19.06.2023

Das neue Datenschutz­gesetz der Schweiz (revDSG). Was gilt es zu beachten?

Das neue Datenschutz­gesetz der Schweiz (revDSG). Was gilt es zu beachten?

Am 1. September 2023 treten das neue Datenschutz­gesetz (revDSG) und die neue Datenschutzverordnung in Kraft. Entsprechend sollten sich Unternehmen auf das neue Recht vorbereiten. Wir haben die wesentlichen Neuerungen zusammengestellt und hilfreiche Tipps für die Praxis für Sie gesammelt.

Wen betrifft das neue Datenschutzgesetz der Schweiz?

Das neue Datenschutzgesetz betrifft alle Unternehmen mit Sitz in der Schweiz und ausländische Unternehmen, die in der Schweiz tätig sind oder deren Datenbearbeitung sich in der Schweiz auswirkt. Das Datenschutzgesetz und die dazugehörige Verordnung gelten für die Bearbeitung von Personendaten durch Private, womit Unternehmen in privater Hand, aber auch Privatpersonen gemeint sind. Diese Zusammenfassung richtet sich in erster Linie an kleine und mittlere Unternehmen bis 250 Mitarbeiter.

Was sind die wichtigsten Änderungen im Schweizer Datenschutzgesetz?

 

Informationspflichten und Datenschutzerklärung 
Wenn es um die Bearbeitung von Personendaten geht, ist es erforderlich, dass die betroffenen Personen über den Umfang und den Zweck der Datenbearbeitungen informiert werden. In der Regel geschieht dies mittels einer Datenschutzerklärung. Hier sind einige Empfehlungen:

  • Die Datenschutzerklärung sollte über sämtliche Datenbearbeitungen informieren, d.h. nicht nur über die Bearbeitung der Daten auf der Website, sondern auch über solche in anderen Systemen.
  • Die Datenschutzerklärung sollte auf der Website einfach auffindbar sein - am besten auf jeder Seite im Footer.
  • Datenschutzerklärungen sollten nicht durch den Benutzer extra akzeptiert werden müssen (z.B. bei Formularen). Stattdessen darauf hinweisen, wo die Datenschutzerklärung zu finden ist.

Löschen von Personendaten 
Personendaten müssen gelöscht oder anonymisiert werden, sobald sie für den Zweck der Bearbeitung nicht mehr erforderlich sind.

Betroffenenrechte 
Die betroffene Person hat das Recht, vom Verantwortlichen Auskunft darüber zu verlangen, ob und welche Personendaten über sie bearbeitet werden. Art. 25 revDSG beschreibt den Inhalt der Auskunft ausführlicher als unter dem bisherigen Recht. Ferner besteht auch das Recht der Personen, fehlerhafte Daten korrigieren zu lassen oder die Löschung von Daten zu verlangen.

Inventar der Bearbeitungen 
Unternehmen ab 250 Mitarbeitenden müssen ein Verzeichnis über die Bearbeitungen mit Informationen zu Bearbeitungszwecken, Kategorien der betroffenen Personen und Daten sowie der Aufbewahrungsdauer führen.

Auftragsbearbeiter 
Auftragsbearbeitungen, etwa durch Anbieter wie mailXpert, sollten vertraglich durch sog. Auftragsdatenbearbeitungsvereinbarungen (ADV) geregelt sein.

Datensicherheit 
Der Zugriff auf Personendaten sollte nur für diejenigen Personen (z.B. Support-Mitarbeiter, Entwickler) möglich sein, welche den Zugriff für die Erfüllung ihrer Arbeit auch wirklich benötigen. IT-Systeme sollten technisch auf dem aktuellsten Stand gehalten werden, damit keine Sicherheitslücken entstehen, die unter Umständen verheerende Auswirkungen haben könnten.

Verletzungen der Datensicherheit müssen dem EDÖB gemeldet werden, wenn sie zu einem hohen Risiko für die Persönlichkeit oder der Grundrechte der betroffenen Person führen.

Datenbekanntgabe ins Ausland 
Prüfen Sie, welche Dienstleister und Anbieter Sie im Zusammenhang mit mailXpert und sonstigen Angeboten nutzen. Sollten sich diese im Ausland befinden, vergewissern Sie sich, dass das jeweilige Land über einen angemessenen Datenschutz verfügt, und falls nicht, dass Sie die notwendigen zusätzlichen Massnahmen ergriffen haben.

«Privacy by Default» und «Privacy by Design» 
Damit ist der Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen gemeint. Neu besteht die Pflicht, Voreinstellungen möglichst datenschutzfreundlich zu gestalten. Bieten Betreiber von Apps oder Softwares unterschiedliche Einstellungen zum Datenschutz an, muss stets die datenschutzfreundlichste Variante als Standardeinstellung definiert sein.

