← Zurück zum Blog Compliance

Schweizer nDSG: Was sich auf Ihrer Website aendern muss

Envestis Team 18 Min. Lesezeit

Am 1. September 2023 hat das neue Bundesgesetz ueber den Datenschutz (nDSG, auf Italienisch nLPD) das alte Gesetz von 1992 in der Schweiz ersetzt. Wenn Sie eine Website fuer ein Schweizer Unternehmen betreiben, betrifft Sie dieses Gesetz, und es hat mehrere Dinge geaendert, die direkt beeinflussen, wie Ihre Website mit personenbezogenen Daten umgeht.

Das ist keine theoretische Sorge. Die Strafen sind persoenlich: Einzelpersonen, die fuer Verstoesse verantwortlich sind, koennen mit Bussen bis zu CHF 250.000 belegt werden. Nicht das Unternehmen. Die Person. Das koennte der Geschaeftsinhaber, der Geschaeftsfuehrer oder die fuer den Datenschutz verantwortliche Person innerhalb der Organisation sein.

Dieser Artikel behandelt, was das nDSG speziell fuer Ihre Website bedeutet.

Was sich gegenueber dem alten Gesetz geaendert hat

Wesentliche Aenderungen

  • Geltungsbereich: Das Gesetz schuetzt nun nur noch Daten natuerlicher Personen, nicht juristischer Personen.
  • Genetische und biometrische Daten: Jetzt als "besonders schuetzenswerte Personendaten" eingestuft.
  • Privacy by Design und by Default: Diese Grundsaetze sind jetzt gesetzlich vorgeschrieben.
  • Meldung von Datenschutzverletzungen: Sie muessen Datenschutzverletzungen dem EDOEB so rasch als moeglich melden.
  • Datenschutz-Folgenabschaetzung: Erforderlich bei Verarbeitungen mit hohem Risiko.
  • Transparenz: Erweiterte Informationspflicht gegenueber betroffenen Personen.
  • Profiling: Das Gesetz befasst sich nun speziell mit Profiling, mit strengeren Regeln fuer "Profiling mit hohem Risiko".
  • Strafrechtliche Sanktionen: Verstoesse koennen mit Bussen bis zu CHF 250.000 gegen die verantwortliche natuerliche Person bestraft werden.

nDSG vs DSGVO: Wesentliche Unterschiede

AspektDSGVOnDSG
Ziel der SanktionenDie Organisation (bis zu 4% des weltweiten Umsatzes oder EUR 20 Mio.)Die verantwortliche natuerliche Person (bis zu CHF 250.000)
Einwilligung zur VerarbeitungEinwilligung ist eine von sechs RechtsgrundlagenVerarbeitung ist zulaessig, sofern kein Rechtfertigungsgrund fehlt; Einwilligung bei sensiblen Daten
Meldung Datenschutzverletzung72 Stunden an Aufsichtsbehoerde"So rasch als moeglich" an den EDOEB
DSBIn vielen Faellen erforderlichFreiwillig (aber empfohlen), als "Datenschutzberater" bezeichnet
Grenzueberschreitende UebermittlungenAngemessenheitsbeschluesse, SCCs, BCRsAehnlicher Rahmen; schweizerische Liste angemessener Laender

Website-spezifische Anforderungen

Datenschutzerklaerung

Ihre Website muss eine Datenschutzerklaerung haben, die den Transparenzanforderungen des nDSG (Artikel 19-21) entspricht. Sie muss enthalten:

  • Identitaet und Kontaktdaten des Verantwortlichen.
  • Bearbeitungszweck: Warum Sie jede Art von Daten erheben. Seien Sie spezifisch.
  • Kategorien der erhobenen Daten.
  • Empfaenger oder Kategorien von Empfaengern.
  • Grenzueberschreitende Datenuebermittlungen: Wenn Daten ins Ausland uebermittelt werden, muessen Sie dies offenlegen, die Laender nennen und die Schutzmassnahmen angeben.
  • Aufbewahrungsfristen.
  • Rechte der betroffenen Personen.
  • Automatisierte Einzelentscheidungen.

