Die Datenschutzlandschaft in der Schweiz verändert sich ab dem 1. September 2023 durch das neue Schweizer Datenschutzgesetz (DSG; auch nDSG oder revDSG genannt). Dieser Artikel beleuchtet die wichtigsten Änderungen des DSG und gibt einige Ratschläge, was du als Schweizer Website-Betreiber im Cookie Banner anpassen musst und was auch europäische Anbieter jetzt beachten müssen.
Änderungen im neuen Schweizer Datenschutzgesetz 2023
Die Hauptmotivation hinter den Aktualisierungen des DSG in der Schweiz ist der bessere Schutz der persönlichen Daten und der Selbstbestimmung im Lichte der neusten technologischen Entwicklungen, sowie die erhöhte Transparenz bei der Beschaffung von Personendaten (in der EU “personenbezogene Daten” genannt). Das DSG hat viele angleichende Veränderungen an die Europäische Datenschutz-Grundverordnung (DSGVO) erhalten. Das erachten wir als die wichtigsten Neuerungen:
- Das DSG schützt nur noch natürliche Personen und keine juristischen Personen mehr. (Art.1, 2 DSG)
- Technologische Lösungen müssen von Beginn an datenschutzrechtliche Aspekte berücksichtigen. Datenschutz soll also durch Technik und datenschutzfreundliche Voreinstellungen gewährleistet werden. (Art. 7 DSG)
- Unternehmen müssen konkrete technische und organisatorische Maßnahmen ergreifen, um den Schutz personenbezogener Daten sicherzustellen. (Art. 8 DSG)
- Ein transparentes Verzeichnis aller Bearbeitungstätigkeiten wird zur Pflicht. (Art. 12 DSG)
- In bestimmten Fällen müssen Risikobewertungen im Rahmen von sogenannten Datenschutz-Folgenabschätzungen vorgenommen und ggf. muss die zuständige Behörde konsultiert werden. (Art. 22, 23 DSG)
- Die angepassten Betroffenenrechte gewährleisten einen verbesserten Schutz für die Personendaten der betroffenen Personen. (Art. 25 bis 29 DSG)
Um im Einklang mit dem neuen DSG zu sein, musst du weiterhin klar und transparent über die Verwendung und den Zweck von Cookies und der Bearbeitung von Personendaten informieren. Du kannst Personendaten von deinen Website-Besuchern nach dem neuen DSG grundsätzlich ohne eine Einwilligung bearbeiten, wenn du sie gemäß Art. 6 DSG rechtmäßig, nach Treu und Glauben, verhältnismäßig und nur zu einem bestimmten und für die betroffene Person erkennbaren Zweck bearbeitest. Das ist z. B. bei dem Einsatz von einem Kalender-Tool oder einem Chatbot auf deiner Website der Fall, die keine Personendaten in ein unsicheres Drittland übermitteln.
Wenn allerdings sensible personenbezogene Daten, also besonders schützenswerten Personendaten gemäß Art. 5 lit. c DSG, bearbeitet werden oder Daten ohne angemessenen Schutz in ein unsicheres Drittland übermittelt werden, ist die ausdrückliche Einwilligung des Website-Besuchers erforderlich. Dass eine Unterscheidung nicht so einfach ist, ob man eine Einwilligung benötigt oder einfach nur ein Interesse an der Bearbeitung von Daten hat, zeigt dieser Beitrag des EDÖB zum Thema Tracking auf Websites. Die Drittländer, die von der Schweiz als sicher bezeichnet werden, findest du im Anhang der neuen Schweizer Datenschutzverordnung (DSV), die neben dem DSG veröffentlicht wurde.
Für einige Schweizer Websites würde also eine einfache Information über die Datenbearbeitung genügen. Praktisch ist dies jedoch nicht ratsam, wie wir dir im folgenden Abschnitt erklären.
