Unser Guide für den Datenschutz in der Schweiz

Michael Senn • 13. Juni 2023

Datenschutz wird für User und Unternehmen zu einem immer wichtigeren Thema. Auch in der Schweiz treten neue Gesetze in Kraft, was die Situation nochmals verschärft. Die Informationen sind vielfältig und teilweise auch kompliziert für Laien. 


Wer eine Webseite betreibt, muss sich informieren und die nötigen Schritte einleiten. Vor allem mit dem Inkrafttreten vom neuen Datenschutzgesetz (nDSG) stehen Unternehmen vor grösseren Risiken als bisher.


Mit diesem Beitrag sensibilisieren wir euch und euer Unternehmen auf das Thema Datenschutz. Weiterführende Inhalte zu verlässlichen Quellen sind verlinkt, damit ihr euch noch weiter informieren könnt, falls wir ein Thema zu kurz behandeln.

Was bedeutet Datenschutz?


Beim Datenschutz geht es um den Schutz personenbezogener Daten (PII-Daten - Persönlich identifizierbare Informationen) vor unbefugtem Zugriff und Missbrauch. Es sind Regeln und Verfahren, um ein ordnungsgemässes Erheben, Speichern, Verarbeiten und Schützen sicherzustellen.


Die Datenschutzgesetze und -vorschriften regeln, wer Zugriff auf personenbezogene Daten hat, wie sie erhoben werden dürfen und wie Unternehmen sie schützen müssen.


Per se geht es nicht um den Schutz der Daten, sondern das Recht von Personen, selber über die Erhebung von Daten zu bestimmen. Der Inhalt vom Datenschutz wird von Security Insider sehr gut beschrieben.

DSGVO im europäischen Raum

Die Datenschutz-Grundverordnung (DSGVO) ist eine EU-Verordnung, die den Schutz personenbezogener Daten regelt. Sie trat am 25. Mai 2018 in Kraft und ersetzte die frühere EU-Datenschutzrichtlinie, welche nicht mehr zeitgemäss war.


Die DSGVO legt fest, wie Unternehmen und Organisationen personenbezogene Daten verarbeiten dürfen und schützt damit die Privatsphäre der betroffenen Personen. Sie gilt für alle Unternehmen und Organisationen, die personenbezogene Daten von EU-Bürgern verarbeiten, unabhängig davon, ob sich das Unternehmen oder die Organisation in der EU befindet.


Die wichtigsten Bestimmungen der DSGVO sind:



  • Recht auf Auskunft
  • Recht auf Berichtigung
  • Recht auf Löschung
  • Recht auf Einschränkung der Verarbeitung
  • Pflicht zur Benachrichtigung bei Datenschutzverletzungen
  • Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung


Inwiefern die DSGVO euch als Schweizer Unternehmen betrifft, findet ihr weitere Informationen in diesem Beitrag von
be-digital Basel.

DSG in der Schweiz

Während die DSGVO eine Verordnung ist, ist die DSG ein Gesetz. Diese sind jedoch auf der gleichen Stufe anzusehen.


Auch die Schweiz zieht beim Thema Datenschutz die Stränge enger. Es gibt mehrere Gesetze und Vorschriften, die den Schutz personenbezogener Daten regeln. Das schweizerische Datenschutzgesetz (DSG), bald nDSG, und die Datenschutz-Anforderungen der EU (DSGVO) für EU Bürger sind die wichtigsten Gesetze, die den Schutz personenbezogener Daten in der Schweiz regeln. 


Unternehmen und Organisationen, die personenbezogene Daten verarbeiten, müssen sich an diese Gesetze halten, um sicherzustellen, dass die Privatsphäre der betroffenen Personen geschützt wird.

DSG oder nDSG - Was ist der Unterschied?

DSG steht für das "schweizerische Datenschutzgesetz" und nDSG ist die Neufassung des Datenschutzgesetzes.


