17. November 2022

Die wichtigsten Fragen zum neuen Datenschutzgesetz (nDSG)

FAQ zum neuen Datenschutzgesetz (nDSG)

Fachbegriffe, soweit das Auge reicht? Wir bringen Licht ins Dunkel und erklären die wichtigsten Begriffe und beantworten Fragen rund um das neue Datenschutzgesetz (nDSG).

Welche Daten sind betroffen?

Im neuen Datenschutzgesetz (nDSG) geht es hauptsächlich um Personendaten. Das sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, zum Beispiel Lohndaten, Name, Adresse, Geburtsdatum, IP-Adresse. Daten sind dann anonymisiert, wenn sie mit einem angemessenen Aufwand einer Person nicht mehr zugeordnet werden können. Bei anonymisierten Daten handelt es sich nicht mehr um Personendaten.

Was ist mit “besonders schützenswerten Daten” gemeint?
  • Daten über religiöse, weltanschauliche, politische oder gewerkschaftliche Ansichten oder Tätigkeiten
  • Daten über die Gesundheit, die Intimsphäre oder die Zugehörigkeit zu einer Rasse oder Ethnie
  • Genetische Daten
  • Biometrische Daten
  • Daten über verwaltungs- und strafrechtliche Verfolgungen oder Sanktionen
  • Daten über Massnahmen der sozialen Hilfe
Was ist mit “Gesundheitsdaten” gemeint?
  • Medizinische Befunde, d.h. Informationen, die Rückschlüsse auf den geistigen oder körperlichen Gesundheitszustand erlauben.
Benötige ich noch einen Cookie-Banner?

Ja. Obwohl ich in der Schweiz ohne die Einwilligung der Betroffenen Daten sammeln darf, habe ich eine Informationspflicht gegenüber den Webseitenbesuchern. Der Cookie-Banner informiert zuverlässig über das Sammeln der Daten und erfüllt somit die gesetzlichen Vorgaben des nDSG.

Welches ist der heikelste Punkt des nDSG?

Aus unserer Sicht ist dies die Datenübermittlung ins Ausland. Diese ist nur erlaubt, wenn ein angemessenes Datenschutzniveau im Empfängerland besteht oder geeignete Garantien zwischen den übermittelnden Einrichtungen bestehen. Für Datenexporte in unsichere Länder werden sogenannte Standardvertragsklauseln im revidierten DSG akzeptiert. Die aktuelle Liste aller Staaten finden Sie hier.

Wann sind Datenübermittlungen ins Ausland erlaubt?
  • Grundsätzlich sind Datenübermittlungen ins Ausland nur erlaubt, wenn ein angemessenes Datenschutzniveau eingehalten wird oder geeignete Garantien zwischen den übermittelnden Einrichtungen bestehen.
  • Für Datenexporte in unsichere Länder werden sog. Standardvertragsklauseln im revidierten DSG akzeptiert.
Wie problematisch ist die Verwendung von Google Analytics?

Google Analytics ist nicht problematisch, weil die IP-Adressen anonymisiert werden. Somit fallen die Daten unter Sach- und nicht mehr unter Personendaten. Die Verarbeitung von Daten in den USA ist dann ein Problem, wenn es sich um (nicht anonymisierte) Personendaten handelt. In der Datenschutzerklärung sollten Sie aber auf jeden Fall darüber informieren.

Wir verwenden auf unserer Webseite Google Fonts, resp. einen Formulardienst von Mailchimp, was muss ich tun?

In allen Situationen, in denen ein Service von einem Drittanbieter eingebunden wird, braucht es eine Abklärung, was dort genau geschieht. Findet durch den Anbieter eine Bearbeitung von personenbezogenen Daten statt oder werden diese vorher anonymisiert? Falls personenbezogene (nicht anonymisierte) Daten übermittelt werden, gehen Sie wie folgt vor:

  • Besteht ein Auftragsdatenbearbeitungsvertrag (AVV) mit dem Anbieter? Falls nicht, muss einer abgeschlossen werden.
  • Klären Sie ab, wo die personenbezogenen Daten gespeichert werden. Gibt es eine Übertragung in unsichere Drittstaaten? Bei jeder Übertragung in einen Drittstaat, muss abgeklärt werden, ob diese Übertragung zulässig ist. Dazu muss abgeklärt werden, ob der Staat gemäss Statenliste vom EDÖB über einen angemessenen Schutz verfügt. Verfügt der Staat nicht über einen angemessenen Schutz, muss der Datenexporteur den Datenschutz mit hinreichenden Garantien, insbesondere durch einen Vertrag, sicherstellen. Grundlage für diese Verträge sind die sogenannten Standardvertragsklauseln. Dazu gibt es vom Edöb eine "Anleitung für die Prüfung der Zulässigkeit von Datenübermittlungen mit Auslandsbezug" hier: Übermittlung ins Ausland
  • Stellen Sie sicher, dass die Daten bei einem Löschungsgesuch effektiv gelöscht werden können.
Wie gehe ich vor, wenn ich ein Tool von einem externen Dienstleister (CMS, Mailchimp, Google, Social Media, etc.) einbinden möchte?

Siehe vorhergehende Frage bzgl. Formulardienst

Was muss ich tun, wenn ich ein Captcha-Service verwende?

Es hängt stark davon ab was für ein Captcha verwendet wird. Es gibt je nach Anbieter Captchas, die im Hintergrund Personendaten, z.B. IP-Adressen) sammeln und weiterleiten können. Darum gilt es hier, vorsichtig zu sein. Werden Personendaten gesammelt, braucht es dazu im DSGVO die Einwilligung der betroffenen Person. Im nDSG reicht ein Hinweis. Weiterführende Infos: Recaptcha und Datenschutz | datenschutzexperte.de

Wir bieten Produkte oder Services an Kund:innen aus dem EU-Raum an: Unterliegen wir damit dem deutschen Datenschutzgesetz?

Ja. Dem DSGVO unterliegt, wer Dienstleistungen an natürliche Personen innerhalb der EU anbietet oder mit Tracking-Methoden eine Verhaltensbeobachtung von Personen im EU-Raum durchführt.

Was ist der Unterschied zwischen dem nDSG und dem DSGVO?

Was beinhaltet eine “Bearbeitung von Daten”?

Jeder Vorgang im Zusammenhang mit personenbezogenen Daten, z.B. Erfassen, Ordnen, Speichern, Übermitteln, Löschen.

Wann ist die Übermittlung von Personendaten an Dritte erlaubt?
  • Sofern die Bearbeitung rechtmässig ist und den datenschutzrechtlichen Grundsätzen entspricht und
  • die Betroffenen über die Datenweiterleitung informiert sind.
Ist Datenschutz gleich Datensicherheit?

Nein, das sind zwei verschiedene Themen:

Die wichtigste Frage im Datenschutz: Darf ich diese personenbezogenen Daten erheben und verarbeiten?

Die wichtigste Frage bezüglich Datensicherheit: Wie schütze ich Daten vor einem Zugriff durch Unbefugte?


Wo finde ich eine Vorlage für ein Auftragsdatenbearbeitungsvertrag zwischen Verantwortlichem und Auftragnehmer? 

Auf Anfrage senden wir Ihnen eine entsprechende Vorlage zu.

Achtung: Wir sind keine Anwälte, bitte lassen Sie das Dokument durch einen Anwalt prüfen.

Wann tritt das neue Datenschutzgesetz (nDSG) in Kraft?

Voraussichtlich per 1. September 2023 - ohne Übergangsfrist. Achtung: Bei Nichtbeachtung ist mit Bussen zu rechnen.

Was passiert, wenn man sich nicht an das neue Datenschutzgesetz hält?

Es drohen Bussen bis zu CHF 250’000 und weiterführende Verfahren.

Bei wem liegt die Verantwortung für einen Service? Beim Auftragnehmer oder beim Auftraggeber?

Die Verantwortung für Personendaten liegt meistens beim Auftraggeber. Vorsicht bei vertraglichen Abmachungen bezüglich Auftragsdatenbearbeitungsverträgen.

