Ab dem 1. September 2023 gilt in der Schweiz ein neues Datenschutzgesetz (DSG). Es stellt höhere Anforderungen an Websites, Unternehmen und Privatpersonen, die mit sensiblen Kundendaten hantieren. Dadurch soll der kontinuierlichen Zunahme von Datenlecks und Cyberangriffen entgegengewirkt werden.
Die Dringlichkeit dieses Vorhabens zeigt sich im jüngsten Cyberangriff auf das staatsnahe IT-Unternehmen Xplain. Wie kürzlich bekannt wurde, sind heikle Daten des Bundes an die Öffentlichkeit gelangt. Blick erklärt, was du über das neue Gesetz wissen musst und was sich für KMU und Privatpersonen ändert.
Wieso braucht die Schweiz ein neues DSG?
Der erste Grund dafür ist, dass das alte Datenschutzgesetz aus dem Jahr 1992 stammt. Seither ist die Welt durch Smartphones und soziale Medien näher zusammengerückt. Dies führte dazu, dass tagtäglich eine riesige Flut von Daten in die Schweiz gelangt oder die Schweiz verlässt. Diese Daten gilt es, angemessen zu sichern.
Weiter wollen natürlich auch ausländische Kunden ihre Daten in der Schweiz in Sicherheit wissen. Da die EU bereits ein härteres Datenschutzgesetz eingeführt hat, muss die Schweiz nun nachziehen. «Ein schwaches DSG wäre verheerend für die Schweizer Wirtschaft. Es würde dazu führen, dass andere Länder ihre Daten nicht mehr mit Schweizer Unternehmen teilen dürfen», sagt Markus Limacher, Chef der IT-Sicherheitsberatung bei Infoguard.
Wen betrifft das neue Datenschutzgesetz?
Grundsätzlich gilt es für alle. Es ist jedoch vor allem für Unternehmen von grosser Bedeutung. Denn sie haben täglich Umgang mit mehr oder weniger sensiblen Kundendaten. Diese sollen mit dem neuen DSG besser geschützt werden.
Neu müssen die Inhaber eines KMU dafür sorgen, dass keine persönlichen Daten entwendet oder missbraucht werden können. Grundsätzlich ist jede Person, die eine Website oder ein Geschäft betreibt, dazu verpflichtet, ihre Daten richtig zu schützen.
Was ändert das neue Datenschutzgesetz konkret?
Das neue DSG stellt erstmals Anforderungen an Websites, Geräte und IT-Systeme – sofern diese Kundendaten sammeln. Und das machen fast alle: Denn sobald man beispielsweise bei einer Online-Bestellung den Namen und die Adresse angeben muss, sammelt die Website Daten.
Mit dem neuen Datenschutzgesetz müssen diese Systeme von Anfang an so programmiert werden, dass Kundendaten sicher sind («Privacy by Design»). Gleichzeitig soll diese hohe Sicherheitsstufe schweizweit zum Standard werden («Privacy by Default»). Die Anforderungen an die Sicherheit von Websites, IT-Programmen und Geräten werden also grösser.
Mit diesen Massnahmen will man sicherstellen, dass man sich ohne grosse Angst um die eigenen Daten im Internet bewegen kann. Der Schutz der Privatsphäre wird sozusagen zur Voraussetzung für sämtliche Unternehmen und Websites.
Welche Daten muss ich schützen?
Grundsätzlich müssen alle personenbezogenen Daten geschützt werden. Das sind also Namen, Anschriften oder auch E-Mail-Adressen. Besonders geschützt werden müssen beispielsweise medizinische Daten oder auch sensible Informationen über die Religionszugehörigkeit einer Person.
Besser geschützt bedeutet in diesem Fall zum Beispiel eine Zwei-Faktor-Authentifizierung oder eine mehrstufige Verschlüsselung. Die Anforderungen ändern sich je nach Menge und Sensibilität der gespeicherten Daten.
Was muss ich als Privatperson wissen?
Sofern du keine eigene Website betreibst, ändert sich für dich als Privatperson nichts – ausser dass deine Privatsphäre besser geschützt wird. Wenn du eine Website betreibst oder sonst Umgang mit fremden Daten hast, musst du deren Sicherheit gewährleisten können. Wie das genau zu bewerkstelligen ist, sagen dir IT-Fachleute.
Dies ist deshalb so wichtig, weil mit dem verschärften DSG auch Privatpersonen bei Verfehlungen mit bis zu 250'000 Franken gebüsst werden können! Die Höhe der Busse hängt dabei vom Grad der Fahrlässigkeit und von der Menge der Daten ab, die ungenügend geschützt oder unsachlich bearbeitet wurden.
Was muss ich als Besitzer eines KMU wissen?
Grundsätzlich gelten für KMU die genau gleichen Regeln wie für Privatpersonen. Wer eine Website betreibt oder Umgang mit Kundendaten hat, ist verpflichtet, diese vertraulich zu behandeln und zu schützen. Auch hier helfen IT-Experten weiter.
Weiter ändert sich, dass der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (Edöb) mehr Kompetenzen erhält. Sollte ein Unternehmen Daten unsachgemäss behandeln, kann dieser neu direkt einschreiten und die Datenbearbeitungen mittels Verfügung aufschieben, einschränken oder verbieten. Je nach Unternehmen bedeutet das eine Einstellung sämtlicher Geschäftstätigkeiten.
Wann drohen Strafen?
Grundsätzlich ist strafbar, wenn Fahrlässigkeit im Umgang mit sensiblen Personendaten nachgewiesen werden kann. Das ist beispielsweise der Fall, wenn eine Website nicht genügend geschützt ist oder wenn sensible Daten ohne Erlaubnis an Drittpersonen weitergegeben werden.