Das DSG ist das Grundgesetz zum Schutz personenbezogener Daten in der Schweiz und es regelt die Verarbeitung von personenbezogenen Daten durch private und öffentliche Stellen. Es trat am 1. Juli 1992 in Kraft und wurde seitdem mehrmals überarbeitet. Seit 1992 haben sich das Internet und die Datenströme stark verändert, weshalb neue Massnahmen erforderlich sind.


Die Neufassung des Datenschutzgesetzes (nDSG) ist eine Anpassung des DSG an die EU-Datenschutzgrundverordnung (DSGVO) und die EU-Datenschutz-RL (DSGRL). Das nDSG soll am 1. September 2023 in Kraft treten und die veraltete DSG ersetzen.


Im Vergleich zm alten DSG, bringt das nDSG neue Vorschriften und Anforderungen, wie z.B. die Einführung von Datenschutz-Folgenabschätzungen, die Datenschutz-Aufsichtsbehörde und die Pflicht zur Benennung eines Datenschutzbeauftragten. Es bringt auch verschärfte Strafen für Verstösse gegen die Datenschutzvorschriften.


Verordnung über Datenschutzzertifizierungen (VDSZ)

Das VDSZ wird ebenfalls am 1. September 2023 Inkrafttreten. Weitere Informationen findet ihr hier.


Was sind denn personenbezogene Daten?


Personenbezogene Daten (PII-Daten) sind Informationen, die sich auf eine identifizierbare natürliche Person beziehen. Darunter versteht man zum Beispiel:


  • Name
  • Adresse
  • Telefonnummer
  • Alter
  • Geschlecht
  • IP-Adresse
  • E-Mail-Adresse
  • Fotos
  • Gesundheitsdaten


Diese Auflistung ist nicht komplett und soll in erster Linie als Veranschaulichung dienen. 


Unternehmen sammeln und verarbeiten diese Daten, um bestimmte Dienstleistungen bereitzustellen und um Entscheidungen zu treffen.


Als Unternehmen ist es wichtig, dass diese Daten sicher sowie vertraulich behandelt werden und die Zustimmung der betroffenen Person gegeben wurde, diese zu sammeln. Damit kann die Privatsphäre der Person geschützt werden.

PII-Daten sind nicht die einzige Möglichkeit, um Personen zu identifizieren

Bevor wir den Teufel an die Wand malen, möchten wir euch veranschaulichen, dass Daten auch ohne PII-Daten zuordenbar sind. Denn auch ohne PII-Daten können Personen oftmals relativ leicht identifiziert werden. Das möchten wir euch mit diesem Beispiel von Netflix veranschaulichen.

Netflix Prize und warum PII-Daten nicht der einzige Schutz sind

Um bessere Filmempfehlungen für ihre User zu generieren, schrieb Netflix eine Aufgabe aus. Sehr viele Teams haben die Aufgabe bearbeitet, aber einem Team gelang etwas sehr Besonderes und aus unserer Sicht erwähnenswertes.


Einem Forschungsteam gelang es, ohne PII-Daten einen Grossteil der Personen zu identifizieren. Dies, obwohl sie lediglich eine Bewertung, das Datum der Bewertung, zufällige IDs, Filmtitel und das Erscheinungsjahr des Titels hatten.


Mit diesen Daten konnten durch einen Abgleich mit Amazon-Filmbewertungen über 360’000 von ca. 500’000 Datensätzen identifiziert werden. Das unterstreicht, welche Macht Daten in der heutigen Zeit haben.


Falls ihr den Datensatz begutachten möchtet, findet ihr die “kryptische” Liste
hier.

Pseudonymisierung und Anonymisierung von Daten


Die Pseudonymisierung und Anonymisierung von Daten sollen es Dritten erschweren, Personenbezüge aus einem Datensatz abzuleiten. Dies soll zum Schutz der Menschen hinter den Daten geschehen. Gleichzeitig hilft es Unternehmen enorm bei der Aufrechterhaltung der Datenqualität. 


