Creanet Internet Service AG
Schäracher 9
CH-6232 Geuensee

DSG Revision betrifft auch Sie als Firma

Am 1. September 2023 tritt die Revision des Bundesgesetzes über den Datenschutz (DSG) in Kraft. Damit ändern sich wichtige Bestimmungen für die Bearbeitung von Personendaten. Unternehmen müssen sich künftig an strengere Regeln halten. Als Webseitenbetreiber sind Sie für Ihre Webseite verantwortlich und haftbar. Ein erster wichtiger Schritt ist die Anpassung der Datenschutzerklärung.

Wir haben die wichtigsten Fragen für Sie zusammengestellt.

Gilt das DSG für mein Unternehmen?

Ja, wenn Sie eine Website oder einen Online-Shop in der Schweiz betreiben, sind Sie verpflichtet, das neue Datenschutzgesetz umzusetzen. Es ist wichtig, dass Sie dies ernst nehmen, denn das Gesetz sieht empfindliche Strafen vor.

Gibt es eine Übergangsfrist?

Nein, das Gesetz gilt ab dem 1. September.

Was muss ein Unternehmen tun, damit seine Website ab 2023 den neuen Datenschutzbestimmungen entspricht?

Prüfen Sie, welche personenbezogenen Daten Sie erheben, verarbeiten und speichern. Um dem neuen Datenschutzgesetz gerecht zu werden, müssen Sie die Frage «Welche personenbezogenen Daten werden wo und zu welchem Zweck verarbeitet oder gespeichert? »umfassend und transparent beantworten können. Dieses Wissen bildet die Grundlage für die gesamte Umsetzung des Datenschutzgesetzes.

Was sind Personendaten?

Personendaten sind Informationen, die sich auf eine bestimmte Person beziehen und diese Person identifizieren oder identifizierbar machen. Beispiele: Name, Adresse, Telefonnummer, E-Mail-Adresse, Alter, Geschlecht, IP-Adresse, Kreditkartendaten oder Gesundheitsdaten.

Was sind besonders schützenswerte Personendaten?

Besonders schützenswerte Personendaten sind Informationen, welche die Privatsphäre, die persönliche Freiheit oder die Menschenwürde erheblich beeinträchtigen können. Beispiele sind: Gesundheitszustand, ethnische Herkunft, sexuelle Orientierung, finanzielle Verhältnisse oder strafrechtliche Verurteilungen.

Aktualisieren Sie Ihre Datenschutzerklärung, um sicherzustellen, dass sie klar und transparent ist.

Die Datenschutzerklärung sollte mindestens folgende Elemente enthalten:
  • Website-Betreiber
    • Name + Kontaktdaten
  • Verantwortlicher
    • Name + Kontaktdaten des Verantwortlichen
    • des Verantwortlichen
    • eines allfälligen betrieblichen oder externen Datenschutzbeauftragten
    • eines allfälligen EU-Datenschutz-Vertreters
  • Zweck
    • Zwecke der Personendatenbearbeitung
  • Dauer
    • Dauer der Personendatenspeicherung
  • Rechtsgrundlagen
    • Rechtsgrundlagen für die Datenbearbeitung, zB die überwiegenden
    • berechtigten Interessen des Website-Betreibers
  • Datenempfänger
    • Empfänger der erhobenen Personendaten
  • Datenübermittlung
    • Beabsichtigte Personendaten-Übermittlung in ein Drittland
    • Angaben, inwiefern im Drittstaat ein angemessener Datenschutz gewährleistet ist
  • Automatisierte Entscheidfindung
    • Information über eine allfällige automatisierte Entscheidungsfindung einschliesslich Profiling
  • Aufklärung
    • Aufklärung, inwiefern die Bereitstellung von Personendaten zwingend erforderlich ist, zum Beispiel aus rechtlichen Gründen oder für die Erfüllung von bestimmten Verträgen
  • Rechte
    • Recht auf
    • Auskunft
    • Berichtigung
    • Löschung
    • Datenübertragbarkeit
    • Einschränkung der Datenbearbeitung
    • Widerspruch gegen die Datenbearbeitung
    • Widerruf nach erfolgter Einwilligung
    • Beschwerde bei einer Datenschutz-Aufsichtsbehörde

Was muss eine Firma sonst noch unternehmen, um ab 2023 die neuen Datenschutzbestimmungen zu erfüllen?

