Warenkorb

keine Produkte im Warenkorb

Neues Datenschutzgesetz der Schweiz nDSG 2023

Neues Datenschutzgesetz der Schweiz (nDSG) – Was ist seit dem 1.09.2023 extrem wichtig?

Das neue Datenschutzgesetz (nDSG) und die dazugehörigen Verordnungen sind am 1. September 2023 in der Schweiz in Kraft getreten. Die Gesetzesänderung passt den Datenschutz an die heutige Technologie und Gesellschaft an. Die Menschen sollen besser verstehen und kontrollieren können, wie ihre Daten verwendet werden. Dies ist auch längst überfällig, wenn man bedenkt, dass das alte Datenschutzgesetz noch aus dem Jahr 1992 stammte. Google wurde 1998 gegründet und Facebook (Meta) ging 2004 online. Spätestens damit begann die Datensammlung 🐙 im grossen Stil. Die DSGVO ist ebenfalls seit Mai 2018 in Kraft und die Schweiz hat nun nachgezogen, allerdings mit einem wesentlichen Unterschied bei den Strafen.

Warum IT-Sicherheit dadurch noch wichtiger wird und viele erst jetzt reagieren, werde ich gleich erläutern.

Warum brauchte es ein neues Gesetz?

Das neue Datenschutzgesetz der Schweiz hat zwei Hauptziele:

  • Es aktualisiert die Regeln, um sie an heutige Technologien wie Cloud, soziale Medien, KI, Big Data und IoT anzupassen. Dadurch sollen die Menschen mehr Kontrolle über ihre eigenen Daten bekommen.
  • Es sorgt dafür, dass der Datenschutz in der Schweiz auf das Niveau der EU angehoben wird. Dies ist wichtig, damit der Datenaustausch zwischen der Schweiz 🇨🇭 und der EU 🇪🇺 weiterhin problemlos möglich ist. Das Gesetz berücksichtigt auch EU-Regelungen und internationale Datenschutzvereinbarungen.

Personendaten? Mich betrifft es nicht!

Es betrifft jeden, welche mit Personendaten zu tun hat. Sowohl bei der Arbeit als auch in einem Verein oder im Privatleben (ausgenommen Freunde und Familie). Sobald Informationen, die sich direkt oder indirekt auf eine bestimmte natürliche Person beziehen, gelten diese als personenbezogene Daten. Dazu gehören nicht nur Name und Adresse, sondern auch Dinge wie die IP-Adresse oder E-Mail-Adresse. Werden solche Daten erhoben, gespeichert, genutzt, verändert oder gelöscht, spricht man von einer Verarbeitung und das aktualisierte Datenschutzgesetz findet Anwendung.

Privacy by Design und Privacy by Default

Privacy by Default“ und „Privacy by Design“ bedeuten, dass Unternehmen Datenschutz von Anfang an in ihre Technologie und Einstellungen einbauen müssen. Das heisst, bei der Entwicklung von Apps oder Websites müssen die Datenschutzregeln schon in der Planungsphase berücksichtigt werden. Ausserdem sollten die Standardeinstellungen immer die datenschutzfreundlichste Option sein. Zum Beispiel, wenn eine Website einen Mitgliederbereich hat, sollte der Name des Benutzers in der Standardeinstellung nicht sichtbar sein.

Datensammeln auf das Nötigste minimieren

Wenn man etwas neu aufbaut (Privacy by Default), ist es natürlich einfacher, dies zu berücksichtigen, im Nachhinein ist es immer etwas aufwendiger. Es ist wichtig, dass Daten nur für den Zweck genutzt werden, für den sie ursprünglich gesammelt wurden. Man darf sie nur für andere Dinge verwenden, wenn es einen stichhaltigen Grund gibt, wie einen Vertrag zu erfüllen, oder wenn die betroffene Person ausdrücklich zustimmt.

Werden die Daten für den ursprünglichen Zweck nicht mehr benötigt, sind sie unverzüglich zu löschen oder unkenntlich zu machen.

Cookies 🍪

Die nervige Sache mit den Cookies und den damit verbundenen Cookie-Bannern.