Viele fragen sich daher, ob diese Massnahmen ausreichen, und ob es eine mögliche Alternative für ihr Unternehmen ist. Dem möchten wir ebenfalls auf den Grund gehen.

Pseudonymisierung

Die personenbezognene Daten werden in diesem Fall umgeschrieben, aber mittels einer Masterliste können die Datensätze wieder entschlüsselt werden.


Im Grunde wird dadurch ein Schutz gewährleistet, aber bei einem Verlust der Masterdatei, könnten theoretisch alle Daten entschlüsselt werden. Das wäre ein riesiges Datenleck und eine grosse Gefahr für Unternehmen. 


Zudem könnten die Daten auch intern missbraucht werden und User müssten dem Unternehmen ihr Vertrauen schenken, damit sie zustimmen würden.

Anonymisierung

Die Anonymisierung ist nur schwer umsetzbar. Im Prinzip läuft es gleich wie bei der Pseudonomyiserung, aber es wird keine “Masterliste” geführt. Dadurch lassen sich die Datensätze nicht weiter entschlüsseln.


Wichtig ist, dass pseudonomyisierte Daten weiterhin personenbezogene Daten sind und somit relevant im Thema Datenschutz bleiben. Es ist allerdings eine technische Massnahme zum Schutz der Daten. Bei einem Data-Breach sind die Daten unter Umständen sicher, was bei der Pseudonymisierung nicht gewährleistet ist.


Wir empfehlen euch diesen Beitrag für die weitere Recherche über die
Pseudonymisierung und Anonymisierung. Deloitte beschreibt die Rechtslage bei der Pseudonymisierung anhand der DSGVO, was wir euch ebenfalls sehr empfehlen.

Welche Datenschutz-Richtlinien gibt es in der Schweiz?

In der Schweiz gibt es mehrere Gesetze und Regulierungen, die den Datenschutz regeln. 


Das wichtigste Gesetz ist das neue Datenschutzgesetz (nDSG), das die Verarbeitung personenbezogener Daten durch Privatpersonen und Unternehmen regelt. Es basiert auf dem Prinzip der Datensparsamkeit und gibt den betroffenen Personen das Recht auf Auskunft, Berichtigung und Löschung ihrer Daten.


Weitere Regelungen sind die Verordnung über den Schutz personenbezogener Daten (
VDSG), das Bundesgesetz über den Datenschutz in der Privatwirtschaft (DPG) und die Verordnung über den Schutz personenbezogener Daten im Gesundheitswesen (VDSG-med).


Es gibt auch eine unabhängige Aufsichtsbehörde, die
Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB), die für die Überwachung und Durchsetzung der Datenschutzgesetze zuständig ist.

Was sind die Unterschiede zwischen Europa und der Schweiz?

In Bezug auf den Datenschutz gibt es in der Schweiz und in Europa einige Unterschiede. Es ist wichtig zu beachten, dass die Schweiz als Nicht-EU-Mitglied, ihre eigenen Datenschutzbestimmungen hat und diese nicht unbedingt mit jenen der EU übereinstimmen, jedoch kann die EU die Datenschutz-Standards in der Schweiz als gleichwertig anerkennen.


In Europa regelt die Datenschutz-Grundverordnung (DSGVO) den Schutz personenbezogener Daten. Sie gilt seit Mai 2018 in allen Mitgliedsstaaten der Europäischen Union (EU) und hat das Ziel, den Schutz personenbezogener Daten innerhalb der EU zu harmonisieren. 


Die DSGVO legt umfangreiche Anforderungen an die Verarbeitung personenbezogener Daten fest, einschliesslich der Einhaltung der Prinzipien der Datenverarbeitung und des Rechts auf
Datenschutz durch Design und durch Default. Sie gibt auch den betroffenen Personen ein breiteres Spektrum von Rechten, wie das Recht auf Vergessenwerden.