Kleines Berufsgeheimnis 
Neben den allgemein bekannten Berufsgeheimnissen (z.B. Anwalts- oder Arztgeheimnis) wurde auch das Berufsgeheimnis im Datenschutzrecht ausgebaut. Geheime Personendaten, die Sie im Rahmen der Ausübung Ihrer beruflichen Tätigkeit anvertraut erhalten, müssen geheim gehalten werden.

Datenschutz-Folgenabschätzung 
Wenn Verantwortliche Datenbearbeitungen planen, welche potentiell ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringen können, müssen sie vorgängig eine Datenschutz-Folgeabschätzung durchführen. In einer solchen sind sowohl das genaue Vorhaben zu dokumentieren als auch entsprechende Massnahmen zum Schutz der betroffenen Personen zu prüfen.

Datenschutzberater und Vertreter in der Schweiz 
Es ist unter dem neuen Datenschutzrecht möglich, einen Datenschutzberater im Unternehmen zu benennen. Es besteht hingegen keine Pflicht, dies zu tun.

Strafbarkeit

In Bezug auf die Strafbarkeit ist insbesondere zu berücksichtigen, dass ab dem 1. September 2023 die Verletzung gewisser Pflichten eine Strafbarkeit begründet, welche – im Gegensatz zu der DSGVO – nicht das Unternehmen trifft, sondern die dafür verantwortliche natürliche Person, z.B. an eine Führungsperson, einen Datenschutzberater oder aber auch diejenigen Personen sein, welche eine Pflichtverletzung begangen haben. Wer gegen solche Bestimmungen verstösst, wird mit einer Busse bis zu CHF 250'000 bestraft. 

Folgende Verletzungen des DSG stehen unter Strafe:

  • Verletzung von Informationspflichten (z.B. keine oder nur eine ungenügende Datenschutzerklärung)
  • Kein Vertrag mit Auftragsbearbeiter
  • Verletzung der Datensicherheit (Verletzung der Vertraulichkeit, Verfügbarkeit oder Integrität der Daten, TOMs)
  • Bekanntgabe von Personendaten in Länder ohne ein angemessenes Datenschutzniveau, ohne das Treffen zusätzlicher Schutzmassnahmen oder ohne dass eine Ausnahme einschlägig ist (z.B. Einwilligung)
  • Verletzung von Auskunftspflichten
  • Verletzung des «kleinen Berufsgeheimnisses»

Tipps für Ihr E-Mail-Marketing

Wenn Sie ihr E-Mail-Marketing in üblichem Ausmass betreiben und betroffene Personen transparent darüber informieren, brauchen Sie sich keine Sorgen zu machen. 

Grundsätzlich sind in mailXpert Daten gespeichert, die Sie ohnehin bereits in anderen Systemen verarbeiten. Wir empfehlen Ihnen, nur Daten in mailXpert zu übermitteln, die Sie für Ihr E-Mail-Marketing benötigen. Im minimalsten Fall ist dies allein eine E-Mail-Adresse. Aber natürlich spricht nichts dagegen, Namen und Segmentierungen abzubilden, um Informationen personalisierter per E-Mail verschicken zu können.

mailXpert erhebt zum Zweck der Auswertung automatisch Daten zu Abmeldungen und Klicks, diese dienen aber lediglich der Erfolgskontrolle und Verbesserung Ihrer Newsletter-Inhalte und Versandfrequenz.

Verzichten Sie wenn immer möglich, auf die Erhebung besonders schützenswerter Daten. Die folgende Auflistung zeigt Beispiele für Informationen, die als besonders schützenswerte Daten definiert sind:  

  • Ethnische Herkunft und Rasse 
  • Politische Meinungen 
  • Gesundheitsdaten 
  • Biometrische Daten 
  • Genetische Daten 
  • Religiöse oder weltanschauliche Überzeugungen 
  • Sexuelle Orientierung

Falls diese für Ihre Organisation (z.B. Gesundheitswesen) relevant sind, bearbeiten Sie diese Daten nur dort, wo dies unbedingt notwendig ist, aber laden Sie solche Daten nicht in andere Systeme wie z.B. mailXpert hoch.

