Glossar

Was ist das Datenschutzgesetz?

Das revidierte Datenschutzgesetz (DSG), offiziell das totalrevidierte Bundesgesetz über den Datenschutz, ist am 1. September 2023 in Kraft getreten. Es ersetzt das bisherige Datenschutzgesetz von 1992 und bringt den Schweizer Datenschutz auf ein zeitgemässes Niveau — vergleichbar mit der europäischen DSGVO (Datenschutz-Grundverordnung), aber mit eigenständigen Schweizer Besonderheiten.

Das Datenschutzgesetz gilt für die Bearbeitung von Personendaten natürlicher Personen durch private Personen und Bundesorgane. Im Gegensatz zur alten Fassung schützt es keine juristischen Personen mehr — ein wichtiger Unterschied, der die Rechtslage im B2B-Bereich vereinfacht. Praktisch jedes Unternehmen in der Schweiz, das Kunden-, Mitarbeiter- oder Website-Besucherdaten verarbeitet, ist vom Datenschutzgesetz betroffen.

Die wichtigsten Neuerungen des Datenschutzgesetzes

Unternehmen müssen bei jeder Beschaffung von Personendaten die betroffenen Personen proaktiv informieren — über den Zweck der Datenbearbeitung, die Empfänger der Daten und bei Übermittlung ins Ausland über das Zielland und die Datenschutzgarantien. Das betrifft Kontaktformulare, Newsletter-Anmeldungen, Bestellprozesse, Tracking auf der Website und alle weiteren Kontaktpunkte. Eine umfassende und aktuelle Datenschutzerklärung auf der Website ist damit wichtiger denn je.

Neue Systeme und Prozesse müssen von Anfang an datenschutzfreundlich gestaltet sein (Privacy by Design). Voreinstellungen müssen die datenschutzfreundlichste Option sein (Privacy by Default). Das gilt ausdrücklich auch für Websites, Apps und KI-Anwendungen. In der Praxis bedeutet das: Tracking darf nicht standardmässig aktiv sein, Formulare sollten nur die nötigen Daten erfragen, und KI-Tools müssen datenschutzkonform konfiguriert werden.

Unternehmen mit 250 oder mehr Mitarbeitenden müssen ein Verzeichnis aller Datenbearbeitungstätigkeiten führen. Für kleinere Unternehmen gilt diese Pflicht nur, wenn sie besonders schützenswerte Personendaten in grossem Umfang bearbeiten oder Profiling mit hohem Risiko betreiben. Trotzdem empfiehlt es sich auch für KMU, ein solches Verzeichnis zu führen — es schafft Übersicht und hilft im Falle einer Anfrage durch den EDÖB.

Bei Datenbearbeitungen mit hohem Risiko für die Persönlichkeit der betroffenen Personen muss eine Datenschutz-Folgenabschätzung durchgeführt werden. Das betrifft insbesondere den Einsatz von KI-Systemen, die Personendaten verarbeiten — etwa KI-gestützte Kundensegmentierung, automatisierte Bewerbungssichtung oder prädiktive Analysen.

Verletzungen der Datensicherheit (Data Breaches) müssen dem EDÖB (Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter) «so rasch wie möglich» gemeldet werden, wenn sie voraussichtlich zu einem hohen Risiko für die betroffenen Personen führen. Auch die betroffenen Personen selbst müssen gegebenenfalls informiert werden.

Ein wesentlicher Unterschied zur DSGVO: Das Datenschutzgesetz bestraft natürliche Personen (z. B. Geschäftsführer, Datenschutzverantwortliche, Verwaltungsräte) persönlich mit Bussen bis zu CHF 250 000 — nicht das Unternehmen selbst. Das erhöht die persönliche Verantwortung der Führungskräfte erheblich.

Schweizer DSG vs. DSGVO — die wichtigsten Unterschiede

• Sanktionen: Datenschutzgesetz bestraft natürliche Personen (max. CHF 250 000), DSGVO bestraft Unternehmen (max. 4 % des Jahresumsatzes oder 20 Mio. EUR).
• Datenschutzbeauftragter: Im Datenschutzgesetz ist kein Datenschutzbeauftragter vorgeschrieben (aber empfohlen als «Datenschutzberater»). In der DSGVO ist er in vielen Fällen Pflicht.
• Einwilligung: Das Datenschutzgesetz erfordert eine ausdrückliche Einwilligung nur bei besonders schützenswerten Daten und Profiling mit hohem Risiko. Die DSGVO verlangt häufiger eine explizite Einwilligung.
• Meldepflicht: Datenschutzverletzungen müssen dem EDÖB «so rasch wie möglich» gemeldet werden (DSG), während die DSGVO eine konkrete 72-Stunden-Frist kennt.
• Nur natürliche Personen: Das Datenschutzgesetz schützt nur noch Daten natürlicher Personen, die DSGVO ebenfalls — aber das alte Schweizer DSG schützte auch juristische Personen.

Datenschutzgesetz und KI-Einsatz

Der Einsatz von Künstlicher Intelligenz stellt besondere Anforderungen an den Datenschutz unter dem Datenschutzgesetz:

• Transparenz: Betroffene müssen über automatisierte Einzelentscheidungen informiert werden und können verlangen, dass eine natürliche Person die Entscheidung überprüft.
• Profiling: Automatisiertes Profiling (z. B. Kundensegmentierung, Kreditwürdigkeitsprüfung durch KI) ist erlaubt, aber mit Informationspflichten verbunden. Bei Profiling mit hohem Risiko ist eine ausdrückliche Einwilligung erforderlich.
• Datenexport: Wenn KI-Daten an Anbieter ausserhalb der Schweiz übermittelt werden (z. B. OpenAI in den USA), müssen angemessene Datenschutzgarantien sichergestellt sein.
• Trainingsdaten: Wenn Unternehmensdaten zum Training von KI-Modellen verwendet werden, muss dies transparent kommuniziert werden.
• DSFA bei KI: Viele KI-Anwendungen erfordern eine Datenschutz-Folgenabschätzung, insbesondere wenn sie Personendaten verarbeiten.

Was Schweizer KMU jetzt tun sollten

Eine pragmatische Datenschutz-Checkliste für KMU:

• Datenschutzerklärung aktualisieren: Vollständig, aktuell und auf Ihrer Website gut auffindbar.
• Cookie-Banner prüfen: Transparente Information und Einwilligungsmöglichkeit für nicht-essentielle Tracking-Cookies.
• Verarbeitungsverzeichnis anlegen: Auch wenn nicht zwingend vorgeschrieben, schafft es Übersicht und Rechtssicherheit.
• Auftragsbearbeitungsverträge prüfen: Mit allen Dienstleistern, die Zugriff auf Personendaten haben.
• KI-Nutzung dokumentieren: Welche KI-Tools werden eingesetzt? Welche Daten werden übermittelt? An wen?
• Mitarbeitende sensibilisieren: Schulung zum Umgang mit Personendaten und KI-Tools.
• Notfallplan erstellen: Prozess für die Meldung von Datenschutzverletzungen definieren.

Gipfelwerk GmbH unterstützt Sie bei der datenschutzkonformen Gestaltung Ihrer Website, Ihres Webtrackings und Ihrer KI-Projekte — pragmatisch, verständlich und auf den Schweizer Kontext zugeschnitten.