In der Schweiz unterliegt das neue Datenschutzgesetz (nDSG), das den Schutz personenbezogener Daten regelt, ebenfalls den Prinzipien der
Datensparsamkeit, aber es gibt weniger spezifische Anforderungen und Regelungen im Vergleich zur DSGVO. 


Es gibt auch spezielle Regelungen, wenn es um die Datenübermittlung zwischen der EU und der Schweiz geht, da die EU und die Schweiz unterschiedliche Datenschutzbestimmungen haben. 


In solchen Fällen müssen Unternehmen sicherstellen, dass angemessene Schutzmassnahmen ergriffen werden, um sicherzustellen, dass personenbezogene Daten auf eine Weise übertragen werden, die den EU-Datenschutzbestimmungen entspricht.


Falls ihr euch noch vertiefter in die Unterschiede einarbeiten möchtet, empfehlen wir euch dieses
Video zum Unterschied zwischen der DSGVO und dem nDSG. Zugegeben, es ist nicht ganz einfach und vielleicht etwas trocken, aber aus unserer Sicht sehr wertvoll.

Consent in der Schweiz und EU

Nach DSGVO muss die Einwilligung bei europäischen Besuchern eingeholt werden. Bei Schweizern ist aktuell lediglich eine Informationspflicht notwendig. Es reicht insofern die Information über die “Opt-Out” Möglicheiten in der Datenschutzerklärung.


Mit der Ankündigung des Inkrafttretens der nDSG kam viel Unsicherheit auf, ob auch Schweizer Webseiten nun einen DSGVO-konformen Cookie-Consent haben müssen. Grundsätzlich sind auch nach nDSG Cookie-Banner im europäischen Stil nach wie vor nicht Pflicht. Die Information im Rahmen der allgemeinen Datenschutzerklärung über Cookies und die Möglichkeit, diese im Browser zu blockieren oder zu löschen, genügt. Wir verweisen hierzu auf einen
Beitrag des Schweizer Anwalts Martin Steiger von Steiger Legal AG.


Je nach Unternehmensausrichtung und Risikobereitschaft kann es sinnvoll sein, gemäss der DSGVO einen Cookie-Consent zu implementieren. Wenn ein Schweizer Unternehmen in der EU tätig ist, ist es in der Regel sicherer anzunehmen, dass sowohl die Cookie-Richtlinie als auch die DSGVO für Besucherinnen und Besucher aus dem Europäischen Wirtschaftsraum (EWR), einschliesslich der Europäischen Union (EU) und des Fürstentums Liechtenstein, eingehalten werden müssen. In solchen Fällen ist es oft einfacher, sich bei der gesamten Website an den europäischen Rechtsvorschriften zu orientieren, anstatt zu versuchen, zwischen Besuchern aus verschiedenen Ländern und Regionen zu unterscheiden.


Falls ihr auf Nummer sicher gehen wollt, könnt ihr mit dem
CookiePro standortspezifische Einstellungen gemacht werden. So lässt sich ein Schweizer User anders behandeln als ein europäischer User.


Die Auslegung und Gestaltung einer Cookie-Information respektive eines Consent ist somit individuell. Wir empfehlen im Zweifelsfall Rechtsberatung einzuholen. 

Das Deklarieren der Cookie-Arten

Nicht alle Cookies haben den gleichen Zweck, weshalb eine Unterscheidung wichtig ist. Einige Cookies sind beispielsweise für bestimmte Funktionen von Webseiten sehr wichtig, weshalb diese weiterhin gesetzt werden.


