Vorweg: Verbindlichkeit & Rechtssicherheit
innosolutions ist spezialisiert auf smarte Internetlösungen und kümmert sich um alles, was damit zusammenhängt - dazu gehört auch der Datenschutz. Doch sind wir keine Juristen und können deshalb keine verbindliche Rechtsberatung anbieten.
Die folgenden Informationen sind nach bestem Wissen und Gewissen zusammengetragen und aus unserer z. T. technischen Sicht und aktuellem Wissenstand formuliert, erheben jedoch keinerlei Anspruch auf Vollständigkeit, rechtliche Korrektheit oder gar rechtliche Verbindlichkeit. |
So wichtig Datenschutz auch sein mag und trotz aller guten Gedanken hinter dem Gesetz, ist dessen Umsetzung vor allem eins: Realitätsfremd. Dies wird vor allem dann offensichtlich, wenn man sich nicht nur mit den wohl wünschenswerten juristischen Zielen, sondern auch mit den technischen Aspekten und deren Benutzerfreundlichkeit - kurz: der Realität - auseinandersetzt. Und dass sich eine Kleinst-KMU genau gleich um diese Themen kümmern sollen, wie es ein internationaler Grosskonzern, der aktiv Daten sammelt, tun muss, kann schlichtweg nicht im Sinne einer sinnvollen und verhältnismässig umsetzbaren Gesetzgebung liegen - steht dies doch irgendwie im Widerspruch zum gesunden Menschenverstand.
Da es noch keine Rechtspraxis gibt (ohne praktische Umsetzung gibt es auch noch keine Gerichtsurteile), sind die aktuell im Web kursierenden Informationen generell nur bedingt verlässlich, handelt es sich dabei doch um Meinungen (z. T. sogar sehr unterschiedliche) Einschätzungen und Empfehlungen, aufgrund von theoretischen (und manchmal schlicht absurden) Interpretationen eines Gesetzes. Von Rechtssicherheit kann also ohnehin (noch) keine Rede sein.
Doch ist auch klar, dass Urteile nächstens folgen werden, die sich dann wiederum auf die Anwendung der Bestimmungen auswirken. Ob realitätsfremd oder nicht, ob sinnvoll oder nicht - und ob es uns passt oder nicht: Sowohl Webdesigner wie auch Webseitenbetreiber müssen sich mit dem Thema DSGVO auseinandersetzen - leider auch in der Schweiz.
Ausgangslage - um was geht es überhaupt?
Die Europäische Union hat mit der Datenschutz - Grundverordnung (DSGVO | englisch: GDPR) die Basis für ein zeitgemässes Datenschutzrecht gelegt. Nach 2-jähriger Übergangsfrist ist die Verordnung am 25.05.2018 in allen EU-Staaten gleichzeitig und sogar weitgehend einheitlich in Kraft getreten.
Die Schweiz wird die Grundsätze der DSGVO aus diversen Gründen in das eigene Datenschutzrecht übernehmen müssen. Der entsprechende neue Gesetzesentwurf liegt vor, die parlamentarischen Verhandlungen sind im Gange. Abhängig von den politischen Prozessen, dürfte die "Schweizer DSGVO" - vorsichtig voraussichtlich - per Mitte 2019 in Kraft treten.
Firmen, die sich bereits jetzt auf die DSGVO einstellen leisten also schon mal Vorarbeit. Bei Inkraftreten der Schweizer Gesetzesversion profitieren sie so von einem Vorsprung und damit einer erheblichen Zeitersparnis (und bis dann wohl auch von einer einschlägigen Rechtspraxis)
WICHTIG: Ungeachtet der aktuellen Schweizer Rechtslage, gelten Bestimmungen des DSGVO seit dem 25. Mai 2018 in vielen Fällen auch für Schweizer Unternehmen / Webseitenbetreiber.
Welche Schweizer Unternehmen sind von der DSGVO betroffen?
Schweizer Unternehmen müssen sich gemäss EJPD an die DSGVO halten, wenn sie
- personenbezogene Daten von natürlichen Personen verarbeiten, die sich in der EU befinden, und falls die Verarbeitung dazu dient:
- diesen Personen Waren oder Dienstleistungen anzubieten (gegen Bezahlung oder unentgeltlich),
oder - das Verhalten dieser Personen zu verfolgen, sofern dieses Verhalten (das der Personen) in den Mitgliedstaaten der EU erfolgt (Art. 3 Abs. 2 Buchst. a und b DSGVO).
