Überspringen

Das Gesetz über digitale Märkte (DMA) ist ein von der Europäischen Kommission eingeführtes wegweisendes Gesetz zur Regulierung digitaler Märkte und zur Gewährleistung eines fairen Wettbewerbs zwischen Technologieriesen und kleineren Unternehmen, die deren Plattformen und Dienste nutzen.

In diesem Artikel finden Sie Folgendes:

Ganz gleich, ob Sie ein Geschäftsinhaber, Marketer, Web Manager oder Jurist sind: Das Verständnis des DMA-Gesetzes und seiner Anforderungen ist entscheidend für die Einhaltung der Vorschriften, den kontinuierlichen Zugang zu den Diensten der benannten Gatekeeper und die Fähigkeit, in der sich entwickelnden digitalen Landschaft die Nase vorn zu haben.

Der Datenschutz ist komplex und entwickelt sich ständig weiter, was eine Herausforderung darstellen kann. Dies gilt insbesondere für kleinere Unternehmen, die nicht über die nötigen rechtlichen oder technischen Ressourcen verfügen. Das Gesetz über digitale Märkte erfordert Ihre ungeteilte Aufmerksamkeit. Unser Ziel ist es, den Schulungs- und Compliance-Prozess für Sie zu vereinfachen und Ihnen die Transparenz und Hilfestellung zu bieten, mit denen Sie die Komplexität des DMA-Gesetzes ganz einfach bewältigen.

Was ist das Gesetz über digitale Märkte bzw. der Digital Markets Act (DMA) der EU?

Der Digital Markets Act (DMA) ist ein von der Kommission der Europäischen Union eingeführter Rechtsrahmen zur Regulierung digitaler Märkte und zur Bewältigung der Herausforderungen im Zusammenhang mit dem Datenschutz und der Dominanz von Online-Technologieriesen. Das Gesetz zielt darauf ab, einen fairen Wettbewerb zu gewährleisten, den Verbraucherschutz zu verbessern und Innovationen im digitalen Ökosystem zu fördern. Der Digital Markets Act (DMA) wird einen erheblichen Einfluss darauf haben, wie große Online-Plattformen und kleinere Dritte, die deren Dienste nutzen, mit den Einwilligungen und Daten der Nutzer umgehen.

Warum wurde das Gesetz über digitale Märkte erlassen?

Die Europäische Kommission hat das Gesetz über digitale Märkte als Reaktion auf die wachsenden Bedenken hinsichtlich der Macht marktbeherrschender Technologieunternehmen eingeführt, die über digitale Plattformen mit enormer globaler Reichweite verfügen. Diese Unternehmen haben einen erheblichen und wachsenden Einfluss auf Wettbewerb, Innovation und das Wohlergehen der Verbraucher. Das Gesetz spiegelt die Verpflichtung der EU wider, die Herausforderungen der digitalen Wirtschaft im 21. Jahrhundert anzugehen.

Die Aufgabe des DMA-Gesetzes besteht darin, den digitalen Markt zu regulieren, zur Gewährleistung des Wettbewerbs beizutragen und die Privatsphäre von Nutzern und Verbrauchern zu schützen und so sicherzustellen, dass das Ökosystem in einer Weise funktioniert, die sowohl für Unternehmen als auch Verbraucher in der Europäischen Union gerecht und vorteilhaft ist.

Was soll mit dem Gesetz über digitale Märkte erreicht werden?

Das Gesetz über digitale Märkte verfolgt drei Hauptziele:

Durch die Auferlegung spezifischer Pflichten für Technologieunternehmen, die derzeit den Markt beherrschen und im Gesetz über digitale Märkte als „Gatekeeper“ bezeichnet werden, soll ein transparenteres, wettbewerbsorientiertes und nutzerorientiertes digitales Geschäftsumfeld geschaffen werden.

Für wen gilt das Gesetz über digitale Märkte?

Das DMA-Gesetz gilt für Unternehmen, die große Online-Plattformen betreiben, welche bestimmte Kriterien erfüllen, wie z. B. erhebliche Auswirkungen auf digitale Märkte haben, als Vermittler zwischen Unternehmen und Nutzern fungieren und über eine dauerhafte Marktmacht mit erheblichem Einfluss auf Innovationen verfügen. Diese Plattformen unterliegen im Rahmen des DMA-Gesetzes verstärkten regulatorischen Verpflichtungen und Prüfungen.

Beispiele von Gatekeepern: Die sechs von der Europäischen Kommission (EK) benannten Gatekeeper sind die folgenden:

Auch wenn der Digital Markets Act (DMA) für diese Gatekeeper gilt, sollten kleinere Unternehmen das Gesetz kennen und verstehen, da es sich direkt auf die Nutzung der großen Online-Plattformen und -Dienste von Gatekeepern auswirkt. Die Geschäftsinhaber sind für die Einhaltung der von digitalen Diensten wie Google und Amazon auferlegten Compliance-Regeln verantwortlich.

Was sind die wichtigsten Bestimmungen des Gesetzes über digitale Märkte?

Mit dem DMA-Gesetz werden mehrere wichtige Bestimmungen eingeführt, darunter die folgenden:

Das Gesetz über digitale Märkte sieht zudem die Einrichtung einer speziellen Einheit für digitale Märkte, eine sogenannte Digital Markets Unit (DMU), vor, die die Einhaltung der Gesetze überwacht und durchsetzt, und gewährt dieser Einheit die Befugnis, bei Verstößen Geldbußen und andere Abhilfemaßnahmen zu verhängen.

Wie wirkt sich das Gesetz über digitale Märkte auf digitale Plattformen aus?

Für Unternehmen bringt das DMA-Gesetz sowohl Chancen als auch Herausforderungen mit sich. Einerseits ermöglicht es eine individuelle Produktbewerbung auf den Plattformen der Gatekeeper. Auf der anderen Seite werden strengere Regeln für die Verwendung personenbezogener Daten in der Werbung durchgesetzt, was sich potenziell auf Marketingstrategien und die Einnahmen kleiner Unternehmen auswirken kann. Darüber hinaus verbietet das DMA-Gesetz das Retargeting von Minderjährigen, was die Verwaltung der Einwilligungen komplexer macht.

Die Gatekeeper werden Regeln für die Nutzung ihrer Plattformen festlegen, um die Einhaltung des Digital Markets Acts zu gewährleisten. Alle Drittunternehmen, die ihre Dienste nutzen, müssen diese Regeln einhalten und ihre Geschäftstätigkeit an den Richtlinien der Gatekeeper ausrichten, um einen kontinuierlichen Zugang zu diesen Diensten zu gewährleisten. Der Verlust des Zugangs zu Google für Werbezwecke könnte beispielsweise einen schweren Schlag für die Einnahmen eines kleineren Unternehmens bedeuten.

Der Digital Markets Act wird sich zudem auch auf digitale Apps auswirken. Das neue Gesetz wird es Nutzern ermöglichen, Nachrichten über verschiedene Messaging-Apps zu senden und zu empfangen. Wenn also eine Nachricht per Messenger gesendet wird, kann sie nun von einem Nutzer von Signal oder WhatsApp gelesen werden und umgekehrt.

Außerdem können die Nutzer vorinstallierte Apps von ihren Geräten deinstallieren, da das Bewerben von Diensten auf verschiedenen Betriebssystemen nicht mehr zulässig ist. Das bedeutet, dass Nutzer nicht dazu aufgefordert werden, verschiedene Dienste aus dem Ökosystem eines einzigen Technologieriesen zu nutzen. Wenn Sie beispielsweise iOS verwenden, wird Ihnen nicht mehr vorgeschlagen, Safari als Standardbrowser einzustellen, oder Chrome, wenn Sie Android verwenden.

Das Gesetz über digitale Märkte legt Gatekeepern Beschränkungen auf, um sicherzustellen, dass Nutzer die Nutzung von Diensten auf ihren Geräten ganz einfach einstellen oder Dienste von ihren Geräten entfernen können. Jede App verfügt beispielsweise über ein benutzerfreundliches Interface, das Nutzer bei der reibungslosen Installation und Deinstallation unterstützt. Dies bedeutet, dass kleinere Akteure die Chance haben, mehr Nutzer für ihre Plattformen zu gewinnen, und mit diesem Wachstum in eine bessere Position für Innovationen und die Entwicklung neuer Features und Apps gelangen.