Im Rahmen der Informationspflicht, müsst ihr jedoch definieren, welche Cookies zu welcher Kategorie gehören. Folgende Optionen gibt es:



  • Notwendige Cookies für die Funktionalität der Website. Zum Beispiel den gespeicherten Warenkorb in einem Online-Shop.
  • Funktionale Cookies: Diese sind nicht unbedingt notwendig, verbessern aber die Usability, zum Beispiel, indem die Website die eingestellte Sprache merkt. 
  • Leistungs- oder Performance Cookies: Diese Cookies dienen zur Informationsgewinnung über das Verhalten von dem User, wie beispielsweise Bewegungen und Klicks.
  • Werbe- oder Marketing Cookies: Diese Cookies dienen dazu, dem User, basierend auf seinem Verhalten passende Werbung auszuspielen. Zum Beispiel Retargeting.

Was ihr als Unternehmen beachten müsst

Datensammlung und -nutzung (Bewusstsein)


Als Unternehmen müsst ihr wissen, welche Personendaten wofür, wie und wo bearbeitet werden. Ansonsten hilft euch die Frage: Welche Funktionen bietet ihr auf eurer Website an und wie setzt ihr diese Funktionen um?


Beispiel: Kontaktformular


Für die Kontaktaufnahme bindet ihr ein Formular-Dienst aus den USA ein. Wenn jemand das Formular ausfüllt, werden die Angaben beim Anbieter gespeichert und ihr erhaltet die Angaben ausserdem per E-Mail. Dies umfasst den Namen, die E-Mail-Adresse und die Mitteilung. Zudem erhält ihr das Datum, die Zeit und die IP-Adresse als Metadaten. 


Auszug aus dem nDSG


Personendaten sind «alle Angaben, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen» (Art. 5 lit. a nDSG). Bearbeiten ist «jeder Umgang mit Personendaten, unabhängig von den angewandten Mitteln und Verfahren, insbesondere das Beschaffen, Speichern, Aufbewahren, Verwenden, Verändern, Bekanntgeben, Archivieren, Löschen oder Vernichten von Daten» (Art. 5 lit. d nDSG).


«Personendaten» und «Bearbeiten» sind umfassend definiert. Als Faustregel ist es deshalb am einfachsten, davon auszugehen, dass alle Daten auch Personendaten sind.


Anpassung der Informationen (Transparenz)


Nach dem Bewusstsein folgt die Transparenz gegenüber euren Usern. Entsprechend müsst ihr euer Datenschutz-Setup überarbeiten. Wichtig ist, dass eure Datenschutzerklärung aktuell sowie vollumfassend sind und ihr Verträge zur Datenverarbeitung abgeschlossen habt.


Datenschutzerklärung & Impressum


Jede Website muss eine Datenschutzerklärung haben und diese an Änderungen abgleichen. Transparenz ist in diesem Fall das Stichwort. Für natürliche Personen muss mit dieser Erklärung eine Grundlage für die Entscheidung ihres Consents ermöglicht werden.


Gemäss Art. 4 Abs. 4 DSG: Die Beschaffung von Personendaten und insbesondere der Zweck ihrer Bearbeitung müssen für die betroffene Person erkennbar sein.


Die Datenschutzerklärung ist im Footer und Consent-Banner zu verlinken. In diesem Beitrag findet ihr weitere Informationen zum Aufbau und zur Pflege der Datenschutzerklärung


Auch eine Impressumserklärung muss auf jeder Website vorhanden sein. Im Idealfall schaut ihr euch das mit eurer Rechtsschutzabteilung oder einem Anwalt an. Alternativ könnt ihr auch diesen Datenschutz-Generator von SwissAnwalt nutzen.   

Unbewusste Gefahren

Beim Schritt des Bewusstseins ist es nicht immer ersichtlich, woher auf eurer Website Daten übermittelt werden. Daher lohnt es sich ebenfalls eine externe Analyse zu machen. Wir möchten euch einige Gefahren erläutern, welche teilweise vergessen gehen.


Google Fonts 


Google Fonts werden über unzählige Webseiten eingebunden und bei der Datenschutz Thematik aussen vor gelassen. Dabei kann teilweise auch die IP-Adresse an Google (mit Sitz in USA) übermittelt werden. Das Thema wird von e-Recht weiter erläutert.


