Das Wichtigste zum neuen Datenschutzgesetz

Der 1. September 2023 war ein wichtiges Datum – auch für Werbetreibende: Dann trat das neue Schweizer Datenschutzgesetz in Kraft. Wer Personendaten zu Werbezwecken nutzt, muss neue Informationspflichten einhalten, mehr Verantwortung im Umgang mit personenbezogenen Daten übernehmen und die Datensicherheit erhöhen. Alles Wichtige im Überblick.

1. Transparenz verbessern

Die Unternehmen sind mit dem neuen Datenschutzgesetz verpflichtet, natürliche Personen über die Beschaffung von Personendaten präzise, transparent, verständlich und leicht zugänglich zu informieren. Wer seine Personendaten hergibt, soll wissen, wie sie bearbeitet werden und zu welchem Zweck die Bearbeitung erfolgt.

Werden Daten mit ausländischen Dienstleistern geteilt, muss zudem kommuniziert werden, von welchem Staat auf Personendaten zugegriffen werden kann. Vielen Werbetreibenden ist zum Beispiel nicht bewusst, dass oft bereits mit der unveränderten Einbindung eines «Social Plug-in» Personendaten der Website-Besucherinnen und -Besucher an soziale Medien in den USA übermittelt werden. Darüber müssen Unternehmen die User informieren.

Durch die verbesserte Transparenz besteht für natürliche Personen die Möglichkeit, ihre Rechte nach dem Datenschutzgesetz geltend zu machen. Sie haben die folgenden Informationsansprüche:

• Aktive Informationspflicht: Die Unternehmen informieren ausführlich über die Details ihrer Datenbearbeitungen, insbesondere über den Zweck der Datenbearbeitung und über die Bekanntgabe an Dritte. Die Daten dürfen ausschliesslich für den angegebenen Zweck verwendet werden.
• Informationspflicht bei automatisierten Einzelentscheidungen: Wird die inhaltliche Bewertung von Daten (z. B. Bonitätsprüfung, Antrag für eine Versicherung) von einem Computerprogramm oder einem Algorithmus vorgenommen, müssen die betroffenen Personen aktiv darüber informiert werden.
• Auskunftsrecht: Die Betroffenen haben das Recht, über die Bearbeitung ihrer Daten Auskunft zu verlangen und zu erhalten.

Eine Ausnahme von den Informationspflichten wurde für die Weitergabe von Personendaten innerhalb eines Konzerns geschaffen, wenn zum Beispiel die Muttergesellschaft das Marketing ihrer Gruppengesellschaften übernimmt. Hier besteht keine grundsätzliche Informationspflicht zu dieser konzerninternen Weitergabe.

2. Datenschutz technisch und organisatorisch sicherstellen

Unternehmen müssen ihre Datenbearbeitung technisch und organisatorisch so gestalten, dass sie die Datenschutzvorschriften einhalten und sich die Datennutzung auf den definierten Zweck beschränkt. Dies wird mit zwei Massnahmen gewährleistet:

• Technikgestaltung (Privacy by Design): Der Datenschutz wird bei der Entwicklung von Software und Hardware von Beginn an berücksichtigt, sofern damit Personendaten verarbeitet werden sollen. Für Werbetreibende bedeutet dies zum Beispiel, beim Erwerb von Software darauf zu achten, dass Daten damit granular gelöscht werden können – also einzelne Sequenzen anstelle eines gesamten Datensatzes. Verlangt eine Person die Löschung ihrer Daten, kann sich das Unternehmen mit konsequenter Umsetzung von «Privacy by Design» Ärger und Kosten ersparen.
• Voreinstellungen (Privacy by Default): Der Datenschutz soll bereits durch datenschutzfreundliche Voreinstellungen gewahrt sein. So werden auch wenig technikaffine Nutzerinnen und Nutzer geschützt, die nicht im Stande sind, die Datenschutzeinstellungen nach ihren Präferenzen anzupassen. Diesem Prinzip können Unternehmen zum Beispiel bei der Gestaltung ihres Cookie-Banners folgen, der zwischen technisch notwendigen Cookies und Webanalyse-Cookies unterscheidet. Als Voreinstellung sollten die Webanalyse-Cookies deaktiviert sein und erst nach der expliziten Einwilligung aktiviert werden.

3. Datensicherheit gewährleisten

Die Unternehmen müssen ihre Daten durch geeignete technische und organisatorische Massnahmen sichern. Dies hat zum Ziel, Daten jeglicher Art – also auch Personendaten – ausreichend vor Manipulation, Verlust, unberechtigter Kenntnisnahme durch Dritte oder anderen Bedrohungen zu schützen. Mögliche Massnahmen sind unter anderem:

• Zugriffsbeschränkung: Es können nur diejenigen auf Personendaten zugreifen, die über eine Zugriffsberechtigung verfügen.
• Zugangskontrolle: Sie verhindert, dass Unbefugte die Datenverarbeitungssysteme nutzen können.
• Sichere Datenweitergabe: Unternehmen stellen sicher, dass Daten bei Übertragungen weder unbefugt gelesen noch kopiert, verändert oder entfernt werden können.
• Datensicherung: Mehrfache Back-ups schützen Unternehmen vor Datenverlust.
• Vorgaben und Sensibilisierung: Reglemente, Weisungen und Schulungen sorgen dafür, dass sich die Mitarbeitenden der Risiken beim Nutzen und Bearbeiten von Daten bewusst sind und sicher mit Daten umgehen.

4. Bearbeitungsverzeichnis führen

Jedes Unternehmen ist gemäss dem revidierten Gesetz verpflichtet, ein Bearbeitungsverzeichnis zu führen. Darin beschreibt es, welche Daten es erhebt, wieso es das tut, mit wem es die Daten teilt und wie es sie schützt. Das Bearbeitungsverzeichnis ist gewissermassen die datenschutzrechtliche Landkarte des Unternehmens. Ausgenommen sind laut Gesetz Betriebe mit weniger als 250 Mitarbeitenden, deren Datenbearbeitung geringe Risiken birgt.

Diese Aspekte sollte das Verzeichnis der Datenbearbeitung mindestens enthalten:

• Für den Datenschutz verantwortliche Person
• Zweck der Bearbeitung gesammelter Personendaten
• Beschreibung der Kategorien betroffener Personen
• Beschreibung der Kategorien bearbeiteter Personendaten
• Kategorien der Empfängerinnen und Empfänger der Personendaten
• Wenn möglich: Aufbewahrungsdauer der Personendaten oder Kriterien zur Festlegung dieser Dauer
• Wenn möglich: Allgemeine Beschreibung der Massnahmen zur Gewährleistung der Datensicherheit (technische und organisatorische Massnahmen)
• Falls Daten ins Ausland bekanntgegeben werden: Angabe des jeweiligen Staates sowie die nach Artikel 16 Absatz 2 DSG geforderten Garantien

5. Datenschutz-Folgenabschätzung vornehmen

Die Datenschutz-Folgenabschätzung ist eine Analyse der datenschutzrechtlichen Risiken bei der Datenbearbeitung. Sie enthält eine Beschreibung der geplanten Bearbeitung, eine Bewertung der Risiken für die Persönlichkeit oder die Grundrechte der betroffenen Person sowie die Massnahmen zu deren Schutz. Immer wenn Werbetreibende besonders schützenswerte Daten verwenden wollen oder auf andere Weise ein hohes Risiko für die Persönlichkeit oder die Grundrechte natürlicher Personen besteht, muss eine Datenschutz-Folgenabschätzung vorgenommen werden. Sie muss nach Beendigung der Datenbearbeitung mindestens zwei Jahre aufbewahrt werden.

Wer neue Technologien wie zum Beispiel künstliche Intelligenz einsetzt oder ein datenintensives Profiling (siehe nächster Punkt) betreibt, kommt kaum um eine Datenschutz-Folgenabschätzung herum. In der EU veröffentlichen die Aufsichtsbehörden Whitelists (keine Folgenabschätzung nötig) und Blacklists (Folgenabschätzung zwingend nötig). An diesen Listen können sich Werbetreibende auch in der Schweiz orientieren, bis eigene Leitlinien des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten vorliegen.

6. Ausdrückliche Einwilligung für Profiling einholen

Beim Profiling werden personenbezogene Daten automatisiert verarbeitet und ausgewertet, um bestimmte persönliche Aspekte zu bewerten, zu analysieren oder vorherzusagen – etwa bezüglich wirtschaftlicher Lage, Gesundheit, Vorlieben, Interessen und Verhalten. Eine solche Analyse der Personendaten erfolgt also computergestützt, zum Beispiel mithilfe eines Algorithmus. Handelt es sich um Daten mit hohem Risiko, ist neu eine ausdrückliche Einwilligung der betroffenen Person erforderlich. Der Hinweis «Mit dem Besuch dieser Website erklären Sie sich mit Profiling zu Werbezwecken einverstanden» genügt nicht mehr.

Das Datenschutzgesetz spricht von einem hohen Risiko, wenn das Profiling «zu einer Verknüpfung von Daten führt, die eine Beurteilung wesentlicher Aspekte der Persönlichkeit einer natürlichen Person erlaubt». Der Gesetzgeber hat die Frage, was ein hohes Risiko ist, das eine ausdrückliche Einwilligung erfordert, also nicht eindeutig geklärt. Daher sollten sich Werbetreibende an der Praxis der EU orientieren, weil sich die Schweiz mit dem neuen Datenschutzgesetz den europäischen Standards angleicht. In der EU geht die Tendenz dahin, dass generell eine Einwilligung für Profiling zu Werbezwecken eingeholt werden muss. Auf der sicheren Seite ist, wer schon heute eine ausdrückliche Einwilligung der Konsumentinnen und Konsumenten in die Profilbildung zu Werbezwecken dokumentieren kann – etwa durch das Setzen eines Häkchens. Liegt keine ausdrückliche Einwilligung zum Profiling vor, sollte diese je nach Risiko nachträglich eingeholt werden.

7. Verletzungen des Datenschutzes melden

Bei Datenschutzverletzungen besteht die Gefahr, dass der Persönlichkeitsschutz oder die Grundrechte der betroffenen Personen verletzt werden. Solche Vorfälle müssen neu dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) gemeldet werden. Wenn es zu ihrem Schutz erforderlich ist, müssen auch die betroffenen Personen über die Datenschutzverletzung in Kenntnis gesetzt werden.

8. Sanktionen

Mit dem neuen Datenschutzgesetz verschärft die Schweiz ihre Sanktionen für Datenschutzverletzungen. Anders als in der EU werden nicht primär die Unternehmen mit Bussen belegt, sondern private Personen – etwa die für Datenbearbeitungen verantwortlichen Mitarbeitenden und Führungskräfte. Die Bussen betragen bis zu 250’000 Franken. Sanktioniert sind vorsätzliche oder eventualvorsätzliche Verstösse gegen verschiedene Pflichten unter dem neuen Gesetz, insbesondere die Verletzung von Informations-, Auskunfts-, Mitwirkungs- oder Sorgfaltspflichten.