Das Schweizer Bundesgesetz über den Datenschutz (DSG)

Das Schweizer Bundesgesetz über den Datenschutz (DSG)

Das revidierte DSG ersetzt das bisherige, 30 Jahre alte Datenschutzgesetz, ist auf dem neuesten Stand der Technik und gibt den Schweizer Bürgern neue Rechte.
von Usercentrics
6. Jan 2023
Das Schweizer Bundesgesetz über den Datenschutz (DSG)
Inhaltsverzeichnis
Mehr anzeigen Weniger anzeigen

Einführung in das DSG

Das Bundesgesetz über den Datenschutz (DSG) wurde in der Schweiz im Herbst 2020 verabschiedet und tritt am 1. September 2023 in Kraft. Ursprünglich sollte es in der zweiten Hälfte des Jahres 2022 in Kraft treten. Dieses Schweizer Datenschutzgesetz ist technisch gesehen das neue DSG (rDSG oder revidiertes DSG), da es das vorherige Gesetz von 1992 ersetzt.

 

Die Technologie hat sich seit den 1990er Jahren stark verändert und ist sowohl allgegenwärtiger als auch anspruchsvoller in Bezug auf Nutzerdaten geworden. Smartphones, Social-Networking-Plattformen, Cloud-basierte Computersysteme und vieles mehr haben sich ausgebreitet, sodass eine Aktualisierung des Gesetzes zum besseren Schutz des Datenschutzes fällig war.

 

Das revidierte DSG führt das Konzept der Profilerstellung ein, d. h. der automatisierten Verarbeitung personenbezogener Daten (Art. 5 lit. f), was ein gutes Beispiel für ein neues, technologiegetriebenes Anliegen ist, mit dem sich das Gesetz befassen muss.

 

Das Bundesgesetz über den Datenschutz (DSG) unterscheidet sich in einigen Punkten von der Datenschutz-Grundverordnung (DSGVO) der Europäischen Union und anderen europäischen Gesetzen, ist aber weitgehend mit diesen vereinbar. Ein wichtiges Ziel des Gesetzes war es, den Datenfluss mit der EU zu gewährleisten und die wirtschaftlichen Möglichkeiten der Schweizer Unternehmen zu erhalten. Das DSG gibt den Schweizer Bürgern neue Rechte in Bezug auf den Schutz ihrer personenbezogenen Daten und schafft neue Anforderungen für Unternehmen, die Zugang zu diesen Daten haben wollen.

Was ist das DSG?

Geltungsbereich des DSG

 

Die Schweizer Verfassung gewährt den Bürgern ein Recht auf Privatsphäre, und die Schweizer Datenschutzgesetze haben ihre Grundlage in diesem zivilrechtlichen Schutz. Das revidierte DSG ist eine vollständige Überarbeitung des älteren Schweizer Datenschutzgesetzes aus dem Jahr 1992, wobei 2009 und 2019 kleinere Aktualisierungen vorgenommen wurden. Der Geltungsbereich des revidierten Datenschutzgesetzes ist in Art. 2 festgehalten.

 

Extraterritorialität und grenzüberschreitender Datenfluss

 

Das DSG ist extraterritorial, gilt also für Organisationen außerhalb der Schweiz, wenn sie Daten von Schweizer Bürgern verarbeiten. Dabei spielt es keine Rolle, wo das Unternehmen seinen Sitz hat oder seine Website gehostet wird. Zudem gilt das Gesetz sowohl für den öffentlichen als auch für den privaten Sektor.

 

Das DSG soll den kontinuierlichen und sicheren Datenverkehr zwischen der Schweiz und der EU und dem EWR gewährleisten, obwohl die Schweiz weder Mitglied der EU noch des EWR ist. Es verbietet die Übermittlung personenbezogener Daten aus der Schweiz in Länder, mit denen keine Angemessenheitsvereinbarung besteht, d. h. in Länder, die kein angemessenes Datenschutzniveau gewährleisten (Art. 16). Solche Übermittlungen sind jedoch weiterhin möglich, wenn die betroffenen Personen ihre Einwilligung dazu gegeben haben (Art. 17).

 

Definitionen und betroffene Parteien

 

Das DSG gilt sowohl für physische als auch für elektronische Daten/Dateien. Es schützt die Rechte der Schweizer Bürger auf Datenschutz und vor einer Datenschutzverletzung durch einen übermäßigen Zugriff auf ihre personenbezogenen Daten oder deren Verwendung.

