revDSG – Neues Datenschutzgesetz seit dem 1. September 2023
Das Thema Datenschutz gewinnt in der modernen Gesellschaft zunehmend an Bedeutung. Schliesslich gibt es heutzutage kaum noch Unternehmen oder Dienste, die ohne die Erfassung persönlicher Daten alle Vorzüge der Digitalisierung bereitstellen können. Doch das bietet auch Möglichkeiten zum Missbrauch, die das neue revDSG (revidierte Datenschutzgesetz) konsequent verhindern soll.
Wir erklären dir in diesem Artikel die wichtige Bedeutung dieses neuen Gesetzes und was es für dein Unternehmen bzw. deine Website bedeuten kann. Datenschutz darf heute nämlich nicht mehr auf die leichte Schulter genommen werden.
Was möchte die Regierung mit dem revDSG erreichen?
Insbesondere die grossen Technologiekonzerne gelten heute nicht selten als sogenannte Datenkraken. Sie sammeln riesige Datenmengen zu ihren Kunden und Kundinnen, um damit beispielsweise personalisierte Werbung schalten zu können. Das bedeutet aber auch, dass bei diesem Vorgehen ein Teil der Privatsphäre verloren geht.
Doch die Digitalisierung hat mittlerweile den Mittelstand in der Schweiz erreicht, ob kleiner Online-Shop oder Arztpraxis auf dem Land. Sie alle bieten heute Dienste an, die personenbezogene Daten voraussetzen. Das reicht von der einfachen Bestellung hin zum Buchen eines Termins online – ohne entsprechende Angaben geht fast nichts mehr.
Zu den üblichen Personendaten gehören unter anderem Namen, Anschriften, Kontaktdaten und IP-Adressen sowie Cookies. Sie erlauben es der Definition nach, Rückschlüsse auf eine identifizierte oder identifizierbare lebende Person zu ziehen. Hoher Datenschutz ist also heute für alle Bürger:innen und Unternehmen unverzichtbar.
Deswegen verfolgt das revDSG gleich mehrere Ziele:
- Schutz von Personendaten natürlicher Personen
- Klare Vorgaben zur transparenten Erfassung und Auswertung
- Anpassung an die neuen Herausforderungen der Digitalgesellschaft
- Vereinheitlichung zur EU-Datenschutzgrundverordnung (DSGVO)
Das alles soll einerseits die Privatsphäre und Persönlichkeitsrechte von Schweizer Bürger:innen stärken, andererseits klare Richtlinien zur Verarbeitung solcher Daten zur Hand geben. Zudem soll es den Übergang für das wichtige EU-Geschäft erleichtern, denn dort müssen sich Unternehmen aus der Schweiz ebenfalls nach der DSGVO richten.
Was sind die wichtigsten Eckpunkte des revDSG?
Um alle zuvor genannten Ziele erreichen zu können, setzt das revidierte Datenschutzgesetz an mehreren Eckpunkten an. Es orientiert sich dabei an den modernen Best Practices in diesem Bereich, die beispielsweise innerhalb der EU mit der Datenschutzgrundverordnung (DSGVO) bereits seit dem Jahr 2018 anzuwenden sind.
Hier sind einige wichtige Eckpunkte, alle weiteren Details findest du im Gesetzestext.
Einschränkung auf natürliche Personen
Datenschutz ist kein völlig neues Thema und war bereits lange Zeit vor dem revDSG gültig. Doch das alte Gesetz in der Schweiz umfasste sogar juristische Personen (Unternehmen), die eigentlich gar keinen besonderen Schutz benötigen. Deshalb beschränkt sich das neue revDSG nur auf Personendaten von natürlichen Personen in der Schweiz.
Es stellt dabei heraus, dass es darunter auch besonders schützenswerte Daten gibt. Dazu gehören genetische und biometrische Daten, die heute von immer mehr Diensten und Anbietern erhoben werden. Seit dem 1. September 2023 ist für die Erhebung und Verarbeitung eine ausdrückliche Einwilligung der betroffenen Person erforderlich.
Grundsatz „Privacy by Design“
Viele Systeme und Dienste wurden zu Anfangszeiten des Internets ohne Rücksichtnahme auf Datenschutz gestaltet. Eine rückwirkende Änderung erweist sich dabei oft als technisch anspruchsvoll oder teilweise sogar unmöglich. Das stellt sowohl Unternehmen als auch Nutzer:innen vor Herausforderungen – ist ein betroffener Dienst noch zu retten?