Da der Digital Markets Act (DMA) die Europäische Union (EU) und den Europäischen Wirtschaftsraum (EWR) betrifft, betreffen diese Änderungen nur die Verbraucher in diesen Regionen und nicht die Nutzer der Gatekeeper-Plattformen und -Dienste weltweit.

Schafft das Gesetz über digitale Märkte gleiche Wettbewerbsbedingungen für alle Marktteilnehmer?

Das Gesetz über digitale Märkte zielt darauf ab, gleiche Wettbewerbsbedingungen für alle Unternehmen zu schaffen, die auf dem digitalen Markt tätig sind. Außerdem werden Wettbewerb und Innovation durch das Gesetz gefördert. Die Bestimmungen des DMA-Gesetzes ermöglichen kleineren Wettbewerbern einen fairen Zugang zum Markt, zu Daten und zu Nutzern. Dadurch werden die Vorteile und die unverhältnismäßige Kontrolle, die die großen Online-Plattformen derzeit genießen, reduziert.

Das DMA-Gesetz verlangt von Gatekeepern, dass sie Unternehmen Zugang zu den von ihnen erhobenen Daten gewähren, sowohl über Aktivitäten auf den Plattformen als auch über zugrundeliegende Technologien wie etwa Algorithmen, aber auch über nutzergenerierte Daten. Indem sie Zugang zu denselben Einblicken erhalten, können Unternehmen effektiver mit den Technologieriesen konkurrieren. Das Gesetz schreibt ferner vor, dass die Gatekeeper alle Unternehmen, die ihre Plattformen nutzen, gleich behandeln müssen. Dies trägt dazu bei, Diskriminierung zu verhindern und kleineren Unternehmen eine fairere Chance zu geben, um auf dem digitalen Markt zu konkurierren.

Wie bekämpft das Gesetz über digitale Märkte unlautere Praktiken marktbeherrschender Plattformen?

Gatekeepern wird untersagt, sich an Praktiken zu beteiligen, die den Wettbewerb behindern, wie beispielsweise das bevorzugte Bewerben eigener Produkte oder Dienstleistungen, die Ausnutzung von Nutzerdaten oder das Stören der Interoperabilität. Das DMA-Gesetz ermächtigt die Einheit für digitale Märkte bzw. die Digital Markets Unit (DMU), diese Bestimmungen durchzusetzen und geeignete Maßnahmen gegen unlautere Praktiken zu ergreifen.

Welche Rolle spielt die Einheit für digitale Märkte?

Die Einheit für digitale Märkte bzw. die Digital Markets Unit (DMU) ist eine Regulierungsbehörde, die im Rahmen des DMA-Gesetzes eingerichtet wurde, um die Einhaltung des Gesetzes zu überwachen und durchzusetzen. Sie ist berechtigt, die Gatekeeper und den Betrieb auf ihren Plattformen zu untersuchen, ihre Marktmacht zu bewerten und bei Verstößen Geldbußen und andere Abhilfemaßnahmen zu verhängen.

Wie setzt die Einheit für digitale Märkte das Gesetz durch?

Die Einheit für digitale Märkte wird das Gesetz über digitale Märkte durch eine Kombination von Ermittlungsbefugnissen, Überwachungsmechanismen und Strafen bei Nichteinhaltung durchsetzen. Die Einheit für digitale Märkte ist befugt, bei Beschwerden und im Verlauf von Ermittlungen Informationen von den Gatekeeper-Plattformen anzufordern und Geldbußen wegen Nichteinhaltung zu verhängen.

Kann das Gesetz über digitale Märkte die Gatekeeper zwingen, Daten an Wettbewerber weiterzugeben?

Ja, das Gesetz über digitale Märkte verlangt von Gatekeepern, dass sie Wettbewerbern und Drittunternehmen, die die Plattformen nutzen, Zugang zu bestimmten Arten von Daten ihrer Plattformen gewähren. Der genaue Umfang und die genauen Bedingungen für die Weitergabe von Daten unterliegen weiteren Leitlinien und Bewertungen durch die Einheit für digitale Märkte, aber sie hat die Möglichkeit, diesen Zugang durchzusetzen.

Wird das Gesetz über digitale Märkte zu einer strengeren Fusionskontrolle für digitale Plattformen führen?

Ja, durch das DMA-Gesetz werden strengere Regeln für Fusionen und Übernahmen im Zusammenhang mit großen digitalen Akteuren eingeführt. Es gibt der Europäischen Kommission die Befugnis, diese Geschäfte zu prüfen und möglicherweise zu verhindern, wenn sie zu Monopolen führen und dem Wettbewerb oder den Interessen anderer Unternehmen und der Verbraucher schaden könnten. Das bedeutet, dass das DMA-Gesetz bei der Überwachung und Regulierung der Konsolidierung der Marktmacht hilft.

Wie wirkt sich das Gesetz über digitale Märkte auf Online-Werbung aus?

Das Gesetz über digitale Märkte wird erhebliche Auswirkungen auf Online-Werbung haben. Durch dieses Gesetz werden spezifische Verpflichtungen für die Plattformen der Gatekeeper in Bezug auf die Transparenz und Fairness von Werbediensten eingeführt. Diese Plattformen müssen Advertisern einen transparenten Zugang zu Daten, faire Bedingungen und nicht-diskriminierende Betriebsbedingungen bieten.

Darüber hinaus beschränkt das DMA-Gesetz die Erstellung von Kundenprofilen, d. h. die Erhebung und Analyse von Nutzerdaten, um zielgerichtete Werbung zu erzeugen. Durch diese Einschränkung soll die Privatsphäre der Nutzer geschützt und der Missbrauch personenbezogener Daten durch Gatekeeper verhindert werden, wodurch ein gerechteres und transparenteres Werbe-Ökosystem gewährleistet wird.

Wird das Gesetz über digitale Märkte zu mehr Transparenz bei Online-Ranking-Algorithmen führen?

Ja, Gatekeeper müssen Unternehmen, die ihre Plattformen nutzen, klare und aussagekräftige Informationen über die Funktionsweise ihrer Ranking-Algorithmen bereitstellen. So können Unternehmen besser verstehen, wie ihre Produkte oder Dienstleistungen bewertet werden, und fundierte Entscheidungen hinsichtlich ihrer Online-Präsenz und Marketingstrategien treffen.

Welche Strafen können bei Nichteinhaltung des Gesetzes über digitale Märkte verhängt werden?

Gatekeeper, die den Digital Markets Act (DMA) nicht einhalten, müssen mit erheblichen Strafen rechnen. Die Einheit für digitale Märkte ist befugt, Geldbußen in Höhe von bis zu 10% des weltweiten Jahresumsatzes eines Unternehmens zu verhängen. Darüber hinaus kann die Einheit für digitale Märkte verhaltensbezogene und strukturelle Abhilfemaßnahmen wie Veräußerungen oder betriebliche Änderungen vorschreiben, um systemische Wettbewerbsprobleme anzugehen und die Einhaltung der Vorschriften zu gewährleisten.

Wie wird das Gesetz über digitale Märkte in den EU-Mitgliedstaaten umgesetzt?

Der Digital Markets Act (DMA) wird in allen EU-Mitgliedstaaten nach einem koordinierten Ansatz umgesetzt. Während das DMA-Gesetz den übergreifenden Regulierungsrahmen festlegt, fallen seine Umsetzung und Durchsetzung in die Zuständigkeit der nationalen Behörden in den einzelnen Mitgliedstaaten. Dies trägt dazu bei, die einheitliche Anwendung der Bestimmungen des Gesetzes zu gewährleisten und gleichzeitig regionale Flexibilität bei der Anwendung und Durchsetzung zu ermöglichen.

Werden durch das Gesetz über digitale Märkte die Vorschriften für den digitalen Markt in der EU harmonisiert?

Ja. Das Gesetz über digitale Märkte sorgt für eine einheitliche Regelung, die für die Gatekeeper und die in der EU betriebenen digitalen Plattformen gilt. Diese Einheitlichkeit soll den derzeitigen Flickenteppich nationaler Verordnungen durch einen gemeinsamen Rechtsrahmen ersetzen. Bestimmte Aspekte der Umsetzung können jedoch nach wie vor einer nationalen Anpassung unterliegen.