 

Gemäß dem DSG (Art. 5) wird „Verarbeitung” definiert als: „jeder Umgang mit Personendaten, unabhängig von den angewandten Mitteln und Verfahren, insbesondere das Beschaffen, Speichern, Aufbewahren, Verwenden, Verändern, Bekanntgeben, Archivieren, Löschen oder Vernichten von Daten”.

 

Das DSG spricht auch von „Verantwortlichen” und definiert den Begriff als: „private Person oder Bundesorgan, die oder das allein oder zusammen mit anderen über den Zweck und die Mittel der Bearbeitung entscheidet”. Der für die Verarbeitung „Verantwortliche” ist derjenige, der die Daten sammelt und verarbeitet, der die Sammlung und Verarbeitung der Daten leitet und der für den korrekten und datenschutzkonformen Umgang mit den Daten verantwortlich ist.

 

Die Verarbeitung personenbezogener Daten kann durch Dritte (nicht durch den Verantwortlichen) erfolgen, wenn dies entweder gesetzlich erlaubt ist oder vertraglich vereinbart wurde und wenn (Art. 9):

  1. die Daten so bearbeitet werden, wie der Verantwortliche selbst es tun dürfte; und
  2. keine gesetzliche oder vertragliche Geheimhaltungspflicht die Übertragung verbietet.

 

Darüber hinaus können Dritte die gleiche Rechtfertigung (Rechtsgrundlage) für die Datenverarbeitung geltend machen wie der Auftraggeber.

 

Privacy by Design

 

Mit dem DSG werden die Grundsätze „Privacy by Design” und „Privacy by Default” in das Gesetz aufgenommen. Dies verpflichtet die Unternehmen, die Grundsätze der Datenverarbeitung bereits bei der Planung und Gestaltung von Apps zu berücksichtigen und nicht erst im Nachhinein zu versuchen, Daten zu sichern und zu schützen. Sie dürfen auch keine Standardeinstellungen, z. B. von Web-Technologien verwenden, um die Einwilligung der Betroffenen zu mehr Datenverarbeitung als unbedingt erforderlich einzuholen.

Allgemeine Datenschutzbestimmungen

Das DSG legt mehrere Grundsätze für die Datenbearbeitung fest (Art. 4):

  1. Personendaten dürfen nur rechtmäßig verarbeitet werden
  2. Die Verarbeitung muss nach Treu und Glauben erfolgen und verhältnismäßig sein
  3. Die Verarbeitung darf nur zu dem bei der Erhebung angegebenen Zweck erfolgen, der sich aus den Umständen ergibt oder gesetzlich vorgesehen ist
  4. Die Erhebung personenbezogener Daten, insbesondere der Zweck der Verarbeitung, muss für die betroffene Person erkennbar sein
  5. Die Daten werden gelöscht oder anonymisiert, sobald sie für die Zwecke der Verarbeitung nicht mehr benötigt werden
  6. Ist für die Verarbeitung personenbezogener Daten die Einwilligung der betroffenen Person erforderlich, so ist diese Einwilligung nur gültig, wenn sie freiwillig und nach angemessener Unterrichtung erteilt wird
  7. Im Falle der Verarbeitung von sensiblen Personendaten oder von Persönlichkeitsprofilen muss die Einwilligung ausdrücklich erteilt werden

 

Wie definiert das DSG Personendaten?

 

In Übereinstimmung mit vielen anderen Datenschutzgesetzen definiert das Schweizer DSG personenbezogene Daten oder Informationen („Personendaten”) als „alle Angaben, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen”. Dazu können offensichtlich identifizierende Informationen wie ein Name oder eine E-Mail-Adresse gehören, aber auch Informationen wie die IP-Adresse, zumal sie in Kombination mit anderen personenbezogenen Daten identifizierend wirken kann.

 

Wie definiert das DSG sensible Personendaten?