Viele (wohl die meisten) Schweizer KMU liefern keine Waren oder Dienstleistungen in die EU. Doch damit ist es eben nicht erledigt: Wer nämlich z. B. Google Analytics im Einsatz hat (und das sind eigentlich alle), um seine Webseiten-Zugriffe zu tracken, der "verfolgt" potentiell bereits Personen in der EU bereits dann, wenn sie lediglich die Seite aufrufen.
Was müssen die betroffenen Firmen unternehmen?
Schweizer Unternehmen, die von der neuen EU-Verordnung betroffen sind, müssen - gem. EJPD - seit dem 25. Mai 2018 folgende Pflichten erfüllen:
- informieren und die Einwilligung der Person einholen, deren Daten verarbeitet werden
- "Privacy by design" und "Privacy by default" garantieren
- einen Vertreter in der EU benennen
- ein Verzeichnis der Verarbeitungstätigkeiten erstellen
- Verletzungen des Datenschutzes an die Aufsichtsbehörde melden
- eine Datenschutz-Folgenabschätzung durchführen
- bei Verstössen gegen die DSGVO Bussgelder zahlen.
Danke, EJPD - jetzt ist alles klar. ;-). Wohl eher nicht - und genau das ist das Problem. Wir versuchen deshalb, diese 7 Punkte nachfolgend irgendwie in die Praxis zu überführen:
1. Informieren und die Einwilligung der Person einholen
Es geht darum, die Besucher über Ihre Rechte zu informieren und Ihr Einverständnis dafür einzuholen, dass relevante Daten gespeichert / verwendet werden dürfen.
Als ein neue, noch grössere und idiotischere Version des "Cookie-Disclaimer"? Eher nicht - es gibt sogar Stimmen, die sogar explizit von einem solchen "Cookie-Banner" abraten. In der Schweiz - mit der nach wie vor geltenden "Opt-Out-Praxis" ist ein Cookie-Banner nach wie vor NICHT erforderlich.
Sicher ist aber: Zumindest jeder professionelle Internetauftritt benötigt eine Datenschutzerklärung. Wie das mit der Einwilligung der Besucher zu dieser Erklärung in der Praxis laufen muss, bleibt abzuwarten.
Hier zeigt sich bereits jetzt: Wer hier bloss an seine rechtliche Absicherung denkt und die Besucher gleich mal mit x Datenschutz-Disclaimer bombardiert und so das Benutzererlebnis komplett ignoriert, macht sich logischerweise sehr unbeliebt.
2. "Privacy by design" / "privacy by default" garantieren
Kann in "Alt-Deutsch" in etwa bedeuten: Sie haben sicherzustellen, dass der Datenschutz ohne ausdrückliches Verlangen der Besucher wirkungsvoll und "nach den Regeln der Kunst" betrieben wird.
- Sammeln Sie nur Daten, dies sie wirklich benötigen*
- Schützen Sie die gesammelten Daten "state of the art"
- Leiten oder gar verkaufen Sie die gesammelten Daten nicht weiter
* Bezüglich Datensammlung gilt (ohnehin): "So wenig wie möglich, soviel wie nötig". Betreiben Sie keine Datensammlerei der blossen Datensammlung willen, sondern bloss soweit, wie Sie die Daten für den Zweck Ihres Auftritts oder der Erfüllung Ihrer offensichtlichen Geschäftstätigkeit tatsächlich benötigen. Im DSGVO-Jargon spricht man hier von einem "berechtigten Interesse".
Haben Sie Sie z. B. das berechtigte Interesse, das Geburtsdatum Ihrer Newsletter-Abonnenten abzufragen? Wenn Sie keinen Alkohol oder andere "Erwachsenen-Ware" verkaufen wohl eher nicht - dann fragen Sie am besten gar nicht erst danach.
3. Einen (Datenschutz-)Vertreter in der EU beauftragen
Dieser Punkt dürfte für die meisten Schweizer Unternehmen wegfallen (freiwillig bleiben): Sind weniger als 10 Personen (wer definiert eine solche Zahl und auf welcher Grundlage?) ständig mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt, muss gem. Verordnung kein Datenschutzbeauftragter in der EU benannt werden.
Hier gibt es erfrischenderweise auch mal wieder gegenteilige Meinungen. Klarheit werden wohl nur die ersten Gerichtsurteile schaffen.
4. Verzeichnis der Verarbeitungstätigkeiten erstellen
Dieser Punkt hingegen betrifft auch Schweizer Unternehmen, gerade wenn auf einem Internetauftritt Analyse-Tools wie z. B. GoogleAnalytics eingesetzt werden und auf jeden Fall, wenn Sie GoogleAdwords-Kampagnen über Ihre Website betreiben.