Cookie-Consent

Das nDSG hat kein spezielles "Cookie-Gesetz" wie die ePrivacy-Richtlinie der EU. Cookies, die personenbezogene Daten verarbeiten, fallen jedoch unter die Transparenz- und Einwilligungsanforderungen des nDSG. In der Praxis:

  • Technisch notwendige Cookies koennen ohne Einwilligung gesetzt werden, muessen aber in der Datenschutzerklaerung offengelegt werden.
  • Analytics-Cookies erheben personenbezogene Daten und erfordern Einwilligung oder Anonymisierung.
  • Marketing-/Werbe-Cookies erfordern Einwilligung.

Mehr zur Cookie-Consent-Implementierung erfahren Sie in unserem Artikel ueber haeufige rechtliche Fehler beim Cookie-Consent.

Kontaktformulare

  • Informieren Sie Benutzer darueber, was mit ihren Daten geschieht, bevor sie das Formular absenden.
  • Erhobene Daten duerfen nur fuer den angegebenen Zweck verarbeitet werden.
  • Definieren Sie eine klare Aufbewahrungsrichtlinie.
  • Wenn Formulardaten an Drittanbieter gesendet werden, muss dies offengelegt werden.

Analytics

Google Analytics ist das haeufigste Analytics-Tool auf Schweizer Websites und wirft mehrere nDSG-Fragen auf:

  • Grenzueberschreitende Datenuebermittlung: Google Analytics sendet Daten an Google-Server, die sich in den USA befinden koennen.
  • Verarbeitung personenbezogener Daten: IP-Adressen und Nutzerverhaltendaten sind personenbezogene Daten unter dem nDSG.
  • Einwilligungserfordernis: Die Einholung der Einwilligung vor dem Laden von Google Analytics ist der sicherste Ansatz.

Datenschutzfreundliche Analytics-Tools wie Plausible, Umami oder Fathom bieten eine konforme Alternative ohne Cookies, die in der Schweiz selbst gehostet werden koennen.

Grenzueberschreitende Datenuebermittlungen

Dienste, die Daten ins Ausland uebermitteln

  • Google Analytics: Daten an Google-Server (USA).
  • Mailchimp: E-Mail-Marketing-Daten auf US-Servern.
  • Facebook/Meta Pixel: Besucherdaten an Meta-Server (USA).
  • HubSpot: CRM- und Marketing-Daten auf US-Servern.
  • Stripe: Zahlungsdaten an US-Server.

Unter dem nDSG brauchen Sie fuer Laender, die nicht auf der Angemessenheitsliste des Bundesrats stehen (einschliesslich der USA in vielen Szenarien): Standardvertragsklauseln (SCCs), ausdrueckliche Einwilligung der betroffenen Person, oder einen anderen anerkannten Schutzmechanismus.

Meldung von Datenschutzverletzungen

Wenn Ihre Website verletzt wird und personenbezogene Daten kompromittiert werden, verpflichtet Sie das nDSG, den EDOEB so rasch als moeglich zu benachrichtigen. Sie muessen auch betroffene Personen benachrichtigen, wenn dies zu deren Schutz erforderlich ist.

Strafen: Persoenliche Haftung

Unter dem nDSG sind Verstoesse mit Bussen bis zu CHF 250.000 gegen die verantwortliche natuerliche Person strafbar.

Was Strafen ausloesen kann

  • Mangelnde Informationsbereitstellung an betroffene Personen.
  • Fehlende technische und organisatorische Massnahmen zum Schutz personenbezogener Daten.
  • Unzulaessige grenzueberschreitende Datenuebermittlungen ohne angemessene Schutzmassnahmen.
  • Unterlassene Meldung von Datenschutzverletzungen an den EDOEB.

Praktische Website-Compliance-Checkliste

Datenschutzerklaerung

  1. Eine Datenschutzerklaerung haben, die alle nDSG-Anforderungen erfuellt.
  2. Jeden Drittanbieter-Dienst namentlich auflisten.
  3. Alle grenzueberschreitenden Datenuebermittlungen mit Laendern und Schutzmassnahmen offenlegen.
  4. Aufbewahrungsfristen fuer jeden Datentyp angeben.
  5. Die Datenschutzerklaerung von jeder Seite aus zugaenglich machen.
  6. Die Datenschutzerklaerung in allen vom Website unterstuetzten Sprachen bereitstellen.

