ARTICLE
26 May 2024

Datenschutz in der Schweiz: Unternehmen in der Pflicht

BG
Blum & Grob

Contributor

Blum&Grob is a leading Swiss law firm in Zurich, anticipating your needs, listening attentively, and deeply understanding your company and personal situation. Specializing in various legal domains and well-connected, we offer tailored solutions, driven by entrepreneurial mindset, pragmatism, and client-centric approach. Additionally, we are member of the lawyers’ association “Ally Law”.
Seit dem 1. September 2023 gilt in der Schweiz ein neues Datenschutzgesetz. Mittlerweile gibt es erste Erkenntnisse aus der Praxis.
Switzerland Privacy

Seit dem 1. September 2023 gilt in der Schweiz ein neues Datenschutzgesetz. Mittlerweile gibt es erste Erkenntnisse aus der Praxis. Zeit für eine Einschätzung und für Handlungsempfehlungen.

Untersuchung des EDÖB

Wie der Presse zu entnehmen war, hat der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) gegen die Digitec Galaxus AG, einen der grössten Schweizer Onlinehändler, eine Untersuchung geführt. Der EDÖB bemängelte dabei insbesondere die Datenschutzerklärung. Zwar erfolgte diese Untersuchung noch unter altem Recht, sie lässt aber trotzdem interessante Rückschlüsse zu.

Nutzungszweck für einzelne Personendaten angeben

Der EDÖB empfiehlt, in der Datenschutzerklärung klar erkennbar zu machen, zu welchen Zwecken welche Personendaten bearbeitet werden. Dabei sollen die für den jeweiligen Zweck genutzten Daten zugeordnet werden (z.B. Kontaktdaten für Kommunikations- und Marketingzwecke). Diese Vorgabe ist neu und in den meisten Datenschutzerklärungen nicht konsequent umgesetzt. Auch wenn diese Empfehlung der Datenschutzbehörde von vielen als zu weitgehend kritisiert wird, lohnt sich diese Anpassung, zumal sie mit wenig Aufwand umgesetzt werden kann.

Verwendung von Web Analyse-Tools

Viele Unternehmen verwenden auf ihren Internetseiten Web Analyse-Tools zur Beobachtung des Nutzerverhaltens, oftmals ohne es zu wissen. Gemäss EDÖB muss in der Datenschutzerklärung offengelegt werden, welche Web Analyse-Tools verwendet werden und was für Daten wofür bearbeitet werden (z.B. IP-Adresse für Marketingzwecke).

Keine Datenbearbeitung «auf Vorrat»

Die Datenschutzerklärung soll gemäss EDÖB nur diejenigen Zwecke für Datenbearbeitungen angeben, die tatsächlich durchgeführt werden. Auch diese Empfehlung wurde vielfach kritisiert. Unseres Erachtens sollte man im Zweifel lieber etwas zu viel als zu wenig angeben, vor allem, wenn neue Bearbeitungen geplant sind.

Lösch- und Widerspruchsmöglichkeiten

In den Datenschutzerklärungen soll gemäss EDÖB beschrieben werden, wie betroffene Personen einer Bearbeitung ihrer Daten widersprechen oder die Löschung verlangen können. Zumindest nach dem Gesetzeswortlaut ist das nicht nötig. Weil viele Datenschutzerklärungen auch die Vorgaben der Europäischen DatenschutzGrundverordnung (DSGVO) berücksichtigen, sind Hinweise auf das Widerspruchs- und Löschungsrecht auch in Schweizer Datenschutzerklärungen oft enthalten.

Koppelung von Datenbearbeitung mit Kundenkonten

Der EDÖB betrachtet die Koppelung eines Online-Bestellvorgangs mit dem zwingenden Erfordernis eines Kundenkontos als unzulässig. Als Alternative sieht die Datenschutzbehörde den Gastkauf vor, ohne das Erfordernis eines Kundenkontos. Diese Empfehlung ist unseres Erachtens richtig und zu berücksichtigen. Ein Kunde soll freiwillig entscheiden können, ob er ein Kundenkonto eröffnen will oder nicht.

Weitere Bemerkungen

Nicht Teil der Untersuchung des EDÖB aber nach unserer Erfahrung regelmässig ungenügend umgesetzt sind folgende Themen:

Auftragsdatenbearbeitung

Externe Dienstleister, die für ihr Unternehmen Personendaten bearbeiten, gelten als Auftragsbearbeiter. Bereits ein Speichern durch einen solchen Dienstleister ist eine Auftragsbearbeitung. Das neue Datenschutzgesetz verlangt eine Vereinbarung mit Auftragsbearbeitern, die den Umgang mit Personendaten regelt (z.B. Weisungsrecht, Einhaltung der Datensicherheit). Beispiele für Auftragsbearbeiter sind Cloud-Anbieter, aber auch Webseitenbetreiber oder externe IT-Provider. Prüfen Sie, ob Ihr Unternehmen entsprechende Auftragsbearbeitungsvereinbarungen abgeschlossen hat. Die Nichteinhaltung kann zu Bussen führen.

Bekanntgabe ins Ausland

Werden Personendaten im Ausland bearbeitet, müssen betroffenen Personen (z.B. Kunden aber auch Arbeitnehmende) informiert werden. Gewährleistet das betreffende Land keinen gleichwertigen Datenschutz (fast alle Länder ausserhalb des EWR), muss beispielsweise von betroffenen Personen eine Einwilligung eingeholt oder mit einer Vereinbarung ein genügender Datenschutz sichergestellt werden. Es existieren zu diesem Zweck Mustervereinbarungen. Auch hier drohen Bussen bei Nichteinhaltung.

Datensicherheit

Der Schutz von Personendaten ist nicht nur eine rechtliche Verpflichtung, sondern vor allem auch eine technische und organisatorische. Geeignete Massnahmen, um die Sicherheit der Daten zu gewährleisten, sind daher unerlässlich. Listen mit verschiedenen technischen und organisatorischen Massnahmen, sind als Hilfestellungen erhältlich und werden auch von uns zur Verfügung gestellt.

Datenschutzerklärung

In der Datenschutzerklärung sind nicht nur der vom EDÖB genannte Zweck und die Zuordnung der dabei genutzten Personendaten anzugeben. Neben weiteren obligatorischen Inhalten, ist auch der Beizug von Dritten wie Auftragsbearbeiter oder die Bekanntgabe in andere Länder zu nennen. Nach unserer Erfahrung besteht gerade bei diesen beiden Punkten Handlungsbedarf.

Schlussfolgerung

Es zeigt sich, dass der EDÖB der Einhaltung des Datenschutzes durch Unternehmen viel Gewicht einräumt. Das neue Datenschutzgesetz ist also kein Papiertiger. Entsprechend müssen Unternehmen die neu geltenden Pflichten umsetzen, sofern das nicht bereits erfolgt ist.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.

Mondaq uses cookies on this website. By using our website you agree to our use of cookies as set out in our Privacy Policy.

Learn More