< Back

Das revidierte schweizerische Datenschutzgesetz - Neuerungen & Handlungsempfehlungen im Überblick



Im Jahr 1992 wurde das aktuell gültige Datenschutzgesetz der Schweiz eingeführt. Ein Gesetz ausgerichtet für eine Welt ohne Google, Social Media oder Smartphones. Für eine digitalisierte Welt, in der personenbezogene Daten eine zentrale Rolle spielen, ist eine Anpassung dieser veralteten Gesetzgebung dringend nötig.

Mit dem revidierten Datenschutzgesetz (revDSG), welches per 1. September 2023 in Kraft tritt, reagiert die Schweiz auf diese neuen Anforderungen. In diesem Artikel geben wir dir einen Überblick über die wichtigsten Neuerungen und unsere Handlungsempfehlungen für Tourismusdestinationen.



Was sind die wichtigsten Veränderungen?

Das Inkraftreten des neuen Gesetzes bringt folgende wichtige Veränderungen.



Erweiterung der Informationspflichten

Ab September 2023 muss jedes Unternehmen alle Personen, über die es Daten sammelt, transparent über die Verwendung und Bearbeitung ihrer Daten informieren. Zudem können betroffene Personen jederzeit beim Unternehmen einen Auszug aller angegebenen Daten in elektronischer Form beantragen.



Privacy by Default und Privacy by Design

Der Grundsatz "Privacy by Default" stellt sicher, dass bei Produkten oder Dienstleistungen ohne Eingreifen der Nutzer:innen alle nötigen Massnahmen für den Datenschutz und die Einschränkung der Datennutzung aktiviert sind. "Privacy by Design” bedeutet, dass bereits bei der Entwicklung der Produkte und Dienstleistungen der Schutz der Privatsphäre der Nutzer:innen berücksichtigt wird. Zusammengefasst heisst das, sämtliche Software, Hardware und Dienstleistungen müssen so konfiguriert sein, dass die personenbezogenen Daten geschützt sind und somit die Privatsphäre der Nutzer:innen gewahrt wird.



Erweiterung besonders schützenswerter Daten

Genetische und biometrische Daten werden in die Definition der besonders schützenswerten Daten aufgenommen.


Verzeichnis der Bearbeitungstätigkeiten

Das revDSG verpflichtet Unternehmen, ein Verzeichnis ihrer Datenbearbeitungstätigkeiten zu führen. Mit dieser Dokumentation soll die Transparenz der Datenbearbeitungen verbessert werden. Befreit von dieser Verpflichtung sind Unternehmen mit weniger als 250 Mitarbeitenden und Unternehmen deren Datenbearbeitungen ein geringes Risiko von Persönlichkeitsverletzungen mit sich bringen.



Verzeichnis der Bearbeitungstätigkeiten

Das revDSG verpflichtet Unternehmen, ein Verzeichnis ihrer Datenbearbeitungstätigkeiten zu führen. Mit dieser Dokumentation soll die Transparenz der Datenbearbeitungen verbessert werden. Befreit von dieser Verpflichtung sind Unternehmen mit weniger als 250 Mitarbeitenden und Unternehmen deren Datenbearbeitungen ein geringes Risiko von Persönlichkeitsverletzungen mit sich bringen.



Meldung einer Datensicherheitsverletzung

Wenn die Datensicherheit verletzt wurde, muss «so rasch als möglich» (nicht wie bei der europäischen DSGVO innerhalb von 72 Stunden) der Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragte EDÖB informiert werden.



Datenschutz-Folgenabschätzung

Bei der Verarbeitung bestimmter sensibler Daten kann eine Folgenabschätzung erforderlich sein. Dies gilt vor allem, wenn die Verarbeitung ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen birgt.