 

Das DSG definiert sensible Personendaten (Art. 5 lit. c) wie folgt:

  1. Daten über religiöse, weltanschauliche, politische oder gewerkschaftliche Ansichten oder Tätigkeiten
  2. Daten über die Gesundheit, Intimsphäre oder die Zugehörigkeit zu einer Rasse oder Ethnie,
  3. Daten über verwaltungs- und strafrechtliche Verfolgungen oder Sanktionen,
  4. Daten über Maßnahmen der sozialen Hilfe
  5. Genetische Daten,
  6. Biometrische Daten, die eine natürliche Person eindeutig identifizieren

 

Die letzten beiden aufgelisteten Arten sensibler personenbezogener Daten wurden in das revidierte DSG aufgenommen; die vorangegangenen vier Arten waren bereits im alten Gesetz enthalten.

 

Die Nutzer müssen um eine ausdrückliche Bestätigung gebeten werden, dass sie über den Zugang zu ihren sensiblen Personendaten und deren Verwendung informiert wurden und damit einverstanden sind, z. B. durch Anklicken eines Kontrollkästchens.

 

Das DSG, Rechtsgrundlagen und Einwilligung

 

Rechtsgrundlage oder Rechtfertigung

 

Die DSGVO beruht auf dem Grundsatz der „Rechtmäßigkeit der Verarbeitung”, der für die meisten Verarbeitungen personenbezogener Daten eine Rechtsgrundlage oder Rechtfertigung verlangt. Die Einwilligung ist eine dieser Rechtsgrundlagen.

 

Das DSG funktioniert insofern etwas anders, als dass Einzelpersonen (natürliche Personen), Organisationen (nicht kommerzielle Einrichtungen) und Unternehmen (kommerzielle Einrichtungen) personenbezogene Daten im Allgemeinen ohne eine spezifische Rechtsgrundlage verarbeiten dürfen, sofern die Verarbeitung nicht bestimmte Kriterien erfüllt. Eine Einwilligung ist erforderlich für:

  • die Verarbeitung sensibler personenbezogener Daten
  • die Verarbeitung zur Erstellung von Profilen mit hohem Risiko durch einen Datenschutzbeauftragten
  • die Verarbeitung zur Profilerstellung durch eine Bundesbehörde (Regierung)
  • Datenübermittlungen in Drittländer, in denen kein angemessener Datenschutz besteht

 

Auch wenn für die Verarbeitung keine Einwilligung erforderlich ist, müssen die betroffenen Personen nach dem DSG informiert werden. Wenn eine Rechtsgrundlage erforderlich ist, muss der Verantwortliche mitteilen, um welche es sich handelt. In all diesen Szenarien ermöglicht eine Consent Management-Lösung die Einhaltung der Vorschriften, indem sie die erforderliche Benachrichtigung bereitstellt und eine gültige Einwilligung einholt.

 

Eine Einwilligung kann beispielsweise erforderlich sein, wenn der Verantwortliche eine Rechtfertigung für die Weitergabe sensibler personenbezogener Daten oder von „Persönlichkeitsprofilen” an Dritte (nur an andere für die Verarbeitung Verantwortliche) sucht, oder wenn er die Daten für zusätzliche Zwecke oder für einen längeren Zeitraum als angegeben verarbeiten will (Art. 6).

 

Privatpersonen können Dritte beauftragen, Daten in ihrem Namen zu verarbeiten, sofern keine Geheimhaltungspflichten verletzt werden. Jede Rechtsgrundlage/Rechtfertigung, die der Verantwortliche geltend macht, kann von diesen Dritten genutzt werden (Art. 9).

 

Neben der Einwilligung gibt es weitere legitime Rechtfertigungsgründe für Datenübermittlungen in Drittländer:

  • Datenerhebung im Zusammenhang mit dem Abschluss eines Vertrags
  • Ein übergeordnetes privates oder öffentliches Interesse
  • Zur Begründung, Ausübung oder Durchsetzung von Rechtsansprüchen vor einem Gericht oder einer anderen zuständigen ausländischen Behörde, oder
  • Zum Schutz des Lebens oder der körperlichen Unversehrtheit der betroffenen Person oder eines Dritten und es ist in diesem Fall nicht möglich, die Einwilligung der betroffenen Person innerhalb einer angemessenen Frist einzuholen

 

Das DSG ist ein Gesetz, das ein „Opt-In-Verfahren” nutzt, d. h. wenn eine Rechtsgrundlage erforderlich ist, müssen Organisationen die gültige Einwilligung der Nutzer vor oder zum Zeitpunkt der Datenerhebung einholen. Die betroffenen Personen müssen vor oder zum Zeitpunkt der Datenerhebung benachrichtigt werden, unabhängig davon, ob eine Rechtsgrundlage erforderlich ist.

