Mandelz Consulting

Menü

Schweizer Datenschutzgesetz "nFADP"

ÜBERSICHT

Seit dem 1. September 2023 gilt in der Schweiz das revidierte Datenschutzgesetz (nFADP). Ziel: den Schutz persönlicher Daten an heutige Technologien anpassen und die Kompatibilität mit der EU-DSGVO sichern. Unternehmen in der Schweiz – und solche mit Wirkung in die Schweiz – haben neue Informations-, Organisations- und Nachweispflichten. KMU Bund

 

Was sich ändert (Highlights)

 

  • Nur natürliche Personen: Der Schutz umfasst personenbezogene Daten von Menschen – nicht mehr von juristischen Personen. KMU Bund
  • Erweiterte „sensible Daten“: Neu ausdrücklich einbezogen: genetische und biometrische Daten (z. B. Fingerabdrücke, DNA), wenn eine eindeutige Identifikation möglich ist. didomi.io
  • Privacy by Design & by Default: Datenschutz ist bereits bei der Gestaltung und standardmässig mitzudenken; Datenerhebung und -nutzung auf das notwendige Minimum beschränken. KMU Bund
  • Verzeichnis der Verarbeitungstätigkeiten: Grundsätzlich Pflicht; Ausnahmen nur für KMU mit geringem Risiko. KMU Bund
  • Meldung von Datenpannen: Der EDÖB ist bei hohem Risiko unverzüglich zu informieren. didomi.io+1
  • Profiling: Automatisierte Datenverarbeitung ist gesetzlich definiert und geregelt. KMU Bund
  • Sanktionen: Bei vorsätzlichen Verstössen sind Bussen bis CHF 250’000 möglich. didomi.io

Für wen gilt das Gesetz?

Das nFADP gilt für alle Unternehmen in der Schweiz – unabhängig von der Grösse. Es erfasst auch ausländische Unternehmen, wenn ihre Datenverarbeitung in der Schweiz Auswirkungen hat (z.B. Angebote an Personen in der Schweiz).

nFADP vs. DSGVO – die Kurzunterschiede

  • Anforderungen oft etwas weniger streng als in der DSGVO.
  • Datenschutzberater/DPO: Beim nFADP für Private empfohlen (Pflicht v. a. für Bundesorgane), in der DSGVO in bestimmten Fällen verpflichtend.
  • Datenpannen-Frist: DSGVO 72 Std.; nFADP „so bald wie möglich“.
  • Maximalbussen: DSGVO bis 20 Mio. €; nFADP bis CHF 250’000.

 

Was Unternehmen jetzt tun sollten (Praxis-Checkliste)

  1. Dateninventar & Risikoanalyse erstellen: Welche personenbezogenen Daten? Wozu? Rechtsgrundlagen? Risiken?
  2. Verzeichnis der Verarbeitungstätigkeiten anlegen/aktualisieren. KMU Bund
  3. Transparenz erhöhen: Datenschutzhinweise (Web, App, Verträge, Formulare) prüfen und anpassen.
  4. Prozesse für Betroffenenrechte (Auskunft, Berichtigung, Löschung, Datenübertragbarkeit) definieren.
  5. Data Protection Impact Assessment (Folgenabschätzung) für risikoreiche Verarbeitungen vorsehen.
  6. Auftragsverarbeiter-Verträge prüfen (Sicherheit, Unterauftragskette, Drittlandübermittlungen).
  7. Meldeprozess für Datenpannen festlegen (inkl. Bewertung, EDÖB-Meldung, Kommunikation). KMU Bund
  8. Privacy by Design/Default in Produkt-, Marketing- und IT-Prozesse integrieren (nur notwendige Daten, sichere Voreinstellungen). KMU Bund

HINWEIS für Publisher/Ad-Finanzierte Seiten

Wer Google-Monetarisierung nutzt, muss gemäss Google-Vorgaben eine zertifizierte Consent-Management-Plattform einsetzen und das TCF auch für Schweizer Traffic berücksichtigen (seit 2024). Prüft eure CMP-Implementierung.

FAZIT

Das nFADP ist machbar, wenn Transparenz, Datensparsamkeit und klare Prozesse gelebt werden. Wer heute sauber dokumentiert und „Privacy by Design/Default“ umsetzt, reduziert Risiken – und stärkt Vertrauen bei Kund:innen und Partnern.

nFADP erklärt: Das aktualisierte Schweizer Datenschutzgesetz und was es für Ihr Unternehmen bedeutet. Bild von ChatGPT

Offizielle Seite des Bundes - KMU Portal für Klein- und Mittelständische Unternehmen