DSGVO in der Schweiz

Die neue DSGVO der EU (Datenschutz-Grundverordnung der Europäischen Union) ist am 25. Mai 2018 in Kraft getreten. Die gesetzlichen Vorgaben sind kompliziert und deren Handhabung und Anwendungen sind selbst für Juristinnen und Juristen in Schweizer Firmen eine Herausforderung. Als Schweizer Blog-Betreiber mit viel Unternehmergeist muss auch ich mich an die Vorgaben halten. Gründest Du ein Start-up, kommst Du heute wohl kaum um Deine eigene Webseite herum. Aber was genau muss man dabei nun beachten?

Was ist die DSGVO?

Die Datenschutz-Grundverordnung (DSGVO) ist eine EU-Verordnung, die am 25.05.2018 in Kraft getreten ist. Sie dient dem Schutz personenbezogener Daten. Die DSGVO gilt für alle Unternehmen mit Sitz in der Schweiz, die personenbezogene Daten von Bürgerinnen und Bürgern der EU erheben, verarbeiten oder nutzen. Mehr dazu auf Wikipedia.

Bin ich von der DSGVO betroffen?

Vor mehr als einem Jahr habe ich mich daher mit der DSGVO (auf Englisch GDPR) auseinandersetzen müssen. Bin ich als Schweizer Webseiten-Betreiber betroffen? Ja, denn das EU-Datenschutzrecht kommt zur Anwendung, wenn personenbezogene Daten von Personen verarbeitet werden, die sich in der EU befinden. Obschon ich keine Waren oder Dienstleistungen an Kunden in der EU verkaufe, richtet sich mein „kostenloses Angebot“ alleine schon dadurch auch an EU-Mitglieder, dass meine Webseite in Deutsch (eine Sprache der EU) verfasst wird. Sobald also ein Besucher über Google oder Social Media auf meine Webseite kommt, verarbeitet der Server, auf dem die Webseite gehostet wird, gewisse Daten, sprich die IP-Adresse, welche laut DSGVO/GDPR als personenbezogene Daten gelten.

Werden Google Analytics oder ein Facebook-Pixel verwendet, so werden Informationen entsprechend auch an Google oder Facebook weitergegeben.

Sobald dieser Besucher sich anschliessend auch noch zu meiner Newsletter anmeldet, werden weitere personenbezogenen Daten verarbeitet (E-Mail-Adresse und Vorname) – teilweise auch durch Drittanbieter, wie Mailchimp … und hier wird die Sache erst richtig kompliziert. Also nichts für einen Laien. Dennoch sollte man sich der Thematik bewusst sein.

Experten-Interview mit Dr. Noemi Schöni

Durch meine Tätigkeit bei der Weblaw AG, war es mir möglich, eine kurze Weiterbildung für Schweizer Webseiten-Betreiber mit der Juristin und Unternehmensberaterin Dr. Noemi Schöni zu organisieren und ihr die zentralen Fragen zu stellen. Hier kannst Du Dir das Webinar in voller Länge anschauen.

Link zur Webseite von Dr. Noemi Schöni: https://dixpo.ch/

Obschon ich selber kein Jurist bin, habe ich aus den vermittelten Informationen aus dem BrownBag-Webinar und weiteren Recherchen, die folgende Checkliste für mich erstellt, die einzelnen Punkte umgesetzt und meinen Blog hoffentlich damit DSGVO-sicher gemacht.

