Schweizer nDSG vs. EU DSGVO
Neue Datenschutzregeln in der Schweiz – Was Firmen & Vereine jetzt wissen müssen
Das neue Schweizer Datenschutzgesetz (nDSG) gilt ab dem 1. September 2023.
Das nDSG (oder revDSG) strebt eine Harmonisierung zur EU-Datenschutzverordnung (DSGVO) an und soll durch eine Anpassung an die technologischen Entwicklungen die Daten von Schweizer Bürger:innen besser schützen.
In einer Ära, in der sich die Technologie rasant weiterentwickelt und KI-Anwendungen wie ChatGPT eine immer grössere Rolle in unserem Leben spielen, ist es wichtiger denn je, Privatsphäre und Datenschutz zu gewährleisten. Mit dem nDSG ist eine moderne Datenschutzversion in Aussicht. 🔭
Eine 🧭 Orientierung des nDSG an der DSGVO ist zu erkennen, auch wenn das nDSG nicht in allen Fällen mit der DSGVO übereinstimmt. Zumeist ist das neue schweizerische Gesetz weniger streng, und nur an einzelnen Stellen restriktiver als das europäische.
Das europäische Datenschutzgesetz gilt auch für viele Schweizer Organisationen.
Wann und wie die DSGVO auch für Schweizer Firmen & Vereine Geltung hat, können Sie in der DSGVO Schweiz Checkliste nachlesen. 🧾
So kommt es, dass einige Organisationen sowohl das europäische als auch schweizerische Datenschutzgesetz einhalten müssen. Deswegen besteht auch für Organisationen Handlungsbedarf, die bereits die Anforderungen der DSGVO erfüllen. 🎬
Hier erfährst du, welche wichtigen Unterschiede zwischen den beiden Datenschutzgesetzen stehen:
nDSG vs. DSGVO: 11 zentrale Unterschiede
| DSGVO | nDSG | |
|---|---|---|
| Sanktionen | Geldbussen an das verantwortliche Unternehmen bis zu 20 Mio. EUR oder 4 % des weltweiten Jahresumsatzes des Unternehmens. | Bei Verstoss gegen Regelungen strafrechtliche Bussen bis zu 250’000 CHF. Dabei ist die Strafe mit Ausnahmen an die verantwortliche natürliche Person geknüpft. |
| Melden von Datenschutzverletzungen | Pflicht, Datenschutzverletzungen mit Risiken für die betroffenen Personen der Datenschutzbehörde innerhalb von 72 Stunden zu melden. Besteht ein hohes Risiko für die Persönlichkeit, so muss die Person benachrichtigt werden. | Pflicht, sofern es zum Schutz der betroffenen Personen erforderlich ist. Das EDÖB muss vom Verantwortlichen nur bei einem hohen Risiko informiert werden, sprich, wenn es zum Schutz der betroffenen Person erforderlich ist. Dabei gilt keine Frist von 72 Stunden, sondern “möglichst schnell”. |
| Datenexporte | Die Europäische Kommission entscheidet über die Zulässigkeit. EU-Standardvertragsklauseln und verbindliche unternehmensinterne Vorschriften sind anwendbar. | Das gleiche Konzept. Der Bundesrat entscheidet über die Zulässigkeit von Datenexporten. Dieselben Standardvertragsklauseln und verbindlichen unternehmensinternen Vorschriften wie in der EU sind anwendbar. |
| Benennung eines Datenschutzbeauftragten | Pflicht, wenn das Unternehmen regelmässige und systematische Überwachung in grossem Umfang durchführt oder besondere Kategorien von Daten in grossem Umfang verarbeitet, gemäss Art. 37. | Keine Pflicht, aber ausdrücklich empfohlen. Die Benennung führt zu Erleichterung bei einer Datenverarbeitung mit einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person. |
| Datenschutz-Folgenabschätzung | Wenn trotz ergriffener Massnahmen ein hohes Risiko besteht, dann ist eine Rücksprache mit Aufsichtsbehörden obligatorisch. | Wenn ein hohes Risiko für die Persönlichkeit oder Grundrechte der betroffenen Personen besteht, so ist eine Datenschutz-Folgeabschätzung (DSFA) durchzuführen. Wenn trotz der Massnahmen das Risiko weiter besteht, dann ist die Rücksprache mit einem Datenschutzbeauftragten oder dem EDÖB möglich. |
| Datenschutzvertretung | Unternehmen mit einem Sitz ausserhalb eines EU/EWR-Landes, die ihr Angebot an Kunden in EU/EWR-Ländern richten, Daten verarbeiten oder das Verhalten beobachten, müssen einen offiziellen Vertreter in der EU/EWR bestimmen. | Bei der Datenverarbeitung durch einen Verantwortlichen mit einem Sitz im Ausland ist eine Vertretung in der Schweiz zu benennen. Ebenso wenn die Datenverarbeitung mit einem hohen Risiko hergeht, umfassend oder regelmässig ist. |
| Profiling | Allgemeine Pflicht zur Einholung der Zustimmung. | Allgemeine Pflicht zur Einholung der Zustimmung nur bei Profiling mit hohem Risiko. |