Google Maps


Auch bei Google Maps wird mittels API eine Anfrage gestellt, wobei ebenfalls PII-Daten übermittelt werden. Die Einbindung ist daher mit Vorsicht zu geniessen. Das Thema wird hier weiter erläutert.


Eingebundene YouTube Video


Auch die Einbindung von YouTube Videos stellt ein Risiko dar. Wenn eine Seite geladen wird, bei welchem ein YouTube Video eingebettet wurde, weiss Google welches Video vom User angeschaut wurde. Das Thema wird in diesem Beitrag beschrieben.


Google Analytics 4


Neues Tool, neues Glück. Wer ein Google Analytics 4 Konto bereits aufgesetzt hat, kennt die Unterschiede und hat vielleicht auch einige neue Optionen entdeckt.


Google Signals


Mit der Aktivierung von Google Signals können demografische Informationen gesammelt werden. Es sind allerdings nicht die eigenen Daten bzw. Daten, die über den Tracking Code erhoben werden.


Vielmehr sind es Daten, die Google erfasst, wenn User mit ihrem Google Konto im Chrome Browser, Google Maps, YouTube, Google Play App Store und am Android Smartphone eingeloggt sind und die Ads Personalisierung aktiviert haben.


Die Google Signals Daten sind aggregiert und anonym. Hierbei ist es wichtig, dass die Sammlung in der Datenschutzerklärung enthalten ist und dem User ein Opt-Out ermöglicht wird.

Wichtiges im Überblick

FISA - Datenspeicherung von Unternehmen mit Sitz in Amerika


FISA steht für Foreign Intelligence Surveillance Act. Es ist ein US-amerikanisches Gesetz, das 1978 verabschiedet wurde und die Überwachung von Personen im Ausland regelt. Edward Snowden zeigte auf, was das für europäische Bürger und ihre persönlichen Daten bedeutet.


Seit 2008 gibt es die Foreign Intelligence Surveillance Act Amendments Act of 2008 (FAA), welche Ermächtigungen ausgedehnt hat und es ermöglicht, auch ohne richterliche Genehmigung, Überwachungsmassnahmen durchzuführen und erweitert den Zugriff auf die Kommunikationsdaten von US-Bürgern und Ausländern.


FISA und seine Erweiterungen sind umstritten und es gibt Kritik an den Eingriffsmassnahmen und dem Mangel an Transparenz und Kontrollmöglichkeiten für die Öffentlichkeit und die Betroffenen. Mehr zu diesem Thema in Verbindung mit der DSGVO findet ihr bei NOYB.


Datenschutz-Aufsichtsbehörde - EDÖB


Der EDÖB, kurz für Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter, ist die Datenschutzaufsichtsbehörde für Private und Bundesbehörden in der Schweiz. Es dient dem Zweck Personen und Organisationen bei der Einhaltung der Datenschutzbestimmungen zu beraten und zu kontrollieren.


Es kann und wird nur auf grössere Verletzungen, sogenannte Systemfehler, reagieren und aktiv werden. Einzelfälle liegen insofern nicht im Berechtigungsbereich. Weitere Information findet ihr direkt bei der EDÖB.


Data Processing Agreement (DPA) - auch AVV oder ADV


Ein Data Processing Agreement (DPA) ist ein Vertrag zwischen einem Unternehmen (dem Auftragsverarbeiter) und einem anderen Unternehmen (dem Auftraggeber), in dem die Bedingungen für die Verarbeitung personenbezogener Daten festgelegt werden. 


Dieser Vertrag regelt die Verantwortung und Pflichten beider Parteien im Zusammenhang mit der Verarbeitung personenbezogener Daten und sichert die Einhaltung der geltenden Datenschutzgesetze und -vorschriften.