Cookies sind kleine Textdateien, die von Websites auf dem Computer oder Mobilgerät des Nutzers gespeichert werden. Sie werden oft verwendet, um die Benutzererfahrung zu verbessern, indem sie Einstellungen speichern oder das Nutzerverhalten verfolgen. Im neuen Datenschutzgesetz sind Cookies relevant, weil sie oft personenbezogene Daten sammeln. Das Gesetz verlangt daher, dass die Nutzer klar und deutlich darüber informiert werden, welche Cookies verwendet werden und wofür. Zudem müssen die Nutzer ihre Zustimmung geben, bevor Cookies gesetzt werden dürfen. Die Standardeinstellungen, welche im Cookie-Banner zu sehen sind müssen datenschutzfreundlich sein. Das bedeutet, dass nur absolut notwendige Cookies automatisch aktiviert werden sollten.

Eine Website ohne Cookies zu betreiben, die Nutzerdaten sammeln, ist jedoch nicht mehr schwierig. Dank der DSGVO gibt es verschiedene neue Tools, die als Alternative zur Verfügung stehen und die den Datenschutz ernst nehmen. Unsere Website verwendet keine Cookies.

Datenschutzerklärung

Die Datenschutzerklärung ist ein essenzielles Dokument, das auf jeder Unternehmenswebsite vorhanden sein sollte. Sie informiert Besucher und Kunden darüber, welche personenbezogenen Daten erfasst werden, wie diese Daten verwendet und gespeichert werden und welche Rechte die Betroffenen in Bezug auf ihre Daten haben. Zudem ist eine klare und verständliche Datenschutzerklärung nicht nur eine gute Geschäftspraxis, sondern auch gesetzlich vorgeschrieben, insbesondere im Licht der neuen Datenschutzgesetze. Sie sollte regelmässig aktualisiert werden, um neuen gesetzlichen Anforderungen oder Änderungen in den Datenverarbeitungspraktiken Rechnung zu tragen.

Das Recht über seine Daten

Jede Person hat ein Auskunftsrecht über die gespeicherten Daten. Diese Auskunft muss in der Regel innerhalb von 30 Tagen und ohne Kosten für die betreffende Person erteilt werden. Personen haben das Recht, fehlerhafte Daten korrigieren zu lassen oder die Löschung von Daten zu verlangen. Diese Rechte gelten jedoch nicht absolut und unterliegen Einschränkungen, wie z.B. der Aufbewahrungspflicht.

IT-Security

Kommen wir nun zum eigentlichen Thema dieses Artikels, wie man Daten schützt. Wie man sieht, gibt es verschiedene Stellen in einem Unternehmen, an denen Daten gesammelt und somit auch gespeichert werden. Alles was irgendwo gespeichert ist, kann gestohlen, verschlüsselt, verändert oder gelöscht werden. Mit den nötigen technischen Mitteln hat man nun die Möglichkeit unerwünschte Veränderungen zu verhindern.

Die Einführung des neuen Datenschutzgesetzes (nDSG) in der Schweiz hat die Bedeutung der IT-Sicherheit in Unternehmen, insbesondere in kleinen und mittleren Unternehmen (KMU), deutlich erhöht. Obwohl IT-Sicherheit schon immer ein kritischer Faktor war, hat das nDSG die Dringlichkeit dieses Themas noch verstärkt. Seit dem Inkrafttreten des Gesetzes am 1. September 2023 haben wir eine signifikante Zunahme an Anfragen von KMUs erhalten, die ihre IT-Sicherheitsmassnahmen verstärken möchten.

Es soll sich jemand anders darum kümmern

Viele Anfragen, welche wir erhalten haben, zielten auf den Managed Detection and Response (MDR) Service ab.Unternehmen wollen Verantwortung abgeben und erkennen, dass IT-Sicherheit nicht einfach mit der Installation einer Firewall und dem bereits vorhandenen Windows Defender erledigt ist.

Somit liegt es auf der Hand diese Aufgabe an externen Dienstleister abgeben, welcher sich Vollzeit mit dem Thema befassen und Threat-Hunting beschäftigt, welche nichts anders tun und sich in der Szene extrem gut auskennen. Das ist eine kluge Entscheidung, denn MDR bietet eine proaktive Überwachung und Reaktion auf Sicherheitsvorfälle, was im Einklang mit den Anforderungen des nDSG steht. Wenn man nun weitere Systeme im Unternehmen hat, kann man auch diese Telemetriedaten von Drittanbietern an Sophos senden. Das bedeutet, dass auch diese Daten für eine umfassende Sicherheitsanalyse berücksichtigt werden können.

