Antworten auf die wichtigsten Fragen zu den Auswirkungen des revidierten Schweizer Datenschutz-Gesetzes.

Alle Schweizer Unternehmen müssen sich bis spätestens Mitte 2022 organisatorisch und technisch an das revidierte Schweizer Datenschutz-Gesetz anpassen.

Was bedeutet das konkret?

Das revidierte Schweizer Datenschutzgesetz orientiert sich über weite Strecken an der europäischen Datenschutz-Grundverordnung (EU-DSGVO), ist aber in den meisten Punkten nicht strenger.

Trotzdem müssen sich alle Schweizer Unternehmen, Vereine und Verbände mit dem revidierten Datenschutz-Gesetz auseinandersetzen und sowohl ihre Internet-Präsenz (Website, Webshop) anpassen als auch firmeninterne Abläufe der Datenbearbeitung überdenken und – in der Regel – neu strukturieren.

Zu den wichtigsten Änderung zählen:
  • Betroffene Personen erhalten mehr Rechte (Betroffenenrechte)
  • Datenbearbeiter müssen mehr Verantwortung übernehmen (Präventions-, Sorgfalts- und Informations-Pflichten)
  • Die Datenschutzbehörden erhalten weitreichendere Befugnisse
  • Bei Verstössen gegen das Datenschutz-Gesetz drohen empfindliche Bussen
Alle Unternehmen mit Sitz in der Schweiz oder mit einer Zweigniederlassung in der Schweiz.

Erleichterte Umstände gelten für kleine Schweizer Unternehmen sowie für in der Schweiz ansässige Vereine.

Besonders betroffen sind Unternehmen, die einen
  • Onlineshop betreiben
Ebenfalls betroffen sind Branchen, die regelmässig sensitive Personendaten bearbeiten, zum Beispiel
  • Tourismus, Reisen und Freizeit
  • Gastronomie und Hotellerie
  • Immobilienverwaltungen
  • Personaldienstleister
  • Serviceorganisationen
  • Finanzdienstleister
  • Arztpraxen, Spitäler, medizinische Labors, Kliniken
Für die Bearbeitung von besonders schützenwerten Personendaten gelten strenge Sorgfalts-, Dokumentations- und Informations-Pflichten.
Bussen bis CHF 250'000 muss gewärtigen, wer vorsätzlich gegen das Schweizer Datenschutz-Gesetz verstösst.

Allerdings gehört die «Inkaufnahme» von Datenschutz-Verstössen ebenfalls zur «Vorsätzlichkeit».

Deshalb müssen Personendaten und personenbezogene Datenfragmente sowohl Offline (firmenintern) als auch Online (Website, Online-Shop) wirkungsvoll geschützt werden.
Wer als Betreiber*in einer Online-Präsenz die direkte und indirekte Preisgabe von personenbezogenen Daten der Besucher*innen seiner Website respektive seines Online-Shops nicht wirkungsvoll verhindert, erfüllt in der Regel den Strafbestand der «Inkaufnahme» der Weitergabe von schützenswerten Daten.

Und nicht zu vergessen: Bussen werden auf die verantwortlichen Personen ausgestellt, nicht auf das fehlbare Unternehmen! Diese verantwortlichen Personen sind in der Regel die Mitglieder der Geschäftsführung.

Nein.

Eine Datenschutzerklärung ist lediglich die Spitze des Eisbergs, also der sichtbare Teil aller Massnahmen, die Online und Offline umgesetzt werden müssen.

Der Wortlaut der Datenschutzerklärung muss die tatsächlich getroffenen Online- und Offline-Massnahmen wiedergeben. Ohne Massnahmen keine Datenschutzerklärung!

Deshalb ist eine Standard-Datenschutzerklärung aus einem Datenschutz-Generator weder zutreffend noch rechtssicher.

Falls Ihr Unternehmen Personendaten aus dem europäischen Wirtschaftsraum bearbeitet und sich die jetzige Datenschutzerklärung an der europäischen Datenschutz-Grundverordnung DSGVO orientiert, müsste sie Bestand haben.
Vorausgesetzt natürlich, sie korrespondiert mit den tatsächlich getroffenen firmeninternen Massnahmen.
Falls Ihr Unternehmen jedoch keine Personendaten aus europäischen Staaten bearbeitet und sich die jetzige Datenschutzerklärung auf die DSGVO beruft, haben Sie sich unnötigerweise strengen formalen Regeln unterstellt und müssen weitreichende administrative Massnahmen erfüllen. Ausserdem riskieren Sie erheblich höhere Bussen als in der Schweiz (bis EUR 20 Mio.) und müssen einen EU-Datenschutzvertreter einsetzen und bezahlen.