Dieses "Verzeichnis" ist mühsamerweise individuell pro Auftritt zu erstellen (eine "Copy-Paste-Datenschutzerklärung" reicht nicht) dürfte in der Datenschutzerklärung untergebracht werden. Es beinhaltet die Auflistung sämtlicher eingesetzter (externer) Services, die Daten nicht anonymisiert verarbeiten.
Hierzu werden Sie die Hilfe Ihrer Webagentur benötigen, da dies ganz tief ins Technische gehen kann. Wobei der technische Aspekt bloss eine Seite ist. Denn welche Daten die (externen) Services wie speichern und verarbeiten, weiss schlussendlich nur der Service-Betreiber selber.
5. Verletzungen des Datenschutzes an die Aufsichtsbehörde melden
Sieht auf den ersten Blick klar aus: Ist Ihr Auftritt gehackt worden, müssen Sie dies innerhalb von 72 Stunden der Aufsichtsbehörde melden. Auf den zweiten Blick bleiben aber auch hier Fragen offen wie
- Die zuständige Aufsichtsbehörde in der Schweiz ist die EDÖB. Doch wie sieht der Melde-Prozess konkret aus? Oder kann es denn sogar sein, das eine Schweizer Unternehmung einer EU-Meldestelle rapportieren müsste?
- Wie können Sie wissen, ob z. B. bei einem Hack Ihrer Seite, (welche) personenbezogene Daten gestohlen wurden?
Sollten Sie gehackt worden sein, sollten Sie auch die Meldestelle des Bundes (MELANI) informieren bzw. je nach Vergehen bei der fedpol Meldung erstatten.
6. Eine Datenschutz-Folgenabschätzung durchführen
Verarbeiten Sie besonders schützenswerte Daten (z. B. im Bereich Medizin und selbstvertändlich eben "mit berechtigtem Interesse"), müssen Sie Ihre Datenverarbeitung durch einen Datenschutzbeauftragten prüfen und auf ihre Rechtmässigkeit bewerten lassen.
7. Bei Verstössen gegen die DSGVO Bussgelder zahlen
Tönt total furchterregend und ist zweifellos der Grund für den DSGVO-Last-Minute-Hype. Ist dies aber auch tatsächlich zu befürchten?
Solange in der Schweiz kein eigenes Gesetz in Kraft ist bzw. kein Kooperationsabkommen mit der EU besteht (haben wir hier offenbar noch nicht?!), dürfte die Eintreibung von Bussgeldern durch eine Aufsichtsbehörde der EU innerhalb der Schweiz in der Praxis sehr schwer durchsetzbar sein. Ob "schwer durchsetzbar" aber auch "unmöglich" bedeutet? Darauf verlassen sollte man sich trotz allem Nationalstolz nicht, denn selbstverständlich wird die EU konsequenterweise alles daran setzen, ihre geschädigten Bürger zu schützen.
Bei Unternehmen, die über einen Sitz bzw. einen Datenschutzbeauftragten innerhalb der EU verfügen, ist die Ausgangslage bezüglich Bussen selbstverständlich klar: Die Bussen können ohne Wenn und Aber eingefordert werden.
Was muss / kann ich nun tatsächlich unternehmen?
Detailliert und einigermassen "rechtssicher" müssen diese Fragen von einem Schweizer Juristen beantwortet werden. Seien Sie sich dabei aber bewusst, dass auch dieser noch keine grosse Umsetzungspraxis haben kann und sich - wohl in den meisten Fällen - weder mit technischen Möglichkeiten / Schwierigkeiten, geschweige den mit "Benutzerfreundlichkeit" auskennt.
Hier unsere - nach aktuellen Wissenstand - allgemeinen Empfehlungen im Bereich "Web" für nicht international tätige Schweizer KMU, die z. T. bereits jetzt auch praktisch umgesetzt werden können/müssen:
- Zunächst: Cool bleiben
Lassen Sie sich nicht in Panik versetzen. Wenn Sie nicht gerade einer der 3 grössten Schweizer Online-Stores oder eine Bankenlizenz besitzen, werden Sie mit allergrösster Wahrscheinlichkeit nicht seit 26. Mai bereits mit Abmahnungen aus der EU bombardiert und zu hohen Bussen verurteilt worden sein, bloss weil Sie GoogleAnalytics ohne DSGVO-konforme Datenschutzerklärung am Laufen haben.
