/ Datenschutz

EU Datenschutzgesetz für Schweizer Webseitenbetreiber (DSGVO)

Seit dem 25. Mai 2018 gelten die neuen Datenschutzgesetze (DSGVO) der EU. Diese gelten auch für grenzüberschreitend tätige Schweizer Unternehmen, auch wenn diese keine Ableger in der EU haben. Entscheidend ist ob Unternehmen Waren oder Dienstleistungen in der EU anbieten oder das Verhalten von EU Personen analysieren.

Was sollte man als Webseitenbetreiber oder SaaS/Cloud-Anbieter beachten und welche Massnahmen sind zu treffen?

Grundlegendere Informationen sind auf Verbandsseiten zu finden wie zum Beispiel bei economiesuisse. Wir können auch das umfangreiche Dossier der Netzwoche empfehlen.

Auch der Bund hat praktisches Wissen zum EU Datenschutz zusammengestellt.

Ist Ihr Unternehmen davon betroffen?

Schweizer Unternehmen müssen sich an die DSGVO halten, wenn sie personenbezogene Daten von natürlichen Personen verarbeiten, die sich in der EU befinden, und falls die Verarbeitung dazu dient:

  1. diesen Personen Waren oder Dienstleistungen anzubieten (gegen Bezahlung oder unentgeltlich), oder
  2. das Verhalten dieser Personen zu verfolgen, sofern dieses Verhalten in den Mitgliedstaaten der EU erfolgt (Art. 3 Abs. 2 Buchst. a und b DSGVO).

Ob und wie Ihr Unternehmen oder ihre Institution davon betroffen ist, muss im Zweifelsfall mit einem Juristen oder Datenschutzbeauftragten geprüft werden.
Economiesuisse hat hierzu einen hilfreichen Online Check aufgeschaltet und ein konkreter Check ob man einen Datenbeauftragten braucht, bei der Verarbeitung von personenbezogenen Daten gibt es auf dieser deutschen Seite.

Welche Massnahmen sind für die Einhaltung der DSGVO erforderlich?

Die EU Datenschutz Grundverordnung (DSGVO) oder auch General Data Protection Regulation (GDPR) regelt weitaus mehr als nur die Erfassung personenbezogener Daten auf Webseiten.
Wir beschränken uns jedoch in diesem Beitrag auf relevante Elemente für Webseiten-, Blog-, Shop- oder SaaS/Cloud-Betreiber.

1. Nutzung personenbezogener Daten

Die Nutzung und Verarbeitung personenbezogener Daten zum Beispiel durch Kontaktformulare oder Resignationen sind gemäss Art. 6 Abs. 1 DSGVO in folgenden Fällen erlaubt:

  • wenn die Person eine Einwilligung dazu gegeben hat (Einwilligung ist erst ab 16 Jahren möglich, so sollen Teenager besser geschützt werden)
  • wenn die personenbezogenen Daten zur Erfüllung eines Vertrags benötigt werden
  • wenn eine rechtliche Verpflichtung besteht
  • wenn ein berechtigtes Interesse vorliegt

In den ersten drei Fällen (Einwilligung, Vertrag, rechtliche Verpflichtung) ist die Legitimität ziemlich eindeutig. Problematisch wird es allerdings bei der Abwägung des berechtigten Interesses.

2. Datenschutzerklärung

Für private Seiten ist ein solcher Hinweis nicht notwendig. In allen anderen Fällen sollte ein Datenschutzhinweis in klarer und leicht verständlicher Sprache erklären, wer seine Daten zu welchem Zweck wie und wo verarbeitet.
Die Datenschutzerklärung muss auch auf den Einsatz externer Dienste, wie zum Beispiel Facebook und Google, hinweisen, sofern diese durch den Aufruf der Website personenbezogene Daten erheben.
Sie können dafür diesen Datenschutzerklärungs-Generator nutzen. Eine weitere DSGVO-konforme Datenschutzerklärung per Klick auf deutsch und englisch gibt es hier.

3. Cookies

Sofern Cookies auf der Webseite, dem Blog oder einem Shop zu Marketingzwecken Verwendung finden ist ein Hinweis unbedingt erforderlich.
Viele der heute eingesetzten Content Management Systeme setzen standardmäßig Cookies ein, um den Nutzer über den Auftritt zu „identifizieren“.
Deshalb ist der pauschale Einsatz eines Cookie-Banner angeraten. Dieser sollte deutlich beim ersten Aufruf der Webseite zu sehen sein.
Das Cookie-Banner darf allerdings nicht so eingebunden sein, dass dieser Pflichtangaben wie zum Beispiel den Link zum Impressum oder Datenschutzerklärung verdeckt.

4. Google Analytics

Die Nutzung von Webanalyse Diensten sollte in der Datenschutzerklärung der Webseite dokumentiert sein (dies gilt auch für das bereits bestehende Schweizer Datenschutzgesetz (Art. 13 DSG)). Hier muss auch die Möglichkeit eines Widerrufs hinterlegt werden.
Da IP-Adressen als personenbezogene Daten gelten, muss dafür Sorge getragen werden, dass der Google Programmcode die IP-Adressen nur gekürzt erfasst (Anonymisierungsfunktion).

Hier finden Sie alle Anpassungen welche wir für Google Analytics empfehlen um DSGVO konform zu sein.

5. Social Media Elemente

Bei dem Einsatz von Social Media (z. B. Facebook Timeline, Twitter Feed, Like Buttons) ist sicherzustellen, dass keine Daten des Webseitenbesuchers ohne dessen Zustimmung erhoben werden.
Auf die Verwendung von Social Media Angeboten und die Art des verwendeten Social Plugins (z.B. Like Button, Share Button, Custom Audiences etc.) ist im eigenen Datenschutzhinweis zu informieren. Gleichzeitig muss hier auf die Widerrufmöglichkeiten hingewiesen werden.
Gegebenenfalls ist sogar die „aktive“ Einwilligung des Besuchers notwendig. Dies sollte vor der Verwendung mit dem (internen oder externen) Datenschutzbeauftragten geklärt werden.

Fazit

Die EU Datenschutz Grundverordnung (DSGVO) oder auch General Data Protection Regulation (GDPR) regelt weitaus mehr als nur die Erfassung personenbezogener Daten auf Webseiten. Unternehmen sollten die weitere Entwicklung der DSGVO unbedingt beobachten. Laut einem Interview mit dem Schweizer Datenschützer ist es eine Frage der Zeit bis die Schweiz den Datenschutz auch neu regelt und zeitgemäss anpasst, wodurch ein Angleichung zum DSGVO möglich wird.

Falls Ihr Unternehmen davon betroffen ist, sollten aktuelle Vorgaben frühzeitig umgesetzt werden.

Wir können Sie effizient in der Umsetzung von Massnahmen unterstützen und haben Bausteine vorbereitet, welche schnell integriert werden können.

Im Speziellen haben wir Lösungen für SaaS/Cloud-Anbieter umgesetzt, welche die Daten verschlüsselt und DSGVO/GDBR-Compliant macht.

Wie können wir Ihnen weiterhelfen? Melden Sie sich unverbindlich bei uns: info@networking.ch.

Hinweis:
Dieser Artikel stellt keine rechtliche Beratung dar. Bei Fragen empfehlen wir die Einbeziehung eines Datenschutzbeauftragten bzw. Rechtsbeistands.

Photo von Matthew Henry

EU Datenschutzgesetz für Schweizer Webseitenbetreiber (DSGVO)
Teile dies