Neu­es Da­ten­schutz­ge­setz nDSG ab 2023: So set­zen Sie ge­setz­li­chen An­for­de­run­gen auf Ih­rer Web­site um

Die Schweiz hat ein neues und weitreichendes Datenschutzgesetz beschlossen, das voraussichtlich 2023 in Kraft treten wird. Dieses schreibt vor, wie Website-Besuchende über die Nutzung ihrer Personendaten informiert werden müssen. 

Eine vollständige Datenschutzerklärung gemäss nDSG muss unter anderem folgende Angaben enthalten:

• Für welche Zwecke werden die Personendaten verwendet?
• An wen werden Personendaten weitergegeben?
• Wie ist der Daten-Export abgesichert?
• Welche Rechte haben die betroffenen Nutzer und Nutzerinnen in Sachen Datenschutz?
• Kontaktangaben des/der Website-Verantwortlichen

Es ist nicht notwendig, die Besuchenden mit einem Pop-up auf die Datenschutzerklärung hinzuweisen. Es genügt, diese z. B. im Footer der Website zu verlinken. Auch Cookie-Banner sind für Websites in der Schweiz nach wie vor nur für diejenigen Pflicht, die dem europäischen Telekommunikationsrecht unterstellt sind.

Um Angaben zur Bearbeitung von personenbezogenen Daten zu machen, muss man wissen, welche Daten damit überhaupt gemeint sind.

• Personendaten sind nach Art. 5 Ziffer a nDSG „alle Angaben, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen“. 
• Bearbeiten umfasst gemäss Art. 5 Ziffer d das „... Beschaffen, Speichern, Aufbewahren, Verwenden, Verändern, Bekanntgeben, Archivieren, Löschen oder Vernichten von Daten.»

Grosse Unternehmen (ab 250 Mitarbeitenden) müssen diese Angaben gemäss nDSG in einem Verzeichnis der Bearbeitungstätigkeiten zusammenstellen. Für kleinere Betriebe ist ein solches Verzeichnis nicht Pflicht. Es kann aber dennoch nützlich sein, um für die Erstellung der Datenschutzerklärung festzuhalten, wo auf der Website welche Daten wie verwendet werden. 

Praktisch jede Website nutzt Dienste von Dritten: Für den Newsletter-Versand, für die Erfolgsmessung (z. b. Google Analytics), für Online-Meetings, das Einbinden von Formularen und viele mehr. Die dafür benötigten Daten werden an diesen Anbieter übermittelt, um die vereinbarte Leistung auszuführen. Als Website-Betreiber müssen Sie sicherstellen, dass für jeden dieser Dienste ein sogenannter Auftragsverarbeitungsvertrag (AVV) abgeschlossen wird. Dieser regelt, wie die Daten verwendet werden. Bei den meisten Anbietern ist der AVV in den Allgemeinen Geschäftsbedingungen (AGB) integriert. Wenn ein Anbieter keinen AVV vorlegen will, sollten Sie besser auf einen anderen Service zurückgreifen.

Solche Dienste von Dritten haben ihren Sitz häufig im Ausland. Deshalb spricht man in einem solchen Fall von Daten-Export. 

Ein Export in Länder mit einem „angemessenen Datenschutz“ ist nach Art. 16 Abs. 1 nDSG grundsätzlich kein Problem. Staaten mit einem solchen angemessenen Datenschutz sind alle Mitgliedsländer der EWR, Grossbritannien, Neuseeland, Israel und Kanada. 

Beim Export in sogenannt „unsichere Drittstaaten“ muss der Datenschutz mit einer „Standardvertragsklausel“ (Standard Contractual Clauses SCC) gewährleistet werden. Auch diese sind meist Bestandteil der AGB. Zu den unsicheren Drittstaaten gehören zum Beispiel die europäischen Länder ausserhalb der EU, Indien und Südafrika. Achtung: In Sachen Datenschutz gelten auch die USA ein unsicherer Drittstaat.

Wir von fugu programmieren unsere Websites standardmässig mit unserem hauseigenen CMS Fuman. Damit entfallen externe Dienste und Daten-Exporte grösstenteils. Das Zusammentragen und die laufende Dokumentation der Drittdienste und der weitergegebenen Daten beschränken sich auf ein Minimum.

Sämtliche Abläufe und Funktionen, die Sie für Ihren Webauftritt benötigen, werden vor Ort von unseren Entwicklern in Bern programmiert. So wissen Sie genau, welche Daten wo und wie verwendet werden, und können Ihre Besucher jederzeit gesetzeskonform informieren. 

Möchten Sie mehr zum nDSG wissen, oder benötigen Sie Hilfe bei der Umsetzung einer korrekten Datenschutzerklärung? Dann melden Sie sich bei uns.