Das völlig überarbeitete neue Datenschutzgesetz (nDSG)und die Ausführungsbestimmungen werden laut dem Beschluss des Bundesrates vom 31. August 2022 am 1. September 2023 in Kraft gesetzt.
Diese Gesetzgebung zielt darauf ab, die Rechte des Einzelnen in Bezug auf seine Privatsphäre zu stärken und Unternehmen und Organisationen, die personenbezogene Daten verarbeiten, strengere Verpflichtungen aufzuerlegen.
Welche Daten sind betroffen?
Daten, die nach dem neuen Datenschutzgesetz (DSG) zu schützen sind, umfassen alle Informationen, die mit einer identifizierten oder identifizierbaren natürlichen Person verbunden sind. Dies inkludiert ein breites Spektrum an Daten, das von den offensichtlichsten Informationen bis hin zu subtileren und technischen Elementen geht. Hier sind ein paar Beispiele für die Arten von personenbezogenen Daten, die geschützt werden müssen:
- Persönliche Identifikationsdaten: Dazu gehören Vor- und Nachnamen, physische Adressen, E-Mail-Adressen, Telefonnummern, AHV-Nummern, Personalausweisnummern etc.
- Finanzielle Daten: Informationen, die sich auf die Finanzen einer Person beziehen, wie Bankkontonummern, Kreditkartennummern, Kontoauszüge und Steuerinformationen, müssen geschützt werden.
- Standortdaten: Informationen über den Standort einer Person in Echtzeit oder in der Vergangenheit, wie z. B. Geolokalisierungsdaten von Smartphones, müssen mit Sorgfalt behandelt werden.
- Gesundheitsdaten: Daten über die körperliche oder geistige Gesundheit, wie z. B. Krankenakten, Rezepte und Informationen über Behandlungen, sind hochsensibel und müssen verstärkt geschützt werden.
- Biografische Daten: Dazu können Informationen über Rasse, ethnische Herkunft, Religion, sexuelle Orientierung gehören, die aufgrund ihrer Sensibilität einen besonderen Schutz erfordern.
- Online-Daten: Informationen, die online gesammelt werden, wie IP-Adressen, Cookies, Browserdaten, Social-Media-Profile, gehören ebenfalls zu den personenbezogenen Daten, die geschützt werden müssen.
- Verhaltensbezogene Daten: Daten, die sich auf das Online- oder Offline-Verhalten beziehen, wie Kaufgewohnheiten, Surfpräferenzen, Aktivitäten auf sozialen Netzwerken, müssen geschützt werden.
- Biometrische Daten: Biometrische Merkmale wie Fingerabdrücke, Retinascans, Stimmabdrücke gehören aufgrund der Einmaligkeit und Identifizierbarkeit ebenfalls zu den personenbezogenen Daten, die geschützt werden müssen.
- Berufliche Daten: Berufliche Informationen wie Jobtitel, Arbeitgeber, beruflicher Lebenslauf gehören ebenfalls zu den personenbezogenen Daten, die geschützt werden müssen.
- Kommunikationsdaten: Informationen, die in der privaten Kommunikation ausgetauscht werden, wie E-Mails, Instant Messages, Telefonanrufe, sind ebenfalls personenbezogene Daten, die geschützt werden müssen.
Allgemein gesagt: Alle Informationen, die mit einer identifizierbaren physischen Person assoziiert werden können, sind als Personendaten zu behandeln und entsprechend dem neuen Datenschutzgesetz (DSG) mit Sorgfalt und Respekt umzugehen. Der Datenschutz ist von essentieller Wichtigkeit, um die Privatsphäre und die Rechte des Einzelnen in einer ständig wechselnden digitalen Umgebung zu schützen.
Hauptpunkte des neuen DSG
- Erweiterung der Definitionen von Persönliche Daten: Das nDSG erweitert die Definition von Persönlichen Daten auf alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen. Dies bezieht nun auch Elemente wie die IP-Adresse, Cookies und andere Online-Identifikatoren mit ein.
