nDSG: Das neue Datenschutzgesetz

Am 01. September 2023 änderte sich für Unternehmen und öffentliche Stellen in der Schweiz einiges in Sachen Datenschutz: Das neue Schweizer Datenschutzgesetz 2023 trat in Kraft. Das neue Gesetz verspricht vor allem eine Angleichung der Regelungen in der Schweiz an die DSGVO der EU.

soxes beantwortet die wichtigsten Fragen, erklärt wer betroffen ist und was es zu beachten gilt.  

Personendaten prägen unseren Geschäftsalltag. Dazu gehören beispielsweise Namen, (E-Mail-)Adressen oder Geburtsdaten von Kunden und eigenen Mitarbeitenden, Mitarbeitenden von Kunden oder Lieferanten sowie anderen Kontaktpersonen. Schweizer Unternehmen unterliegen für ihre Datenbearbeitungen unterschiedlichen Gesetzen und Vorgaben. Dazu gehören das Schweizer Datenschutzgesetz, je nach Kontext und Kundschaft aber auch die DSGVO der EU sowie branchenspezifische Regularien und Richtlinien.  

Das „alte“ Datenschutzgesetz wurde revidiert. Die neue Version (nDSG) gilt seit dem 1. September 2023 und bringt neue Vorgaben. Für Unternehmen gibt es keine weitere Schonfrist. Sie müssen die neuen Anforderungen ab sofort erfüllen.  

Was besagt das neue Datenschutzgesetz? 
Das nDSG soll Menschen vor übermässiger, überraschender, unfairer oder aus anderen Gründen unrechtmässiger Verwendung ihrer Personendaten schützen. Das neue Datenschutzgesetz regelt demnach den Schutz von sogenannten «natürlichen Personen» in Bezug auf Daten, die sie beschreiben.  

Wer muss das nDSG einhalten? 
Das neue DSG gilt im Privatbereich und für Bundesbehörden. Es schützt Privatpersonen und gilt auch für alle privaten Organisationen, die als Verantwortliche oder Auftragsbearbeiter im örtlichen Anwendungsbereich Personendaten bearbeiten. Gemeint sind somit alle Einzelunternehmen, privatrechtlich organisierten Aktiengesellschaften, GmbH, Vereine oder Stiftungen. 

Das nDSG gilt nicht für Gemeinden oder Kantone und ihre Behörden. Damit gilt es beispielsweise nicht für Schulen. Dort gelten kantonale Datenschutzgesetze mit allerdings weitgehend ähnlichen Regeln wie jene des nDSG.  

Was ist der Unterschied zwischen DSG und DSGVO?
Die EU DSGVO (die Datenschutzgrundverordnung der EU) ist das Datenschutzgesetz für die EU. Das nDSG ist das Pendant für die Schweiz. Die Regeln sind nicht deckungsgleich, aber aus heutiger Sicht gleichwertig. 

Wie lange darf man Unterlagen von Mitarbeitenden aufbewahren?
Die Personalakten von Mitarbeitenden darf die Arbeitgeberin während der gesamten Dauer des Arbeitsverhältnisses aufbewahren und anschliessend für eine begrenzte Dauer für Archivzwecke (Faustregel: Plus fünf Jahre).

Wie lange darf ich Kundendaten aufbewahren?
Kundendaten dürfen so lange aufbewahrt werden, wie der Zweck dies erfordert. Kunden stehen in einer vertraglichen Austauschbeziehung zum Unternehmen. Aus Verträgen ergeben sich Verjährungsfristen zwischen fünf und zehn Jahren.

Ist ein Cookie-Banner in der Schweiz auf der Website Pflicht?
Nach schweizerischem Recht ist das Cookie-Banner nicht Pflicht. Aber Achtung: Kann ein Unternehmen nicht ausschliessen, dass die Webseite von EU-Bürgern besucht wird, muss auch die Schweizer Website ein Cookie-Banner aufführen. Wenn Unternehmen Tracking-Dienste oder Cookies auf ihrer Webseite einsetzen, sind diese laut DSGVO der EU gesetzlich verpflichtet einen entsprechenden Cookie-Banner einzusetzen. Also macht es Sinn auf Nummer sicher zu gehen.

Was muss in der Datenschutzerklärung auf der Website erwähnt sein?
Die Datenschutzerklärung für eine Website soll Transparenz geben darüber, welchen Bezug fremde Personendaten zum Unternehmen haben.  

Die Mindestinformationen einer Datenschutzerklärung sind die folgenden:  

• Wer ist Verantwortlicher Websitehinhalte und wie kann man ihn kontaktieren? 
• Wozu werden die Daten, die auf der Webseite erhoben werden, bearbeitet? (Bearbeitungszweck) 
• Welche verantwortliche Person erhält Einblick in die über die Website bekanntgegebenen Personendaten?
• In welche Länder werden die Personendaten übermittelt?  

Was ist bei Kontaktformularen auf der Website zu beachten?
Kontaktformulare sollten auf die allgemeine Datenschutzerklärung auf der Website des Unternehmens verweisen. Zweck: Transparenz herstellen, um vorzuweisen, wie das Unternehmen die eingehenden Meldungen verwenden wird.  

Was steht für Unternehmen auf dem Spiel?
Das Ignorieren des neuen Datenschutzgesetzes kann nicht nur für die verantwortliche Person in einem Unternehmen, sondern auch für das Unternehmen selbst Folgen haben, insbesondere für seine Reputation. Bei Verletzung von Informations-, Auskunfts- und Mitwirkungspflichten durch verantwortliche Personen, können persönliche Bussen bis zu 250.000 Schweizer Franken ausgesprochen werden. Der Eidgenössische Datenschutz und Öffentlichkeitsbeauftragte (EDÖB) kann in diesen Fällen bei der zuständigen Strafverfolgungsbehörde Anzeige erstatten.