Wie wird sich das Gesetz über digitale Märkte auf Innovationen in digitalen Märkten auswirken?

Durch das DMA-Gesetz werden zwar strengere Vorschriften für Gatekeeper eingeführt, jedoch wird auch die Bedeutung von Innovationen anerkannt. Zudem werden legitime Geschäftspraktiken ermöglicht, die zum technologischen oder wirtschaftlichen Fortschritt beitragen.

Das DMA-Gesetz wird Innovationen durch mehr Transparenz beeinflussen. Digitale Plattformen müssen mehr Informationen bezüglich ihrer Praktiken, Algorithmen und Datennutzung bereitstellen. Durch diese Transparenz werden kleinere Akteure besser verstehen, wie sie ihre Dienstleistungen und Produkte optimieren können. Dies wird letztlich zu innovativeren Angeboten auf dem Markt und besseren Nutzererlebnissen führen. Darüber hinaus wird diese erhöhte Transparenz auch dazu beitragen, das Vertrauen der Verbraucher zu stärken, da sie mehr Kontrolle über ihre Daten haben und zudem besser verstehen, wie sie verwendet und geschützt werden.

Kann das Gesetz über digitale Märkte verhindern, dass große Online-Plattformen sich selbst bevorzugen?

Ja, das Gesetz über digitale Märkte verbietet Gatekeepern, sich auf ihren Plattformen selbst zu bevorzugen. Selbstbevorzugung bezeichnet die Praxis, die eigenen Produkte oder Dienstleistungen der Plattform gegenüber denen der Wettbewerber zu bewerben. Die Gatekeeper-Plattformen müssen eine faire und nichtdiskriminierende Behandlung ihrer eigenen Angebote und der Angebote Dritter gewährleisten.

Wird das Gesetz über digitale Märkte auf Bedenken im Zusammenhang mit der Unternehmenskonzentration eingehen?

Ja, durch die Auferlegung von Verpflichtungen und Beschränkungen für die Plattformen und Dienste der Gatekeeper und durch eine verstärkte regulatorische Kontrolle wird das Gesetz über digitale Märkte dazu beitragen, den Missbrauch von Marktmacht zu verhindern. Durch das DMA-Gesetz soll sichergestellt werden, dass kein einzelner Plattform- oder Dienstanbieter den Markt zum Nachteil der Unternehmen, Verbraucher und der allgemeinen Marktdynamik beherrscht.

Wie wird sich das Gesetz über digitale Märkte auf kleine und mittlere Unternehmen (KMU) auswirken?

Während der Schwerpunkt des Gesetzes über digitale Märkte auf Technologieriesen liegt, werden auch kleine und mittlere Unternehmen (KMU), die ihre Plattformen für Vertrieb und Marketing nutzen, seine Auswirkungen spüren. Es ist sehr wahrscheinlich, dass kleinere Unternehmen bald die neuen Datenschutzbestimmungen befolgen müssen, die die Gatekeeper zur Einhaltung des DMA-Gesetzes festlegen. Die gesetzlichen Datenschutzanforderungen gelten beispielsweise für alle personenbezogenen Daten, die auf diesen Plattformen erhoben werden, unabhängig davon, ob sie direkt von Gatekeepern oder von Dritten, die sie nutzen, erhoben werden.

Für die Einhaltung dieser neuen Gesetze wird es keine Einheitslösung geben. Unternehmen sollten jedoch damit beginnen, Plattformen zu erforschen, die veraltete und intrusive Methoden durch transparente Tools für die Einholung von Nutzereinwilligungen, Tracking ohne Cookies und den Rückgriff auf Erstanbieter-Datenbanken sowie kontextbezogene Werbung ersetzen.

Gilt das Gesetz über digitale Märkte auch für große Online-Plattformen nicht-europäischer Unternehmen, die in der EU tätig sind?

Ja, der Digital Markets Act (DMA) gilt auch für Online-Plattformen nicht-europäischer Unternehmen, die in der EU tätig sind, sofern diese die Kriterien für die Rolle eines Gatekeepers erfüllen. Tatsächlich haben alle sechs benannten Gatekeeper ihren Sitz außerhalb der EU. Der Geltungsbereich des Gesetzes über digitale Märkte erstreckt sich über alle Plattformen, die den europäischen digitalen Markt erheblich beeinflussen, unabhängig von ihrer geografischen Herkunft. Dadurch wird sichergestellt, dass alle in der EU betriebenen Plattformen dieselben Standards einhalten und keine unlauteren Praktiken anwenden.

Die Anforderungen des DMA-Gesetzes gelten auch für Plattformen und Dienste von nicht-europäischen Unternehmen, die in der EU tätig sind, wenn sie die Plattformen und Dienste der Gatekeeper nutzen und Nutzerdaten erheben, auch wenn sie selbst nicht als Gatekeeper benannt sind. Diese Unternehmen könnten auch recht groß sein und Einfluss auf digitale Märkte haben.

Kann das Gesetz über digitale Märkte in Zukunft geändert oder aktualisiert werden?

Ja, das Gesetz über digitale Märkte kann in Zukunft geändert oder aktualisiert werden, um es an sich ändernde Marktdynamiken und technologische Entwicklungen anzupassen. Viele globale Datenschutzgesetze wurden bereits mehrfach aktualisiert. Im Zuge der Weiterentwicklung der digitalen Landschaft kann das DMA-Gesetz überarbeitet werden, um auf neue Herausforderungen und neue Akteure zu reagieren und so seine Effektivität sicherzustellen. Mit dieser Flexibilität bleibt das Gesetz relevant und auf die Technologie, die Regulierungslandschaft und den Markt zugeschnitten.

Inwiefern unterscheidet sich das Gesetz über digitale Märkte von bestehenden Wettbewerbsgesetzen?

Während sich die bestehenden Rechtsvorschriften tendenziell auf allgemeine Wettbewerbsgrundsätze konzentrieren, führt das Gesetz über digitale Märkte branchenspezifische regulatorische Anforderungen und Verpflichtungen für Gatekeeper und ihre großen Online-Plattformen ein. Außerdem ergänzt das DMA-Gesetz das Wettbewerbsrecht der Europäischen Union durch die Einführung fairer Wettbewerbsregeln für bestimmte digitale Akteure in Europa.

Was sind die Kritikpunkte am Gesetz über digitale Märkte?

Das DMA-Gesetz wurde seit seiner Einführung sowohl gelobt als auch kritisiert. Kritiker argumentieren, dass es Innovationen ersticken, übermäßige regulatorische Belastungen auferlegen und möglicherweise kleineren Plattformen schaden könnte. Sie sind der Ansicht, dass das Gesetz das Wachstum digitaler Plattformen verlangsamen und künftige Investitionen behindern könnte.

Darüber hinaus bestehen Bedenken hinsichtlich der Praktikabilität und Durchsetzbarkeit bestimmter Maßnahmen. Kritiker sind zudem der Ansicht, dass das Verbot der Profilerstellung im Bereich der Werbung das Ökosystem der zielgerichteten Werbung stören könnte und sich auf die Einnahmen digitaler Plattformen und Verlage auswirken könnte.

Kritische Stimmen kommen auch aus den USA. So wird beispielsweise vorgebracht, dass das Gesetz über digitale Märkte den Export digitaler Dienste nach Europa erschweren und die Kosten erhöhen wird. Dies wiederum würde zu einer geringeren Qualität der auf dem europäischen digitalen Markt angebotenen Dienste führen.

Insgesamt hat das DMA-Gesetz eine lebhafte Debatte über das Gleichgewicht zwischen Regulierung und Innovation auf dem digitalen Markt ausgelöst.

Wird das Gesetz über digitale Märkte zu höheren Kosten für große Online-Plattformen führen?

Zwar ist es schwierig, die genauen Auswirkungen vorherzusagen. Jedoch ist es möglich, dass die Kosten für digitale Plattformen steigen könnten. Um die Einhaltung des Gesetzes über digitale Märkte zu erreichen, müssen die Gatekeeper möglicherweise in Technologie, Personal und rechtliche Ressourcen für die großen digitalen Plattformen investieren, was ihre Betriebskosten erhöhen könnte. Auch drohen Geldbußen bei Verstößen gegen das DMA-Gesetz, wodurch die Kosten für große Online-Plattformen noch weiter erhöht werden. Gatekeeper übertragen jedoch eine gewisse Verantwortung auf Dritte, die ihre Plattformen nutzen, indem sie von diesen verlangen, dass sie ebenfalls die Anforderungen des DMA-Gesetzes erfüllen.

Kann das Gesetz über digitale Märkte ein vielfältigeres und wettbewerbsfähigeres digitales Ökosystem fördern?

Ja, der Digital Markets Act (DMA) kann ein vielfältigeres und wettbewerbsfähigeres digitales Ökosystem fördern. Durch das DMA-Gesetz werden Start-ups und kleinere Unternehmen ermutigt, mit etablierten Plattformen zu konkurrieren. Dadurch werden Innovation, Zugänglichkeit und Wachstum gefördert. Im Rahmen des Gesetzes über digitale Märkte werden auch Maßnahmen eingeführt, um die Übertragbarkeit und Interoperabilität von Daten zu gewährleisten. So kann der Wettbewerb gestärkt werden, indem Marktzutrittsbarrieren abgebaut und den Verbrauchern die Wahlmöglichkeiten erleichtert werden.

Wie wird das Gesetz über digitale Märkte mit anderen Verordnungen koordiniert?

Die Koordinierung des Gesetzes über digitale Märkte mit anderen Regulierungsrahmen wird von entscheidender Bedeutung sein, um Einheitlichkeit zu gewährleisten und Konflikte zu vermeiden. Das Gesetz über digitale Märkte soll bestehende Verordnungen wie die DSGVO ergänzen und nicht ersetzen. Die Europäische Kommission, die für die Durchsetzung des DMA-Gesetzes zuständig ist, wird eng mit anderen Regulierungsbehörden, wie etwa den nationalen Wettbewerbs- und Datenschutzbehörden, zusammenarbeiten, um die Harmonisierung und Koordinierung zu gewährleisten. Regelmäßige Konsultationen und Kooperationsmechanismen werden eingerichtet, um Informationen auszutauschen, Durchsetzungsmaßnahmen aufeinander abzustimmen und Überschneidungen oder Unstimmigkeiten zwischen dem DMA-Gesetz und anderen Rechtsrahmen zu beseitigen.

Wann ist das Gesetz über digitale Märkte in Kraft getreten?

Im Dezember 2020 hat die Kommission die Rechtsvorschriften vorgeschlagen, auf die sich das Europäische Parlament und der Rat im März 2022 geeinigt hatten. Das Gesetz trat im November 2022 in Kraft und ist seit Mai 2023 anzuwenden. Als Gatekeeper benannte Unternehmen haben sechs Monate Zeit, um die Anforderungen und Verpflichtungen des Gesetzes über digitale Märkte zu erfüllen.

Wie können sich Unternehmen auf das Gesetz über digitale Märkte bereitmachen?

Für Unternehmen sollte es eine der obersten Prioritäten sein, sich auf die Anforderungen des Gesetzes über digitale Märkte vorzubereiten. Denn dieses Gesetz wird auf dem europäischen digitalen Markt von großer Bedeutung für sie sein. Wie können sich Unternehmen also auf das Gesetz über digitale Märkte bereitmachen? Zunächst einmal ist es wichtig zu wissen, welche Daten Ihr Unternehmen erhebt und verwendet – und wo, wie und an wen sie weitergegeben werden. Lesen Sie interne Richtlinien für den Umgang mit Nutzerdaten, die Einholung von Einwilligungen und die Verwendung von Daten für verschiedene Zwecke oder die Weitergabe an Dritte.

  1. Stellen Sie sicher, dass Ihre Website oder App die richtigen Datenschutz-Tools verwendet, die Nutzereinwilligungen datenschutzkonform einholt und über eine umfassende und klare Datenschutzrichtlinie verfügt.
  2. Implementieren Sie eine Datenschutzlösung zur Einhaltung der Vorschriften, die Sie für das Gesetz über digitale Märkte bereit machen kann, z. B. die Consent Management Platform (CMP) von Usercentrics. Oder verwenden Sie das Mobile App-SDK von Usercentrics. Beginnen Sie damit, die Einwilligung der Nutzer auf eine sichere Art und Weise einzuholen, die die Privatsphäre und die personenbezogenen Daten der Nutzer schützt, Analytics-Insights der Nutzereinwilligung bietet, um höhere Einwilligungsraten zu erzielen, und die Einhaltung der relevanten Datenschutzgesetze ermöglicht.
  3. Abonnieren Sie den Newsletter von Usercentrics, um künftige News zum Gesetz über digitale Märkte zu erhalten und auf dem neuesten Stand zu bleiben.

Abschließende Worte zu den wichtigsten Fragen zum Gesetz über digitale Märkte

Insgesamt stellt das Gesetz über digitale Märkte einen wichtigen Schritt zur Regulierung des Datenschutzes, der digitalen Wirtschaft und zur Förderung eines fairen Wettbewerbs dar. Sein Erfolg wird jedoch von einer wirksamen Umsetzung und Durchsetzung sowie einer kontinuierlichen Überwachung und Aktualisierungen abhängen, damit seine Ziele auch weiterhin erreicht werden. Da sich Technologie, Nutzererwartungen, Innovationen, Verordnungen und digitale Märkte stets weiterentwickeln, wird es von entscheidender Bedeutung sein, Verordnungen wie das Gesetz über digitale Märkte anzupassen und zu aktualisieren, um mit neuen Herausforderungen und Chancen Schritt zu halten.

Holen Sie sich jetzt die Consent Management Platform von Usercentrics, um für das Gesetz über digitale Märkte gut ausgerüstet zu sein. Sichern Sie Ihr Unternehmen vor Änderungen aufgrund des Gesetzes über digitale Märkte und fördern Sie gleichzeitig Ihr Wachstum.

Jetzt loslegen

Einführung in das DSG

Das Bundesgesetz über den Datenschutz (DSG) wurde in der Schweiz im Herbst 2020 verabschiedet und tritt am 1. September 2023 durch die Datenschutzverordnung (DSV) in Kraft. Ursprünglich sollte es in der zweiten Hälfte des Jahres 2022 in Kraft treten.

Das Bundesgesetz über den Datenschutz (DSG) unterscheidet sich in einigen Punkten von der Datenschutz-Grundverordnung (DSGVO) der Europäischen Union und anderen europäischen Gesetzen, ist aber weitgehend mit diesen vereinbar. Ein wichtiges Ziel des Gesetzes war es, den Datenfluss mit der EU zu gewährleisten und die wirtschaftlichen Möglichkeiten der Schweizer Unternehmen zu erhalten. Das DSG gibt den Schweizer Bürgern neue Rechte in Bezug auf den Schutz ihrer personenbezogenen Daten und schafft neue Anforderungen für Unternehmen, die Zugang zu diesen Daten haben wollen.

Was ist das DSG?

Geltungsbereich des Schweizer DSG

Die Schweizer Verfassung gewährt den Bürgern ein Recht auf Privatsphäre, und die Schweizer Datenschutzgesetze haben ihre Grundlage in diesem zivilrechtlichen Schutz. Das revidierte DSG ist eine vollständige Überarbeitung des älteren Schweizer Datenschutzgesetzes aus dem Jahr 1992, wobei 2009 und 2019 kleinere Aktualisierungen vorgenommen wurden. Der Geltungsbereich des revidierten Datenschutzgesetzes ist in Art. 2 festgehalten.

Neues DSG Schweiz

Das Schweizer Datenschutzgesetz ist technisch gesehen das neue DSG (rDSG oder revidiertes DSG), da es das vorherige Gesetz von 1992 ersetzt.
Die Technologie hat sich seit den 1990er Jahren stark verändert und ist sowohl allgegenwärtiger als auch anspruchsvoller in Bezug auf Nutzerdaten geworden. Smartphones, Social-Networking-Plattformen, Cloud-basierte Computersysteme und vieles mehr haben sich ausgebreitet, sodass eine Aktualisierung des Gesetzes zum besseren Schutz des Datenschutzes fällig war.

Das revidierte DSG führt das Konzept der Profilerstellung ein, d. h. der automatisierten Verarbeitung personenbezogener Daten (Art. 5 lit. f), was ein gutes Beispiel für ein neues, technologiegetriebenes Anliegen ist, mit dem sich das Gesetz befassen muss.

Extraterritorialität und grenzüberschreitende Übermittlung von Daten gemäß dem Schweizer DSG

Das DSG ist extraterritorial, gilt also für Organisationen außerhalb der Schweiz, wenn sie Daten von Schweizer Bürgern verarbeiten. Dabei spielt es keine Rolle, wo das Unternehmen seinen Sitz hat oder seine Website gehostet wird. Zudem gilt das Gesetz sowohl für den öffentlichen als auch für den privaten Sektor.

Das DSG soll den kontinuierlichen und sicheren Datenverkehr zwischen der Schweiz und der EU und dem EWR gewährleisten, obwohl die Schweiz weder Mitglied der EU noch des EWR ist. Es verbietet die Übermittlung personenbezogener Daten aus der Schweiz in Länder, mit denen keine Angemessenheitsvereinbarung besteht, d. h. in Länder, die kein angemessenes Datenschutzniveau gewährleisten (Art. 16). Solche Übermittlungen sind jedoch weiterhin möglich, wenn die betroffenen Personen ihre Einwilligung dazu gegeben haben (Art. 17).

Definitionen und betroffene Parteien gemäß dem Schweizer DSG

Das DSG gilt sowohl für physische als auch für elektronische Daten/Dateien. Es schützt die Rechte der Schweizer Bürger auf Datenschutz und vor einer Datenschutzverletzung durch einen übermäßigen Zugriff auf ihre personenbezogenen Daten oder deren Verwendung.

Gemäß dem DSG (Art. 5) wird „Verarbeitung” definiert als: „jeder Umgang mit Personendaten, unabhängig von den angewandten Mitteln und Verfahren, insbesondere das Beschaffen, Speichern, Aufbewahren, Verwenden, Verändern, Bekanntgeben, Archivieren, Löschen oder Vernichten von Daten”.

Das DSG spricht auch von „Verantwortlichen” und definiert den Begriff als: „private Person oder Bundesorgan, die oder das allein oder zusammen mit anderen über den Zweck und die Mittel der Bearbeitung entscheidet”. Der für die Verarbeitung „Verantwortliche” ist derjenige, der die Daten sammelt und verarbeitet, der die Sammlung und Verarbeitung der Daten leitet und der für den korrekten und datenschutzkonformen Umgang mit den Daten verantwortlich ist.

Die Verarbeitung personenbezogener Daten kann durch Dritte (nicht durch den Verantwortlichen) erfolgen, wenn dies entweder gesetzlich erlaubt ist oder vertraglich vereinbart wurde und wenn (Art. 9):

  1. die Daten so bearbeitet werden, wie der Verantwortliche selbst es tun dürfte; und
  2. keine gesetzliche oder vertragliche Geheimhaltungspflicht die Übertragung verbietet.

Darüber hinaus können Dritte die gleiche Rechtfertigung (Rechtsgrundlage) für die Datenverarbeitung geltend machen wie der Auftraggeber.

Privacy by Design gemäß dem Schweizer DSG

Mit dem DSG werden die Grundsätze „Privacy by Design” und „Privacy by Default” in das Gesetz aufgenommen. Dies verpflichtet die Unternehmen, die Grundsätze der Datenverarbeitung bereits bei der Planung und Gestaltung von Apps zu berücksichtigen und nicht erst im Nachhinein zu versuchen, Daten zu sichern und zu schützen. Sie dürfen auch keine Standardeinstellungen, z. B. von Web-Technologien verwenden, um die Einwilligung der Betroffenen zu mehr Datenverarbeitung als unbedingt erforderlich einzuholen.

Allgemeine Datenschutzbestimmungen im revidierten DSG

Das DSG legt mehrere Grundsätze für die Datenbearbeitung fest (Art. 4):

  1. Personendaten dürfen nur rechtmäßig verarbeitet werden
  2. Die Verarbeitung muss nach Treu und Glauben erfolgen und verhältnismäßig sein
  3. Die Verarbeitung darf nur zu dem bei der Erhebung angegebenen Zweck erfolgen, der sich aus den Umständen ergibt oder gesetzlich vorgesehen ist
  4. Die Erhebung personenbezogener Daten, insbesondere der Zweck der Verarbeitung, muss für die betroffene Person erkennbar sein
  5. Die Daten werden gelöscht oder anonymisiert, sobald sie für die Zwecke der Verarbeitung nicht mehr benötigt werden
  6. Ist für die Verarbeitung personenbezogener Daten die Einwilligung der betroffenen Person erforderlich, so ist diese Einwilligung nur gültig, wenn sie freiwillig und nach angemessener Unterrichtung erteilt wird
  7. Im Falle der Verarbeitung von sensiblen Personendaten oder von Persönlichkeitsprofilen muss die Einwilligung ausdrücklich erteilt werden

Wie definiert das Schweizer DSG Personendaten?

In Übereinstimmung mit vielen anderen Datenschutzgesetzen definiert das Schweizer DSG personenbezogene Daten oder Informationen („Personendaten”) als „alle Angaben, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen”. Dazu können offensichtlich identifizierende Informationen wie ein Name oder eine E-Mail-Adresse gehören, aber auch Informationen wie die IP-Adresse, zumal sie in Kombination mit anderen personenbezogenen Daten identifizierend wirken kann.

Wie definiert das Schweizer DSG sensible Personendaten?

Das DSG definiert sensible Personendaten (Art. 5 lit. c) wie folgt:

  1. Daten über religiöse, weltanschauliche, politische oder gewerkschaftliche Ansichten oder Tätigkeiten
  2. Daten über die Gesundheit, Intimsphäre oder die Zugehörigkeit zu einer Rasse oder Ethnie,
  3. Daten über verwaltungs- und strafrechtliche Verfolgungen oder Sanktionen,
  4. Daten über Maßnahmen der sozialen Hilfe
  5. Genetische Daten,
  6. Biometrische Daten, die eine natürliche Person eindeutig identifizieren

Die letzten beiden aufgelisteten Arten sensibler personenbezogener Daten wurden in das revidierte DSG aufgenommen; die vorangegangenen vier Arten waren bereits im alten Gesetz enthalten.

Die Nutzer müssen um eine ausdrückliche Bestätigung gebeten werden, dass sie über den Zugang zu ihren sensiblen Personendaten und deren Verwendung informiert wurden und damit einverstanden sind, z. B. durch Anklicken einer Checkbox.

Das Schweizer DSG, Rechtsgrundlagen und Einwilligung

Das DSG ist nicht die DSGVO der Schweiz, und daher gibt es einige Unterschiede hinsichtlich der rechtlichen Anforderungen für die Verarbeitung von Daten, einschließlich der Einwilligung. Wie die meisten Datenschutzgesetze auf der ganzen Welt verlangt das Schweizer Datenschutzgesetz jedoch eine Benachrichtigung der betroffenen Personen.

Rechtsgrundlage oder Rechtfertigung gemäß dem Schweizer DSG

Die DSGVO beruht auf dem Grundsatz der „Rechtmäßigkeit der Verarbeitung”, der für die meisten Verarbeitungen personenbezogener Daten eine Rechtsgrundlage oder Rechtfertigung verlangt. Die Einwilligung ist eine dieser Rechtsgrundlagen.

Das DSG funktioniert insofern etwas anders, als dass Einzelpersonen (natürliche Personen), Organisationen (nicht kommerzielle Einrichtungen) und Unternehmen (kommerzielle Einrichtungen) personenbezogene Daten im Allgemeinen ohne eine spezifische Rechtsgrundlage verarbeiten dürfen, sofern die Verarbeitung nicht bestimmte Kriterien erfüllt. Eine Einwilligung ist erforderlich für:

Auch wenn für die Verarbeitung keine Einwilligung erforderlich ist, müssen die betroffenen Personen nach dem DSG informiert werden. Wenn eine Rechtsgrundlage erforderlich ist, muss der Verantwortliche mitteilen, um welche es sich handelt. In all diesen Szenarien ermöglicht eine Consent Management-Lösung die Einhaltung der Vorschriften, indem sie die erforderliche Benachrichtigung bereitstellt und eine gültige Einwilligung einholt.