- Verstärkte Zustimmung: Unternehmen müssen eine ausdrückliche und informierte Zustimmung von den Individuen erhalten, bevor sie ihre personenbezogenen Daten sammeln, verarbeiten oder nutzen. Die Einwilligung muss frei, spezifisch, in Kenntnis der Umstände und unmissverständlich erklärt werden.
- Größere Einzelpersonenrechte: Die Rechte von Privatpersonen über ihre persönlichen Daten werden gestärkt. Einzelpersonen haben das Recht, auf ihre Daten zuzugreifen, sie zu ändern, zu löschen und sich ihrer weiteren Verarbeitung zu widersetzen.
- Transparenz: Unternehmen werden klare und nachvollziehbare Informationen zur Verfügung stellen müssen, wie sie personenbezogene Daten sammeln, verarbeiten und nutzen. Die Datenschutzrichtlinien müssen detaillierter und zugänglicher sein.
- Verstärkte Verantwortlichkeit: Unternehmen müssen entsprechende Massnahmen umsetzen, um die Konformität mit dem nDSG nachzuweisen. Dies kann die Erstellung von internen Datenverarbeitungsregistern, die Durchführung von Datenschutzfolgenabschätzungen und die Ernennung eines Datenschutzbeauftragten (DSB) enthalten.
Schritte zur Erfüllung der Compliance
- Aktualisierung der Datenschutzbestimmungen: Überprüfen und aktualisieren Sie Ihre Datenschutzbestimmungen, um die neuen Transparenzanforderungen zu reflektieren. Erklären Sie deutlich, welche Daten gesammelt werden, wie sie benutzt werden, wer Zugang dazu hat und wie die Einzelpersonen ihre Rechte in Anspruch nehmen können.
- Einholung der Zustimmung: Überprüfen Sie Ihre Methoden der Einholung von Zustimmungen. Stellen Sie sicher, dass die Einwilligung ausdrücklich, spezifisch und in Kenntnis der Sachlage erteilt wird. Implementieren Sie einen Mechanismus, der es den Einzelpersonen ermöglicht, ihre Zustimmung jederzeit zu entfernen.
- Management der Rechte von Einzelpersonen: Entwickeln Sie ein Prozess zur Bearbeitung von Zugriffs-, Berichtigungs-, Löschungs- und Widerspruchsanträgen von Einzelpersonen in Bezug auf ihre Personaldaten. Achten Sie darauf, dass diese Anträge innerhalb der vom DSG vorgeschriebenen Frist bearbeitet werden.
- Datensicherheit: Erhöhen Sie die Sicherheit personenbezogener Daten durch die Umsetzung geeigneter technischer und organisatorischer Maßnahmen. Verschlüsseln Sie sensible Daten, stellen Sie sicher, dass die Systeme auf dem neuesten Stand sind und richten Sie Zugangs- und Überwachungskontrollen ein.
- Datenschutzbeauftragter (DSB): Wenn dies vom DSG je nach Größe und Art Ihrer Datenverarbeitungsvorgänge gefordert wird, ernennen Sie einen Datenschutzbeauftragten, der die Einhaltung der Vorschriften überwacht und als Ansprechpartner für Datenschutzfragen zur Verfügung steht.
- Mitarbeiterschulung: Sensibilisieren und trainieren Sie Ihre Mitarbeiter für die neuen Regeln und Praktiken des Datenschutzes. Achten Sie darauf, dass sie die Bedeutung von Compliance und bewährten Sicherheitspraktiken verstehen.
- Verträge mit Subunternehmern: Wenn Sie Auftragsverarbeiter mit der Verarbeitung personenbezogener Daten beauftragen, kontrollieren Sie, ob Ihre Verträge die notwendigen Klauseln enthalten, um sicherzustellen, dass diese Auftragsverarbeiter ebenfalls die Verpflichtungen des DSG einhalten.