Um genau solche Szenarien in Zukunft zu vermeiden, sollen Systeme und Dienste schon bei ihrer Konzeption das Thema Datenschutz berücksichtigen („Privacy by Design“). Älteren Diensten droht hingegen eine womöglich kostspielige Überarbeitung. In Artikel 7 des revDSG finden sich dazu alle weiteren Details.
Grundsatz „Privacy by Default“
Zur Erfassung und Verarbeitung von Personendaten brauchte es in vielen Ländern seit jeher eine Zustimmung. Einige findige Unternehmen haben ihre Systeme aber so gestaltet, dass sie dabei möglichst viele Daten und Rechte „abgreifen“. So wurden Optionen vorausgewählt, um Nutzer:innen mit Hinblick auf Datenschutz zu benachteiligen.
Der Grundsatz „Privacy by Default“ möchte genau dieses Problem angehen. Mit dem revDSG sind datenschutzfreundliche Voreinstellungen zu gewährleisten. Die Voreinstellungen dürfen nur noch das absolute Mindestmass vorschlagen, das zur Nutzung eines Systems oder Dienstes notwendig ist. Wer mehr Daten abgeben möchte, muss das aktiv auswählen.
Informations- und Auskunftspflicht
Die Verarbeitung von Personendaten muss mit dem neuen Gesetz zweckmässig, rechtmässig und verhältnismässig erfolgen. Darüber hinaus erhalten betroffene Personen umfassende Rechte, die Unternehmen zur Information und Auskunft verpflichten. Das soll jederzeit eine transparente Datenbearbeitung gewährleisten.
So kann eine natürliche Person Auskunft zu den erhobenen Daten, ihrem Verwendungszweck, der Aufbewahrungsdauer und vielen weiteren Informationen verlangen. Das gilt selbst dann, wenn das Unternehmen die Daten von einem Drittunternehmen bearbeiten lässt. Auskünfte sind grundsätzlich kostenlos und innerhalb von 30 Tagen umzusetzen.
Wie kannst du das revDSG auf deiner Website umsetzen?
Je nach Geschäftsmodell kann es viele verschiedene Aspekte geben, die für deine Datenverarbeitung massgeblich sein können. Deswegen solltest du speziell im Zweifelsfall die Beratung durch einen Datenschutzexperten in Erwägung ziehen.
Die folgenden Tipps sind jedoch für alle Unternehmen ein guter Anfang:
- Transparente Datenschutzerklärung: Aktualisiere deine Datenschutzerklärung und stelle von Anfang an klar, welche Daten zu welchem Zweck wie lange erhoben werden. Weise auf das Auskunftsrecht hin und biete einen Kontakt an.
- Datenminimierung: Erhebe nur solche Personendaten, die auch wirklich notwendig sind. Sollte der Zweck zur Bearbeitung wieder entfallen, dann musst du die erhobenen Daten löschen oder zumindest anonymisieren.
- Datenschutzfreundliche Voreinstellungen: Cookies und Formulare müssen so voreingestellt sein, dass sie datenschutzfreundliche Optionen vorschlagen. Besucher:innen können dann auf Wunsch weitere Rechte gewähren.
- Datensicherheit: Technische und organisatorische Massnahmen müssen eine dem Risiko angemessene Datensicherheit gewährleisten. Halte also dein Backend aktuell, nutze HTTPS und sorge für zusätzlichen Schutz vor Cyberangriffen.
Darüber hinaus gibt es aber noch viele weitere Punkte des revDSG zu beachten. So kann es sein, dass du eine Datenschutzberaterin oder -berater ernennen oder ein Verzeichnis der Bearbeitungstätigkeiten führen musst. Informiere dich frühzeitig zu dem Thema.
Fazit: Datenschutz durch das revDSG ist für alle wichtig
Jedes Unternehmen aus der Schweiz ist heute zu Datenschutz nach dem revDSG (revidiertes Datenschutzgesetz) verpflichtet. Seit dem 1. September 2023 muss auch deine Website entsprechende Massnahmen umsetzen, um weiterhin alle Anforderungen erfüllen zu können. Transparenz, Zweckmässigkeit und Datenminimierung sind dabei die wichtigsten Aspekte.
