Datenschutzgesetz: Wie du Strafen von bis zu 250 000 Franken vermeidest

Am 1. September 2023 ist es so weit: Das neue Datenschutzgesetz der Schweiz tritt in Kraft. Das ist längst überfällig: Denn das aktuelle Bundesgesetz über den Datenschutz stammt in seinen Grundzügen aus dem Jahr 1992, gilt als veraltet und ist vor allem durchsetzungsschwach. Inwiefern du vom neuen Gesetz betroffen bist und wie du Strafen von bis zu 250 000 Franken vermeiden kannst, erfährst du hier. 

Für dich wichtig: Das neue Datenschutzgesetz gilt nicht nur für Bundesorgane und Unternehmen, die private Daten verarbeiten. Betroffen sind auch Privatpersonen wie du und ich sowie Vereine. 

Doch was wird überhaupt geschützt? Die kurze Antwort: Personendaten. Das bedeutet konkret: sämtliche Informationen, die sich auf eine bestimmte oder eine bestimmbare Person beziehen. Personendaten sind also beispielsweise dein Name, deine E-Mail-Adresse oder dein Geburtsdatum.   

Was du nun tun musst 

Falls du keine Personendaten verarbeitest, kannst du dich zurücklehnen und deine neu gewonnenen Rechte geniessen. Doch Obacht! Vielleicht ist dir gar nicht bewusst, dass du Personendaten verarbeitest. Denn im juristischen Sinne tust du das auch in folgenden Beispielen:

• Du hast zwar keine Website, besitzt aber einen kleinen Dönerladen. Die Adressen und Telefonnummern schreibst du dir bei Bestellungen in ein Notizbuch.
• Dir gehört ein privater Blog, auf dem du über deine Leidenschaft – das Vögel fotografieren – schreibst. Unter den Fotos schreiben Menschen Kommentare oder du sendest einmal pro Woche einen Newsletter.  
• Du managst für deinen Musikverein die Website. Auf der Website gibt es ein Kontaktformular, über das sich potenzielle Neumitglieder melden können.
  

In all diesen Beispielen verarbeitest du bewusst oder unbewusst Personendaten. Das bedeutet für dich: Du musst dich nun an folgende Pflichten halten.

• Informationspflichten: Wenn du personenbezogene Daten verarbeitest, musst du die betroffenen Personen darüber informieren. Und: Du brauchst jetzt zwingend eine Datenschutzerklärung. Was da reingehört, erfährst du weiter unten.
• Meldepflichten: Verlierst du die Daten, die du verarbeitest, oder werden diese gestohlen, musst du den Eidgenössischen Datenschutzbeauftragten (EDÖB) informieren.  
• Auskunftspflichten: Möchte jemand wissen, was du mit seinen Daten machst, oder wünscht sich, dass du diese löschst, musst du diesem Wunsch innerhalb von 30 Tagen nachkommen.  
• Informationspflichten: Du musst umfassende Aufzeichnungen über vorhandene personenbezogene Daten führen, einschliesslich Angaben zur Art und zum Zweck der Datenverarbeitung sowie den Empfängern dieser Daten.
• Erhöhte Priorität der Datensicherheit: Du musst personenbezogene Daten ausreichend schützen. 

Eine Datenschutzerklärung erstellen

Wenn du Personendaten sammelst (z.B. über Kontaktformulare, Kommentarfunktionen oder Chats), musst du deine Besucher nun darüber informieren. Dabei gibt es vier wichtige Punkte, die du ihnen in deiner Datenschutzerklärung mitteilen musst: 

• Warum du diese Personendaten überhaupt sammelst (also den Zweck der Datenerfassung). 
• Wer genau für die Datenerfassung verantwortlich ist und wie diese Person kontaktiert werden kann (Name und Kontaktinformationen der verantwortlichen Stelle oder Person). 
• Wenn du die Daten an jemanden weitergibst, musst du angeben, wer diese Empfänger sind. 
• Falls du die Daten ins Ausland weitergibst, musst du den Staat nennen, in dem sich die Empfänger befinden. 

Längst überfällig 

Endlich tritt ein neues Datenschutzgesetz in Kraft, das internationalen Standards entspricht. Wie du im konkreten Einzelfall ideal auf die neue Gesetzeslage reagierst, erklären dir Anwälte oder Rechtsberater sicherlich gerne. Unabhängig davon hast du nun alle Informationen, um deine neuen Rechte zu geniessen, und weisst grundlegend über deine Pflichten Bescheid.