Die neue DSGVO der EU (Datenschutz-Grundverordnung der Europäischen Union) ist am 25. Mai 2018 in Kraft getreten. Die gesetzlichen Vorgaben sind kompliziert und deren Handhabung und Anwendungen sind selbst für Juristinnen und Juristen in Schweizer Firmen eine Herausforderung. Als Schweizer Blog-Betreiber mit viel Unternehmergeist muss auch ich mich an die Vorgaben halten. Gründest Du ein Start-up, kommst Du heute wohl kaum um Deine eigene Webseite herum. Aber was genau muss man dabei nun beachten?
Was ist die DSGVO (GDPR)?
Die Datenschutz-Grundverordnung (DSGVO) ist eine EU-Verordnung, die den Schutz personenbezogener Daten regelt. Sie trat am 25. Mai 2018 in Kraft und gilt seitdem in allen EU-Mitgliedstaaten. Die DSGVO gilt für alle Unternehmen, die personenbezogene Daten verarbeiten, einschliesslich der Verarbeitung von Daten im Internet.
GDPR steht für “General Data Protection Regulation” und ist der englische Name der Datenschutz-Grundverordnung (DSGVO).
Die DSGVO legt fest, dass personenbezogene Daten nur unter bestimmten Voraussetzungen verarbeitet werden dürfen, z.B. wenn der Betroffene eingewilligt hat oder wenn die Verarbeitung für die Erfüllung eines Vertrags erforderlich ist. Die DSGVO legt auch fest, dass betroffene Personen das Recht haben, ihre personenbezogenen Daten einzusehen, zu ändern oder zu löschen, sowie das Recht auf Datenübertragbarkeit und das Recht auf Widerspruch gegen die Verarbeitung ihrer Daten.
Die DSGVO setzt hohe Anforderungen an die Sicherheit und Integrität personenbezogener Daten und verpflichtet Unternehmen, alle angemessenen technischen und organisatorischen Massnahmen zu ergreifen, um die Sicherheit der Daten zu gewährleisten. Unternehmen, die gegen die DSGVO verstossen, riskieren hohe Bussgelder.
Die DSGVO gilt für alle Unternehmen mit Sitz in der Schweiz, die personenbezogene Daten von Bürgerinnen und Bürgern der EU erheben, verarbeiten oder nutzen. Selbst Unternehmen, die Angebote für Bürgerinnen und Bürger der EU anbieten, wobei bereits eine Preisangabe in € auf der Webseite als ein solches Angebot interpretiert werden kann, müssen sich also an die DSGVO halten. Mehr dazu auf Wikipedia.
Bin ich von der DSGVO betroffen?
Vor mehr als einem Jahr habe ich mich daher mit der DSGVO (auf Englisch GDPR) auseinandersetzen müssen. Bin ich als Schweizer Webseiten-Betreiber betroffen? Ja, denn das EU-Datenschutzrecht kommt zur Anwendung, wenn personenbezogene Daten von Personen verarbeitet werden, die sich in der EU befinden. Obschon ich keine Waren oder Dienstleistungen an Kunden in der EU verkaufe, richtet sich mein „kostenloses Angebot“ alleine schon dadurch auch an EU-Mitglieder, dass meine Webseite in Deutsch (eine Sprache der EU) verfasst wird. Sobald also ein Besucher über Google oder Social Media auf meine Webseite kommt, verarbeitet der Server, auf dem die Webseite gehostet wird, gewisse Daten, sprich die IP-Adresse, welche laut DSGVO/GDPR als personenbezogene Daten gelten.
Werden Google Analytics oder ein Facebook-Pixel verwendet, so werden Informationen entsprechend auch an Google oder Facebook weitergegeben.
Sobald dieser Besucher sich anschliessend auch noch zu meiner Newsletter anmeldet, werden weitere personenbezogenen Daten verarbeitet (E-Mail-Adresse und Vorname) – teilweise auch durch Drittanbieter, wie Mailchimp … und hier wird die Sache erst richtig kompliziert. Also nichts für einen Laien. Dennoch sollte man sich der Thematik bewusst sein.
Experten-Interview mit Dr. Noemi Schöni
Durch meine Tätigkeit bei der Weblaw AG, war es mir möglich, eine kurze Weiterbildung für Schweizer Webseiten-Betreiber mit der Juristin und Unternehmensberaterin Dr. Noemi Schöni zu organisieren und ihr die zentralen Fragen zu stellen. Hier kannst Du Dir das Webinar in voller Länge anschauen.