Handlungsempfehlungen für Tourismusdestinationen

Gerade bei kleineren Organisationen ist der Umgang mit Daten von Kund:innen oder Mitarbeitenden oft nicht klar geregelt und generiert viel Handlungsbedarf. Lokal gespeicherte Daten, nicht vorhandene Datenstrategien oder veraltete Systemlandschaften können schnell zu Problemen führen. Beispielsweise ist bei einer Kundenanfrage, alle gesammelten Daten gebündelt vorzuweisen, mit grossem manuellem Aufwand zu rechnen. Für viele ist dies gar ein Ding der Unmöglichkeit. Dabei ist das Etablieren von internen Prozessen ebenso wichtig wie die Einführung der richtigen Systemlandschaft.

Konkret schlagen wir folgende Massnahmen im Zusammenhang mit dem revidierten Datenschutzgesetz vor:

  • Bestimmung einer Person, die für den Datenschutz im Unternehmen verantwortlich ist. Diese Person ist die Ansprechpartner:in in Bezug auf Datenschutz und die Einhaltung der damit einhergehenden Pflichten.

  • Analyse der eigenen Systemlandschaft und Erstellung eines Verzeichnisses aller Systeme in denen personenbezogene Daten gespeichert und/oder verarbeitet werden.

  • Erstellen einer Übersicht pro System mit allen Daten (Name, Adresse, etc.) die tatsächlich gesammelt werden. Überprüfe in diesem Zusammenhang, ob alle gesammelten Daten tatsächlich benötigt werden oder ob man eigentlich auch mit weniger Daten die gewünschte Leistung erbringen könnte (”Privacy by Design” Ansatz).

  • Festlegung einer verantwortlichen Person pro System , die im Falle einer Auskunftsanfrage Inhalte zusammenstellen und als Export bereitstellen kann. Sollten mehrere Systeme betroffen sein, sollte der Datenschutzbeauftrage (siehe Punkt 1.) diese Informationen zusammentragen und dem/der Antragssteller:in zur Verfügung stellen.

  • Zusammenstellen von Schulungsunterlagen über was das revidierte Datenschutzgesetz bedeutet und welche Verantwortung jeder einzelne Mitarbeiterende im Umgang mit personenbezogenen Daten trägt.

  • Anpassung der Datenschutzrichtlinien und Information der Gäste auf der Webseite und anderen digitalen Kanälen über die Sammlung und den Umgang mit personenbezogenen Daten. Stelle sicher, dass Gäste eine aktive Einverständniserklärung abgeben, wenn Daten gesammelt / gespeichert werden.

  • Bestimmung eines Prozesses, wie im Fall einer Auskunfts- oder Löschungsanfrage reagiert wird. Dabei hilft die Übersicht der Systeme und der dafür festgelegten Verantwortlichen. Moderne Systeme bieten dabei Schnittstellen für Daten-Exports oder Löschungsanfragen von Userprofilen und damit verbundenen Daten. Viele Legacy Systeme bieten dies jedoch nicht und stellen in solchen Situationen einen hohen händischen Aufwand dar.

  • Spielt den Fall eines Datenlecks in eurem Unternehmen durch. Überlegt, wie die Schwere eines solchen Datenlecks bewerten wird und wie in welchem Fall reagiert werden soll. Falls es sich um einen Fall mit hohem Risiko handelt, sollte die offizielle Meldestelle Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragte EDÖB informiert werden.

Generell eignet sich als Ausgangspunkt immer eine erste Bestandsaufnahme der Datenlage im Unternehmen und eine Risikobewertung der Situation. In vielen Fällen ist es zu empfehlen eine externe Expertin einzusetzen, welche einen Aktionsplan erstellt und das Management bei wichtigen Entscheidungen fachlich berät.



Für mehr Informationen zum revidierten Schweizerischen Datenschutzgesetz empfehlen wir:




Möchtest du mehr über Inside Labs und den Umgang mit Daten im Tourismus wissen? Dann melde dich bei uns und wir stellen dir gerne unsere Ideen & Tools vor.

Let's talk.

Alle aktuellen Updates, interessante Case Studies und neue Inspiration zu diversen Digitalisierungsthemen findest du auch in unserem monatlichen inside bulletin Newsletter.

Jetzt anmelden.