Am 1. September 2023 ist das revidierte Schweizer Datenschutzgesetz (DSG) in Kraft getreten. Zwei Jahre später zeigt sich deutlich: Die neuen Vorgaben sind nicht nur Theorie, sondern werden in der Praxis konsequent angewendet und zunehmend konkretisiert. Datenschutz ist für Unternehmen zu einer laufenden Compliance-Aufgabe geworden – mit Chancen, aber auch mit Risiken.
Was ist seit der Einführung des DSG passiert?
Nach Inkrafttreten des DSG blickten Unternehmen gespannt auf die Aufsichtspraxis des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB). In den ersten beiden Jahren setzte dieser zwar stark auf Beratung und Unterstützung, gleichzeitig kam es aber bereits zu ersten Untersuchungen, Verwarnungen und Bussen. Damit ist klar: Die Schonfrist ist vorbei.
Nachfolgend finden Sie die wichtigsten Entwicklungen und Lehren aus zwei Jahren DSG-Praxis – und was diese für Ihr Unternehmen konkret bedeuten.
Cookies und ähnliche Technologien
Im Februar 2025 hat der EDÖB einen Leitfaden betreffend Datenbearbeitung mittels Cookies und ähnlichen Technologien veröffentlicht. Der Leitfaden beschreibt die datenschutzrechtlichen Anforderungen für den Einsatz von Cookies und ähnlichen Technologien durch private Verantwortliche und richtet sich insbesondere an Betreiber von Webseiten und Anbieter von Apps.
Wichtig für Sie: Überprüfen Sie den Einsatz von Cookies und Tracking-Tools auf Ihrer Website oder in Ihren Apps und passen Sie Ihre Datenschutzerklärung an die aktuellen Vorgaben an.
Meldungen von Datensicherheitsverletzungen
Ebenfalls im Februar 2025 wurde ein Leitfaden zur Meldung von Datensicherheitsverletzungen publiziert (z.B. bei unbeabsichtigtem Verlust oder der unerlaubten Weitergabe personenbezogener Daten). Dieser Leitfaden beschreibt detailliert die rechtlichen Anforderungen für die Meldung von Vorfällen an den EDÖB. Ein besonderer Schwerpunkt liegt dabei auf der Auslegung des Begriffs des „voraussichtlich hohen Risikos“ im Sinne von Art. 24 Abs. 1 DSG, der als zentrales Kriterium für die Meldepflicht dient. Der Leitfaden erläutert darüber hinaus, unter welchen Voraussetzungen betroffene Personen zusätzlich informiert werden müssen (Art. 24 Abs. 4 DSG) und gibt Unternehmen eine praxisnahe Orientierungshilfe für das korrekte Vorgehen im Falle einer Verletzung der Datensicherheit.
Wichtig für Sie: Stellen Sie sicher, dass in Ihrem Unternehmen Meldeprozesse definiert sind, die im Ernstfall eine fristgerechte Meldung an den EDÖB und die Information betroffener Personen ermöglichen.
Untersuchungen des EDÖB
Der EDÖB machte bei einer Untersuchung gegen einen schweizweit tätigen Onlineshop für Elektronik Verstösse gegen die Grundsätze der Transparenz und der Verhältnismässigkeit geltend. Kundinnen und Kunden waren gezwungen, ein Benutzerkonto zu eröffnen und einer weitreichenden Bearbeitung ihrer Daten – einschliesslich zu Marketing- und Profiling-Zwecken – zuzustimmen, um überhaupt eine Bestellung tätigen zu können. Zudem war gemäss EDÖB aus der Datenschutzerklärung nicht hinreichend erkennbar, welche Daten zu welchen Zwecken bearbeitet und an welche Unternehmen weitergegeben werden. Der EDÖB forderte daher mehr Transparenz, die Einführung eines klaren Widerspruchsrechts sowie Alternativen zum zwingenden Benutzerkonto, beispielsweise durch mögliche Gastkäufe ohne Konto.
Auch bei einer Untersuchung, in der unter anderem eine Schweizer Verkaufsplattform betroffen war, stellte der EDÖB Verstösse fest. Er empfiehlt, dass Datenschutzerklärungen eindeutig erkennen lassen, welche Webanalyse-Tools eingesetzt werden, welche Datenbearbeitungen daraus folgen, zu welchen Zwecken Personendaten genutzt werden und ob dies zu Persönlichkeitsprofilen führt. Die Erklärung soll nur tatsächlich stattfindende Bearbeitungen enthalten, klar auf mögliche Persönlichkeitsverletzungen und deren Rechtfertigungsgründe hinweisen sowie korrekte Lösch- oder Widerspruchsmöglichkeiten beschreiben und umsetzen.
Wichtig für Sie: Überprüfen Sie Ihre Datenschutzerklärung und stellen Sie sicher, dass Bearbeitungszwecke klar die betroffenen und erhobenen Daten betreffen, nur tatsächlich stattfindende Bearbeitungen aufgeführt werden und Widerspruchs- sowie Löschrechte korrekt beschrieben und umgesetzt sind.
Wurden Strafen verhängt?
Am 10. Juni 2024 wurde erstmals ein Strafbefehl mit Busse wegen vorsätzlicher Verletzung der Auskunftspflicht nach dem neuen DSG gegenüber einer natürlichen Person erlassen. Am 4. März 2025 wurde erneut ein Strafbefehl mit Busse wegen Verletzung der Auskunftspflicht nach neuem DSG erlassen. Zusätzlich wurden zahlreiche Untersuchungen eröffnet und mehrere tausend Anzeigen wegen mutmasslicher Verstösse gegen das DSG entgegengenommen.
Wichtig für Sie: Es reicht nicht aus, eine verzögerte, unvollständige oder ausweichende Auskunft zu erteilen. Wer Auskunftsbegehren von betroffenen Personen nicht vollständig und korrekt beantwortet, riskiert eine strafrechtliche Busse. Das Auskunftsrecht erlaubt es betroffenen Personen, von einem Verantwortlichen Auskunft darüber zu verlangen, ob und welche Kategorien von Personendaten über sie bearbeitet werden. Stellen Sie sicher, dass intern klare Prozesse bestehen, um Auskunftsbegehren fristgerecht, vollständig und wahrheitsgemäss zu beantworten.
Ausblick und Empfehlung
Zwei Jahre nach Inkrafttreten des neuen DSG zeigt sich: Der Datenschutz ist ein dynamisches und hochrelevantes Thema, insbesondere angesichts fortschreitender Digitalisierung, neuer Technologien wie Künstlicher Intelligenz und weiterer gesetzlicher Entwicklungen. Unternehmen sind gefordert, die bestehenden Prozesse kontinuierlich den aktuellen Anforderungen anzupassen.
Unser Tipp: Überprüfen Sie regelmässig Ihre Datenschutzprozesse und bleiben Sie bei neuen Entwicklungen am Ball. Wir unterstützen Sie gerne bei der Einhaltung der gesetzlichen Vorgaben und stehen Ihnen für Fragen jederzeit zur Verfügung.
Wir freuen uns darauf, Sie weiterhin auf Ihrem Weg zur erfolgreichen Datenschutz-Compliance begleiten zu dürfen!
Mit besten Grüssen,
Ihr Blum&Grob Team
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.