Trotzdem hört man immer wieder von Leuten, die meinen, man könne das auch selbst und unterschätzen die Tragweite dieses Themas. Hier kann ich diesen Artikel mit den Videos empfehlen und man wird seine Meinung schnell ändern: The Ransomware Documentary

Ich spreche hier in erster Linie vom Endpoint, aber das Gleiche gilt natürlich auch für die Firewall. Konfiguration, Wartung, Audit und Pentest sollten von geschultem Personal durchgeführt werden oder, falls nicht vorhanden, an einen externen Dienstleister wie uns ausgelagert werden.

Security Audit – Immer wieder testen

Während die meisten Menschen regelmässige Inspektionen und Wartungen für ihre Autos als selbstverständlich ansehen, da vom Gesetz vorgeschrieben, wird die IT-Sicherheit oft vernachlässigt. Dabei ist es gerade in der heutigen Zeit, in der die Bedrohungslandschaft ständig wächst und sich verändert, unerlässlich, die IT-Systeme immer wieder auf den Prüfstand zu stellen.

Ein wichtiger Schritt in Richtung einer robusten IT-Sicherheit sind regelmässige Audits und Pentests. Während Audits die Einhaltung von Sicherheitsrichtlinien überprüfen, simulieren Pentests Cyberangriffe, um Schwachstellen im System zu identifizieren. Beide Methoden sind wichtig, um sicherzustellen, dass die Sicherheitsmassnahmen den aktuellen Anforderungen entsprechen.

Ein paar Cybersecurity Best Practices

In unserem kürzlich veröffentlichten Blogpost „Sophos Empfehlungen – Cybersecurity Best Practices“ haben wir mehrere Punkte hervorgehoben, die für die IT-Sicherheit wichtig sind. Viele dieser Punkte könnten unter die Kategorie „Fahrlässigkeit“ fallen, wenn sie nicht beachtet werden, insbesondere im Licht des neuen nDSG.

Meldepflicht

Der EDÖB steht für den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten in der Schweiz. Er ist eine unabhängige Behörde, die den Datenschutz auf Bundesebene überwacht und durchsetzt. Im neuen Datenschutzgesetz (nDSG) spielt der EDÖB eine wichtige Rolle, da er für die Überwachung der Einhaltung des Gesetzes verantwortlich ist. Bei Datenschutzverletzungen, die ein hohes Risiko für die betroffenen Personen darstellen, müssen diese dem EDÖB gemeldet werden. Er kann auch Anweisungen geben und Sanktionen verhängen, wenn Datenschutzbestimmungen nicht eingehalten werden.

Nationales Zentrum für Cybersicherheit (NCSC) Vorfall melden
report.ncsc.admin.ch

Im Rahmen des nDSG müssen Cyberangriffe, die zu einer Verletzung der Datensicherheit führen, dem EDÖB gemeldet werden. Dies ist insbesondere dann der Fall, wenn der Angriff ein hohes Risiko für die Persönlichkeitsrechte oder Grundrechte der betroffenen Personen darstellt.

Eine Verletzung der Datensicherheit liegt vor, wenn Personendaten unbeabsichtigt oder unrechtmässig verloren gehen, gelöscht, vernichtet, verändert oder unbefugten Personen zugänglich gemacht werden. Dies ist dem EDÖB unverzüglich zu melden. Die Meldung muss so schnell wie möglich erfolgen, in der Regel innerhalb von 72 Stunden nach Bekanntwerden des Angriffs. Der EDÖB ist die zuständige Behörde für die Entgegennahme solcher Meldungen und die weitere Überwachung der Situation. Der Vorfall muss aber auch dem NCSC gemeldet werden: Vorfall dem Nationalen Zentrum für Cybersicherheit (NCSC) melden

Ein solches Szenario sollte im Vorfeld durchdacht werden und nicht erst dann, wenn der Ernstfall eintritt.

Strafbarkeit

Bei vorsätzlichen Verstössen gegen das nDSG wie Verletzung von Informations-, Auskunfts-, Mitwirkungs- oder Sorgfaltspflichten können Privatpersonen mit Bussen bis 250’000 CHF bestraft werden. Bei Widerhandlungen in Geschäftsbetrieben können die Unternehmen mit einer Busse bis CHF 50’000 bestraft werden, wenn die Ermittlung der fehlbaren Personen mit unverhältnismässigem Aufwand verbunden wäre – und eine Busse für diese von höchstens CHF 50’000 in Betracht fallen würde. 