Eine Einwilligung kann beispielsweise erforderlich sein, wenn der Verantwortliche eine Rechtfertigung für die Weitergabe sensibler personenbezogener Daten oder von „Persönlichkeitsprofilen” an Dritte (nur an andere für die Verarbeitung Verantwortliche) sucht, oder wenn er die Daten für zusätzliche Zwecke oder für einen längeren Zeitraum als angegeben verarbeiten will (Art. 6).

Privatpersonen können Dritte beauftragen, Daten in ihrem Namen zu verarbeiten, sofern keine Geheimhaltungspflichten verletzt werden. Jede Rechtsgrundlage/Rechtfertigung, die der Verantwortliche geltend macht, kann von diesen Dritten genutzt werden (Art. 9).

Neben der Einwilligung gibt es weitere legitime Rechtfertigungsgründe für Datenübermittlungen in Drittländer:

Das DSG ist ein Gesetz, das ein „Opt-In-Verfahren” nutzt, d. h. wenn eine Rechtsgrundlage erforderlich ist, müssen Organisationen die gültige Einwilligung der Nutzer vor oder zum Zeitpunkt der Datenerhebung einholen. Die betroffenen Personen müssen vor oder zum Zeitpunkt der Datenerhebung benachrichtigt werden, unabhängig davon, ob eine Rechtsgrundlage erforderlich ist.

Bedingungen für eine gültige Einwilligung gemäß dem Schweizer DSG

Wie bei der DSGVO muss auch in der Schweiz die Einwilligung der Nutzer freiwillig und unter vorheriger Bereitstellung von Informationen zur Verarbeitung ihrer Daten (also informiert) eingeholt werden. Dies gilt unter anderem für die Verwendung von Cookies und anderen Tracking-Technologien auf Websites, die Schweizer Bürger besuchen könnten, wenn die Datenerhebung und -verarbeitung die Voraussetzungen für eine Einwilligung nach dem DSG erfüllt (sensible personenbezogene Daten, Profilerstellung durch eine Bundesbehörde usw.)

Organisationen müssen die folgenden Informationen klar kommunizieren, z. B. in der Datenschutzerklärung auf der Website (Art. 8, Art. 18a), ob eine Rechtsgrundlage erforderlich ist oder nicht. Diese Kriterien sind jedoch auch für die Gültigkeit der Einwilligung erforderlich:

DSGVO vs. revidiertes DSG

Die DSGVO und das DSG weisen eine Reihe von Gemeinsamkeiten auf, die für Datenschutzgesetze typisch sind, aber es gibt auch wichtige Unterschiede.

Anforderung DSGVO EU nDSG Schweiz
Strafen Weniger schwere Verstöße: 2% des weltweiten Jahresumsatzes oder 10 Millionen Euro.

Schwerwiegende Verstöße: 4% des weltweiten Jahresumsatzes oder 20 Mio. EUR.

Bis zu 250.000 CHF gegen verantwortliche Personen oder bis zu 50.000 CHF gegen das jeweilige Unternehmen, wenn es zu schwierig ist, eine verantwortliche Person zu bestimmen.
Informations­pflichten Mindestinhalt der Datenschutz­erklärungen ist in Art. 13 DSGVO angegeben. Weniger geforderte Inhalte in Datenschutz­erklärungen. Alle Länder, in die personenbezogene Daten übermittelt werden, müssen jedoch angegeben werden.
Aufzeichnungen über Verarbeitungs-

tätigkeiten

Art. 30 DSGVO enthält alle Informationen, die in den Aufzeichnungen angegeben werden müssen. Muss eine Liste der Exportländer enthalten.
Datenschutz-

Folgen­abschätzungen

Konsultation der Aufsichtsbehörde in Fällen, in denen trotz der getroffenen Maßnahmen ein hohes Risiko besteht. Der DSB kann anstelle des EDÖB konsultiert werden, wenn trotz der getroffenen Maßnahmen ein hohes Risiko besteht.
Datenexport Die Europäische Kommission stellt die Angemessenheit fest.

Standardvertrags­klauseln, verbindliche Unternehmensregeln.

Der Schweizer Bundesrat stellt die Angemessenheit fest.

Es können EU-Standardvertrags­klauseln oder andere verbindliche Unternehmensregeln angewendet werden.

Meldung von Datenschutz-

verletzungen

Obligatorisch. Muss innerhalb von 72 Stunden erfolgen. Obligatorisch. Muss so bald wie möglich erfolgen.
Datenschutz-

Beauftragter (DSB)

Obligatorisch. Empfohlen.

Welche Unternehmen sind vom Schweizer DSG betroffen?

Das DSG gilt für Privatpersonen oder Bundesbehörden, die für die Verarbeitung von Personendaten von Personen in der Schweiz verantwortlich sind, auch wenn sie Drittanbieter für die Datensammlung und -verarbeitung einsetzen, z. B. für Analytics-Zwecke, Werbung usw.

Einfluss der DSGVO und der ePrivacy-Richtlinie in der Schweiz

Wenn sie die Daten von Nutzern außerhalb der Schweiz, in der EU, verarbeiten, was ziemlich häufig der Fall ist, müssen Unternehmen bei der Verarbeitung und dem Schutz personenbezogener Daten auch die Anforderungen der umfassenderen europäischen Gesetze wie der DSGVO und der ePrivacy-Richtlinie (ePR) berücksichtigen. Die ePR ist vor allem bei der Nutzung elektronischer Kommunikation relevant. Die Verantwortlichkeiten der Unternehmen im Rahmen dieser Verordnungen sind denen des DSG recht ähnlich, auch wenn sie in einigen Punkten strenger sind (z. B. muss unter mehr Umständen eine Einwilligung eingeholt werden).

Was sind die Pflichten von Unternehmen im Zusammenhang mit Schweizer Datenschutzgesetzen?

Bei seinem Inkrafttreten im September 2023 sieht das DSG keine Schonfrist für Unternehmen vor, bevor die Durchsetzung beginnt. Die Einhaltung ist vom ersten Tag an erforderlich. Doch Unternehmen, die bereits DSGVO-konform sind, müssen nur wenige bis gar keine Anpassungen an ihren Richtlinien oder Abläufen vornehmen, um das DSG zu erfüllen.

Unternehmen müssen die betroffenen Personen über jede Erhebung personenbezogener Daten informieren, auch wenn die Daten nicht direkt bei der betroffenen Person erhoben wurden. Außerdem müssen sie ein Verzeichnis der Verarbeitungsaktivitäten führen. Für KMU (Unternehmen mit bis zu 250 Mitarbeitern), deren Datenverarbeitungsaktivitäten ein geringes oder begrenztes Risiko für die betroffenen Personen darstellen, kann es jedoch Ausnahmen von dieser Anforderung geben.

Sowohl Erst- als auch Drittverantwortliche tragen Verantwortung, wenn sie die Kontrolle über den Datenbestand haben, z. B. das Unternehmen, auf dessen Website Daten gesammelt werden, und ein Drittanbieter, der die Daten verwendet. Ist ein Dritter beteiligt, so ist er zur Auskunft verpflichtet, wenn er die Identität des Verantwortlichen (Erstpartei) nicht preisgibt oder wenn der Verantwortliche nicht in der Schweiz ansässig ist.

Ernannte Vertreter und Datenschutzbeauftragte gemäß dem Schweizer DSG

Unternehmen mit Sitz außerhalb der Schweiz müssen in folgenden Fällen einen Vertreter in der Schweiz ernennen, wenn sie regelmäßig größere Datenmengen in der Schweiz/von Schweizer Bürgern verarbeiten:

Für Schweizer Unternehmen, die personenbezogene Daten von in der EU ansässigen Personen verarbeiten, kann immer ein Datenschutzbeauftragter bestellt werden (unabhängig vom Risikoniveau für die betroffenen Personen). Unternehmen, die das DSG einhalten müssen und noch keinen Datenschutzbeauftragten haben (aber auch nicht durch die DSGVO oder andere Gesetze dazu verpflichtet sind), können dies freiwillig tun. Eine solche Position bietet eine zentrale Anlaufstelle für Kunden, Mitarbeiter und Datenschutzbehörden.

Verantwortung für die Gewährleistung der Richtigkeit und Vollständigkeit gemäß dem Schweizer DSG

Jede Organisation, die personenbezogene Daten verarbeitet, ist für die Richtigkeit der Daten verantwortlich (Art. 6) und muss alle angemessenen Maßnahmen ergreifen, um sicherzustellen, dass unrichtige oder unvollständige Daten im Rahmen des Erhebungszwecks entweder berichtigt oder vernichtet werden.

Verantwortung für die Gewährleistung eines angemessenen Sicherheitsniveaus gemäß dem revidierten DSG

Der Verantwortliche muss die Daten durch angemessene technische und organisatorische Maßnahmen vor unberechtigtem Zugriff oder unberechtigter Verarbeitung schützen (Art. 7). Detaillierte Bestimmungen über Mindeststandards für die Datensicherheit werden vom Bundesrat erlassen.

Verantwortung zur Vermeidung von Nachteilen für die betroffenen Personen gemäß dem Schweizer DSG

Es ist ein Grundprinzip des DSG, dass die Erhebung von Personendaten durch Privatpersonen die Privatsphäre und die Persönlichkeit der betroffenen Personen nicht beeinträchtigen darf. Nun können Daten öffentlich zugänglich gemacht werden, wenn ihre Verarbeitung nicht ausdrücklich untersagt ist, doch darf dies nicht schädlich sein, und wie erwähnt, müssen Informationen über die Erhebung und Verwendung der Daten und deren Zweck mitgeteilt werden.

Datenschutz-Folgenabschätzungen gemäß dem Schweizer DSG

Besteht ein hohes Risiko für die Privatsphäre oder die Rechte der betroffenen Personen, muss der Verantwortliche regelmäßig dokumentierte Folgenabschätzungen für seine Datenverarbeitungsaktivitäten durchführen.

Benachrichtigung bei Datenschutzverletzungen gemäß dem Schweizer DSG

Im Falle einer Datenschutzverletzung, einschließlich des versehentlichen oder unrechtmäßigen Verlusts, der Löschung, der Zerstörung, der Veränderung von oder des unbefugten Zugriffs auf Personendaten, muss der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) unverzüglich benachrichtigt werden. (Gemäß der DSGVO muss eine unverzügliche Meldung innerhalb von 72 Stunden erfolgen.)

Im Allgemeinen müssen die Verantwortlichen auch die betroffene Person informieren, wenn der EDÖB dies verlangt oder wenn es für die Sicherheit und den Schutz der betroffenen Person erforderlich ist.

Was sind die persönlichen Rechte gemäß dem Schweizer DSG?

Früher galt das DSG sowohl für natürliche als auch für juristische Personen. Das revidierte DSG gilt nur noch für natürliche Personen und Bundesbehörden. Nach Schweizer Recht ist eine juristische Person eine menschliche oder nichtmenschliche Einheit (z. B. ein Unternehmen oder eine andere Organisation), die für bestimmte rechtliche Zwecke wie eine Person behandelt wird. Dazu gehören z. B. der Besitz von Eigentum, der Abschluss von Verträgen sowie das Einklagen oder das Verklagt werden.

Jede betroffene Person kann Auskunft darüber verlangen, ob Daten über sie verarbeitet werden oder wurden, und jede betroffene Person kann Zugang zu diesen Daten verlangen. Die Daten müssen schriftlich (in gedruckter oder fotokopierter Form) und unentgeltlich zur Verfügung gestellt werden. Auf das Recht auf Auskunft kann nicht im Voraus verzichtet werden.

Betroffene Personen haben auch das Recht, die Berichtigung ihrer personenbezogenen Daten zu verlangen, wenn diese unrichtig oder unvollständig sind. Unter bestimmten Umständen können diese Anträge jedoch eingeschränkt, abgelehnt oder aufgeschoben werden (Art. 32).

Wann ist das Schweizer DSG nicht anwendbar?

Das DSG ist nicht anwendbar auf:

  1. Personendaten, die von einer natürlichen Person ausschließlich zum persönlichen Gebrauch verarbeitet und nicht an Außenstehende bekannt gegeben werden
  2. Beratungen in der Bundesversammlung und in parlamentarischen Kommissionen

So können Sie als Organisation das DSG umsetzen

Die Einhaltung gesetzlicher Vorschriften ist nicht etwas, das Unternehmen nur einmal erreichen müssen und dann ignorieren können. Der Datenschutz und die Einhaltung des DSG können wichtige und ständige Aspekte der Geschäftstätigkeit eines Unternehmens sein.

Zu den organisatorischen Best Practices für die Einhaltung des DSG gehören die folgenden, die regelmäßig überprüft und aktualisiert werden sollten:

Führen Sie umfassende Datenverzeichnisse: Unternehmen müssen wissen, welche Daten sie sammeln und speichern, einschließlich spezifischer Kategorisierungen wie der von sensiblen personenbezogenen Daten.

Überprüfen Sie die Anforderungen an die Einhaltung des DSG: Überprüfen Sie periodisch Ihre Unternehmenstätigkeiten und Ihre Datenverarbeitung sowie die Pflichten des DSG und ergreifen Sie die notwendigen Maßnahmen, um die kontinuierliche Einhaltung des Schweizer Datenschutzgesetzes zu gewährleisten.

Legen Sie Ihre Verarbeitungstätigkeiten transparent offen: Legen Sie die Datenverarbeitungsaktivitäten durch formalisierte Richtlinien und Datenschutzhinweise klar offen und stellen Sie sicher, dass Ihre Nutzer über die Datenverarbeitungsaktivitäten und ihre Rechte informiert sind.

Richten Sie ein Verfahren für die Bearbeitung von DSR-Anfragen ein: Einrichtung und Aktualisierung von Verfahren zur benutzerfreundlichen und zeitnahen Bearbeitung von DSR-Anfragen, die den rechtlichen Anforderungen entsprechen, dem Unternehmen Zeit und Ressourcen einsparen und das Vertrauen der Nutzer fördern.

Rationalisieren Sie Ihre Architektur für DSR-Anfragen: Einrichtung und Pflege einer gut strukturierten Architektur für DSR-Anfragen, um eine zeitnahe und effektive Verwaltung und Beantwortung von DSR-Anfragen und die Ausübung der Rechte betroffener Personen zu gewährleisten.

Führen Sie ein robustes System zur Meldung von Datenschutzverletzungen ein: Einführung von Richtlinien und Prozessen, die eine solide Reaktion auf Datenschutzverletzungen gewährleisten, einschließlich der gesetzlich vorgeschriebenen unverzüglichen Benachrichtigung und einer guten Beziehung zu den Nutzern.

Sorgen Sie für Datenschutzkonformität bei grenzüberschreitendem Datenverkehr: Katalogisieren Sie die Prozesse und machen Sie sich mit den grenzüberschreitenden Anforderungen vertraut, wenn der Betrieb internationale Datenströme umfasst.

Etablieren Sie effizientes Reporting über alle aufgezeichneten Verarbeitungstätigkeiten: Legen Sie Verfahren fest, die sicherstellen, dass Ihre Berichte über alle aufgezeichneten Verarbeitungstätigkeiten effizient gescannt, getrackt und erstellt werden.

Verstärken Sie Ihre organisatorischen Sicherheitsmaßnahmen: Schützen Sie Ihre Verarbeitungstätigkeiten durch die Einführung autonomer und robuster Sicherheitsmaßnahmen in der gesamten Organisation.

Führen Sie Datenschutz-Folgenabschätzungen durch: Führen Sie Datenschutz-Folgenabschätzungen durch, wie sie im Rahmen des DSG gesetzlich vorgeschrieben sind, um potenzielle Risiken im Zusammenhang mit Datenverarbeitungsaktivitäten zu ermitteln und zu mindern.

Was sind die Strafen bei Nichteinhaltung des Schweizer DSG?

Der EDÖB kann von sich aus oder auf Meldung hin eine Untersuchung gegen ein Unternehmen einleiten. Wird eine Datenschutzverletzung festgestellt, kann der EDÖB weitreichende Maßnahmen anordnen, darunter die Anpassung oder Einstellung der Datenverarbeitung oder die Löschung von Daten.

