Das revidierte Datenschutzgesetz in der Schweiz: Diese Änderungen kommen auf Sie zu

Inhaltsverzeichnis:

1. Welche rechtlichen Neuerungen bringt das revDSG?
2. Das klingt ja alles nach DSGVO?!
3. Wie lauten die Grundsätze für die Datenverarbeitung nach dem revDSG?
4. Was muss ich wegen meiner Datenschutzerklärung beachten?
5. Unser Tipp

Seit dem 1. September 2023 ist in der Schweiz das revidierte Datenschutzgesetz (revDSG) in Kraft.
Vor dem Hintergrund der „immer weiter fortschreitenden Nutzung und Fortentwicklung des Internets“ war die Schweizer Regierung der Ansicht, dass eine vollständige Überarbeitung des Datenschutzgesetzes unverzichtbar war, um der Bevölkerung einen angemessenen und an die technologischen und gesellschaftlichen Veränderungen der Zeit angepassten Datenschutz zu garantieren.

Weiter war die Kompatibilität des Schweizer Rechts mit dem EU-Recht, insbesondere mit der Datenschutzgrundverordnung (DSGVO), das zweite große Anliegen des neuen Gesetzes. Das revDSG soll bewirken, dass der freie Datenverkehr mit der Europäischen Union erhalten werden kann, sodass betroffene Unternehmen nicht an Wettbewerbsfähigkeit einbüßen.

In diesem Rechtstipp der Woche möchten wir Ihnen die wichtigsten Änderungen des revDSG für den Online-Handel mit Bezug zur Schweiz aufzeigen.

 

Welche rechtlichen Neuerungen bringt das revDSG?

Das revDSG führt einige wesentliche Veränderungen für Unternehmen ein:

  • Es schützt künftig nur die Daten natürlicher Personen. Juristische Personen werden künftig nicht mehr datenschutzrechtlich geschützt.
  • Die Grundsätze „Privacy by design“ und „Privacy by default” werden rechtlich normiert.
  • Für besonders risikoreiche Datenverarbeitungen wird die Pflicht eingeführt, eine Folgenabschätzung durchzuführen.
  • Die Informationspflichten bezüglich der Beschaffung von personenbezogenen Daten wird erheblich ausgeweitet.
  • Es wird die grundsätzliche Pflicht eingeführt, ein sog. Verzeichnis von Bearbeitungstätigkeiten zu führen.
  • Bei Verletzungen der Datensicherheit besteht künftig eine Meldepflicht an die zuständige Datenschutzbehörde.
  • Es werden Regelungen zur automatisierten Verarbeitung personenbezogener Daten (Profiling) normiert.

 

Das klingt ja alles nach DSGVO?!

Ja, und das ist kein Zufall. Eines der Hauptziele der Gesetzesänderungen war, wie bereits eingangs erwähnt, die Kompatibilität der neuen Regelungen zur bereits bestehenden DSGVO. Das hat für den Online-Handel, der sich bereits auf die DSGVO eingestellt hat, einen entscheidenden Vorteil: Wer sich bereits an die DSGVO hält, wird in der Praxis keine oder nur wenige Änderungen vornehmen müssen, um sich rechtskonform zu verhalten.

In einem Interview mit dem Online-Magazin netzwoche.ch hat der Schweizer Datenschutzbeauftragte (EDÖB) Adrian Lobsinger sich diesbezüglich unter anderem wie folgt geäußert:

Generell kann man sagen, dass sich [die] beiden Erlasse nicht widersprechen und Bearbeitungsverantwortliche, welche die DSGVO beachten, auch das neue DSG erfüllen.“

Und weiter:

Dennoch gibt es inhaltliche Unterschiede. So geht z.B. das nDSG vom Grundsatz aus, dass Private personenbezogene Daten bearbeiten dürfen, während die DSGVO dies Privaten nur zugesteht, wenn besondere Rechtsfertigungsgründe dies erlauben.“

Das revDSG hat also sehr viele Ähnlichkeiten zur DSGVO, an einigen entscheidenden Stellen ist es jedoch deutlich weniger streng ausgestaltet.

Wie lauten die Grundsätze für die Datenverarbeitung nach dem revDSG?

Die neuen Grundsätze für die Datenverarbeitung nach dem revDSG sind dort in Art. 6 normiert und lauten wie folgt:

  • Personendaten müssen rechtmäßig bearbeitet werden.
  • Die Bearbeitung muss nach Treu und Glauben erfolgen und verhältnismäßig sein.
  • Personendaten dürfen nur zu einem bestimmten und für die betroffene Person erkennbaren Zweck beschafft werden; sie dürfen nur so bearbeitet werden, dass es mit diesem Zweck vereinbar ist.
  • Sie werden vernichtet oder anonymisiert, sobald sie zum Zweck der Bearbeitung nicht mehr erforderlich sind.
  • Wer Personendaten bearbeitet, muss sich über deren Richtigkeit vergewissern. Sie oder er muss alle angemessenen Maßnahmen treffen, damit die Daten berichtigt, gelöscht oder vernichtet werden, die im Hinblick auf den Zweck ihrer Beschaffung oder Bearbeitung unrichtig oder unvollständig sind. Die Angemessenheit der Maßnahmen hängt namentlich ab von der Art und dem Umfang der Bearbeitung sowie vom Risiko, das die Bearbeitung für die Persönlichkeit oder Grundrechte der betroffenen Personen mit sich bringt.
  • Ist die Einwilligung der betroffenen Person erforderlich, so ist diese Einwilligung nur gültig, wenn sie für eine oder mehrere bestimmte Bearbeitungen nach angemessener Information freiwillig erteilt wird.
  • Die Einwilligung muss ausdrücklich erfolgen für:

a. die Bearbeitung von besonders schützenswerten Personendaten;
b. ein Profiling mit hohem Risiko durch eine private Person; oder
c. ein Profiling durch ein Bundesorgan.