 

Bedingungen für eine gültige Einwilligung

 

Wie bei der DSGVO muss auch in der Schweiz die Einwilligung der Nutzer freiwillig und unter vorheriger Bereitstellung von Informationen zur Verarbeitung ihrer Daten (also informiert) eingeholt werden. Dies gilt unter anderem für die Verwendung von Cookies und anderen Tracking-Technologien auf Websites, die Schweizer Bürger besuchen könnten, wenn die Datenerhebung und -verarbeitung die Voraussetzungen für eine Einwilligung nach dem DSG erfüllt (sensible personenbezogene Daten, Profilerstellung durch eine Bundesbehörde usw.)

 

Organisationen müssen die folgenden Informationen klar kommunizieren, z. B. in der Datenschutzerklärung auf der Website (Art. 8, Art. 18a), ob eine Rechtsgrundlage erforderlich ist oder nicht. Diese Kriterien sind jedoch auch für die Gültigkeit der Einwilligung erforderlich:

  • Identität des Verantwortlichen, sei es das Unternehmen oder eine dritte Partei
  • Kontaktdaten des Verantwortlichen
  • Identität des Datenempfängers und aller anderen Parteien, die an der Datenverarbeitung beteiligt sind
  • Empfängerland, wenn die Daten grenzüberschreitend übermittelt werden
  • Zweck(e) der Datenerhebung und -verwendung
  • Kategorien der erhobenen Daten, falls zutreffend
  • Mittel der Datenerhebung, falls zutreffend
  • Die Rechtsgrundlage für die Verarbeitung, falls erforderlich
  • Rechte der Nutzer in Bezug auf ihre personenbezogenen Daten im Rahmen des DSG, einschließlich des Rechts, die Einwilligung zu verweigern oder zu widerrufen

Welche Unternehmen sind vom DSG betroffen?

Das DSG gilt für Privatpersonen oder Bundesbehörden, die für die Verarbeitung von Personendaten von Personen in der Schweiz verantwortlich sind, auch wenn sie Drittanbieter für die Datensammlung und -verarbeitung einsetzen, z. B. für Analytics-Zwecke, Werbung usw.

 

Einfluss der DSGVO und der ePrivacy-Richtlinie auf die Schweiz

 

Wenn sie die Daten von Nutzern außerhalb der Schweiz, in der EU, verarbeiten, was ziemlich häufig der Fall ist, müssen Unternehmen bei der Verarbeitung und dem Schutz personenbezogener Daten auch die Anforderungen der umfassenderen europäischen Gesetze wie der DSGVO und der ePrivacy-Richtlinie (ePR) berücksichtigen. Die ePR ist vor allem bei der Nutzung elektronischer Kommunikation relevant. Die Verantwortlichkeiten der Unternehmen im Rahmen dieser Verordnungen sind denen des DSG recht ähnlich, auch wenn sie in einigen Punkten strenger sind (z. B. muss unter mehr Umständen eine Einwilligung eingeholt werden).

 

Was sind die Pflichten von Unternehmen im Zusammenhang mit dem DSG?

 

Bei seinem Inkrafttreten im September 2023 sieht das DSG keine Schonfrist für Unternehmen vor, bevor die Durchsetzung beginnt. Die Einhaltung ist vom ersten Tag an erforderlich. Doch Unternehmen, die bereits DSGVO-konform sind, müssen nur wenige bis gar keine Anpassungen an ihren Richtlinien oder Abläufen vornehmen, um das DSG zu erfüllen.

 

Unternehmen müssen die betroffenen Personen über jede Erhebung personenbezogener Daten informieren, auch wenn die Daten nicht direkt bei der betroffenen Person erhoben wurden. Außerdem müssen sie ein Verzeichnis der Verarbeitungsaktivitäten führen. Für KMU (Unternehmen mit bis zu 250 Mitarbeitern), deren Datenverarbeitungsaktivitäten ein geringes oder begrenztes Risiko für die betroffenen Personen darstellen, kann es jedoch Ausnahmen von dieser Anforderung geben.

