Das neue Schweizer Datenschutzgesetz – das musst du wissen

Du produzierst fast pausenlos Daten. Wenn du auf dem Arbeitsweg deinen Swisspass vorzeigen musst. Wenn du mittags in der Kantine mit der Karte zahlst. Wenn du die Sleeptracker-Funktion an deiner Smartwatch aktivierst, sogar im Schlaf.

Viele deiner Daten werden von Unternehmen für unterschiedlichste Zwecke weiterverarbeitet. Das ist nicht per se verboten. Aber es gibt klare Regelungen, welche Daten zu welchem Zweck verarbeitet werden dürfen – und welche gar nicht. Dies ist im Datenschutzgesetz geregelt. Nur: Der Ursprung des aktuellen Datenschutzgesetzes stammt aus dem Jahr 1992. Also noch bevor das CERN das World Wide Web für die Öffentlichkeit freigab.

Am 25. September 2020 hat das Parlament die Totalrevision des Datenschutzgesetzes (DSG) verabschiedet. Am 31. August 2022 entschied das Parlament, das Gesetz am 1. September 2023 in Kraft treten zu lassen – diese lange Übergangsphase sollte den Firmen ermöglichen, die neuen Richtlinien umzusetzen.

Was steht im Datenschutzgesetz?

Grob zusammengefasst, sind im DSG drei Dinge aufgeschrieben. Die Rechte, die du hast, wenn jemand deine persönlichen Daten bearbeitet. Die Pflichten, die jemand hat, wenn er deine persönlichen Daten bearbeitet. Und die Konsequenzen für diese Person, wenn sie sich nicht an die Pflichten hält – ob mit Absicht oder aus Versehen.

Das DSG schützt also Persönlichkeit und Grundrechte von Personen, über die Daten bearbeitet werden.

Warum braucht es das Datenschutzgesetz?

In der Schweiz hast du das Grundrecht auf «informationelle Selbstbestimmung». Das bedeutet, dass du grundsätzlich selbst über die Verwendung deiner Daten bestimmen darfst – zumindest über jene, die sich konkret auf dich beziehen. Das ist in der Bundesverfassung unter Artikel 13, Absatz 2 geregelt.

Dieses Recht hast du bei Daten, die der Staat oder auch Firmen über dich sammeln und bearbeiten. Dies zu gewährleisten, ist Aufgabe des Staates. Das neue Datenschutzgesetz ist das Instrument, mit dem der Staat dieser Aufgabe nachkommt und dafür sorgt, dass du zu deinem Recht kommst.

Was ist das Ziel der Revision?

Der Kern des neuen DSG ist der verbesserte Datenschutz und mehr Transparenz darüber, was mit deinen Daten geschieht, insbesondere digital. Du sollst wissen, dass deine Daten sicher sind und Dritte damit nicht machen können, was sie wollen. Weiter bekommst du einfache Möglichkeiten zu überprüfen, was mit deinen Daten in einzelnen Fällen geschieht. Ausserdem sollst du wissen, wer welche Daten über dich besitzt und woher er sie hat.

Für Stellen, die Daten sammeln, wird darin festgehalten, wie sie mit den Daten umzugehen haben. Was sie damit machen dürfen und was nicht. Wie sie sich zu verhalten haben, wenn etwas passiert ist, das dem DSG zuwiderläuft. Mögliche Strafen sind ebenfalls festgelegt.

Last but not least geht es um die Rolle des Eidgenössischen Datenschutzbeauftragten des Bundes (EDÖB). Dieser erhält weiterreichende Kompetenzen und mehr Autonomie im Bereich Datenschutz.

Der Datenschutz wird mit dem neuen Gesetz generell deutlich strenger gehandhabt, Verfehlungen werden härter sanktioniert. Für diese Revision gibt es zwei wesentliche Gründe: Erstens ist das geltende DSG ziemlich alt. Es gibt heutzutage Datenschutzfragen im Online-Bereich, die nicht oder nicht ausreichend geregelt waren.

Zweitens braucht es die Revision für die Zusammenarbeit mit der EU. Die Schweiz wird durch die Totalrevision weiterhin als «Drittstaat mit einem angemessenen Datenschutzniveau» anerkannt. So können beide Parteien weiterhin auflagenfrei zusammenarbeiten.

Dies verstärkt den Schutz deiner Privatsphäre bei Daten im Ausland und umgekehrt. Das ist in der europäischen Datenschutzkonvention 108 festgelegt, welche die Schweiz mitunterzeichnet hat.