Hier liegt auch der wesentliche Unterschied zur DSGVO. In Bezug auf die Strafbarkeit ist insbesondere zu berücksichtigen, dass ab dem 1. September 2023 die Verletzung gewisser Pflichten eine Strafbarkeit begründet, nicht das Unternehmen trifft, sondern die dafür verantwortliche natürliche Person. Die verantwortlichen Personen können sowohl Mitglieder der Geschäftsleitung als auch andere entscheidungsbefugte Personen im Unternehmen oder aber auch diejenigen Personen sein, welche eine Pflichtverletzung (z. B. Verletzung der Geheimhaltung) begangen haben. Im Schweizer Recht ist jedoch nur die bewusste Begehung strafbar.

Eine Geldstrafe von bis zu 250.000 CHF kann in der Schweiz für verschiedene Datenschutzvergehen verhängt werden, darunter:

  • Mangelnde Transparenz oder fehlende Datenschutzerklärung
  • Fehlende vertragliche Vereinbarungen mit Datenverarbeitern
  • Versäumnisse in der Datensicherheit wie unzureichende technische und organisatorische Massnahmen (TOMs)
  • Übermittlung von persönlichen Daten in Länder ohne ausreichenden Datenschutz, ohne zusätzliche Sicherheitsvorkehrungen oder ohne gültige Ausnahme, wie zum Beispiel eine Einwilligung
  • Nichterfüllung der Pflicht zur Auskunftserteilung
  • Missachtung des sogenannten „kleinen Berufsgeheimnisses“

Das revidierte Datenschutzgesetz der Schweiz sieht auch strafrechtliche Konsequenzen für Einzelpersonen vor, die für solche Vergehen verantwortlich sind.

FAQ zum neuen nDSG

Was ist das neue Datenschutzgesetz Schweiz?

Es ist eine Überarbeitung des Datenschutzgesetzes von 1992, das am 1. September 2023 in Kraft getreten ist, um den Datenschutz in der Schweiz zu stärken und an die EU-Datenschutz-Grundverordnung anzupassen.

Was sind die Strafen für Verstösse gegen das nDSG?

Die Strafen können bis zu 250.000 CHF betragen, wobei auch strafrechtliche Sanktionen gegen Einzelpersonen möglich sind.

Was bedeutet „Privacy by Design“?

Es ist ein Prinzip, bei dem Datenschutz und Datensicherheit von Anfang an in die Planung und Entwicklung von Projekten integriert werden.

Müssen Unternehmen die Nutzer über die Verarbeitung ihrer Daten informieren?

Ja, Unternehmen müssen ihre Nutzer klar und deutlich darüber informieren, welche Daten zu welchem Zweck erhoben werden.

Gilt das nDSG auch für Unternehmen ausserhalb der Schweiz?

Ja, das Gesetz hat einen grenzüberschreitenden Geltungsbereich und gilt für jede Website, die personenbezogene Daten von Personen in der Schweiz bearbeitet, unabhängig von deren Standort.

Welche Anforderungen stellt das neue nDSG an die Einwilligung?

Die Einwilligung muss spezifisch, in Kenntnis der Sachlage und freiwillig erfolgen, wobei die Nutzer die Möglichkeit haben sollten, ihre Einwilligung für verschiedene Kategorien von Cookies zu geben.

Wer ist vom neuen Datenschutzgesetz betroffen?

Jeder, der mit personenbezogenen Daten arbeitet, ist von dem Gesetz betroffen. Dies gilt für Unternehmen, Vereine, aber auch für Privatpersonen, sofern die Nutzung der Daten über den privaten Bereich wie Familie und Freunde hinausgeht.

Disclaimer ⚖️

Bitte beachten Sie, dass dieser Blogpost nur eine kurze Zusammenfassung von Aspekten des neuen Datenschutzgesetzes darstellt, die uns als wichtig erscheinen. Wir sind keine Rechtsexperten oder Anwälte. Für eine umfassende rechtliche Beratung sollten Sie sich an einen qualifizierten Anwalt wenden, um sicherzustellen, dass Sie alle gesetzlichen Anforderungen erfüllen. Unsere Hauptquelle war hier Admin.ch :: Pressemitteilung :: Neues Datenschutzrecht ab 1. September 2023

Patrizio
Patrizio

Newsletter abonnieren

Wir versenden monatlich einen Newsletter mit allen Blogbeiträgen des jeweiligen Monats.