| Informationspflicht | Pflicht, betroffene Person bei Erhebung von personenbezogenen Daten zu informieren. | Der Verantwortliche muss die betroffene Person über die Beschaffung von Personendaten informieren, auch wenn die Daten nicht bei der betroffenen Person beschafft werden (gem. Art. 18a). |
| Bearbeitung von persönlichen Daten | Die Verarbeitung von Personendaten ist grundsätzlich verboten, es sei denn, es besteht eine rechtliche Grundlage (z.B. Einwilligung, Vertrag, gesetzliche Verpflichtung). | Hier ist die Bearbeitung von Personendaten generell erlaubt, es sei denn, es liegt eine unzulässige Verletzung der Persönlichkeitsrechte vor. |
| Auskunftsrecht | Betroffene Personen haben das Recht, Informationen zu ihren verarbeiteten personenbezogenen Daten zu erhalten. Dies umfasst unter anderen Verarbeitungszwecke und Datenherkunft. | Ähnlich wie in der DSGVO, jedoch mit mehr Ausnahmen. Die Auskunft kann z.B. verweigert werden, wenn die Privatsphäre Dritter oder überwiegende Interessen betroffen sind. |
| Verzeichnis der Verarbeitungstätigkeiten | Unternehmen müssen ein Verzeichnis über ihre Verarbeitungstätigkeiten führen, gemäss Art. 37. | Verantwortliche/Auftragsbearbeiter führen ein Verzeichnis der Bearbeitungstätigkeiten mit einer Mindestinhaltsvorgabe. Eine Ausnahme ist der Fall bei Unternehmen mit weniger als 250 Mitarbeitenden und Datenbearbeitungen mit geringen Risiken für Persönlichkeitsverletzungen. Es gibt jedoch keine Ausnahme bei einem Profiling mit hohem Risiko oder Bearbeitung von besonders schützenswerten Daten in einem grossen Umfang. |
Das neue Schweizer Datenschutzgesetz stellt sicher, dass der freie Datenverkehr mit der EU weiter bestehen kann und gewährleistet eine Wettbewerbsfähigkeit der Schweizer Unternehmen. Es ist wichtig, sich an die Bestimmungen zu halten, um hohe Busse und Reputationsschäden zu vermeiden und das Vertrauen der Kunden zu unterstützen. 🤝
Und die Cookies?🍪
„Nein, das neue Datenschutzgesetz in der Schweiz bringt kein Obligatorium für Cookie-Banner. Die Schweiz übernimmt nicht die EU-Cookie-Richtlinie.“
Gemäss Martin Steiger führt das neue Datenschutzgesetz in der Schweiz nicht zur Pflicht von Cookie-Bannern. Die Schweiz hat also die EU-Cookie-Richtlinie nicht übernommen.
Statt expliziter Einwilligung setzt das Schweizer Gesetz auf Information und Ablehnungsmöglichkeit für Nutzer:innen. Die Verantwortlichen müssen lediglich sicherstellen, dass die Datenverarbeitung auf ein notwendiges Mindestmass beschränkt ist.
Optionale Datenschutzeinstellungen erfordern nur dann voreingestellte Einschränkungen, wenn tatsächlich Auswahlmöglichkeiten vorhanden sind. 💡
Trotz des neuen Gesetzes bleibt die Verwendung von Cookie-Bannern in der Schweiz also freiwillig. 💪
✅ Kurz:
Für Webseiten, die in der Schweiz gehostet werden, reicht eine Information in der Datenschutzerklärung über die Verwendung von Cookies aus.
Besucher aus der EU sind weiterhin durch ihre eigenen Datenschutzgesetze geschützt und müssen daher ausdrücklich in die Verwendung von Cookies einwilligen.
Fazit
Das nDSG stürmt auf die Bühne, bereit, das Spiel des Datenschutzes der Schweiz neu zu definieren. Dabei stärkt es den Datenschutz der Schweizer Bürger:innen erheblich und nähert sich an der DSGVO an.
Doch wie bei jedem spannenden Spiel gibt es Unterschiede zu beachten – das nDSG und die DSGVO sind nicht identisch und erfordern daher eine Anpassung unserer Datenschutzpraktiken.
Durch die richtige Vorbereitung stärken Schweizer Firmen und Vereine ihre Marktposition und die Zuverlässigkeit ihren Klienten gegenüber. Game on! 💾
Verliere keine Zeit, dich auf das neue Gesetz vorzubereiten! ⏰
Disclaimer
Dieser Artikel dient nur zur Information und stellt keine verbindliche Rechtsauskunft dar. Bitte beachte, dass die Interpretation der Gesetze je nach Kontext und Situation variieren kann. Wir sind keine Anwälte und empfehlen, sich gut mit dem neuen Gesetz auseinanderzusetzen und sich angemessen auf die anstehenden Änderungen vorzubereiten. Gerne stehen wir für Fragen zur Verfügung.
Suchst du eine Marketing-Agentur, die Professionalität und Kreativität verbindet? 🧑💻🌈
Dann melde dich bei uns! 😊👇