Was ist der Unterschied zur DSGVO?

Die Datenschutz-Grundverordnung ist das Datenschutzgesetz der Europäischen Union. Sie ist gewissermassen das Pendant zum schweizerischen Bundesgesetz über den Datenschutz (DSG).

Auch Schweizer Unternehmen müssen sich unter gewissen Umständen daran halten. Zum Beispiel Galaxus, weil wir Waren in der EU verkaufen. Und weil wir dazu personenbezogene Daten in der EU verarbeiten. Sämtliche Details zur DSGVO findest du hier.

Welche Daten werden geschützt und wie?

Geschützt werden die sogenannten personenbezogenen Daten. Etwa Name, Wohn- oder E-Mail-Adresse, Telefonnummer und weitere Information, die sich ganz konkret auf dich beziehen (DSG Art. 5).

Der Schutz erfolgt durch die Regeln, die im DSG aufgeschrieben sind. Diese kann man relativ grob in zwei Teile gliedern: Einerseits die Regeln, die eine Firma bei der Beschaffung und Bearbeitung deiner Daten befolgen muss. Andererseits die technischen und organisatorischen Voraussetzungen, die sie dabei zu erfüllen hat.

Welche Schutzmassnahmen bestehen bereits?

Einiges, was die Beschaffung und Bearbeitung der Daten betrifft, war schon im alten DSG drin. Beispielsweise die Verhältnismässigkeit und Zweckgebundenheit bei der Beschaffung von Daten. Ich gebe dir je ein Beispiel zum besseren Verständnis:

– DSG Art. 6 Abs. 2: Deine Daten dürfen von einer Firma nur «verhältnismässig» bearbeitet werden. Wenn du beispielsweise online eine Pizza bestellst, darf der Kurier natürlich nach Name und Adresse fragen, weil er die Pizza zustellen muss. Aber deinen Heimatort oder dein Geburtsdatum braucht er nicht.

– DSG Art. 6 Abs. 3 besagt, dass «Personendaten nur zu einem bestimmten und für die betroffene Person erkennbaren Zweck beschafft werden dürfen». Nehmen wir an, du gefällst dem Kurier oder der Kurierin. Wenn sie dich also anruft (die Nummer nimmt sie aus der Pizzabestellung) und um ein Rendezvous bittet, ist das ein Verstoss. Weitere Details findest du auf der entsprechenden Website.

Welche Schutzmassnahmen sind neu?

In der Revision sind einige Massnahmen dazu gekommen, die der heutigen Zeit Rechnung tragen. Ich liste dir hier die Wichtigsten auf – wenn du alle Details wissen möchtest, empfehle ich dir die F.A.Q-Seite des EDÖB:

Bei Software, Hardware und allen Services gelten die Grundsätze «Privacy by Design» und «Privacy by Default». «by Design» heisst, dass die Vorgaben des Datenschutzes bereits bei der Entwicklung eines Systems integriert werden müssen. Also Dinge wie Zwei-Faktor-Authentifizierung, verschlüsselte Übermittlung, kontrollierter Zugang und so weiter. «by Default» soll sicherstellen, dass der Anbieter alle nötigen Massnahmen für den Datenschutz und die Einschränkungen für die Datennutzung sicherstellt. Schon bevor er das Produkt oder den Dienst anbietet.

Die Informationspflicht wird ausgeweitet (DSG, Art. 19). Das bedeutet, dass eine Firma dich immer vorgängig informieren muss, wenn sie Daten über dich beschafft. Auch wer deine Daten bearbeitet und wozu, muss dir mitgeteilt werden. Zudem wird dir eine Person genannt, an die du dich wenden kannst. In der Praxis steht das häufig in den AGB eines Bestellvorgangs.

Die Firmen haben eine Auskunftspflicht (DSG Art. 25). Das bedeutet, du darfst nachfragen, woher eine Firma deine Daten hat, welche Daten sie haben und wie lange schon. Wenn du zum Beispiel Werbeprospekte von einer dir unbekannten Firma zugeschickt bekommst, darfst du fragen, woher sie die Adresse haben. Oder wenn dich eine Firma nicht auf Rechnung Artikel bestellen lässt, weil du nicht kreditwürdig seist. Dann darfst du fragen, wieso sie dich so einschätzen und woher sie diese Daten haben. Wie du das formal machst, hat der EDÖB für dich hier zusammengefasst.