 

Sowohl Erst- als auch Drittverantwortliche tragen Verantwortung, wenn sie die Kontrolle über den Datenbestand haben, z. B. das Unternehmen, auf dessen Website Daten gesammelt werden, und ein Drittanbieter, der die Daten verwendet. Ist ein Dritter beteiligt, so ist er zur Auskunft verpflichtet, wenn er die Identität des Verantwortlichen (Erstpartei) nicht preisgibt oder wenn der Verantwortliche nicht in der Schweiz ansässig ist.

 

Ernannte Vertreter und Datenschutzbeauftragte

 

Unternehmen mit Sitz außerhalb der Schweiz müssen in folgenden Fällen einen Vertreter in der Schweiz ernennen, wenn sie regelmäßig größere Datenmengen in der Schweiz/von Schweizer Bürgern verarbeiten:

  • Im Zusammenhang mit dem Angebot von Waren oder Dienstleistungen
  • Zum Zweck, das Nutzerverhalten zu überwachen (Monitoring)
  • Wenn die Verarbeitung ein hohes Risiko für die betroffenen Personen beinhalten könnte

 

Für Schweizer Unternehmen, die personenbezogene Daten von in der EU ansässigen Personen verarbeiten, kann immer ein Datenschutzbeauftragter bestellt werden (unabhängig vom Risikoniveau für die betroffenen Personen). Unternehmen, die das DSG einhalten müssen und noch keinen Datenschutzbeauftragten haben (aber auch nicht durch die DSGVO oder andere Gesetze dazu verpflichtet sind), können dies freiwillig tun. Eine solche Position bietet eine zentrale Anlaufstelle für Kunden, Mitarbeiter und Datenschutzbehörden.

 

Verantwortung für die Gewährleistung der Richtigkeit und Vollständigkeit

 

Jede Organisation, die personenbezogene Daten verarbeitet, ist für die Richtigkeit der Daten verantwortlich (Art. 6) und muss alle angemessenen Maßnahmen ergreifen, um sicherzustellen, dass unrichtige oder unvollständige Daten im Rahmen des Erhebungszwecks entweder berichtigt oder vernichtet werden.

 

Verantwortung für die Gewährleistung eines angemessenen Sicherheitsniveaus

 

Der Verantwortliche muss die Daten durch angemessene technische und organisatorische Maßnahmen vor unberechtigtem Zugriff oder unberechtigter Verarbeitung schützen (Art. 7). Detaillierte Bestimmungen über Mindeststandards für die Datensicherheit werden vom Bundesrat erlassen.

 

Verantwortung zur Vermeidung von Nachteilen für die betroffenen Personen

 

Es ist ein Grundprinzip des DSG, dass die Erhebung von Personendaten durch Privatpersonen die Privatsphäre und die Persönlichkeit der betroffenen Personen nicht beeinträchtigen darf. Nun können Daten öffentlich zugänglich gemacht werden, wenn ihre Verarbeitung nicht ausdrücklich untersagt ist, doch darf dies nicht schädlich sein, und wie erwähnt, müssen Informationen über die Erhebung und Verwendung der Daten und deren Zweck mitgeteilt werden.

 

Datenschutz-Folgenabschätzungen

 

Besteht ein hohes Risiko für die Privatsphäre oder die Rechte der betroffenen Personen, muss der Verantwortliche regelmäßig dokumentierte Folgenabschätzungen für seine Datenverarbeitungsaktivitäten durchführen.

 

Benachrichtigung bei Datenschutzverletzungen

 

Im Falle einer Datenschutzverletzung, einschließlich des versehentlichen oder unrechtmäßigen Verlusts, der Löschung, der Zerstörung, der Veränderung von oder des unbefugten Zugriffs auf Personendaten, muss der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) unverzüglich benachrichtigt werden. (Gemäß der DSGVO muss eine unverzügliche Meldung innerhalb von 72 Stunden erfolgen.)

 

Im Allgemeinen müssen die Verantwortlichen auch die betroffene Person informieren, wenn der EDÖB dies verlangt oder wenn es für die Sicherheit und den Schutz der betroffenen Person erforderlich ist.

 

Was sind die persönlichen Rechte gemäß dem DSG?