Hier lässt sich also sagen, dass im Vergleich zur DSGVO deutlich weniger strenge formale Anforderungen an die Rechtmäßigkeit der Datenverarbeitung bestehen.

Was muss ich wegen meiner Datenschutzerklärung beachten?

Eine der größten Änderungen des revDSG für den Online-Handel sind die bereits genannten neuen Informationspflichten hinsichtlich der Datenverarbeitung. Für die Umsetzung dieser Pflichten ist eine ordnungsgemäße Datenschutzerklärung für den Online-Shop erforderlich. In Art. 19 revDSG sind hierzu die folgenden Regelungen in das neue Gesetz geflossen:

  • Der Verantwortliche informiert die betroffene Person angemessen über die Beschaffung von Personendaten; diese Informationspflicht gilt auch, wenn die Daten nicht bei der betroffenen Person beschafft werden.
  • Er teilt der betroffenen Person bei der Beschaffung diejenigen Informationen mit, die erforderlich sind, damit sie ihre Rechte nach diesem Gesetz geltend machen kann und eine transparente Datenbearbeitung gewährleistet ist; er teilt ihr mindestens mit:

a. die Identität und die Kontaktdaten des Verantwortlichen;
b. den Bearbeitungszweck;
c. gegebenenfalls die Empfängerinnen und Empfänger oder die Kategorien von Empfängerinnen und Empfängern, denen Personendaten bekanntgegeben werden.

  • Werden die Daten nicht bei der betroffenen Person beschafft, so teilt er ihr zudem die Kategorien der bearbeiteten Personendaten mit.
  • Werden die Personendaten ins Ausland bekanntgegeben, so teilt er der betroffenen Person auch den Staat oder das internationale Organ und gegebenenfalls die Garantien nach Artikel 16 Absatz 2 oder die Anwendung einer Ausnahme nach Artikel 17 mit.
  • Werden die Daten nicht bei der betroffenen Person beschafft, so teilt er ihr die Informationen nach den Absätzen 2–4 spätestens einen Monat, nachdem er die Daten erhalten hat, mit. Gibt der Verantwortliche die Personendaten vor Ablauf dieser Frist bekannt, so informiert er die betroffene Person spätestens im Zeitpunkt der Bekanntgabe.


An dieser Stelle wurde das Schweizer Recht also eng an die bereits im Geltungsbereich der DSGVO bestehende Rechtslage angepasst.

Unser Tipp

Nutzen Sie den Trusted Shops Rechtstexter, um rechtlich auf der sicheren Seite zu stehen.
Bei der Entwicklung der Bausteine für die Datenschutzerklärung mit Bezug zur Schweiz haben wir uns so weit wie möglich sowohl an den strengen Vorgaben der DSGVO, als auch den neuen Vorstellungen des Schweizer Gesetzgebers orientiert.
Mit der Datenschutzerklärung aus dem Trusted Shops Rechtstexter werden die betroffenen Personen umfassend und transparent über die Verarbeitung ihrer personenbezogenen Daten informiert.

Über den Autor

 

Nikola Sarac

Nikola Sarac ist Legal Consultant bei Trusted Shops und Rechtsanwalt bei FÖHLISCH. Nach dem Studium der Rechtswissenschaften an der Universität zu Köln mit einer Zusatzausbildung im Fach „Legal English“ absolvierte er das Rechtsreferendariat in Köln und Aachen. Er ist seit 2016 als Rechtsanwalt zugelassen. Von April 2017 bis Mai 2021 war er in der auf den Gewerblichen Rechtsschutz spezialisierten Kanzlei Strömer Rechtsanwälte in Düsseldorf tätig. Seit Juni 2020 ist er Fachanwalt für Gewerblichen Rechtsschutz.

 

27.09.23

Nikola Sarac

Nikola Sarac ist Legal Consultant bei Trusted Shops und Rechtsanwalt in der Kanzlei FÖHLISCH. Er ist zudem seit dem Jahr 2020 Fachanwalt für Gewerblichen Rechtsschutz.

Weitere relevante Artikel

7 datenschutzrechtliche Herausforderungen beim Einsatz von Künstlicher Intelligenz (KI)

Der Wechsel von Verantwortlichen im Datenschutz

Ist der Google Consent Mode datenschutzkonform?

Weitere interessante Blog-Artikel

Datenschutz,

7 datenschutzrechtliche Herausforderungen beim Einsatz von...

Erhalten Sie Tipps zu einer rechtskonformen Nutzung und datenschutzrechtlichen Herausforderungen im Zusammenhang mit dem Einsatz von KI.

17.05.24
Online-Handel, Cross-Border Handel,

Zollgebühren im Online-Shop: Was müssen Sie beachten?

Ob und in welcher Form Sie Zölle im Cross-Border-Bereich beachten und wie Sie diese in Ihrem Online-Shop auszeichnen müssen, erfahren Sie in unserem...

13.05.24
Datenschutz,

Der Wechsel von Verantwortlichen im Datenschutz

Nicht immer bleibt der oder die Verantwortliche während einer Datenverarbeitung gleich. Wer ist bei einem Wechsel verantwortlich? Wir verraten es Ihnen.

02.05.24

© 2024 Trusted Shops AG  |  Impressum  |  Datenschutz  |  Cookies

DE
BE CZ ES FR IT NL AT PL CH PT RO UK COM