Revidierung des Datenschutzgesetzes

Worum geht es?

Am 1. September 2023 tritt das revidierte Datenschutzgesetz (rDSG) in Kraft. Es ersetzt technisch gesehen das vorherige Gesetz von 1992.

Seit den 1990er Jahren hat sich die Technologie stark verändert und weiterentwickelt. Smartphones, Social-Networking-Plattformen, Cloud-basierte Computersysteme und weiter Technologien sind allgegenwärtig und anspruchsvoller geworden. Daten werden verarbeitet, gesammelt und ausgewertet, wodurch eine Aktualisierung des Gesetzes zum besseren Schutz des Datenschutzes fällig war.

Das revidierte Datenschutzgesetz inkludiert die Grundsätze «Privacy by Design» und «Privacy by Default». Dies verpflichtet Unternehmen, die Grundsätze der personenbezogenen Datenverarbeitung transparent aufzuzeigen und sie bereits in der Planung und Gestaltung von digitalen Produkten zu berücksichtigen. Daten werden dadurch bereits vorgängig gesichert und geschützt.
Zudem muss eine Einwilligung der Betroffenen zur Datenverarbeitung eingeholt werden. Das heisst, dass sich die jeweilige Einwilligung nur auf diese zweckbestimmte Datenverarbeitung beziehen. Nicht unbedingt erforderliche Daten dürfen nicht gesammelt werden.

Was versteht man unter «Privacy by Design»?

Der Schutz und der Respekt der Privatsphäre von Nutzerinnen und Nutzer muss in die Struktur der Produkte oder Dienstleistungen, welche personenbezogene Daten sammeln, eingebaut werden. Das heisst, dass sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Massnahmen zur Einhaltung dieses Grundsatzes eingesetzt werden.

Was versteht man unter «Privacy by Default»?

Dieser Grundsatz stellt sicher, dass geeignete technische und organisatorische Massnahmen verwendet werden, welche sicherstellen, dass nur diejenigen personenbezogenen Daten verarbeitet werden, welche für den jeweiligen bestimmten Verarbeitungszweck erforderlich sind. Dies wird durch entsprechende Voreinstellungen erreicht.

Was versteht man unter «Datenverarbeitung»?

Gemäss dem DSG (Art. 5) wird «Verarbeitung» definiert als: «Jeder Umgang mit Personendaten, unabhängig von den angewandten Mitteln und Verfahren, insbesondere das Beschaffen, Speichern, Aufbewahren, Verwenden, Verändern, Bekanntgeben, Archivieren, Löschen oder Vernichten von Daten».

Das bedeutet:

• Für die betroffene Person muss jede Erhebung personenbezogener Daten, insbesondere der Zweck der Verarbeitung, einsehbar sein.
• Ist eine Einwilligung notwendig, muss diese differenziert, informiert, ausdrücklich und freiwillig eingeholt werden. Zudem müssen die Nutzer jederzeit die Möglichkeit haben, die Einwilligung abzulehnen oder ihre Präferenzen zu ändern. 
• Die Datenschutzerklärung muss Auskunft darüber geben, wer welche Daten wie, wofür, wie lange und mit wem bearbeitet werden. Diese Informationen müssen bereits im Cookie-Banner ersichtlich sein.

Wie definiert das DSG «sensible Personendaten»? 

Das DSG definiert sensible Personendaten (Art. 5 lit. c) wie folgt:

• Daten über religiöse, weltanschauliche, politische oder gewerkschaftliche Ansichten oder Tätigkeiten;
• Daten über die Gesundheit, Intimsphäre oder die Zugehörigkeit zu einer Rasse oder Ethnie;
• Daten über verwaltungs- und strafrechtliche Verfolgungen oder Sanktionen;
• Daten über Massnahmen der sozialen Hilfe;
• Genetische Daten;
• Biometrische Daten, die eine natürliche Person eindeutig identifizieren.

Was gehört in die Allgemeine Datenschutzbestimmungen?

Das DSG legt mehrere Grundsätze für die Datenbearbeitung fest (Art. 4):

• Personendaten dürfen nur rechtmässig verarbeitet werden
• Die Verarbeitung muss nach Treu und Glauben erfolgen und verhältnismässig sein
• Die Verarbeitung darf nur zu dem bei der Erhebung angegebenen Zweck erfolgen, der sich aus den Umständen ergibt oder gesetzlich vorgesehen ist
• Die Erhebung personenbezogener Daten, insbesondere der Zweck der Verarbeitung, muss für die betroffene Person erkennbar sein
• Die Daten werden gelöscht oder anonymisiert, sobald sie für die Zwecke der Verarbeitung nicht mehr benötigt werden
• Ist für die Verarbeitung personenbezogener Daten die Einwilligung der betroffenen Person erforderlich, so ist diese Einwilligung nur gültig, wenn sie freiwillig und nach angemessener Unterrichtung erteilt wird
• Im Falle der Verarbeitung von sensiblen Personendaten oder von Persönlichkeitsprofilen muss die Einwilligung ausdrücklich erteilt werden

Was bedeutet dies nun für Ihre Website und Ihr Unternehmen?

Die folgenden Punkte müssen bis zum 1. September 2023 umgesetzt werden:

• Der obligatorische Cookie-Banner benötigt eine differenzierte Erklärung der Datenbeschaffung (inkl. Link auf die Datenschutzbestimmungen) und muss drei Auswahlmöglichkeiten enthalten: «Alles akzeptieren», «Auswahl erlauben», «nur notwendige Cookies erlauben».
• Transparenz und Aufklärung in den allg. Datenschutzbestimmungen bezüglich jeglicher Personendaten-Beschaffung und -Verarbeitung, inkl. Kategorisierung von sensible Personendaten müssen vorhanden sein.
• Bei Formularen ist ein Pflichtfeld zur Bestätigung der Datenschutzerklärung notwendig.
• «Privacy by Design» und «Privacy by Default» im Unternehmen umsetzen, anhand einer internen Analyse der Datenverarbeitung. 
• Wir empfehlen, eine Datenschutz-Verantwortliche Person im Team zu bestimmen.

Hilfe bei der Umstellung

Der 1. September ist schon bald, daher ist jetzt der passende Moment, die Anpassungen in Angriff zu nehmen. id-k bietet Unterstützung und hilft Ihrer Unternehmung, die Website rDSG-Konform zu machen.

Melden Sie sich bei uns!
Sie erreichen uns über das untenstehende Formular, via E-Mail an info@id-k.com oder telefonisch unter 031 311 14 42.