Die Datenschutzgrundverordnung (DSGVO) ist eine strategische Herausforderung für jedes europäische (und weltweite) Unternehmen. In der Schweiz stehen Organisationen vor einer noch größeren Herausforderung: die Anforderungen der europäischen DSGVO und des neuen Bundesgesetzes über den Datenschutz (nFADP) zu erfüllen.

 

Nach dreijähriger Debatte wurde die Gesamtrevision des bisherigen Datenschutzgesetzes, das FADP, im Herbst 2020 von der Bundesversammlung angenommen. Ursprünglich für die zweite Hälfte des Jahres 2022 geplant, trat die neue schweizerische Datenschutzgesetzgebung (nFADP) am 1. September 2023 in Kraft.

Unter dem neuen Gesetz müssen Unternehmen strengere Regeln einhalten. Lesen Sie weiter, um mehr zu erfahren.

 

Google 2024 Update: Ab dem 31. Juli 2024 müssen Schweizer Publisher, die Google Monetarisierungsprodukte nutzen, eine von Google zertifizierte CMP einrichten, die EU User Consent Policy von Google einhalten und TCF für Schweizer Traffic integrieren. Erfahren Sie mehr in unserem Artikel zu diesem Thema.

 

Zusammenfassung

 

 

 

Schweizer nFADP: Neue Richtlinien

 

Angesichts der rasanten technologischen Entwicklung war das alte schweizerische Bundesgesetz über den Datenschutz veraltet. Die Gesamtrevision des FADP ermöglichte es, die Richtlinien an die heutigen technologischen und sozialen Herausforderungen anzupassen.

Durch die Stärkung des Gesetzestextes zielte die Schweiz darauf ab, die schweizerische Gesetzgebung näher an die Anforderungen der DSGVO heranzuführen. Für das Land besteht die Herausforderung darin, als Drittstaat anerkannt zu bleiben, mit einem angemessenen Schutzniveau, um den Datenaustausch mit dem Rest der Welt durchführen zu können.

Dieses neue Gesetz gilt für alle Schweizer Staatsangehörigen. Es verbessert die Art und Weise, wie die persönlichen Daten der Schweizer Bürger gehandhabt werden und gewährt ihnen neue Rechte.

 

10 Hauptänderungen zwischen dem Schweizer FADP und dem nFADP

 

Das Schweizer nFADP führt neue Vorschriften für Unternehmen ein:

 

  • Das neue Bundesgesetz deckt nur den Schutz persönlicher Daten natürlicher Personen ab. Es gilt nicht mehr für Daten juristischer Personen (Vereine, Stiftungen, Handelsgesellschaften usw.)

  • Die Definition sensibler persönlicher Daten (Gewerkschaftszugehörigkeit, Gesundheit, politische Meinungen usw.) umfasst auch genetische und biometrische Daten (Fingerabdrücke, DNA usw.), wenn sie die eindeutige Identifizierung einer Person ermöglichen.

  • Zwei neue Datenschutzprinzipien sind im Schweizer FADP enthalten:

    • "Datenschutz durch Design", der das Berücksichtigen des Datenschutzes der Nutzer und ihrer Privatsphäre bereits bei der Gestaltung von Anwendungen oder anderen Medien definiert.

    • "Datenschutz durch Voreinstellung", der fordert, dass die Verarbeitung persönlicher Daten auf das für den vorgesehenen Zweck erforderliche Minimum beschränkt wird. Unternehmen müssen weitere Autorisierungen einholen, um andere Daten zu verarbeiten.

  • Ein privates Unternehmen kann einen Datenschutzberater ernennen, und sie sind für Bundesbehörden obligatorisch. Sie dürfen keine vertragliche Beziehung zum Unternehmen haben. Ihre Aufgabe ist es, zu beraten, zu schulen, bei der Entwicklung zu helfen und dann Maßnahmen zum Schutz persönlicher Daten anzuwenden.

  • Im Falle einer Datenverarbeitung, die ein erhebliches Risiko für die grundlegenden und persönlichen Rechte der Nutzer darstellt, fordert das neue FADP eine vorherige Bewertung der Auswirkungen.