Link zur Webseite von Dr. Noemi Schöni: https://dixpo.ch/
Obschon ich selber kein Jurist bin, habe ich aus den vermittelten Informationen aus dem BrownBag-Webinar und weiteren Recherchen, die folgende Checkliste für mich erstellt, die einzelnen Punkte umgesetzt und meinen Blog hoffentlich damit DSGVO-sicher gemacht.
DSGVO Schweiz Checkliste
Dies sind die Punkte, welche ich für meinen Blog gesammelt habe:
- Komplette Angaben über die Firma. In der Schweiz dient hierzu das Impressum, welches Du auch mit diesem Generator erstellen kannst.
- Liste mit Namen und Links zu den Datenschutzerklärungen aller 3. Anbieter (Zulieferer z.B. Amazon, Mailchimp, Facebook-, Google-Analytics) und deren Zweck (z.B. Affiliate-Links, Newsletter, Pixel zur Optimierung von Ads, Besucherstatistiken).
- Informationen über die Art/Zweck der Cookies die gespeichert werden und die Möglichkeit diese abzulehnen.
- Die Möglichkeit anbieten, alle gespeicherten Daten zu erhalten (Auskunft).
- Die Möglichkeit anbieten, alle gespeicherten Daten zu löschen.
- Sicherstellen, dass nicht mehr Daten gespeichert werden, als für die Funktionen benötigt werden.
- Den Vorbehalt, die Datenschutzerklärung zu ändern.
- Dokumentation der Datenverarbeitungsprozesse, Datensicherheit (Verschlüsselungen, wer hat Zugriff), ggf. lokale Sicherheit und Backups.
- Wo genau überall die Daten gespeichert werden (inkl. Backups und Firewall-Logs (enthalten meist die IP) und alle anderen Daten, welche nicht anonymisiert sind.
- Verwende ein SSL-Protokoll zum verschlüsselten Datentransfer (z. B. für Formulare) und speichere keine “Plaintext”-Passwörter.
- Notfallplan “Was geschieht bei Datendiebstahl” dokumentieren.
- Einen Datenschutz-Verantwortlichen bestimmen.
- Alle “Bemühungen, die DSGVO einzuhalten” dokumentieren und eine auf der Webseite verlinkte Datenschutzerklärung erstellen.
Weiterführende Links zum Datenschutzgesetz:
- Die DSGVO der EU und ihre Auswirkungen auf die Schweiz (EDÖB – admin.ch PDF)
- DSGVO: Leitlinien, Empfehlungen, bewährte Verfahren des edpb
- YouTube-Kanal der Weblaw AG abonnieren
Disclaimer: Da ich kein Jurist bin, kann ich für die vermittelten Informationen keine Haftung oder Verantwortung übernehmen. Falls Du eine(n) Datenschutzverantwortliche(n) suchst, dann melde Dich doch bei Dr. Noemi Schöni oder bei einer Anwaltskanzlei, welche die entsprechende Dienstleistung anbietet.
Einhaltung der DSGVO unter WordPress
Die Einhaltung der DSGVO ist also nicht ganz einfach. Da selbst eine Cookie-Benachrichtigung eine gewisse Herausforderung darstellt, verwende ich dazu ein Plugin namens WP DSGVO Tools (GDPR). Dieses ist eines von vielen Tools, die durch den Druck in kürzester Zeit auf dem Markt erschienen sind. Dieses kann:
- Erstellung des Cookie-Pop-ups
- Erstellung der Cookie-Benachrichtigung
- Kontrolle der Dienste
- Kontrolle von Einbettungen
- Generierung der Informationen zum Datenschutz
- Erstellung des Impressums
Ich habe jedoch das Impressum den Richtlinien der Schweiz angepasst. Die Datenschutztexte werden automatisch generiert und fortlaufend auf die Rechtssprechung angepasst. Da die Gesamtrevision des schweizerischen Datenschutzgesetzes noch aussteht, jedoch in der Endphase befindet, denke ich, ist diese vorübergehende Lösung ein guter Mix zwischen Aufwand und Resultat – bis wir auch Klarheit in der Schweiz haben.
Mit der Revision des schweizerischen Datenschutzgesetzes wird sich wahrscheinlich noch vieles ändern. Daher solltest Du Dich regelmässig über die Erneuerungen informieren, um bei einem Datendiebstahl Deine Anstrengungen, die Daten sicher aufzubewahren, vorweisen kannst.