies am Aufwand und an Widersprüchen scheitern würde.
In konkreten Fällen ist es vielleicht sogar ratsam, eine gezielte rechtliche Beratung beizuziehen. Die Einhaltung des Datenschutzgesetzes wird jedoch erheblich einfacher, wenn man auf Dienste von Drittanbietern verzichten kann. Zudem hilft es, wenn man durch aufrichtige und transparente Informationen in der Datenschutzerklärung versucht, dem neuen Datenschutzgesetz gerecht zu werden.

Zum Thema Datenschutz empfehle ich folgende weiterführende Blog-Beiträge von Martin Steiger, Rechtsanwalt, spezialisiert für Recht im Internet, welche auf den Webseiten www.cyon.ch und www.steigerlegal.ch veröffentlicht wurden:

Foto von Jean-Pierre Wicht
Beitrag von Jean-Pierre Wicht
Webdesigner / Webentwickler