  • Die Informationspflicht wurde verstärkt. Um Transparenz zu gewährleisten, muss der für die private Datenverarbeitung verantwortliche Datenmanager den Nutzer über die Erhebung all seiner persönlichen Daten informieren, und nicht nur über seine sensiblen Daten.

  • Es ist jetzt obligatorisch, ein Register aller Aktivitäten im Zusammenhang mit der Datenverarbeitung zu führen. Nur KMU mit weniger als 250 Mitarbeitern sind ausgenommen, da ihre Verarbeitung kein hohes Risiko für die Verletzung der Persönlichkeits- oder Grundrechte darstellt.

  • Im Falle einer Datenschutzverletzung, die ein hohes Risiko für die Persönlichkeits- oder Grundrechte der betroffenen Person darstellt, muss der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) unverzüglich benachrichtigt werden.

  • Das neue Gesetz führt das Konzept des Profilings ein. Es befasst sich mit der automatisierten Verarbeitung persönlicher Daten.

  • Das neue Schweizer nFADP verhängt eine Strafe von bis zu 250.000 Schweizer Franken für vorsätzliche Verstöße gegen die Informations-, Melde- oder Berichtspflicht sowie für Verstöße gegen die Sorgfalts- oder Verschwiegenheitspflicht.

 

 

 

Geltungsbereich des Schweizer nFADP

 

Didomi - cookie banner Switzerland

 

Das neue Bundesgesetz zielt darauf ab, die Grundrechte von in der Schweiz lebenden Personen zu schützen. Es regelt die Verarbeitung und verhindert den Missbrauch ihrer Daten durch private Unternehmen oder den Staat. Die Sicherheit juristischer Personen ist hingegen nicht mehr garantiert.

Die Gesamtrevision des Gesetzes bietet den Schweizer Bürgern mehr Transparenz. Das Gesetz verstärkt ihre Rechte (Zugang, Berichtigung, Löschung, Übertragbarkeit) in Bezug auf persönliche Daten. Innerhalb von Unternehmen fördert das nFADP die Annahme von Präventivmaßnahmen. Mit seinen neuen Strafbestimmungen und der verstärkten Aufsicht macht es die Verantwortlichen für die Datenverarbeitung stärker haftbar.

Das neue Schweizer nFADP gilt für alle Unternehmen, unabhängig von ihrer Größe. Es betrifft auch Wirtschaftsakteure, "die in der Schweiz Auswirkungen haben, auch wenn diese im Ausland produziert wurden."

 

Diese Akteure können ausländische Unternehmen sein:

 

  • Die auf dem Schweizer Markt geschäftlich tätig sind;

  • Bei denen die Datenverarbeitung mit der Schweiz in Verbindung steht. Zum Beispiel ein Foto, das in der Schweiz aufgenommen und dann auf einer ausländischen Website veröffentlicht wurde.

 

Wie man das neue Bundesgesetz über den Datenschutz in der Schweiz einhält?

 

Um mit dem nFADP konform zu gehen, müssen Schweizer Unternehmen sofort starke Maßnahmen ergreifen, um persönliche Daten zu schützen:

 

  • Identifizierung persönlicher Daten und anschließende Risikobewertung zur Bestimmung der Einhaltungserfordernisse;

  • Gegebenenfalls Überprüfung und Anpassung der Datenschutzerklärungen auf Websites, Werbeinhalten, in Verträgen usw.;

  • Aufbau interner Prozesse, um schnell auf Kundenanfragen bezüglich ihrer Daten zu reagieren;

  • Erstellung eines Registers für die Datenverarbeitung;

  • Einführung eines Prozesses für Folgenabschätzungen;

  • Analyse von Verträgen mit Subunternehmern. Ist die Sicherheit der bereitgestellten Daten gewährleistet? Ist es notwendig, Klauseln hinzuzufügen?

  • Ernennung eines Datenschutzberaters im Unternehmen.

 

Schweizer FADP vs. DSGVO

 

In der Schweiz müssen Unternehmen zwei Gesetze zum Datenschutz beachten: das nFADP und die europäische Datenschutzgrundverordnung (DSGVO). Erfahren Sie mehr über den Anwendungsbereich der europäischen Verordnung im Land sowie die Hauptunterschiede zwischen den beiden Texten.