  • Erstellen oder Anpassen von internen Richtlinien zur Datenbearbeitung
  • Erstellen eines Datenbearbeitungsverzeichnisses
  • Implementieren eines Prozesses, der die fristgerechte Bearbeitung von Betroffenenrechten (z. B. Auskunfts- oder Löschbegehren) gewährleistet
  • Implementieren eines Prozesses zur Meldung von Datenschutzverletzungen
  • Implementieren eines Prozesses zur Datenschutz-Folgenabschätzung, insbesondere wenn eine umfangreiche Bearbeitung von besonders schützenswerten Daten oder eine umfangreiche systematische Überwachung von öffentlichen Bereichen stattfindet oder neue Bearbeitungstechnologien mit hohem Risiko zum Einsatz gelangen
  • Die Verträge mit den Auftragsbearbeitern (Dritten) sind zu überprüfen. Insbesondere ist die Aufnahme einer Meldepflicht bei Datenschutzverletzungen und bei der Weitergabe an Unterauftragnehmer empfohlen. Ausserdem muss sich der Verantwortliche vergewissern, dass die Datensicherheit gewährleistet ist.  
  • Sicherstellen, dass Personendaten gelöscht oder anonymisiert werden, sobald sie zum Zweck der Bearbeitung nicht mehr erforderlich sind
  • Abklären, in welche Länder Personendaten bekanntgegeben werden, und sicherstellen, dass dies nur in jene Länder erfolgt, die einen angemessenen Schutz gewährleisten. Dies gilt auch für die Speicherung auf ausländischen Systemen (Cloud). Der Bundesrat publiziert eine entsprechende Liste (bisher der EDÖB). Soweit die Länder nicht auf dieser Liste aufgeführt sind, dürfen Daten unter bestimmten Bedingungen dennoch exportiert werden, unter anderem mit dem ausdrücklichen Einverständnis der Betroffenen. 
  • Sicherstellen der Datensicherheit durch geeignete technische und organisatorische Massnahmen. Sprich: Verletzungen der Datensicherheit sollten vermieden werden. Der Bundesrat muss die Mindestanforderungen noch festlegen. Da die Datenübermittlung per E-Mail unsicher ist, sollte zumindest bei besonders schützenswerten Personendaten eine E-Mail-Verschlüsselung zur Verfügung stehen. 
  • Sicherstellen der Datenportabilität, das heisst die Datenherausgabe in einem gängigen elektronischen Format (analog zur DSGVO), wenn die Daten elektronisch und vor allem in unmittelbarem Zusammenhang mit dem Abschluss oder der Abwicklung eines Vertrags bearbeitet werden
  • Ernennen einer Datenschutzberaterin oder eines Datenschutzberaters mit Meldung an den EDÖB (empfohlen). Ihre oder seine Kontaktdaten müssen veröffentlicht werden. Gemäss DSGVO ist die Ernennung einer oder eines Datenschutzbeauftragten hingegen zwingend.
Ausbildungsangebot für Strassenbauer und TiefbaumitarbeiterBranding Agentur LuzernChromstahlpoolsContent & StorytellingErdsondenbohrung, Brunnenbohrung, SonderverlängerungenESET Antivirus EuropaFitLine Duo und Q10FitLine Gelenkfit - Zur Pflege beanspruchter GelenkeFitLine OptimalsetFull Service Marketing Agentur Leuchten und LeuchtsystemeMessestand & Point of SaleMetallbau, Balkonverglasung, SitzplatzverglasungNilfisk HochdruckreinigerNilfisk SaugerPermanent Make Up - Augen PflastersteineRenovationen & BauleitungSanierungen und Umbau - Bau-Projektallianz GmbHSEO Agentur LuzernUnternehmenskommunikation VinYara WeinshopWebagentur Luzern SurseeWhirlpool, Physiotherm, WellnessWhirlpools, Spa und Swimspa