WordPress bietet hierzu nicht nur die nötige Flexibilität, sondern profitiert auch von zahlreichen Vorlagen und Plugins, die den Datenschutz schnell ausbauen können. Als erfahrene WordPress-Agentur an deiner Seite beraten wir dich gerne zu den vielen Möglichkeiten durch dieses leistungsstarke Content-Management-System.
Hast du noch weitere Fragen? Dann nimm jetzt Kontakt zu uns auf.
Häufig gestellte Fragen zum revDSG
RevDSG steht für das revidierte Datenschutzgesetz der Schweiz. Es handelt sich um eine umfassende Überarbeitung des bisherigen Datenschutzgesetzes, die am 1. September 2023 in Kraft getreten ist. Das Gesetz zielt darauf ab, den Datenschutz in der Schweiz zu modernisieren und an internationale Standards anzupassen.
Das revidierte Datenschutzgesetz betrifft alle Unternehmen und Organisationen in der Schweiz, die personenbezogene Daten verarbeiten. Das schliesst auch Einzelunternehmen, KMUs und grosse Konzerne ein. Wenn du eine Website betreibst oder in irgendeiner Form Kundendaten sammelst, musst du dich an die Vorgaben des revDSG halten.
Die wichtigsten Änderungen umfassen strengere Anforderungen an die Transparenz bei der Datenverarbeitung, erweiterte Informationspflichten gegenüber den betroffenen Personen und neue Grundsätze wie «Privacy by Design» und «Privacy by Default». Ausserdem gibt es nun klarere Regelungen für die grenzüberschreitende Datenübermittlung und höhere Strafen bei Verstössen.
Um deine Website revDSG-konform zu gestalten, solltest du zunächst deine Datenschutzerklärung aktualisieren und transparent darlegen, welche Daten du sammelst und wie du sie verwendest. Implementiere datenschutzfreundliche Voreinstellungen, minimiere die Datenerhebung auf das Notwendigste und stelle sicher, dass du die Einwilligung der Nutzer einholst, bevor du personenbezogene Daten verarbeitest.
Bei Nichteinhaltung des revDSG drohen empfindliche Strafen. Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) kann Bussen von bis zu 250’000 Franken verhängen. Zusätzlich können Reputationsschäden und der Verlust des Vertrauens deiner Kunden schwerwiegende Folgen für dein Unternehmen haben.
Ob du einen Datenschutzbeauftragten benötigst, hängt von der Art und dem Umfang deiner Datenverarbeitung ab. Während es für viele kleine Unternehmen nicht zwingend erforderlich ist, kann es bei umfangreicher oder risikoreicher Datenverarbeitung sinnvoll oder sogar notwendig sein, einen Datenschutzbeauftragten zu ernennen. Im Zweifelsfall solltest du dich von einem Experten beraten lassen.
Das revDSG und die EU-DSGVO haben viele Gemeinsamkeiten, da beide auf ähnlichen Prinzipien basieren. Allerdings gibt es einige Unterschiede in den Details, wie zum Beispiel bei den Sanktionen oder bestimmten Meldepflichten. Das revDSG wurde so gestaltet, dass es weitgehend kompatibel mit der DSGVO ist, um den Datenaustausch zwischen der Schweiz und der EU zu erleichtern.
Über den Autor
Stefan “Velthy” Velthuys ist ein herausragender Designer, der sich durch seine Leidenschaft für visuell ansprechende und funktionsreiche Designs auszeichnet. Mit einem starken Hintergrund in der Frontend-Entwicklung versteht er es, responsive Designs zu kreieren, die nicht nur auf dem Bildschirm gut aussehen, sondern auch perfekt funktionieren. Velthy hat seine Fähigkeiten in einer Vielzahl von Projekten unter Beweis gestellt, darunter die Neugestaltung von Websites für renommierte Kunden wie autotechnik und Ringier Advertising. Ausserhalb des Büros geniesst er Städtetrips und die Natur, spielt regelmässig Geografie-Quizzes und taucht tief in seine Kaffeekultur ein.
Hast du auch ein Projekt mit einem ähnlichen Thema?
Velthy ist dein Ansprechpartner.
Melde dich bei uns! Wir sind immer interessiert an neuen Herausforderungen.