Steuerung von Cookies
Die nDSG hat also einen richtigen Einfluss auf die Steuerung von Cookies, die auf Websites häufig verwendet werden, um Informationen über die Nutzer zu sammeln. Die nDSG legt den Schwerpunkt auf den Schutz personenbezogener Daten und verlangt mehr Transparenz in der Anwendung von Cookies. So beeinflusst die nDSG die Verwaltung von Cookies in der Schweiz :
- Informierte Zustimmung: Laut nDSG müssen Webseiten eine spezifische, informierte Zustimmung der Nutzer einholen, bevor sie Cookies auf ihren Geräten platzieren. Die Nutzer müssen klar über den Grund für die Verwendung von Cookies und die Art der gesammelten Daten in Kenntnis gesetzt werden.
- Optionen für die Steuerung von Cookies: Webseiten sollten den Nutzern klare Optionen zur Verfügung stellen, mit denen sie ihre Cookie-Präferenzen verwalten können. Dies kann die Möglichkeit umfassen, die Arten von Cookies, die sie zulassen, zu wählen, zu deaktivieren oder zu löschen.
- Cookie-Richtlinien: Die Datenschutzbestimmungen von Websites sollten aktualisiert werden, um detaillierte Informationen über die Arten der genutzten Cookies, ihren jeweiligen Zweck, die gesammelten Daten und die involvierten Dritten zu enthalten. Die Nutzer sollten leicht auf diese Informationen zugreifen können.
- Dauer der Speicherung von Cookies: Webseiten müssen die Dauer der Speicherung von Cookies zeitlich begrenzen und den Nutzern erklären, wie lange ihre Daten gespeichert werden. Cookies sollten nicht länger als nötig aufbewahrt werden.
- Cookies von Drittanbietern: Cookies, die von Drittanbietern wie Werbeunternehmen oder sozialen Netzwerken eingesetzt werden, erfordern ebenfalls eine eindeutige Zustimmung. Die Webseiten müssen erklären, welche Drittunternehmen involviert sind und zu welchem Ziel sie dienen.
- Analytische Cookies: Cookies, die zu analytischen Zwecken verwendet werden, um das Nutzerverhalten zu beobachten, benötigen ebenfalls eine Zustimmung. Die Nutzer müssen über die Verwendung dieser Cookies und die Behandlung der Daten informiert werden.
- Widerrufbare Zustimmung: Die Nutzer sollten die Möglichkeit haben, ihre Zustimmung jederzeit zu entfernen. Die Webseiten sollten diesen Vorgang so leicht machen wie den ursprünglichen Einwilligungsprozess.
- Kinder und Cookies: Das DSG legt besonderes Augenmerk auf den Datenschutz von Kindern. Wenn Cookies auf Websites verwendet werden, die sich an Kinder wenden, kann die Zustimmung der Eltern oder Erziehungsberechtigten verlangt sein.
- Datenübermittlung: Wenn Cookies personenbezogene Daten sammeln, die ins Ausland übermittelt werden, muss dies in der Cookie-Richtlinie deutlich angegeben werden.
Allgemein lässt sich sagen, dass das neue Schweizerische Datenschutzgesetz den Schutz personenbezogener Daten im Rahmen der Verwaltung von Cookies verstärkt. Websites müssen eine aufgeklärte Zustimmung der Nutzer erhalten, transparente Informationen über die verwendeten Cookies zur Verfügung stellen, Optionen zur Steuerung der Cookies anbieten und die Präferenzen der Nutzer in Bezug auf die Privatsphäre respektieren. Diese Maßnahmen sollen sicherstellen, dass die Nutzer mehr Kontrolle über ihre persönlichen Daten erhalten und dass ihre Privatsphäre beim Surfen im Internet respektiert ist.
Mediamix kann Ihnen dabei helfen
Wenn Sie im Rahmen einer Online-Werbekampagne (Google Ads, Facebook, Programmatic, TikTok usw.) auf Ihrer Website Conversion-Daten wie Einkäufe, Registrierungen oder Downloads überwachen und sammeln, benutzen Sie Cookies.Um die Cookie-Verwaltung mit dem neuen Datenschutzgesetz (DSG) in der Schweiz in Übereinstimmung zu bringen, müssen spezifische Schritte unternommen werden, insbesondere durch den Einsatz von Tools wie Google Tag Manager (GTM) und Plattformen für die Zustimmungsverwaltung (Consent Management Platforms, CMP).
- Cookie-Bewertung: Erstellen Sie mit Hilfe von GTM eine Bestandsaufnahme der auf Ihrer Website verwendeten Cookies. Identifizieren Sie die Arten von Cookies (wesentliche, funktionale, analytische, Werbe-Cookies usw.) und ihre Ziele.
- Cookie-Tagging: Verwende GTM, um jedem Cookie-Skript Tags hinzuzufügen. Dadurch können Cookies je nach Zustimmung des Nutzers aktiviert oder deaktiviert werden.
- GTM-Update: Aktualisieren Sie GTM, damit es Cookie-Tags nur nach Zustimmung des Nutzers lädt.
- Anpassung der Tags: Verwenden Sie GTM, um die Tags an die Zustimmungsentscheidungen der Nutzer entsprechend anzupassen. Wenn ein Nutzer beispielsweise Werbe-Cookies ablehnt, sollte diese Tags nicht geladen werden.
- CMP-Integration: Integrieren Sie eine Plattform für die Verwaltung von Einwilligungen in Ihre Website. Dies ermöglicht es den Nutzern, ihre spezifische Zustimmung für jeden Cookie-Typ zu erteilen.
- Anpassen der Optionen: Konfigurieren Sie die CMP so, dass sie je nach Cookie-Kategorie verschiedene Optionen für die Zustimmung anbietet. Zum Beispiel können Nutzer sich dafür entscheiden, funktionale Cookies zu akzeptieren, aber Werbecookies abzulehnen.
- Transparente Erklärung: Die CMP sollte eindeutige und verständliche Informationen über die Arten von Cookies, ihre Ziele und die beteiligten Dritten bieten. Dies wird den Nutzern helfen, informierte Entscheidungen zu treffen.
- Aktives Opt-in: Richten Sie die CMP so ein, dass Cookies nur dann aktiviert werden, wenn der Nutzer eine aktive Zustimmung gegeben hat. Die Checkboxen dürfen nicht vorab angekreuzt werden.
- Option zum Zurückziehen der Zustimmung: Achten Sie darauf, dass die CMP den Nutzern die Möglichkeit bietet, ihre Zustimmung jederzeit zu widerrufen und ihre Cookie-Einstellungen zu ändern.
Sie werden auch Ihre Cookie-Richtlinie aktualisieren müssen, um detaillierte Informationen über die Arten der verwendeten Cookies, ihren Einsatzzweck, die gesammelten Daten und die Möglichkeiten der Nutzer, ihre Präferenzen zu verwalten, aufzunehmen.
Sie müssen auch Nachweise für die über die CMP eingeholte Zustimmung aufbewahren, inklusive Datum, Uhrzeit und Nutzerwahlen. Dies wird Ihnen dabei helfen, die Einhaltung der Bestimmungen im Notfall nachzuweisen.
Durch die Implementierung dieser Schritte und die Verwendung von Tools wie Google Tag Manager und einer Plattform für die Verwaltung von Zustimmungen werden Sie in der Position sein, Ihre Cookies in einer Weise zu verwalten, die dem neuen Datenschutzgesetz in der Schweiz entspricht. Dies wird zur Stärkung des Vertrauens der Nutzer in Ihre Praktiken im Umgang mit personenbezogenen Daten führen.
Sie können gerne mit uns Kontakt aufnehmen, um Ihre Website und ihren Tracking-Plan mit dem nDSG in Einklang zu bringen. Dies wird auch die Gelegenheit sein, auf Google Analytics 4 zu wechseln, falls Sie dies noch nicht gemacht haben!