 

Früher galt das DSG sowohl für natürliche als auch für juristische Personen. Das revidierte DSG gilt nur noch für natürliche Personen und Bundesbehörden. Nach Schweizer Recht ist eine juristische Person eine menschliche oder nichtmenschliche Einheit (z. B. ein Unternehmen oder eine andere Organisation), die für bestimmte rechtliche Zwecke wie eine Person behandelt wird. Dazu gehören z. B. der Besitz von Eigentum, der Abschluss von Verträgen sowie das Einklagen oder das Verklagt werden.

 

Jede betroffene Person kann Auskunft darüber verlangen, ob Daten über sie verarbeitet werden oder wurden, und jede betroffene Person kann Zugang zu diesen Daten verlangen. Die Daten müssen schriftlich (in gedruckter oder fotokopierter Form) und unentgeltlich zur Verfügung gestellt werden. Auf das Recht auf Auskunft kann nicht im Voraus verzichtet werden.

 

Betroffene Personen haben auch das Recht, die Berichtigung ihrer personenbezogenen Daten zu verlangen, wenn diese unrichtig oder unvollständig sind. Unter bestimmten Umständen können diese Anträge jedoch eingeschränkt, abgelehnt oder aufgeschoben werden (Art. 32).

 

Wann ist das DSG nicht anwendbar?

 

Das DSG ist nicht anwendbar auf:

  1. Personendaten, die von einer natürlichen Person ausschließlich zum persönlichen Gebrauch verarbeitet und nicht an Außenstehende bekannt gegeben werden
  2. Beratungen in der Bundesversammlung und in parlamentarischen Kommissionen

Was sind die Strafen bei Nichteinhaltung des DSG?

Der EDÖB kann von sich aus oder auf Meldung hin eine Untersuchung gegen ein Unternehmen einleiten. Wird eine Datenschutzverletzung festgestellt, kann der EDÖB weitreichende Maßnahmen anordnen, darunter die Anpassung oder Einstellung der Datenverarbeitung oder die Löschung von Daten.

 

Die Nichteinhaltung des DSG und dessen Pflichten, einschließlich der Verletzung von Auskunfts- oder Sorgfaltspflichten, kann für den Verantwortlichen eine Geldstrafe von bis zu 250.000 Schweizer Franken zur Folge haben. Zu beachten ist, dass gemäß dem DSG eine Geldstrafe an Privatpersonen verhängt werden kann, während die DSGVO keine Geldstrafen für natürliche Personen vorsieht, sondern den Schwerpunkt der Geldstrafen auf Unternehmen legt.

 

Bei Verstößen im Rahmen der Geschäftstätigkeit kann das Unternehmen mit einer Geldstrafe von bis zu 50.000 Schweizer Franken belegt werden, wenn ein unverhältnismäßiger Aufwand nötig wäre, um die fehlbare Person innerhalb der Organisation zu identifizieren.

 

Wer sorgt für die Durchsetzung des DSG?

 

Der EDÖB ist für das Monitoring der DSG-Konformität zuständig und verfügt über weitreichende Ermittlungsbefugnisse (Art. 4). Die Stelle ist auch für die Beratung, die Aufklärung und die Gewährleistung des Schutzes von Personendaten in der Schweiz zuständig. Der EDÖB wird vom Bundesrat (dem Exekutivorgan der Schweizer Bundesregierung) für eine Amtszeit von vier Jahren ernannt und von der Bundesversammlung zugelassen.

 

Die Schweiz und der Privacy Shield

 

Der EU-US Privacy Shield wurde im Juli 2020 gekippt. Nach einer Evaluation durch den EDÖB wurde auch der Swiss-US Privacy Shield aufgrund des ungenügenden Datenschutzniveaus der Vereinigten Staaten für unzureichend erklärt. Der Transfermechanismus wurde am 8. September 2020 für internationale Datenübermittlungen außer Kraft gesetzt. Die Schweiz hat noch immer eine Angemessenheitsvereinbarung mit dem Rest der EU, und es werden Fortschritte bei einem neuen EU-US Privacy Shield gemacht. Die Revision des DSG war ein wichtiger Schritt, um weiterhin die Angemessenheit des Datenschutzes und der Datenübermittlungen mit der EU zum Nutzen der Wirtschaft und des Wettbewerbs sicherzustellen.