Doch annehmen müssen Sie sich der Datenschutzsache mittelfristig auf jeden Fall. - Information: Selbstdeklaration als "Zeichen des guten Willens"
Publizieren Sie eine für Ihren Internetauftritt erstellte Datenschutzerklärung, die von jeder Unterseite aus aufrufbar ist. Schliessen Sie darin ein Verzeichnis aller Services (z. B. GoogleMaps, Instagram, GoogleFotos, GoogleWebfonts etc.) ein, welche relevante Daten sammeln und verarbeiten. Achten Sie darauf, dass der Link auf ihre Datenschutzerklärung nicht von einem (in der Schweiz ohnehin sinnfreien) Cookie-Banner überlagert wird.
Legen Sie offen, welche Daten die von Ihnen eingesetzten Services (z. B. der Webserver selber, ihre Formulare, ihr Shop-Profil, ihr Newsletter etc.) sammeln und warum dies passiert. - Einwilligung / Opt-In: Wer die Antwort nicht scheut, fragt einfach
Erweitern Sie Ihre Kontakt- Bestell- und Newsletter-Anmeldeformulare etc. mit einer entsprechenden Einwilligung (Opt-In - Checkbox, über die der Besucher seine ausdrückliche Einwilligung für die Erfassung und Verarbeitung seiner Daten erteilt). - "Rechtsmittelbelehrung" und Opt-Out: Ziehen lassen, wer gehen will...
Klären Sie die Besucher proaktiv über ihre Rechte auf. Bieten Sie Ihren Besuchern die Möglichkeit, Einblick in ihre Daten zu erhalten und / oder diese löschen zu lassen (per Anfrage oder per Löschfunktion, z. b. im internen Bereich Ihrer Seite / Ihres Shops). - GoogleAnalytics: An diesen Massnahmen führt kein Weg vorbei
5.1 Akzeptieren Sie zunächst den Auftragsverarbeitungsvertrag mit Google.
5.2 Weisen Sie die Benutzer auf den Einsatz von Analytics hin und
5.3 stellen Sie sicher, dass die gesammelten IP-Adressen von Google "pseudonymisiert" werden (Eingriff in Tracking-Code nötig).
5.4 Weisen sie auf die "Opt-Out-Möglichkeiten" in Bezug auf Google Analytics hin (Browser-Addons) oder per Opt-Out-Link, z. B. in der Fusszeile oder in der Datenschutzerklärung. - War's das "schon"?
Jein, neue Erkenntnisse werden sich laufend ergeben - wir bleiben aber für Sie dran...
Derweil können wir aber von folgenden panischen Massnahmen abraten:
Einfach Cookie-Banner einschalten, mit DSGVO-Text versehen und gut ist?
Nein (zum Glück!). Der Banner ist in der Schweiz auch weiterhin nicht nötig - und in Bezug auf die DSGVO gleichermassen auch nicht ausreichend bzw. unter Umständen sogar eher kontraproduktiv. Und vom Benutzererlebnis sprechen wir mal besser gar nicht.
EU-Länder prophylaktisch aussperren und gut eidgenössisch einigeln?
Netter Versuch, doch denken Sie auch an die DSGVO-geschützten EU-Bürger, die in der Schweiz leben und Ihren Auftritt trotzdem aufrufen... ;-). Sicher ist das jedenfalls nicht (Stichwort: Web-Proxy).
Internetauftritt vom Netz nehmen bis sich das DSGVO-Wetter wieder bessert?
Wohl die sicherste Umsetzung der DSGVO. Aber unterstehen Sie sich, damit Ihr sorgsam aufgebautes Google-Ranking auf's Spiel zu setzen! Bevor Sie sich (und vorher Ihre Kunden) unglücklich machen oder vor lauter Panik gar ins DarkNet abtauchen, fragen Sie vorher besser jemanden, zum Beispiel uns ... :-)
Kann mir innosolutions hier weiterhelfen?
Ja, selbstverständlich gerne! Wir können Sie zwar nicht bei der detaillierten Rechtsberatung unterstützen, dafür aber bei der konkreten praktischen Umsetzung der allgemeinen und auch durch Ihren Juristen definierten, spezifisch für Ihre Unternehmung geltenden Massnahmen.
Die Informationen auf dieser Seite sind nach bestem Wissen und Gewissen zusammengetragen und aus unserer z. T. technischen Sicht und aktuellem Wissenstand formuliert, erheben jedoch keinerlei Anspruch auf Vollständigkeit, rechtliche Korrektheit oder gar rechtliche Verbindlichkeit. |
© 2018 innosolutions - Verweis / Link nur auf Anfrage - Datenschutzerklärung
Kommentare
0 Kommentare
Bitte melden Sie sich an, um einen Kommentar zu hinterlassen.