Am 1. September 2023 ist das neue Bundesgesetz über den Datenschutz (nDSG) in Kraft getreten und hat das veraltete DSG von 1992 vollständig abgelöst. Für zehntausende Schweizer KMU bedeutet das konkrete neue Pflichten — rund um Cookies, Datenschutzerklärungen und den Umgang mit Datenpannen. Dieser Leitfaden erklärt, was sich geändert hat und wie Sie jetzt handeln können.
Was ist das nDSG?
Das nDSG (offizieller Gesetzestext auf fedlex.admin.ch) ist die Totalrevision des Schweizer Datenschutzrechts. Es orientiert sich an der europäischen DSGVO, weist jedoch wichtige schweizerische Besonderheiten auf.
Wesentliche Merkmale:
- Es schützt ausschliesslich natürliche Personen — juristische Personen sind, anders als in der EU, nicht erfasst
- Aufsichtsbehörde ist der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB)
- Es gilt für jedes Unternehmen, das Personendaten von in der Schweiz wohnhaften Personen bearbeitet — unabhängig von der Unternehmensgrösse
Wichtige Pflichten für KMU
Die fünf zentralen Anforderungen, die Sie jetzt umsetzen müssen:
-
Transparenz und Datenschutzerklärung — informieren Sie Ihre Nutzer klar und verständlich darüber, welche Daten Sie erheben, zu welchem Zweck, mit wem Sie sie teilen und wie lange Sie sie aufbewahren. Die Sprache muss allgemein verständlich sein.
-
Einwilligung für nicht notwendige Cookies — bevor Sie Analyse-, Werbe- oder Tracking-Cookies setzen, benötigen Sie eine freiwillige, informierte, spezifische und unmissverständliche Einwilligung. Ein simples "Durch Weitersurfen stimmen Sie zu" genügt nicht mehr.
-
Meldung von Datenpannen — bei Datenlecks oder unbefugtem Zugriff auf Personendaten müssen Sie den EDÖB unverzüglich benachrichtigen. Als Best Practice gilt — analog zur DSGVO — eine Frist von 72 Stunden.
-
Verarbeitungsverzeichnis (Art. 12 nDSG) — obligatorisch für Unternehmen ab 250 Mitarbeitenden oder bei risikoreichen Bearbeitungen. Auch unterhalb dieser Schwelle ist ein Verzeichnis empfehlenswert und zeugt von ernsthafter Compliance.
-
Datenschutz-Folgenabschätzung (DSFA) — erforderlich bei Bearbeitungen, die ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen darstellen können (z.B. umfangreiches Profiling, biometrische Daten, Gesundheitsdaten).
Unterschiede zur europäischen DSGVO
nDSG und DSGVO teilen dieselben Grundprinzipien, unterscheiden sich aber in wichtigen Punkten:
| Aspekt | nDSG (Schweiz) | DSGVO (EU) |
|---|---|---|
| Geltungsbereich | Nur natürliche Personen | Natürliche und juristische Personen |
| Bussen | Bis CHF 250 000 (verantwortliche Privatperson) | Bis 20 Mio. € oder 4% des weltweiten Umsatzes |
| EU-Vertreter | Nicht erforderlich für Schweizer Unternehmen | Erforderlich bei EU-Kunden |
| Datenschutzbeauftragter | Empfohlen, nicht obligatorisch | In bestimmten Fällen obligatorisch |
Haben Sie Kunden in der EU, müssen Sie zusätzlich die DSGVO einhalten. Beide Gesetze können gleichzeitig gelten.
Konkrete Schritte zur Compliance
Ein pragmatischer Aktionsplan für KMU:
- Website-Audit durchführen — identifizieren Sie alle aktiven Cookies und Tracker (Google Analytics, Meta Pixel usw.) mit einem automatisierten Scanner
- Rechtskonformes Consent-Banner implementieren — Ablehnen muss genauso einfach sein wie Zustimmen; Drittskripte müssen bis zur Einwilligung blockiert werden
- Datenschutzerklärung erstellen oder aktualisieren — alle Datenbearbeitungen inklusive Drittanbieter-Cookies müssen aufgeführt sein
- Verarbeitungsverzeichnis anlegen — auch in vereinfachter Form zeigt es bei einer Prüfung durch den EDÖB Ihren ernsthaften Umgang mit dem Datenschutz
- Meldeverfahren festlegen — definieren Sie intern, wer bei einer Datenpanne zuständig ist und in welcher Frist gehandelt wird
Machen Sie den ersten Schritt zur Compliance und analysieren Sie Ihre Website kostenlos. PrivaGuard erkennt alle aktiven Cookies und Tracker, klassifiziert sie nach Kategorie und zeigt Ihnen genau, was gemäss nDSG nicht konform ist.