Datenschutz-Folgeabschätzung: Nehmen wir an, eine Firma plant, Daten von dir zu bearbeiten, die besonders schützenswert sind. Dann muss sie eine Datenschutz-Folgeabschätzung erstellen (DSG Art.22). Darin muss sie beschreiben, wie diese Bearbeitung verlaufen soll und welche Schutzmassnahmen sie plant. Zudem muss sie einschätzen, ob ein Risiko für deine Persönlichkeit oder deine Grundrechte besteht. Beantwortet die Firma die letzte Frage mit Ja, muss sie vorher eine Stellungnahme des EDÖB einholen, ob dies so machbar ist.

Verzeichnis der Bearbeitung (DSG Art. 12): Es ist nun obligatorisch, dass Firmen ein sogenanntes «Verzeichnis der Bearbeitungstätigkeiten» führen. Das ist quasi ein Protokoll, in dem sämtliche Datenbearbeitungen drinstehen. Dies gilt allerdings nur für Firmen mit mehr als 250 Mitarbeitenden – und nur, wenn heikle Daten bearbeitet werden.

Meldepflicht bei Verletzungen der Datensicherheit (DSG Art.24): Nehmen wir an, ein Spital wird gehackt. Dann muss es aktiv werden. Die Verantwortlichen müssen umgehend feststellen, welche Daten von dem Hack betroffen waren. Merken sie, dass die gehackten Daten für Persönlichkeit oder Grundrecht heikel sind – zum Beispiel Krankenakten –, müssen sie so schnell wie möglich dem EDÖB Bescheid geben.

Höhere Bussen (DSG Art. 60): Wenn eine Firma die Informations-, Auskunfts- oder Mitwirkungspflicht gemäss DSG verletzt, muss sie mit einer Busse rechnen. Das war schon bisher so. Allerdings wurde die maximal mögliche Busse erhöht – auf 250 000 Franken. Vorher waren es nur 10 000 Franken. Für eine Firma ist das «Wägelimünz», wie mein Opa zu sagen pflegte. Also ein lächerlich geringer Betrag. Die höheren Bussen sollen helfen, dass das Gesetz besser eingehalten wird.

Was sind «besonders schützenswerte» Daten?

«Besonders schützenswerte Daten» (DSG Art. 5c) sind Daten über dich, die besonders sensibel sind. Etwa über deine Gesundheit, Sozialhilfebezüge und Vorstrafen – aber auch deine Religions- oder ethnische Zugehörigkeit und deine politische Meinung.

Plant eine Firma, solche Daten über dich zu sammeln und zu bearbeiten, müssen sie dich vorher explizit um Erlaubnis fragen. Einfach nur informieren – wie bei den anderen Daten – reicht nicht.

Webseiten für Vereine – was musst du tun?

Als Privatperson hast du beim neuen DSG kaum Pflichten. Du profitierst lediglich von modernen Datenschutzmassnahmen, bringt dir also Vorteile. Anders sieht es aus, wenn du in deiner Freizeit beispielsweise die Website eines Vereins betreust. Denn auch ein Verein hat Pflichten hinsichtlich des Datenschutzes – etwa wenn es um die Personalien der Mitglieder geht. Nebst den Pflichten, die du schon vorher hattest, kommen jetzt zwei wesentliche dazu.

Erstens: Auf deiner Website muss eine Datenschutzerklärung zu finden sein. Dort musst du erklären, wer die Daten, die du sammelst, zu Gesicht kriegt und was damit gemacht wird. Das betrifft auch schon das digitale Formular, mit dem sich jemand zum Grillabend des Kegelclubs anmeldet. Auch hier erhältst du Daten. Auch falls du andere, externe Dienste verwendest – zum Beispiel Newsletter-Tools – muss das dort drinstehen. Aber auch die Verbreitung von Daten über Social Media oder die Anwendung von Cookies muss in der Datenschutzerklärung geklärt werden. Am besten, du kontaktierst hierfür deinen Hoster und lässt dich beraten. Ansonsten findest du zum Beispiel hier ein Muster für die Datenschutzerklärung.

Zweitens: Wenn du die Daten der Mitglieder an externe Dritte weitergeben möchtest, musst du explizit um Erlaubnis fragen. So möchte zum Beispiel die FIFA immer eine komplette Liste von Personen, wenn du in Zürich mit dem Verein das FIFA-Museum besuchen willst. Dann musst du von jedem Mitglied die explizite Erlaubnis haben.

Weitere Details sind jeweils auf optionaler Basis vorgesehen. Der EDÖB hat hier zu eine gute Übersichtseite erstellt.