Welche Rechte haben betroffene Personen?
  • Auskunftsrecht
  • Recht auf Berichtigung
  • Recht auf Löschung
  • Recht auf Einschränkung und Widerspruchsrecht
  • Recht auf Datenübertragbarkeit
Wo finde ich den genauen Gesetzestext des nDSG?

Den Gesetzestext finden Sie hier: Bundesgesetz über den Datenschutz (Datenschutzgesetz, DSG)

Weitere hilfreiche Datenschutz-Informationen: Artikel von Martin Steiger in Internet & Recht bei Cyon

Ist Ihre Datenschutzerklärung vollständig?

Jetzt ist der beste Moment, dies zu überprüfen. Ist Ihre Datenschutzerklärung aktuell und vollständig? Es reicht, sie im Footer mit einer Linkbezeichnung wie “Datenschutz” oder “Privacy Policy” anzubinden. Am besten in der/n gleichen Sprache(n), wie die Webseite selber. Diese Erklärung muss enthalten:

  • Welche Datenschutz-relevanten Daten erhoben werden
  • Wie/wo diese gespeichert werden
  • Durch wen diese verarbeitet werden
  • Wie lange diese aufbewahrt werden

Ausserdem müssen Informationen vorliegen, wie sich der Benutzer melden kann und wie die Daten wieder gelöscht werden können.

Was bedeutet “(Daten-)Verantwortlicher”?

Der/Die (Daten-)Verantwortliche ist eine Person welche die Daten besitzt und jemandem Aufträge erteilt, diese zu bearbeiten. Diese Person entscheidet über Zwecke und Mittel der Datenbearbeitung. Er/Sie trägt den Grossteil der datenschutzrechtlichen Pflichten, hat eine Informationspflicht. Die Kontaktdaten dieser Person sollen in der Datenschutzerklärung auf der Webseite erwähnt werden.

Wie komme ich an ein Datenschutz-Audit?

Für unsere Kund:innen führen wir gerne ein Datenschutz-Audit durch, um die Website, den Webshop oder die App auf Probleme im Zusammenhang mit dem Datenschutz zu durchleuchten. Bei diesem Audit wird der Auftritt von aussen geprüft. Die Audit-Resultate sowie entsprechende Handlungsempfehlungen werden Ihnen helfen, das Thema umfassend und frühzeitig anzugehen.

Interesse an einem Datenschutz-Audit? Rufen Sie uns an oder vereinbaren Sie gleich direkt einen Termin mit uns hier:

Besprechungstermin buchen

Mehr lesen über das neue Datenschutzgesetz (nDSG):

Empfehlung Rechtsberatung
Apollo Dauag vom Advokaturteam Gremmelspacher Dauag Ruppanner berät sie kompetent in allen Fragen zum neuen Datenschutzgesetz (nDSG) - oder auch in anderen rechtlichen Angelegenheiten.

Wir vertrauen dem Advokaturteam bei rechtlichen Fragen voll und ganz. Darum empfehlen wir deren Dienste gerne weiter.

Weitere Blogs entdecken

Face Recognition App. Lernender programmierte Gesichtserkennungs-App

Smile to Enter: Unsere Gesichtserkennungs-App

16 Jan., 2024
Eine Gesichtserkennungsapp, die unsere Gäste am Tag der offenen Türe begrüsst! Aus einer Idee entwickelte unser Lernender eine entsprechende App, die unseren Gästen ein Lächeln und auch hie und da ein paar Faxen entlockt.

Der Faktor Mensch in der digitalen Transformation

01 Dez., 2023
Vielleicht kennst du es: Du hast viel Aufwand in die Erarbeitung neuer Systeme gesteckt, aber die Einführung klappt nicht so richtig. Die Leute tun sich schwer mit der Adaption. Warum passiert sowas? Jakob hat sich damit auseinandergesetzt.
Unsere Fachartikel präsentieren wir neu auf medium.com

Unsere beliebten Fachartikel jetzt auf Medium!

16 Nov., 2023
Ab jetzt findest du unsere beliebten Know-how-Artikel auf Medium, der populären unabhängigen Blogplattform. Hier kannst du dir individuelle Inhalte nach Interessensgebiet periodisch kompakt servieren lassen.
Mehr anzeigen
Share by: