The data protection landscape in Switzerland will change from September 1, 2023 due to the new Swiss Federal Act on Data Protection (FADP or nFADP; in German DSG or nDSG). This article highlights the most important changes of the FADP and gives some advice on what you as a Swiss website operator need to adapt in the cookie banner and what European providers also need to consider now.
Änderungen im neuen Schweizer Datenschutzgesetz 2023
The main motivation behind the updates to the FADP (only in German) in Switzerland is to better protect personal data and self-determination in light of the latest technological developments, as well as to increase transparency when obtaining personal data. The FADP has received many aligning changes to the European General Data Protection Regulation (GDPR). We consider these to be the most important changes:
- Das DSG schützt nur noch natürliche Personen und keine juristischen Personen mehr. (Art.1, 2 DSG)
- Technologische Lösungen müssen von Beginn an datenschutzrechtliche Aspekte berücksichtigen. Datenschutz soll also durch Technik und datenschutzfreundliche Voreinstellungen gewährleistet werden. (Art. 7 DSG)
- Unternehmen müssen konkrete technische und organisatorische Maßnahmen ergreifen, um den Schutz personenbezogener Daten sicherzustellen. (Art. 8 DSG)
- Ein transparentes Verzeichnis aller Bearbeitungstätigkeiten wird zur Pflicht. (Art. 12 DSG)
- In bestimmten Fällen müssen Risikobewertungen im Rahmen von sogenannten Datenschutz-Folgenabschätzungen vorgenommen und ggf. muss die zuständige Behörde konsultiert werden. (Art. 22, 23 DSG)
- Die angepassten Betroffenenrechte gewährleisten einen verbesserten Schutz für die Personendaten der betroffenen Personen. (Art. 25 bis 29 DSG)
Um im Einklang mit dem neuen DSG zu sein, musst du weiterhin klar und transparent über die Verwendung und den Zweck von Cookies und der Bearbeitung von Personendaten informieren. Du kannst Personendaten von deinen Website-Besuchern nach dem neuen DSG grundsätzlich ohne eine Einwilligung bearbeiten, wenn du sie gemäß Art. 6 DSG rechtmäßig, nach Treu und Glauben, verhältnismäßig und nur zu einem bestimmten und für die betroffene Person erkennbaren Zweck bearbeitest. Das ist z. B. bei dem Einsatz von einem Kalender-Tool oder einem Chatbot auf deiner Website der Fall, die keine Personendaten in ein unsicheres Drittland übermitteln.
Wenn allerdings sensible personenbezogene Daten, also besonders schützenswerten Personendaten gemäß Art. 5 lit. c DSG, bearbeitet werden oder Daten ohne angemessenen Schutz in ein unsicheres Drittland übermittelt werden, ist die ausdrückliche Einwilligung des Website-Besuchers erforderlich. Dass eine Unterscheidung nicht so einfach ist, ob man eine Einwilligung benötigt oder einfach nur ein Interesse an der Bearbeitung von Daten hat, zeigt dieser Beitrag des EDÖB zum Thema Tracking auf Websites. Die Drittländer, die von der Schweiz als sicher bezeichnet werden, findest du im Anhang der neuen Schweizer Datenschutzverordnung (DSV), die neben dem DSG veröffentlicht wurde.
Für einige Schweizer Websites würde also eine einfache Information über die Datenbearbeitung genügen. Praktisch ist dies jedoch nicht ratsam, wie wir dir im folgenden Abschnitt erklären.
Warum auch Schweizer Website-Betreiber die DSGVO und die ePrivacy-Richtlinie erfüllen sollten
Die Vorgaben des DSG unterscheiden sich grundsätzlich von dem Umgang mit personenbezogenen Daten (in der Schweiz “Personendaten”), wie es in der DSGVO beschrieben wird. Dort muss zur Verarbeitung von personenbezogenen Daten zuallererst eine sogenannte Rechtsgrundlage nach Art. 6 DSGVO, also meist eine Einwilligung, vorliegen, bevor du solche Daten verarbeiten darfst oder Cookies überhaupt gesetzt werden dürfen. Obwohl das DSG extra für die Schweiz entwickelt wurde, sollten Schweizer Betreiber dennoch die Anforderungen der DSGVO und der ePrivacy-Richtlinie erfüllen. Der Grund: das Marktortprinzip. Wenn sich deine Website mit Waren oder Dienstleistungen auch an EU-Bürger richtet, dann unterliegt sie zusätzlich der DSGVO. Das Gleiche gilt übrigens auch für EU-Unternehmen, die Waren oder Dienstleistungen in der Schweiz anbieten, die dann auch das DSG einhalten müssen.