Warum auch Schweizer Website-Betreiber die DSGVO und die ePrivacy-Richtlinie erfüllen sollten
Die Vorgaben des DSG unterscheiden sich grundsätzlich von dem Umgang mit personenbezogenen Daten (in der Schweiz “Personendaten”), wie es in der DSGVO beschrieben wird. Dort muss zur Verarbeitung von personenbezogenen Daten zuallererst eine sogenannte Rechtsgrundlage nach Art. 6 DSGVO, also meist eine Einwilligung, vorliegen, bevor du solche Daten verarbeiten darfst oder Cookies überhaupt gesetzt werden dürfen. Obwohl das DSG extra für die Schweiz entwickelt wurde, sollten Schweizer Betreiber dennoch die Anforderungen der DSGVO und der ePrivacy-Richtlinie erfüllen. Der Grund: das Marktortprinzip. Wenn sich deine Website mit Waren oder Dienstleistungen auch an EU-Bürger richtet, dann unterliegt sie zusätzlich der DSGVO. Das Gleiche gilt übrigens auch für EU-Unternehmen, die Waren oder Dienstleistungen in der Schweiz anbieten, die dann auch das DSG einhalten müssen.
Für Schweizer Website-Betreiber, die das Real Cookie Banner nutzen möchten oder es bereits nutzen, ist es aber trotzdem einfach, ein DSG-konformes Cookie Banner zu erstellen. Real Cookie Banner bietet dir eine einfache Benutzeroberfläche, eine Checkliste zur Einrichtung und Service-Vorlagen, um sicherzustellen, dass die Anforderungen der DSGVO und des DSG erfüllt werden. Du kannst die passende Rechtsgrundlage in deinem WordPress-Backend unter Cookies > Einstellungen > Allgemein > Anzuwendende Rechtsgrundlage anpassen. Durch die Auswahl von DSGVO / ePrivacy-Richtlinie und DSG (Schweiz) werden die notwendigen Texte automatisch an beide Rechtsgrundlagen für dich angepasst.
Für Websites, die sich tatsächlich ausschließlich an Schweizer richten, beispielsweise durch Inhalte lediglich in Schweizerdeutsch oder durch Lieferungen nur innerhalb der Schweiz, reicht die Einhaltung des DSG aus. Falls du dir unsicher bist, empfehlen wir dir DSG und DSGVO gleichermaßen einzuhalten. Wenn du dir allerdings sicher bist, dass du nur das DSG einhalten musst, dann kannst du als Website-Betreiber Folgendes anpassen:
- Du kannst viele unserer Service-Vorlagen, bei denen wir dir empfehlen, eine Einwilligung einzuholen, in deinem WordPress-Backend unter Cookies > Services (Cookies) > [Name deines Services] > Bearbeiten > Rechtsgrundlage auf das berechtigte Interesse anpassen und diese damit ohne eine Einwilligung deiner Website-Besucher nutzen. Dein Website-Besucher kann damit dem Einsatz eines Services aber weiterhin widersprechen.
- Du solltest auch die passende Rechtsgrundlage (in diesem Fall das Schweizer DSG) in deinem WordPress-Backend unter Cookies > Einstellungen > Allgemein > Anzuwendende Rechtsgrundlage anpassen. Welche Länder in der Schweiz als sicher gelten, beschreibt der EDÖB auf seiner Website.
Worauf müssen EU-Unternehmen beachten, wenn sie sich an Menschen aus der Schweiz richten
Wie wir bereits zuvor beschrieben haben, gilt das Marktortprinzip durch das neue DSG auch in der Schweiz. Das bedeutet, dass du als Website-Betreiber aus der Europäischen Union auch das DSG einhalten musst, wenn du dich auch oder insbesondere an Schweizer richtest.
Dein Vorteil ist aber, dass die DSGVO in vielen Punkten, insbesondere was die Notwendigkeit einer Einwilligung deiner Website-Besucher angeht, strenger als das Schweizer DSG ist. Wenn du dich also weiterhin an die Vorgaben der DSGVO hältst, dann erfüllst du, zumindest was das Cookie Banner angeht, auch das DSG. Du solltest allerdings auch den Abschnitt “Konfiguration von Real Cookie Banner DSGVO und DSG” in diesem Artikel anschauen und unsere Empfehlung umsetzen. Auch solltest du rechtlich prüfen lassen, ob du eine dauerhafte Vertretung in der Schweiz gem. Art. 14 DSG benötigst.