Die DSGVO gilt für Schweizer Unternehmen in mehreren Situationen. Die Verordnung muss beachtet werden bei jeder Verarbeitung persönlicher Daten:

 

  • Die im Rahmen der Aktivitäten einer europäischen Niederlassung oder Tochtergesellschaft eines Schweizer Unternehmens in der EU durchgeführt wird;

  • Die von einem Schweizer Unternehmen als Subunternehmer eines in der Europäischen Union ansässigen Unternehmens durchgeführt wird;

  • Die auf das Angebot von Waren oder Dienstleistungen an betroffene Personen in der Union abzielt;

  • Die mit der Verfolgung des Verhaltens von EU-Bewohnern in Verbindung steht.

 

Hauptunterschiede zwischen der DSGVO und dem Schweizer nFADP beim Datenschutz

In vielen Aspekten ähnelt das Schweizer nFADP den Richtlinien der europäischen DSGVO. Das neue Bundesgesetz weist jedoch einige Besonderheiten auf:

 

  • Seine Anforderungen sind weniger streng;

  • Im neuen Schweizer FADP wird die Ernennung eines Datenschutzberaters empfohlen, aber nicht für private Unternehmen vorgeschrieben. Die DSGVO verlangt in einigen Fällen einen Datenschutzbeauftragten (DPO);

  • Im Falle einer Datenschutzverletzung fordert die DSGVO eine 72-Stunden-Frist zur Benachrichtigung der zuständigen Behörden. Das revidierte FADP verlangt eine Benachrichtigung „so bald wie möglich“;

  • Die Strafgrenze ist für die DSGVO höher: 20 Millionen Euro gegenüber 250.000 Franken für das neue Schweizer Datenschutzgesetz.

 

Mit Didomi schaffen Sie weltweit Vertrauen und Mehrwert, indem Sie Datenschutz zu einem einzigartigen Kundenerlebnis machen. Mit unserer Consent Management Platform (CMP) können Sie:

 

  • Einwilligungen Ihrer Kunden konform einholen

  • Ihren Ruf schützen

  • Ihre Transparenz bei der Sammlung persönlicher Daten demonstrieren

  • Ihre Einwilligungsmetriken verfolgen

  • Einwilligungsdaten mit Ihren CRM- und Marketing-Automatisierungstools synchronisieren

 

Um mehr darüber zu erfahren, wie Didomi helfen kann, ob Sie ein Herausgeber, eine Bank, ein E-Commerce-Geschäft oder ein Softwareanbieter sind, sprechen Sie mit einem unserer Experten für weitere Informationen:

 

Fachwissen einholen

 

Häufig gestellte Fragen (FAQ)

 

Wann tritt das nFADP der Schweiz in Kraft?

Das Schweizer nFADP ist am 1. September 2023 in Kraft getreten.

 

Was ist der Hauptzweck des neuen Schweizer nFADP?

Das nFADP aktualisiert das Schweizer Datenschutzgesetz, um technologische und soziale Veränderungen zu berücksichtigen und es näher an die DSGVO-Standards zu bringen. Es zielt darauf ab, den Schutz persönlicher Daten für Schweizer Bürger zu gewährleisten und ihnen neue Rechte zu gewähren.

 

Inwiefern unterscheidet sich das neue Schweizer nFADP vom alten FADP?

Unter anderem führt das nFADP Bestimmungen wie „Datenschutz durch Design“ und „Datenschutz durch Voreinstellung“ ein, stärkt die Transparenzpflicht der Unternehmen, schreibt die Ernennung eines Datenschutzberaters für Bundesorgane vor und führt Strafen für Verstöße ein.

 

Für wen gilt das nFADP?

Das nFADP gilt für alle Personen in der Schweiz und regelt die Datennutzung durch private Unternehmen und den Staat. Es betrifft auch Akteure, die Auswirkungen auf die Schweiz haben, auch wenn ihre Handlungen im Ausland ihren Ursprung haben.

 

Wie unterscheiden sich nFADP und DSGVO?

Obwohl sie viele Richtlinien teilen, ist das nFADP in einigen Bereichen weniger streng. Zum Beispiel hat die DSGVO eine 72-Stunden-Frist für die Meldung von Datenschutzverletzungen, während das nFADP eine Benachrichtigung „so bald wie möglich“ fordert. Außerdem können DSGVO-Strafen höher sein.