Ein DPA beinhaltet in der Regel Details wie 


  • Zwecke der Datenverarbeitung
  • Art und Umfang der verarbeiteten Daten
  • Sicherheitsmassnahmen
  • Dokumentationspflichten
  • Reporting-Verpflichtungen
  • Schutzmassnahmen gegen unerlaubten Zugriff
  • Verlust, Zerstörung oder Schädigung der Daten
  • Die Verfahren bei Verstössen oder Datenpannen. 


Es dient zudem als Nachweis gegenüber Aufsichtsbehörden und Betroffenen, dass die datenschutzrechtlichen Anforderungen erfüllt werden. 


Als Webseitenbetreiber sollte man prüfen, ob für alle aktiven Auftragsverarbeiter ein DPA vorliegt. Wenn dies nicht angeboten wird, sollte es als Warnsignal für euer Unternehmen dienen.


Weitere Informationen zu DPAs findet ihr bei Piwik.


Privacy Shield


Privacy Shield ist ein Rahmenwerk, das von der Europäischen Kommission und der US-Regierung entwickelt wurde, um Unternehmen zu ermöglichen, personenbezogene Daten zu übertragen, während die EU-Datenschutzvorschriften eingehalten werden. 


Das Privacy Shield bietet Unternehmen in den USA die Möglichkeit, sich freiwillig zu verpflichten, die EU-Datenschutzstandards einzuhalten, indem sie sich einer unabhängigen Aufsicht unterwerfen und sich verpflichten, bestimmte Verfahren und Mechanismen einzuhalten, um die Sicherheit und Integrität personenbezogener Daten sicherzustellen. 


Das Privacy Shield wurde im Juli 2020 von EU Gericht für ungültig erklärt. Seitdem wurde kein gültiges Rahmenwerk mehr für Datentransfer von EU nach US vereinbart. Daher müssen Unternehmen andere Mechanismen wie Standardvertragsklauseln oder Binding Corporate Rules verwenden, um die Übertragung von personenbezogenen Daten von der EU in die USA zu ermöglichen und ihrer Verantwortung nachzukommen.


Mehr Informationen zum Swiss-US Privacy Shield findet ihr bei der EDÖB.


Digital Markets Act (DMA)


Der Digital Markets Act (DMA) ist ein geplantes EU-Gesetz, das die Regulierung von Online-Plattformen und digitalen Märkten vorsieht. Der DMA soll dazu beitragen, dass die Wettbewerbsbedingungen im digitalen Raum fairer und transparenter werden. 


Er soll insbesondere sicherstellen, dass grosse Online-Plattformen wie Google, Facebook und Amazon (GAFAM) ihre Marktmacht nicht missbrauchen, um andere Unternehmen zu benachteiligen oder Kunden zu manipulieren.


Der DMA enthält Regelungen zu folgenden Bereichen:


  • Neutrale Such- und Entdeckungsmechanismen: Online-Plattformen sollen verpflichtet werden, ihre eigenen Angebote und Dienste von den Angeboten und Diensten ihrer Konkurrenten zu trennen und die Suchergebnisse auf eine neutrale Art und Weise zu präsentieren.
  • Transparente Algorithmen: Online-Plattformen sollen verpflichtet werden, ihre Algorithmen und Entscheidungsprozesse zu dokumentieren und diese Dokumentation auf Anfrage an Regulierungsbehörden und betroffene Unternehmen herauszugeben.
  • Zugang zu Daten: Online-Plattformen sollen verpflichtet werden, Dritten unter bestimmten Bedingungen Zugang zu den Daten zu gewähren, die sie über die Nutzung ihrer Dienste erfassen.
  • Pflicht zur Unterbrechung von Netzwerkeffekten: Online-Plattformen sollen verpflichtet werden, Massnahmen zu ergreifen, um negative Auswirkungen auf den Wettbewerb, die Verbraucher und die Gesellschaft insgesamt zu verhindern.


