nDSG und DSGVO: Was Schweizer Unternehmen über CRM-Daten wissen müssen

Datenschutzrecht wird tendenziell als Problem anderer behandelt — etwas für große Unternehmen mit Rechtsteams. Wenn Sie Berater, Versicherungsmakler, Buchhalter oder Agenturinhaber sind und ein paar Hundert Kundendatensätze in einem CRM verwalten, kann es sich anfühlen, als würde es nicht für Sie gelten.

Es gilt. Und seit September 2023 ist das revidierte Bundesgesetz über den Datenschutz der Schweiz — das nDSG — in Kraft mit Anforderungen, die jedes Unternehmen betreffen, das personenbezogene Daten verarbeitet, unabhängig von der Größe.

Was ist das nDSG?

Das nDSG (Neues Datenschutzgesetz) ist das aktualisierte Bundesdatenschutzgesetz der Schweiz. Es ersetzt das frühere Gesetz von 1992, das im Kontext der modernen digitalen Verarbeitung weitgehend veraltet war.

Die Revision wurde teilweise durch die Notwendigkeit angetrieben, das Schweizer Recht an europäische Standards anzupassen — insbesondere die DSGVO — damit die Schweiz ihren "Angemessenheits"-Status mit der EU behalten kann.

Wie sich nDSG von der DSGVO unterscheidet

Territorialer Anwendungsbereich. Die DSGVO gilt für jede Organisation, die Daten von EU-Ansässigen verarbeitet. Das nDSG gilt für die Verarbeitung von Daten über Personen in der Schweiz. Wenn Sie Kunden in beiden Regionen haben, müssen Sie möglicherweise beide erfüllen.

Kein obligatorischer Datenschutzbeauftragter für die meisten KMU.

Datenschutz durch Technikgestaltung ist obligatorisch. Das nDSG verlangt ausdrücklich, dass der Datenschutz von Anfang an in Systeme integriert wird.

Meldefristen bei Datenpannen. Unter dem nDSG müssen Verletzungen, die ein hohes Risiko darstellen, "so schnell wie möglich" gemeldet werden.

Was "Schweizer Hosting" für CRM-Daten bedeutet

Viele CRM-Plattformen haben ihren Sitz in den USA und speichern Daten auf US-Servern. Datenübertragungen aus der Schweiz in Länder ohne angemessenes Datenschutzniveau erfordern zusätzliche Schutzmaßnahmen. Ein CRM, das Daten in der Schweiz oder im EWR speichert, beseitigt diese Komplexität vollständig.

Zweckbindung und Transparenz

Zweckbindung bedeutet, dass Sie Kundendaten nur für den Zweck verwenden dürfen, für den sie erhoben wurden. Transparenz bedeutet, dass Kunden wissen müssen, welche Daten Sie über sie haben und warum.

In der Praxis:

• Fügen Sie keine Kontakte ohne rechtmäßige Grundlage zum CRM hinzu
• Halten Sie CRM-Daten aktuell und genau
• Seien Sie in der Lage, innerhalb einer angemessenen Frist auf einen Zugriffsantrag zu antworten

Betroffenenrechte

Unter dem nDSG können Einzelpersonen Zugang, Berichtigung, Löschung, Einschränkung und Portabilität ihrer Daten anfordern. Ihr CRM muss es einfach machen, einen vollständigen Kundendatensatz zu exportieren und sauber zu löschen.

Worauf Sie bei einem konformen CRM achten sollten

• Wo werden die Daten gespeichert?
• Ist ein Auftragsverarbeitungsvertrag (AVV) verfügbar?
• Können Sie einen vollständigen Kundendatensatz exportieren?
• Können Sie einen Kundendatensatz vollständig löschen?
• Unterstützt das Tool die Einwilligungsverfolgung?

MenteIQ ist für Schweizer Dienstleistungsprofis mit diesen Anforderungen im Sinn gebaut — Datenresidenz, konforme Standardeinstellungen und die Fähigkeit, Betroffenenrechteanfragen zu erfüllen.

Praktische Schritte, die Sie jetzt unternehmen sollten

1. Prüfen Sie, was Sie speichern in Ihrem CRM
2. Überprüfen Sie Ihre Rechtsgrundlage für jede Kontaktkategorie
3. Aktualisieren Sie Ihre Datenschutzerklärung
4. Testen Sie einen Datenexport — können Sie wirklich einen vollständigen Datensatz exportieren?
5. Überprüfen Sie Ihre Datenspeicherungsrichtlinie — wie lange behalten Sie Daten ehemaliger Kunden?

Datenschutz-Compliance ist keine einmalige Aufgabe — es ist eine fortlaufende Praxis.