Das revidierte Schweizer Datenschutzgesetz (revDSG) ist seit September 2023 in Kraft und bringt erhebliche Pflichten für Online-Händler. Es orientiert sich an der EU-DSGVO, hat aber eigenständige Regelungen, die speziell für den Schweizer Markt gelten. Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) überwacht die Einhaltung und kann Untersuchungen einleiten.
Kernpflichten
Online-Händler müssen eine transparente Datenschutzerklärung bereitstellen, die über Art, Umfang und Zweck der Datenbearbeitung informiert. Bei Datenbearbeitungen mit hohem Risiko ist eine Datenschutz-Folgenabschätzung (DSFA) erforderlich. Datenschutzverletzungen müssen dem EDÖB so rasch wie möglich gemeldet werden. Jeder Online-Shop braucht zudem ein Cookie-Banner, das über den Einsatz von Tracking-Technologien informiert.
Informationspflicht bei Datenerhebung
Bei jeder Erhebung von Personendaten muss die betroffene Person informiert werden. Für E-Commerce bedeutet das: Bei der Bestellung, Newsletter-Anmeldung, Kontaktformularen und Kundenkonto-Erstellung muss klar kommuniziert werden, welche Daten erhoben werden und zu welchem Zweck. Die Datenschutzerklärung muss mindestens in Deutsch und Französisch verfügbar sein, um die Schweizer Sprachregionen abzudecken.
Verzeichnis der Bearbeitungstätigkeiten
Unternehmen mit mehr als 250 Mitarbeitenden müssen ein Verzeichnis ihrer Datenbearbeitungstätigkeiten führen. Kleinere Unternehmen sind davon befreit, sofern keine besonders schützenswerten Daten in grossem Umfang bearbeitet werden. Für E-Commerce-Unternehmen empfiehlt sich die Führung eines solchen Verzeichnisses dennoch, da Kundendaten, Zahlungsinformationen und Bestellhistorien systematisch verarbeitet werden.
Internationaler Datentransfer
Bei der Übermittlung von Personendaten ins Ausland muss ein angemessenes Datenschutzniveau gewährleistet sein. Der Bundesrat veröffentlicht eine Staatenliste mit angemessenem Datenschutzniveau. Für andere Länder sind Standardvertragsklauseln oder verbindliche Unternehmensregeln erforderlich. Wer Cloud-Dienste wie AWS, Google Cloud oder Azure nutzt, muss sicherstellen, dass die Datenverarbeitung den Schweizer Anforderungen entspricht.
Unterschiede zur EU-DSGVO
Anders als die DSGVO kennt das Schweizer DSG keine Einwilligungspflicht für alle Cookies – nur für nicht-notwendige Tracking-Cookies ist eine Einwilligung erforderlich. Auch gibt es keinen Datenschutzbeauftragten als Pflicht, wohl aber die Empfehlung, einen solchen zu benennen.
Strafen und Durchsetzung
Im Gegensatz zur DSGVO werden in der Schweiz natürliche Personen (verantwortliche Mitarbeitende) mit Bussen bis CHF 250'000 bestraft. Es gibt kein Bussenmodell basierend auf dem Umsatz. Der EDÖB kann Untersuchungen einleiten und Verfügungen erlassen. Zunapro unterstützt Online-Händler bei der vollständigen DSG-Compliance, von der Datenschutzerklärung über Cookie-Management bis zur Implementierung technischer und organisatorischer Massnahmen.