Die Nichteinhaltung des DSG und dessen Pflichten, einschließlich der Verletzung von Auskunfts- oder Sorgfaltspflichten, kann für den Verantwortlichen eine Geldstrafe von bis zu 250.000 Schweizer Franken zur Folge haben. Zu beachten ist, dass gemäß dem DSG eine Geldstrafe an Privatpersonen verhängt werden kann, während die DSGVO keine Geldstrafen für natürliche Personen vorsieht, sondern den Schwerpunkt der Geldstrafen auf Unternehmen legt.

Bei Verstößen im Rahmen der Geschäftstätigkeit kann das Unternehmen mit einer Geldstrafe von bis zu 50.000 Schweizer Franken belegt werden, wenn ein unverhältnismäßiger Aufwand nötig wäre, um die fehlbare Person innerhalb der Organisation zu identifizieren.

Wer sorgt für die Durchsetzung des DSG?

Der EDÖB ist für das Monitoring der DSG-Konformität zuständig und verfügt über weitreichende Ermittlungsbefugnisse (Art. 4). Die Stelle ist auch für die Beratung, die Aufklärung und die Gewährleistung des Schutzes von Personendaten in der Schweiz zuständig. Der EDÖB wird vom Bundesrat (dem Exekutivorgan der Schweizer Bundesregierung) für eine Amtszeit von vier Jahren ernannt und von der Bundesversammlung zugelassen.

Die Schweiz und der Privacy Shield

Der EU-US Privacy Shield wurde im Juli 2020 gekippt. Nach einer Evaluation durch den EDÖB wurde auch der Swiss-US Privacy Shield aufgrund des ungenügenden Datenschutzniveaus der USA als unzureichend erklärt. Der Transfermechanismus wurde am 8. September 2020 für internationale Datenübermittlungen außer Kraft gesetzt.

Die EU und die USA haben am 10. Juli 2023 eine neue Angemessenheitsvereinbarung, das EU-U.S. Data Privacy Framework, in Kraft gesetzt. Darüber hinaus trat das Swiss-U.S. Data Privacy Framework am 17. Juli 2023 in Kraft. Unternehmen können ab diesem Datum mit dem Selbstzertifizierungsprozess beginnen. US-Unternehmen, die sich nach diesem Framework selbst zertifizieren, müssen das Swiss-U.S Data Privacy Framework einhalten, das eine Aktualisierung der Datenschutzerklärungen bis zum 17. Oktober 2023 vorschreibt.

Warum ist es so wichtig, das neue DSG einzuhalten?

Die Nichteinhaltung des DSG kann nicht nur Bußgelder nach sich ziehen, sondern auch den Ruf eines Unternehmens schädigen und dazu führen, dass Nutzer ihr Vertrauen verlieren. DSG-Konformität und eine klare, transparente Kommunikation mit den Kunden schafft Vertrauen und zeugt von Respekt und Engagement für den Schutz personenbezogener Daten und des Rechts auf Privatsphäre.

Die Implementierung von Compliance-Prozessen und -Mechanismen trägt dazu bei, eine verantwortungsvolle und sichere Erfassung, Speicherung und Verwendung personenbezogener Daten zu gewährleisten, und ermöglicht es den Verbrauchern, den Zugang zu diesen Daten und deren Verwendung zu kontrollieren.

Die Einhaltung von mindestens einem Datenschutzgesetz wie dem DSG trägt dazu bei, dass eine Menge Arbeit bereits erledigt ist, falls ein Unternehmen in Zukunft weitere Gesetze einhalten muss, was angesichts der weltweiten Ausweitung der Datenschutzvorschriften immer wahrscheinlicher wird.

DSG-Konformität ermöglicht es Schweizer Unternehmen auch, wettbewerbsfähig zu bleiben, da sie nachweisen können, dass sie die Anforderungen an den Datenschutz erfüllen, was den grenzüberschreitenden Datentransfer und andere Funktionen der Geschäftstätigkeit, insbesondere in der EU, ermöglicht.

Es ist zwar nicht immer erforderlich, die Einwilligung der Schweizer Nutzer vor der Erhebung und Verarbeitung ihrer personenbezogenen Daten einzuholen (obwohl es andere Rechtsgrundlagen nach Art. 6 und 17 gibt), aber es ist immer notwendig, sie über den Verantwortlichen und die Verarbeitung zu informieren. Eine Consent Management Platform (CMP) ist ein wertvolles und hilfreiches Tool, um dies zu gewährleisten.

In Fällen, in denen eine Einwilligung erforderlich ist, z. B. bei der Verarbeitung sensibler personenbezogener Daten oder wenn die Daten in ein Drittland übermittelt werden, in dem kein angemessener Datenschutz besteht, ermöglicht eine CMP die Erfassung und Speicherung gültiger Einwilligungen sowie die Bereitstellung der erforderlichen Benachrichtigung an den Nutzer. Für Websites und Online-Shops, die sowohl Besucher und Kunden aus der EU als auch aus der Schweiz haben, ist ein Consent-Banner sowohl für die Benachrichtigung als auch für die Einwilligung erforderlich.

Die Usercentrics Consent Management Platform (CMP) kann ganz einfach und schnell eingerichtet werden, sodass datenschutzkonforme Einwilligungen von Schweizer Kunden eingeholt werden können. Es können mehrere Konfigurationen mit Geolokalisierung erstellt und verwaltet werden, um DSG- und DSGVO-Konformität sowie die Einhaltung anderer Vorschriften zu gewährleisten.

Holen Sie sich noch heute unsere DSG-Checkliste und erfahren Sie alles, was Sie wissen müssen, um datenschutzkonform zu werden.

Fazit und nächste Schritte des DSG

Das Bundesgesetz über den Datenschutz (DSG) bringt eine dringend benötigte Modernisierung des Schweizer Datenschutzrechts. Dadurch positioniert sich das Land in der technologie- und datengesteuerten Zukunft als engagiert und wettbewerbsfähig. Da die Bestimmungen des DSG nicht ganz mit der DSGVO oder anderen Verordnungen übereinstimmen, ist es wichtig zu verstehen, was das DSG vorschreibt und erlaubt, und eine gute Rechtsberatung über Ihre spezifischen Verpflichtungen zur Einhaltung des DSG einzuholen. (Usercentrics bietet keine Rechtsberatung an, und Informationen werden nur zu Bildungszwecken bereitgestellt).

Im Rahmen des DSG bleiben Transparenz und Aufklärung der Nutzer von entscheidender Bedeutung, unabhängig davon, ob ihre Einwilligung zur Datenverarbeitung erforderlich ist oder nicht. Wenn jedoch eine Einwilligung erforderlich ist, muss sie, wie bei der DSGVO, granular, informiert, ausdrücklich und freiwillig eingeholt werden. Zudem müssen die Nutzer die Möglichkeit haben, die Einwilligung abzulehnen oder ihre Präferenzen zu ändern. Eine effektive Consent Management-Lösung ist dabei unerlässlich, um den Anforderungen gerecht zu werden. Die Google CMP von Usercentrics erfüllt diese Anforderungen und bietet zudem Benutzerfreundlichkeit und Flexibilität, um die Einhaltung der für Ihr Unternehmen relevanten Datenschutzvorschriften zu ermöglichen – und das alles über ein benutzerfreundliches Interface. Verlassen Sie sich auf unsere hochmoderne Technologie und unser juristisches Fachwissen, um die Einhaltung der Vorschriften zu gewährleisten und gleichzeitig Ihr Geschäft auszubauen.

Haben Sie noch Fragen dazu, was genau Sie tun müssen, um DSG-Konformität zu gewährleisten oder wie Sie sicherstellen können, dass Ihr Unternehmen seiner Verantwortung gegenüber den Nutzern und den verschiedenen Vorschriften gerecht wird? Führen Sie ein kostenloses Datenschutz-Audit durch, um festzustellen, wie gut Ihre Website die Anforderungen an den Datenschutz erfüllt.

Haben Sie spezielle Fragen zu den Datenschutzvorschriften oder zu den Verantwortlichkeiten Ihres Unternehmens? Wir sind für Sie da. Sprechen Sie noch heute mit einem unserer Experten.