DSGVO Schweiz Checkliste

Dies sind die Punkte, welche ich für meinen Blog gesammelt habe:

  1. Komplette Angaben über die Firma. In der Schweiz dient hierzu das Impressum, welches Du auch mit diesem Generator erstellen kannst.
  2. Liste mit Namen und Links zu den Datenschutzerklärungen aller 3. Anbieter (Zulieferer z.B. Amazon, Mailchimp, Facebook-, Google-Analytics) und deren Zweck (z.B. Affiliate-Links, Newsletter, Pixel zur Optimierung von Ads, Besucherstatistiken).
  3. Informationen über die Art/Zweck der Cookies die gespeichert werden und die Möglichkeit diese abzulehnen.
  4. Die Möglichkeit anbieten, alle gespeicherten Daten zu erhalten (Auskunft).
  5. Die Möglichkeit anbieten, alle gespeicherten Daten zu löschen.
  6. Sicherstellen, dass nicht mehr Daten gespeichert werden, als für die Funktionen benötigt werden.
  7. Den Vorbehalt, die Datenschutzerklärung zu ändern.
  8. Dokumentation der Datenverarbeitungsprozesse, Datensicherheit (Verschlüsselungen, wer hat Zugriff), ggf. lokale Sicherheit und Backups.
  9. Wo genau überall die Daten gespeichert werden (inkl. Backups und Firewall-Logs (enthalten meist die IP) und alle anderen Daten, welche nicht anonymisiert sind.
  10. Verwende ein SSL-Protokoll zum verschlüsselten Datentransfer (z. B. für Formulare) und speichere keine “Plaintext”-Passwörter.
  11. Notfallplan “Was geschieht bei Datendiebstahl” dokumentieren.
  12. Einen Datenschutz-Verantwortlichen bestimmen.
  13. Alle “Bemühungen, die DSGVO einzuhalten” dokumentieren und eine auf der Webseite verlinkte Datenschutzerklärung erstellen.

Disclaimer: Da ich kein Jurist bin, kann ich für die vermittelten Informationen keine Haftung oder Verantwortung übernehmen. Falls Du eine(n) Datenschutzverantwortliche(n) suchst, dann melde Dich doch bei Dr. Noemi Schöni oder bei einer Anwaltskanzlei, welche die entsprechende Dienstleistung anbietet.

Einhaltung der DSGVO unter WordPress

Die Einhaltung der DSGVO ist also nicht ganz einfach. Da selbst eine Cookie-Benachrichtigung eine gewisse Herausforderung darstellt, verwende ich dazu ein Plugin namens WP DSGVO Tools (GDPR). Dieses ist eines von vielen Tools, die durch den Druck in kürzester Zeit auf dem Markt erschienen sind. Dieses kann:

  • Erstellung des Cookie-Pop-ups
  • Erstellung der Cookie-Benachrichtigung
  • Kontrolle der Dienste
  • Kontrolle von Einbettungen
  • Generierung der Informationen zum Datenschutz
  • Erstellung des Impressums

Ich habe jedoch das Impressum den Richtlinien der Schweiz angepasst. Die Datenschutztexte werden automatisch generiert und fortlaufend auf die Rechtssprechung angepasst. Da die Gesamtrevision des schweizerischen Datenschutzgesetzes noch aussteht, jedoch in der Endphase befindet, denke ich, ist diese vorübergehende Lösung ein guter Mix zwischen Aufwand und Resultat – bis wir auch Klarheit in der Schweiz haben.

Mit der Revision des schweizerischen Datenschutzgesetzes wird sich wahrscheinlich noch vieles ändern. Daher solltest Du Dich regelmässig über die Erneuerungen informieren, um bei einem Datendiebstahl Deine Anstrengungen, die Daten sicher aufzubewahren, vorweisen kannst.

Schreibe einen Kommentar

Datenschutz
Ich, Marc Dietschi (Wohnort: Schweiz), verarbeite zum Betrieb dieser Website personenbezogene Daten nur im technisch unbedingt notwendigen Umfang. Alle Details dazu in meiner Datenschutzerklärung.
Datenschutz
Ich, Marc Dietschi (Wohnort: Schweiz), verarbeite zum Betrieb dieser Website personenbezogene Daten nur im technisch unbedingt notwendigen Umfang. Alle Details dazu in meiner Datenschutzerklärung.