However, for Swiss website owners who want to use Real Cookie Banner or are already using it, it is still easy to create a FADP-compliant cookie banner. Real Cookie Banner provides you with a simple user interface, a checklist for setup and service templates to ensure that the requirements of the GDPR and the FADP are met. You can adapt the suitable legal basis in your WordPress backend under Cookies > Settings > General > Legal basis to be applied. By selecting GDPR / ePrivacy Directive und DSG (Switzerland), the necessary texts are automatically adapted to both legal bases for you.
Für Websites, die sich tatsächlich ausschließlich an Schweizer richten, beispielsweise durch Inhalte lediglich in Schweizerdeutsch oder durch Lieferungen nur innerhalb der Schweiz, reicht die Einhaltung des DSG aus. Falls du dir unsicher bist, empfehlen wir dir DSG und DSGVO gleichermaßen einzuhalten. Wenn du dir allerdings sicher bist, dass du nur das DSG einhalten musst, dann kannst du als Website-Betreiber Folgendes anpassen:
- Du kannst viele unserer Service-Vorlagen, bei denen wir dir empfehlen, eine Einwilligung einzuholen, in deinem WordPress-Backend unter Cookies > Services (Cookies) > [Name deines Services] > Bearbeiten > Rechtsgrundlage auf das berechtigte Interesse anpassen und diese damit ohne eine Einwilligung deiner Website-Besucher nutzen. Dein Website-Besucher kann damit dem Einsatz eines Services aber weiterhin widersprechen.
- Du solltest auch die passende Rechtsgrundlage (in diesem Fall das Schweizer DSG) in deinem WordPress-Backend unter Cookies > Einstellungen > Allgemein > Anzuwendende Rechtsgrundlage anpassen. Welche Länder in der Schweiz als sicher gelten, beschreibt der EDÖB auf seiner Website.
Worauf müssen EU-Unternehmen beachten, wenn sie sich an Menschen aus der Schweiz richten
Wie wir bereits zuvor beschrieben haben, gilt das Marktortprinzip durch das neue DSG auch in der Schweiz. Das bedeutet, dass du als Website-Betreiber aus der Europäischen Union auch das DSG einhalten musst, wenn du dich auch oder insbesondere an Schweizer richtest.
Dein Vorteil ist aber, dass die DSGVO in vielen Punkten, insbesondere was die Notwendigkeit einer Einwilligung deiner Website-Besucher angeht, strenger als das Schweizer DSG ist. Wenn du dich also weiterhin an die Vorgaben der DSGVO hältst, dann erfüllst du, zumindest was das Cookie Banner angeht, auch das DSG. Du solltest allerdings auch den Abschnitt “Konfiguration von Real Cookie Banner DSGVO und DSG” in diesem Artikel anschauen und unsere Empfehlung umsetzen. Auch solltest du rechtlich prüfen lassen, ob du eine dauerhafte Vertretung in der Schweiz gem. Art. 14 DSG benötigst.
Einwilligung für Google-Werbeprodukte in der Schweiz
Google verlangt von Schweizer Website- Besuchern ab dem 31. Juli 2024 die Einwilligung für das Setzen/Lesen bestimmter Cookies oder ähnlicher Technologien und das Sammeln, Übertragen und Verwenden von Personendaten (Schweizer Begriff für personenbezogene Daten) für die Personalisierung von Werbung. Diese Einwilligung muss mithilfe des Transparency & Consent Framework (TCF) eingeholt und Google mitgeteilt werden.
Wenn du also Google-Werbeprodukte wie Google AdSense oder Google AdManager auf deiner Website verwendest, mit denen du Werbung auf deiner Website platzierst und damit Geld verdienst, brauchst du auch in der Schweiz eine Einwilligung.
Wie du Google AdSense mit TCF in Real Cookie Banner einrichtest, haben wir in einem anderen Artikel erklärt.