Dann sollten Sie ernsthaft prüfen, ob sich der Wechsel zu einem unserer Datenschutz-Pakete lohnt.

In der Regel ja.

Der Umfang der notwendigen Anpassungen ist davon abhängig, wie datenschutzfreundlich die jetzige Online-Präsenz bereits ist und welches Datenschutz-Zertifikat erlangt werden soll.

Für alle notwendigen Anpassungen Ihrer Online-Präsenz erhalten Sie eine verständliche Schritt für Schritt-Anleitung. Diese Anleitung nennen wir Webmaster-Briefing.

Ihr Webmaster kann die im Webmaster-Briefing beschriebenen Massnahmen direkt in Ihre Online-Präsenz einpflegen und damit sicherstellen, dass diese sowohl den gesetzlichen Erfordernissen als auch dem Datenschutz-Niveau des gewählten Zertifikats entspricht.

Ihr Webmaster benötigt für diese Arbeit in der Regel rund einen halben Tag.

Branchenlösungen waren weder Bestandteil des bisherigen Datenschutz-Gesetzes noch sind sie Teil des revidierten Schweizer Datenschutz-Gesetzes.

Berufs-, Branchen- und Wirtschaftsverbände können zwar dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) allgemeingültige Verhaltenskodizes vorlegen. Der EDÖB nimmt dann zu solchen Verhaltenskodizes Stellung und veröffentlicht diese Stellungnahme.

Solche Verhaltenskodizes haben jedoch nicht zur Folge, dass Mitglieder solcher Verbände von ihren gesetzlichen Sorgfalts-, Informations- und Dokumentations-Pflichten entbunden werden.

Massgeblich bleiben die individuellen technischen und organisatorischen Massnahmen die jedes Unternehmen treffen muss – unabhängig von der Branche, in welcher es tätig ist.

Die einmaligen Kosten für ein Datenschutz-Paket sind stark davon abhängig, wie datenschutzfreundlich die jetzige Internet-Präsenz bereits ist und wie gesetzeskonform der firmeninterne Umgang mit Personendaten zurzeit organisiert ist.

Je grösser die Differenz zwischen Sein und Müssen, umso grösser ist der Handlungsbedarf.

Erfahrungsgemäss bewegen sich die Gesamtkosten in den folgenden Grössenordnungen:

Website
3 Stern-Zertifikat: CHF 1'500 bis 4'500
4 Stern-Zertifikat: CHF 2'500 bis 6'500
5 Stern-Zertifikat: CHF 3'500 bis 7'500

Online-Shop
3 Stern-Zertifikat: CHF 2'500 bis 5'500
4 Stern-Zertifikat: CHF 3'500 bis 7'500
5 Stern-Zertifikat: CHF 4'500 bis 8'500

Darin eingeschlossen sind alle Arbeitsschritte die zur Erlangung des gewünschten Zertifikates notwendig sind, die damit verbundenen Anleitungen und Unterlagen, das Webmaster-Briefing sowie die Instruktion der verantwortlichen Personen.
Cookies sind ein Auslaufmodell, zumindest dauerhafte Cookies von sogenannten «Drittanbietern».

Die Zukunft gehört der Wertschätzung und dem Schutz von personenbezogenen Daten.

Unsere Datenschutz-Pakete verzichten konsequent auf die direkte und indirekte Weitergabe von personenbezogenen Datenfragmenten an die Bewirtschafter von dauerhaften Drittanbieter-Cookies.

Deshalb entfällt der Zwang einer Cookie-Warnung.

Entweder sie eignen sie sich das juristische, organisatorische und technische Wissen an, um die bevorstehenden Aufgaben selber zu lösen.

Oder Sie beauftragen jemanden, der das in einem vernünftigen finanziellen Rahmen für Sie tun kann.

Falls Sie jemanden beauftragen wollen
Die Erarbeitung und Umsetzung eines Datenschutz-Pakets dauert in der Regel zwei bis sechs Monate.

Und beachten Sie, dass es keine Übergangsfristen geben wird. Das revidierte Schweizer Datenschutz-Gesetz wird Mitte 2022 in Kraft treten.

Datenschutz-Pakete

Datenschutz-Paket für Website

Für Website

Datenschutz-Paket für Online-Shop

Für Online-Shop

Offerte Datenschutz-Paket

Für Website

Für Online-Shop

Der Weg zum Datenschutz-Zertifikat

Die Datenschutz-Zertifikate

Fragen & Antworten

Wissenswertes

Köpfe & Kompetenzen

Kontakt

Das Datenschutz-Zertifikat

Seit 2018 © Frick & Partner GmbH

Impressum Disclaimer Datenschutz