Es ist zwar nicht immer erforderlich, die Einwilligung der Schweizer Nutzer vor der Erhebung und Verarbeitung ihrer personenbezogenen Daten einzuholen (obwohl es andere Rechtsgrundlagen nach Art. 6 und 17 gibt), aber es ist immer notwendig, sie über den Verantwortlichen und die Verarbeitung zu informieren. Eine Consent Management Platform (CMP) ist ein wertvolles und hilfreiches Tool, um dies zu gewährleisten.

 

In Fällen, in denen eine Einwilligung erforderlich ist, z. B. bei der Verarbeitung sensibler personenbezogener Daten oder wenn die Daten in ein Drittland übermittelt werden, in dem kein angemessener Datenschutz besteht, ermöglicht eine CMP die Erfassung und Speicherung gültiger Einwilligungen sowie die Bereitstellung der erforderlichen Benachrichtigung an den Nutzer. Für Websites und Online-Shops, die sowohl Besucher und Kunden aus der EU als auch aus der Schweiz haben, ist ein Consent-Banner sowohl für die Benachrichtigung als auch für die Einwilligung erforderlich.

 

Die Usercentrics Consent Management Platform (CMP) kann ganz einfach und schnell eingerichtet werden, sodass datenschutzkonforme Einwilligungen von Schweizer Kunden eingeholt werden können. Es können mehrere Konfigurationen mit Geolokalisierung erstellt und verwaltet werden, um DSG- und DSGVO-Konformität sowie die Einhaltung anderer Vorschriften zu gewährleisten.

Fazit

Das Bundesgesetz über den Datenschutz (DSG) bringt eine dringend benötigte Modernisierung des Schweizer Datenschutzrechts. Dadurch positioniert sich das Land in der technologie- und datengesteuerten Zukunft als engagiert und wettbewerbsfähig. Da die Bestimmungen des DSG nicht ganz mit der DSGVO oder anderen Verordnungen übereinstimmen, ist es wichtig zu verstehen, was das DSG vorschreibt und erlaubt, und eine gute Rechtsberatung über Ihre spezifischen Verpflichtungen zur Einhaltung des DSG einzuholen. (Usercentrics bietet keine Rechtsberatung an, und Informationen werden nur zu Bildungszwecken bereitgestellt).

 

Im Rahmen des DSG bleiben Transparenz und Aufklärung der Nutzer von entscheidender Bedeutung, unabhängig davon, ob ihre Einwilligung zur Datenverarbeitung erforderlich ist oder nicht. Wenn jedoch eine Einwilligung erforderlich ist, muss sie, wie bei der DSGVO, granular, informiert, ausdrücklich und freiwillig eingeholt werden. Zudem müssen die Nutzer die Möglichkeit haben, die Einwilligung abzulehnen oder ihre Präferenzen zu ändern. Die Consent Management Platform (CMP) von Usercentrics erfüllt diese Anforderungen und bietet zudem Benutzerfreundlichkeit und Flexibilität, um die Einhaltung der für Ihr Unternehmen relevanten Datenschutzvorschriften zu ermöglichen – und das alles über ein benutzerfreundliches Interface. Verlassen Sie sich auf unsere hochmoderne Technologie und unser juristisches Fachwissen, um die Einhaltung der Vorschriften zu gewährleisten und gleichzeitig Ihr Geschäft auszubauen.

 

Haben Sie noch Fragen dazu, was genau Sie tun müssen, um DSG-Konformität zu gewährleisten oder wie Sie sicherstellen können, dass Ihr Unternehmen seiner Verantwortung gegenüber den Nutzern und den verschiedenen Vorschriften gerecht wird? Wir helfen Ihnen dabei! Sprechen Sie noch heute mit einem unserer Experten.

Home Ressourcen Blog Das Schweizer Bundesgesetz über den Datenschutz (DSG)

Ähnliche Artikel

Zero-, First- und Third-Party-Daten: Wo liegt der Unterschied?

Zero-, First- und Third-Party-Daten: Wo liegt der Unterschied?

Welche Daten sind für Ihr Geschäft besonders wichtig? Verordnungen, Verbraucher und Technologie beeinflussen den...

Die enge Partnerschaft zwischen Trusted Shops und Usercentrics bietet Kunden Rechtssicherheit und Sorgenfreiheit

Die enge Partnerschaft zwischen Trusted Shops und Usercentrics bietet Kunden Rechtssicherheit und Sorgenfreiheit

Case Study mit Trusted Shops - Eine Technologiepartnerschaft, die erstklassiges Consent Management, starken...