Vielleicht hast du schon davon gehört und es geschickt verdrängt oder du hast dich bereits daran gemacht: Ab dem 1. September 2023 tritt in der Schweiz das überarbeitete Datenschutzgesetz (DSG) in Kraft. In diesem Blogbeitrag wollen wir einen Überblick schaffen, welche Bedeutung dies für deine Webseite und deinen Betrieb hat und dir aufzeigen, wie wir dir helfen können.
Worum geht es?
Mit dem neuen Datenschutzgesetz (DSG), wird die Datenschutzlandschaft in der Schweiz angepasst. Die wichtigste Neuerung: Jede Kund:in und Webseiten-Besucher:in muss auf deiner Webseite Informationen finden können, wie und warum ihre Daten verarbeitet werden. Bisher war die Datenschutzdebatte oft auf Cookies beschränkt. Mit dem neuen Datenschutzgesetz erweitert sich die Informationspflicht auf sämtliche personenbezogenen Daten, die von deinem Unternehmen bearbeitet werden. Als personenbezogene Daten gelten alle Informationen, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen. Dies betrifft nicht nur die Daten, die durch deine Webseite generiert werden, sondern auch, wie du die Daten eurer Kund:innen im Unternehmen nutzt und die Daten auslagerst, sei es in Kundendatenbanken, Buchhaltungssoftware, Videoüberwachungssystemen, Tools zur Kundenkommunikation, Cloud-Diensten wie Microsoft 365, Dropbox, Terminbuchungssystemen und ähnlichen Anwendungen. Diese Änderung bedeutet, dass jedes in der Schweiz ansässige Unternehmen offenlegen muss, woher die personenbezogenen Daten stammen, wie sie verarbeitet, gespeichert, genutzt, verändert, weitergegeben, archiviert, gelöscht oder vernichtet werden.
Was soll ich tun?
Auf deiner Webseite gibt es höchstwahrscheinlich bereits einen Eintrag zu Impressum/Datenschutz. Wir müssen dich darauf aufmerksam machen, dass diese Datenschutzangaben bis anhin nur die Bearbeitung von Userdaten innerhalb der Webseite aufzählt. Wenn du ausschliesslich Waren oder Dienstleistungen in der Schweiz anbietest, genügt die Benennung der eingebauten Cookies und Opt-out-Hinweise in der Datenschutzerklärung. Hast du Kundschaft aus der EU, musst du du deine Webseite ebenfalls nach der EU-Datenschutz-Verordnung (DSGVO) ausrichten, welche einen Cookie-Banner vorschreibt.
Aufgrund der neuen, umfangreichen Informationspflicht muss deine Datenschutzerklärung um den Gebrauch von Personendaten innerhalb des Unternehmens ergänzt werden. Wenn Daten von Kund:innen ausgelagert werden, muss mit diesen Anbietern ein Auftragsverarbeitungsvertrag abgeschlossen werden.
Unser Tipp: Erstelle ein Verzeichnis, in dem du dokumentierst, wie du personenbezogene Daten von Kund:innen verwendest. Dieses Verzeichnis kann regelmässig aktualisiert werden und dient als Übersicht über abgeschlossene Auftragsverarbeitungsverträge.
Falls Captns deine Website erstellt hat und sie hostet, es ein Kontaktformular gibt oder du deine Besucher:innen trackst, ist es sehr wahrscheinlich, dass Kund:innendaten von dir bei uns gespeichert sind. Wenn deine E-Mail über unser Hosting läuft oder du einen Newsletter versendest, werden mit grosser Sicherheit deine Kund:innendaten bei uns gelagert.
Wir empfehlen dir in beiden Fällen, eine Auftragsverarbeitungsvereinbarung (AVV) mit uns abzuschliessen. Den Vertrag kannst du hier herunterladen, ausfüllen und uns per E-Mail zusenden.
Wie soll ich vorgehen?
Das Navigieren im Gewirr der gesetzlichen Anforderungen kann eine echte Herausforderung sein. Folgender Fragenkatalog kann dir helfen, das Chaos zu entschlüsseln:
- Gibt es auf deiner Webseite eine Seite für Datenschutz, Impressum, AGB und kannst du diese selbstständig ersetzen?
- Ist diese leicht auffindbar und im Footer integriert (empfohlen)?
- Überarbeitung der Datenschutzerklärung
Cookies benennen: Welche sind auf deiner Webseite eingebettet?
Cookie-Banner installieren: Falls du Waren und Dienstleistungen auch innerhalb der EU anbietest. - Bearbeitungsverzeichnis erstellen:
Welche personenbezogenen Daten werden in deinem Unternehmen erfasst und zu welchem Zweck? - Abschluss von Auftragsverarbeitungsvereinbarungen:
Werden personenbezogene Daten an externe Dienstleister weitergegeben? - Erstellung einer Auftragsverarbeitungsvereinbarung (AVV) für deine Dienstleistungen: Kannst du deinen Kund:innen einen solche Vereinbarung anbieten?
- Integration der Datenschutzerklärung in deine Allgemeinen Geschäftsbedingungen (AGB).
- Einbinden der Datenschutzerklärung, AGB, Impressum und AVV auf deine Website
Wie bitte?
Alles etwas kompliziert? Glücklicherweise gibt es Berufsverbände mit Muster-Datenschutzerklärungen sowie Online-Vertragsgeneratoren, die zusätzliche Unterstützung bieten.
Wir können dir folgende Links empfehlen:
erweiterte und ausführliche Hilfe
Datenschutz Self Assessment Tool
Wie unterstützt mich Captns?
Grundsätzlich liegt die Entscheidung, ob du das Risiko einer Strafe für die Nichteinhaltung des Datenschutzgesetzes eingehen möchtest, bei dir und deinem Unternehmen. Captns sind keine Rechtsexpert:innen, aber wenn es um technische Beratung und Support geht unterstützen wir dich sehr gerne. Hier sind einige Bereiche, in denen wir dir helfen können:
- Aufzählung der verwendeten Cookies
- Integration der Datenschutzerklärung und AGB auf deiner Webseite
- Einrichtung eines Cookie-Banners
- Bereitstellung eines Auftragsverarbeitungsvertrags (AVV)
Klar, auch wir haben unsere AGB und Datenschutzerklärung angepasst und eine AVV erstellt. Du findest die aktualisierten Versionen hier (du musst etwas runterscrollen):