Die DMA ist noch nicht in Kraft und die endgültige Fassung des Gesetzes kann sich noch ändern. Weitere Informationen zum DMA findet ihr mit diesem Link. Falls ihr lieber die leichte Kost möchtet, empfehlen wir euch den Kanal von Carlo Siebert, wo er das Thema immer wieder aufgreifen wird.


ePrivacy Richtlinie


Die ePrivacy Richtlinie, auch bekannt als Richtlinie über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in elektronischen Kommunikationsnetzen, ist eine EU-Richtlinie, die den Schutz personenbezogener Daten und die Privatsphäre bei der Verwendung elektronischer Kommunikationsdienste regelt. 


Die Richtlinie gilt für alle elektronischen Kommunikationsdienste und enthält Regelungen zu verschiedenen Aspekten des Datenschutzes in elektronischen Kommunikationsnetzen, einschliesslich:


  • Cookies und vergleichbare Technologien: Die Richtlinie verlangt, dass die Nutzer über die Verwendung von Cookies und vergleichbaren Technologien informiert werden und ihre Zustimmung dazu geben müssen.
  • Spam: Die Richtlinie verbietet unerwünschte Werbung per E-Mail, SMS und andere elektronische Kommunikationsdienste, es sei denn, der Empfänger hat seine ausdrückliche Zustimmung gegeben.
  • Verkehrs- und Standortdaten: Die Richtlinie regelt die Verarbeitung von Verkehrs- und Standortdaten, die bei der Nutzung von elektronischen Kommunikationsdiensten erfasst werden, um sicherzustellen, dass diese Daten nur für berechtigte Zwecke verwendet werden.
  • Verschlüsselung und Sicherheit: Die Richtlinie verlangt, dass elektronische Kommunikationsdienste angemessene Sicherheitsmassnahmen ergreifen, um die Daten ihrer Nutzer zu schützen und zu verschlüsseln.


Die ePrivacy-Richtlinie sollte eigentlich in allen EU-Mitgliedstaaten bis Mai 2018 in nationales Recht umgesetzt werden, jedoch hat die EU eine neue ePrivacy Verordnung vorgeschlagen, die noch nicht in Kraft ist und die Umsetzung in den einzelnen Ländern variiert.


Das EDÖB geht in diesem Artikel näher auf die Stellung der Schweiz zu diesem Thema ein.


Art. 45c lit.b des Fernmeldegesetzes - ePrivacy Alternative der Schweiz


Dieses Gesetz ist sozusagen das Schweizer Pendant zu ePrivacy und regelt die Angelegenheiten rund um Cookies. Es verlangt ebenfalls, dass Unternehmen transparent über die Verwendung und den Zweck informiert. 


Allerdings sieht es vor, dass Unternehmen lediglich einen “Opt-Out” anbieten müssen, sofern es sich um einen Schweizer Bürger handelt. Im europäischen Raum wird hingegen ein “Opt-In” verlangt, was sich für die Datenmenge negativ auswirkt.

Unser Fazit zum Thema Datenschutz


Wer sich noch gar nicht mit dem Thema Datenschutz befasst hat, sollte sich umgehend einen Experten zu Rat holen. Diejenigen, welche bereits DSGVO konform agieren, sind tendenziell auf der sicheren Seite. Es ist jedoch klar, dass uns dieses Thema länger begleiten wird und wir sicher agieren müssen. Ansonsten drohen Strafen und auch Rufschädigungen im schlimmsten Fall.


Viele Schweizer Unternehmen sind jedoch nicht auf dem gewünschten Standard und müssen das Thema ab sofort priorisieren. Für Auskünfte empfehlen wir euch unbedingt die Miteinbeziehung von Experten. Falls ihr eure Datenqualität sichern möchtet, stehen wir euch gerne für eine Beratung zur Verfügung.

Jetzt einen unverbindlichen Beratungstermin vereinbaren!

Euch hat dieser Blogarikel weitergebracht? Dann freuen wir uns, wenn ihr ihn mit euren Mitarbeitern oder Geschäftspartnern teilt.


Share by: