Beratung bei Datenschutz-Fragen

Datenschutz für deine Web-Applikationen

Mit der Überarbeitung des Schweizer Datenschutzgesetztes (nDSG) sind am 1. September 2023 neue Regeln für deine Webapplikation in Kraft getreten. Doch was regelt das nDSG überhaupt?

Das neue Datenschutzgesetz der Schweiz (nDSG)

Ziel des neuen Datenschutzgesetzes ist es, den Datenschutz an die veränderten technologischen und gesellschaftlichen Verhältnisse anzupassen. Folglich bedeutet das für die Unternehmen eine Erhöhung der Compliance-Anforderungen sowie eine Verschärfung der Strafbestimmungen. 

Bei den Compliance-Anforderungen werden die Informations- und Auskunftspflichten, die Dokumentationsanforderungen, die Datensicherheitsvorschriften sowie die Meldepflicht von Datensicherheitsverletzungen ausgedehnt und verschärft.

Als Verschärfung der Strafbestimmung bedeutet dies, dass höhere Bussen gesprochen werden (bis CHF 250'000.00), die persönliche Haftung in den Vordergrund tritt sowie das Verwaltungsverfahren infolge der Stärkung der Kompetenzen der Aufsichtsbehörde mit Kostenfolgen eintreten können.

Das neue Datenschutzgesetz der Schweiz richtet sich an alle Unternehmen, bei welchen die Kunden in der Schweiz ansässig sind. Das bedeutet, dass das DSG sich nicht nach dem Unternehmensstandort richtet, sondern sich an dessen Kundendaten orientiert.

Persönlich beraten lassen

Was bedeutet das für meine Webapplikation?

Daten-Prozesse sollten dokumentiert werden und das Führen eines Datenbearbeitungsverzeichnisses ist bei mehr als 250 Mitarbeitenden oder bei besonders schützenswerten Personendaten Pflicht.
Wie werden deine Daten beschafft und verarbeitet? Eine aktuelle Datenschutzerklärung ist zwingend auszuweisen. 
Technische und organisatorische Massnahmen müssen getroffen werden und wir empfehlen dein IT-Reglement zu überprüfen, um die Datensicherheit deiner Mitarbeitenden und Kunden zu gewährleisten.
Gibst du Daten an 3. Personen/Institutionen weiter, empfehlen wir einen Auftragsverarbeitungsvertrag (AVV) abzuschliessen.
Dokumentiere bei künftigen Projekten das Vorhaben und Massnahmen bezüglich der Datenverarbeitung. Eine entsprechende Datenschutzfolgeabschätzung ist zwingend zu erstellen.
Personen können auf Anfrage Auskunft über Folgendes verlangen: Auskunftsbegehren, Datenkorrektur, menschliches Gehör bei automatisierter Einzelfallentscheidung, Löschkonzept
Werden Personendaten in anderen Ländern direkt oder indirekt bearbeitet? Beispielsweise Google Dienste? Der Datenschutz dieser Länder muss überprüft und eingehalten werden.
Gibt es einen Meldeprozess an das Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) und andere Betroffene im Falle einer Datenlücke?
Einstellungen zum Datenschutz sind standardmässig auf das Minimum der benötigten Informationen vorzunehmen.
Sämtliche anvertrauten Daten müssen geheim bleiben.
Kunden müssen über jede Datenverarbeitung informiert werden.
Gesetzlich ist kein Datenschutzbeauftragter vorgeschrieben. Es werden aber immer Personen bestraft und nicht das Unternehmen selbst.