Weitere praktische Infos

Die Kanzlei VISCHER hat zu diesem Zweck das, was für das bisherige und das revidierte DSG von einem KMU (aber auch von grösseren Unternehmen) zu tun ist, auf einem einzigen Blatt zusammengefasst – kurz und knapp, ohne juristische Floskeln. Die Handreichung gibt es kostenlos, sie darf frei weitergegeben und verwendet werden und kann gleich auch als interne Datenschutzweisung benutzt werden, falls ein Betrieb noch keine solche hat: https://www.vischer.com/fileadmin/uploads/vischer/Photos/New-Blog/VISCHER-revDSG-Survival-Guide.pdf

 

Das neue Datenschutzgesetz aus Sicht des EDÖB: 
Leitfaden des Bundes

Zurück zur Auswahl
Weitere Blogartikel
Gmail und Yahoo verschärfen Anforderungen für Massenversender
Gmail und Yahoo verschärfen Anforderungen für Massenversender
Weiterlesen
Drei Beispiele für erfolgreiches Newsletter-Redesign
Drei Beispiele für erfolgreiches Newsletter-Redesign
Weiterlesen
So setzen Sie Gutschein- und Rabattcodes im Newsletter ein
So setzen Sie Gutschein- und Rabattcodes im Newsletter ein
Weiterlesen
Gestalten Sie mailXpert über unser Ideenportal mit
Gestalten Sie mailXpert über unser Ideenportal mit
Weiterlesen
«DSGVO, DSG, UWG, FMG im E-Mail-Marketing – alles klar?»
«DSGVO, DSG, UWG, FMG im E-Mail-Marketing – alles klar?»
Weiterlesen
Happy Birthday! So gratulieren Sie Ihren Kontakten zum Geburtstag
Happy Birthday! So gratulieren Sie Ihren Kontakten zum Geburtstag
Weiterlesen
Gmail und Yahoo verschärfen Anforderungen für Massenversender
Gmail und Yahoo verschärfen Anforderungen für Massenversender
Weiterlesen
So setzen Sie Gutschein- und Rabattcodes im Newsletter ein
So setzen Sie Gutschein- und Rabattcodes im Newsletter ein
Weiterlesen
«DSGVO, DSG, UWG, FMG im E-Mail-Marketing – alles klar?»
«DSGVO, DSG, UWG, FMG im E-Mail-Marketing – alles klar?»
Weiterlesen
Drei Beispiele für erfolgreiches Newsletter-Redesign
Drei Beispiele für erfolgreiches Newsletter-Redesign
Weiterlesen
Gestalten Sie mailXpert über unser Ideenportal mit
Gestalten Sie mailXpert über unser Ideenportal mit
Weiterlesen
Happy Birthday! So gratulieren Sie Ihren Kontakten zum Geburtstag
Happy Birthday! So gratulieren Sie Ihren Kontakten zum Geburtstag
Weiterlesen
Die unkomplizierte und schnelle Einführung von mailXpert hat uns begeistert. Das Tool ist einfach und übersichtlich in der Benutzung und das Reporting deckt sämtliche Bedürfnisse ab. Unser bisheriges Newslettertool durch mailXpert zu ersetzen, war die richtige Entscheidung.
Claudio Bohren, Marketing Manager, BAUHAUS Fachcentren AG
Claudio Bohren, Marketing Manager
BAUHAUS Fachcentren AG
Wir sind begeistert von mailXpert und den vielen Funktionalitäten. Mit dem Tool können wir unser Email-Marketing auf ein neues Level bringen.
Fabian Kopp, Digital Marketing Manager, Abacus Research AG
Fabian Kopp, Digital Marketing Manager
Abacus Research AG
Die einfache Bedienung zur Erstellung eines Newsletters gibt uns die Freiheit schnell und selbstständig mit unseren Kägi-Liebhabern in Kontakt zu treten. Auch der Support von mailXpert ist top.
Ellen Bisig, Web Coordinator, Kägi Söhne AG
Ellen Bisig, Web Coordinator
Kägi Söhne AG
Ob Erstellung der Emails, Versand oder Reporting – mailxpert ist ein übersichtliches, einfach anwendbares & zuverlässiges Newsletter-Tool. Und dahinter steckt ein sympathisches Team mit einem guten Support.
Corinne Weisskopf, Digitale Projekte, Twerenbold Reisen Gruppe
Corinne Weisskopf, Digitale Projekte
Twerenbold Reisen Gruppe
Die vielfältige Verwendung überzeugt mich. Der Newsletter wurde bereits nach einem Jahr zum tragenden Element im Mix der internen Kommunikation.
Patric Radel, Kommunikation, Lindenhofgruppe
Patric Radel, Kommunikation
Lindenhofgruppe
Die einfache benutzerfreundliche Anwendung spart mir viel Zeit und hilft mir in der Umsetzung der Kommunikation. Ich bin begeistert von der Effizienz der Plattform und möchte nicht mehr darauf verzichten.
Angela Hofer, Sekretariat HirsMed.Net, Hirslanden Zürich
Angela Hofer, Sekretariat HirsMed.Net
Hirslanden Zürich
1/4
Chantal Bär
Chantal Bär
Kundenberaterin
Wir beraten Sie gerne persönlich.
Telefonisch, per E‑Mail, via Online-Meeting oder vor Ort in Ihrem Unternehmen.