Cookie-Consent

  1. Einen Cookie-Consent-Mechanismus implementieren, der nicht-essentielle Cookies bis zur Einwilligung blockiert.
  2. Cookies in notwendig, Analytics und Marketing kategorisieren.
  3. Granulare Einwilligung ermoeglichen.
  4. Benutzern erlauben, ihre Einwilligung jederzeit zu widerrufen.
  5. Einwilligung dokumentieren.
  6. Testen, dass Cookies tatsaechlich vor der Einwilligung blockiert werden.

Sicherheit

  1. HTTPS auf allen Seiten.
  2. Starke Sicherheits-Header (CSP, HSTS, X-Frame-Options, etc.).
  3. Regelmaessige Software-Updates.
  4. Sichere Speicherung aller erhobenen personenbezogenen Daten.
  5. Regelmaessige Backups mit getesteten Wiederherstellungsverfahren.
  6. Ein Plan zur Reaktion auf Datenschutzverletzungen.

Haeufige Verstoesse auf Schweizer Websites derzeit

  • Google Analytics ohne Einwilligung geladen: Die Mehrheit der Schweizer Websites laedt Google Analytics noch immer, bevor der Benutzer eingewilligt hat.
  • Datenschutzerklaerungen, die grenzueberschreitende Uebermittlungen nicht erwaehnen.
  • Kein Cookie-Consent-Mechanismus.
  • Generische Datenschutzerklaerungen.
  • Fehlende Auftragsverarbeitungsvertraege.
  • Keine Aufbewahrungsrichtlinien.

Naechste Schritte

Wenn Sie nicht sicher sind, ob Ihre Website dem nDSG entspricht, haben Sie wahrscheinlich Handlungsbedarf. Die meisten Schweizer Websites, die wir bewerten, weisen mehrere Compliance-Luecken auf.

Bei Envestis fuehren wir Website-Compliance-Audits durch, die sowohl technische als auch rechtliche Aspekte der nDSG-Compliance abdecken. Fuer eine breitere Perspektive zur DSGVO-Compliance lesen Sie unseren Artikel ueber DSGVO-Website-Compliance.

Kontaktieren Sie uns, um ein Compliance-Audit zu vereinbaren. Die Strafen sind persoenlich. Jetzt ist die Zeit zu handeln.

Wollen Sie wissen, ob Ihre Website sicher ist?

Fordern Sie ein kostenloses Sicherheitsaudit an. In 48 Stunden erhalten Sie einen vollständigen Bericht.

Kostenloses Audit Anfordern

Verwandte Artikel

Compliance

DSGVO und Schweizer nDSG: Was Ihre Website Einhalten Muss

Praktischer Leitfaden zur Datenschutz-Compliance fur Websites. Deckt Cookie-Einwilligung, Datenschutzerklaerung, Drittanbieter-Dienste, Kontaktformulare und Unterschiede zwischen EU-DSGVO und Schweizer nDSG ab.

· 17 Min. Lesezeit
Compliance

Cookie-Einwilligung: Die Fehler, die Ihre Website Illegal Machen

Vorangekreuzte Kastchen, kein Ablehnungsbutton, Tracking vor Einwilligung, Google Fonts von Google-Servern geladen. Die meisten Schweizer Websites haben Cookie-Einwilligungs-Implementierungen, die entweder die DSGVO, das Schweizer nDSG oder beides verletzen.

· 15 Min. Lesezeit
Compliance

Incident-Response-Plan fuer KMU: Ein Praktischer Leitfaden fuer Schweizer Unternehmen

Die meisten kleinen und mittleren Unternehmen haben keinen Plan fuer den Fall eines Hackerangriffs. Dieser Leitfaden behandelt die 6 Phasen der Incident Response, wen man in der Schweiz kontaktiert (NCSC, kantonale Behoerden), eine praktische IRP-Vorlage fuer KMU-Ressourcen, Meldepflichten unter nDSG und DSGVO, Kundenkommunikation und Tabletop-Uebungen.

· 16 Min. Lesezeit

Schnellkontakt