Neues Datenschutzgesetz in der Schweiz
Mit Wirkung ab dem 1. September 2023 wird die Schweiz das „revDSG“ (bedeutet “Neues Datenschutzgesetz”), eine neue Datenschutzverordnung, einführen. Dieses aktualisierte Gesetz bringt mehrere Änderungen mit sich, die erhebliche Auswirkungen auf Geschäftsprozesse haben können. Obwohl wir keine Rechtsberater sind, empfehlen wir, einen Anwalt zu konsultieren, um die Einhaltung der neuen rechtlichen Anforderungen sicherzustellen. Dennoch möchten wir wertvolle Informationen zu den Maßnahmen und Anforderungen anbieten, die Unternehmen im Hinblick auf diese neue Verordnung in Betracht ziehen sollten.
Hauptpunkte des Neuen Datenschutzgesetzes (revDSG)
- Der Geltungsbereich der Richtlinie beschränkt sich auf natürliche Personen; sie gilt nicht für juristische Personen.
- Die Definition von „besonders sensiblen Daten“ umfasst jetzt biometrische oder Profildaten.
- Transparente Datenerhebungs-, Speicher- und Verwendungspraktiken müssen durchgesetzt werden. Informationen sollten leicht aus dem System abrufbar sein, um Anfragen oder Anträge von Einzelpersonen zu beantworten. Unternehmen müssen einen internen Informationsprozess einrichten, der es Kunden ermöglicht, Details über die Verwendung ihrer Daten einzusehen und Anfragen für Berichte, Aktualisierungen oder Löschungen zu stellen. Alle Anfragen sollten in einer eigenen Datei dokumentiert werden.
- Im Gegensatz zum EU-Schutzgesetz muss die Datenschutzrichtlinie den Standort (Länder) aller Datenspeicher angeben, einschließlich Drittanbieter-Tools wie Google Analytics.
- Drittanbieter-Tools wie Fusedeck (Tracking) müssen ausdrücklich in der Datenschutzrichtlinie erwähnt werden.
- Jeder Verstoß gegen das Neue Datenschutzgesetz (revDSG) muss vom dafür zuständigen „Datenschutzverantwortlichen“ umgehend den Behörden gemeldet werden.
- Geschäftsprozesse müssen den Anforderungen des Datenschutzes entsprechen. Unternehmen müssen sicherstellen, dass die Entwicklung oder Implementierung neuer Tools oder Prozesse nicht zu Datenschutzverletzungen führt.
- Sanktionen bei Verstößen richten sich gegen Einzelpersonen und nicht gegen juristische Personen. Verstöße können zu Haftungsansprüchen von bis zu 250.000 CHF für natürliche Personen führen. Die Haftung erstreckt sich auf alle, die an der Verletzung von Persönlichkeitsrechten „teilnehmen“, mit strengeren Sanktionen als im EU-Schutzgesetz.
- Gegebenenfalls erstellen Sie ein Verzeichnis aller Datenverarbeitungen, in dem der Datenschutzbeauftragte des Unternehmens, die Zwecke der Datenverarbeitung, die Kategorien personenbezogener Daten usw. genau aufgeführt sind. Diese Anforderung entfällt für Unternehmen mit weniger als 250 Mitarbeitern oder solche, die keine „besonders sensiblen Daten“ verarbeiten („besonders Schützenswerte Daten“).
Auswirkungen des Neuen Datenschutzgesetzes (revDSG) auf das Einwilligungsmanagement
Gemäß dem Neuen Datenschutzgesetz (revDSG):
- Für E-Mail-Abonnement-Kampagnen wie „Abonnieren Sie unseren Newsletter“ reicht eine Einzelbestätigung aus. Wenn potenzielle Abonnenten das Anmeldeformular ausfüllen und ein Standard-Einwilligungsfeld ankreuzen, ist es akzeptabel, ihnen die E-Mail-Kampagnen zu senden. Das Einwilligungsfeld kann sogar vorausgewählt sein, solange es eine bestätigende Aktion (Akzeptieren-Button) gemäß schweizerischen Gesetzen gibt.
- In Bezug auf Website-Besucher wird eine allgemeine Einwilligung vorausgesetzt. Websites müssen Besucher lediglich über etwaige Tracking- oder Datenspeicheraktivitäten informieren, normalerweise durch ein Banner mit einem Link zur Datenschutzrichtlinie. Benutzer können das Banner einfach schließen, um es verschwinden zu lassen.
- Der klassische Double-Opt-In-Prozess für die Einwilligungsverwaltung ist gesetzlich nur erforderlich, wenn es um die Speicherung und Verwendung sensibler Daten (z. B. Religion, Politik usw.) geht.
Der Fall führender Unternehmen, einschließlich großer E-Commerce-Player:
- Entscheiden Sie sich bei E-Mail-Abonnement-Kampagnen für eine Double-Opt-In-Strategie. Dies stellt nicht nur eine vollständige Einwilligung sicher, sondern ermöglicht auch die Überprüfung der Authentizität von Abonnenten anhand echter E-Mail-Konten. Die Sicherstellung der Datenqualität ist entscheidend.
- Führen Sie auf ihrer Website zwei Datenschichtebenen ein, insbesondere wenn ihre Kunden in der Schweiz (CH) oder der Europäischen Union (EU) ansässig sind.
— Für die Einhaltung schweizerischer Gesetze genügt ein klarer Hinweis auf die Verwendung von Cookies auf der Website zusammen mit einem Link zur Datenschutzrichtlinie. Es ist keine Bestätigungsaktion erforderlich.
— Für die Einhaltung der EU-Vorschriften ist eine klare Bestätigung der Website-Besucher erforderlich, und die Option zur Ablehnung muss ebenso leicht zugänglich sein wie der Akzeptieren-Button. Vermeiden Sie die Verwendung von Farbmarkierungen, da dies als Nudging angesehen werden könnte und nicht mit dem Gesetz konform ist. Bieten Sie den Besuchern außerdem die Möglichkeit, Cookies anzupassen, und stellen Sie die Datenschutzrichtlinie leicht zur Verfügung.
Empfohlene Maßnahmen für in der Schweiz tätige Unternehmen
- Wechseln Sie für E-Mail-Abonnementen-Kampagnen unabhängig vom Standort der Kunden zur Double-Opt-In-Methode, um Risiken im Zusammenhang mit der Single-Opt-In-Methode zu mindern:
— Einfachere Dokumentation der Opt-In-Einholung gemäß dem Transparenzgesetz.
— Geringeres Risiko von schlechten Daten, Gewährleistung der Authentizität der Abonnenten durch eine bestätigende Aktion.
— Niedrigere Abmelderaten im Vergleich zur Single-Opt-In-Methode.
— Verringerte Wahrscheinlichkeit, als schlechter Absender markiert zu werden und in Spam-Ordnern zu landen. - Organisieren und optimieren Sie das Einwilligungsmanagement, insbesondere auf der Website, indem Sie relevante Banner, Links und Kontrollkästchen hinzufügen. Implementieren Sie beispielsweise zwei Cookie-Banner: einen für Schweizer Kunden und einen für Nicht-Schweizer Kunden, um die Einhaltung unterschiedlicher rechtlicher Anforderungen sicherzustellen.
- Aktualisieren Sie und stellen Sie alle Dokumentationen öffentlich zur Verfügung, einschließlich Websites, Cookie-Banner, E-Mail-Fußzeilen und Datenschutzrichtlinien.
- Entwickeln Sie interne Datenverwaltungsprozesse und kommunizieren Sie sie an relevante Stakeholder (z. B. Kundenservice und Vertrieb).
- Überprüfen und arbeiten Sie mit externen Lieferanten zusammen, um mögliche systematische Verstöße gegen das Neue Datenschutzgesetz (revDSG) zu verhindern.
- Bewerten Sie die Auswirkungen der neuen Verordnung auf bestehende Datensätze und Zielgruppen.
- Informieren Sie interne Stakeholder über ihre Haftung als natürliche Personen im Falle von Verstößen und erwägen Sie mögliche Änderungen an Arbeitsverträgen, um die Haftung auf das Top-Management zu übertragen.
- Stellen Sie sicher, dass IT-Systeme und Softwareanwendungen den Sicherheitsanforderungen des neuen Gesetzes entsprechen.
- Führen Sie vor dem 1. September eine einfache Mehrkanal-Kommunikationskampagne (rein informativ) durch, um (potenzielle) Kunden über das Neue Datenschutzgesetz (revDSG) zu informieren.
- Aktualisieren Sie Non-Disclosure-Agreements (NDAs) und Arbeitsverträge, um den neuen rechtlichen Anforderungen zu entsprechen.
- Benennen Sie einen internen „Datenschutzverantwortlichen“, sofern dies noch nicht geschehen ist, um die Verantwortung für den Datenschutz zu überwachen.
- Holen Sie rechtlichen Rat ein, um umfassende Compliance-Möglichkeiten zu erkunden und potenzielle zukünftige rechtliche Probleme zu minimieren.
Ethik und Akzeptanz durch die Nutzer
Durch die Integration ethischer Aspekte in Ihr Datenmanagement und Ihre Kommunikationspraktiken können Sie nicht nur den gesetzlichen Anforderungen entsprechen, sondern auch eine solide Vertrauensgrundlage zu Ihren Kunden aufbauen. Die Akzeptanz durch die Nutzer ist wahrscheinlicher, wenn Kunden wahrnehmen, dass Ihr Unternehmen ihre Privatsphäre schätzt, transparent kommuniziert und ihre Entscheidungen und Präferenzen hinsichtlich ihrer personenbezogenen Daten respektiert. Ethische Datenpraktiken tragen zu einem positiven Markenimage bei und können zu einer erhöhten Kundentreue und Zufriedenheit führen.
- Datenminimierung: Stellen Sie sicher, dass Sie nur die Daten sammeln, die wirklich für Ihre Geschäftsprozesse erforderlich sind. Vermeiden Sie die Sammlung übermäßiger oder irrelevanter Informationen von Benutzern. Die Datenminimierung steht im Einklang mit ethischen Grundsätzen und trägt durch die Achtung der Privatsphäre der Benutzer zum Aufbau von Vertrauen bei.
- Transparenz und Kommunikation: Informieren Sie Ihre Kunden proaktiv über Ihre Datenmanagement-Praktiken. Geben Sie klar an, wie Sie ihre Daten sammeln, speichern und verwenden, sowie den Zweck dahinter. Transparente Kommunikation schafft Vertrauen und fördert eine positive Beziehung zwischen den Kunden und Ihrem Unternehmen.
- Ethische Entscheidungsfindung: Berücksichtigen Sie ethische Grundsätze bei internen Entscheidungen im Umgang mit Kundendaten. Priorisieren Sie den Schutz der Privatsphäre und der Daten Ihrer Kunden in Ihren Prozessen, um Ihr Engagement für ethische Praktiken zu demonstrieren.
- Empathie mit der Zielgruppe: Setzen Sie sich in die Lage Ihrer Kunden und überlegen Sie, wie sie die Verwendung ihrer Daten oder die Kommunikation, die sie von Ihrer Marke erhalten, empfinden würden. Empathie mit Ihrer Zielgruppe hilft Ihnen dabei, Ihre Praktiken an ihre Erwartungen und Präferenzen anzupassen und die Akzeptanz zu verbessern.
- Einfache Abmeldeoptionen: Respektieren Sie die Entscheidungen und Datenschutzpräferenzen der Benutzer, indem Sie die Abmeldeoption leicht zugänglich machen. Vermeiden Sie es, den Abmelde-Link unter zu vielen Klicks oder komplizierten Prozessen zu verstecken. Eine vereinfachte Opt-out-Prozedur zeigt Respekt für die Entscheidungen der Benutzer und fördert positive Nutzererfahrungen.
Der Fall Liechtensteins
Wenn Ihr in der Schweiz ansässiges Unternehmen Kunden aus Liechtenstein sowie dem Schweizer Markt bedient, ist es wichtig, darauf zu achten, dass Sie sich mit den Bestimmungen der Datenschutz-Grundverordnung (DSGVO) statt den schweizerischen Bestimmungen in Einklang bringen. Liechtenstein stellt höhere Erwartungen, die oft systematische Double-Opt-In-Prozesse erfordern, die strenger sind als die des neuen Neuen Datenschutzgesetzes (revDSG). Daher empfiehlt es sich, GDPR-Maßnahmen zu implementieren, um die strikteren Anforderungen zu erfüllen, obwohl das Neue Datenschutzgesetz (revDSG) im Allgemeinen weniger restriktiv ist.
Ausblick
Da der Durchsetzungstermin 01.09.2023 naht, ist es entscheidend, sicherzustellen, dass die Maßnahmen und Sanktionen operationell sind. Unternehmen, die mit sensiblen oder großen Datenmengen arbeiten, können möglicherweise auf begrenztes Verständnis seitens der Behörden stoßen, wodurch eine Expertenberatung unerlässlich wird. Wenn Sie jedoch eine klassische Website mit minimalem Datenverarbeitungsbedarf betreiben, könnten relevante Standardmaßnahmen umgesetzt und die Ergebnisse beobachtet werden. Dennoch empfehlen wir dringend, rechtlichen Beistand von Experten einzuholen, die maßgeschneiderte Ratschläge für Ihren spezifischen Fall bieten können. Um Sie bei der Vorbereitung auf die bevorstehenden Änderungen zu unterstützen, kann unser Team ansprechende und herausragende „informative“ E-Mail-Kampagnen erstellen, die vor dem 1. September versendet werden, um sicherzustellen, dass Ihre Kommunikation sich von der Flut ähnlicher Nachrichten anderer Marken abhebt.