Das totalrevidierte Datenschutzgesetz (DSG) ist seit geraumer Zeit in aller Munde. Langsam wird es konkret, am 1. September 2023 tritt es in Kraft. Doch es geht mehr als um einen Cookie Banner für deine Webseite. Wir haben die sieben wichtigsten Punkte rund um da Thema DSG zusammengetragen.
Gleich vorneweg: wir sind keine Jurist:innen. Wir haben die folgenden Ausführungen nach besten Wissen und Gewissen gesammelt. wir können jedoch keine Haftung für die Richtigkeit der Inhalte übernehmen.
#1Was ist das DSG?
Das neue Datenschutzgesetz (auch nDSG oder revDSG genannt) soll die Bearbeitung persönlicher Daten verbessern und Schweizer Bürger:innen neue Rechte ermöglichen. Die vorherige Version des Gesetzes kommt aus einer Zeit, in der das Internet noch nicht allgegenwärtig war. Darum wurde diese Anpassung fällig. Auch wollte die Schweiz ihr Datenschutzgesetz an das der EU (siehe auch unser Beitrag zur DSGVO) anpassen.
Konkret sollen die folgenden Verbesserungen erreicht werden:
Generelle Verbesserung der Transparenz
Stärkung der Aufsichtskompetenzen und der Unabhängigkeit des Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB)
Verschärfung der Strafbestimmungen
Berücksichtigung des Datenschutzes bereits bei der Planung der Datenbearbeitung («privacy by design») und durch datenschutzfreundliche Voreinstellungen («privacy by default»)
Pflicht, Datenschutz-Folgenabschätzungen durchzuführen
Das Recht auf Datenherausgabe und -übertragung
Förderung der Datensicherheit und Meldung der Verletzungen der Datensicherheit
Ok wunderbar, aber was heisst das nun für für dich? Zuerst ein paar Erklärungen warum Unternehmen Personendaten verarbeiten.
#2Dein Unternehmen als Datenverarbeiter
Du verwaltest Kundendaten in einem CRM oder kommunizierst mit deinen Kunden via E- Mail? Du betreibst E-Mail-Marketing oder bist geschäftlich in einem sozialen Netzwerk aktiv? Du analysierst die Besucherzahlen deiner Webseite oder wirbst mit Google Adwords und misst dabei Conversions?
Was wir damit sagen wollen: Im Rahmen von Geschäftsbeziehungen zwischen Kunden und Unternehmen fallen in unserer heutigen, digitalen Realität unweigerlich eine Vielzahl von Personendaten an (Vorname, Name, Anschrift, E-Mail-Adresse, Geburtstage, Standortdaten, IP-Adressen, u.v.m).
Besteht nicht bereits ein Vertrag (z.B. eine Shop-Bestellung, ein Dienstleistungsauftrag oder ein Arbeitsvertrag), eine andere rechtliche Verpflichtung oder ein «berechtigtes Interesse» deines Unternehmens (z.B. Direktwerbung), ist eine Einwilligung des Betroffenen erforderlich.
Kurz gesagt: das DSG betrifft alle Unternehmen, da alle Unternehmen auf irgendeine Weise Personendaten verarbeiten.
#3Was ändert sich beim neuen DSG?
Datenbearbeitung im Unternehmen
Personendaten dürfen grundsätzlich wie bis anhin bearbeitet werden. Die wichtigsten Grundsätze an denen man sich halten sollte sind Transparenz, Zweckbindung und Need-to-know. Wir versuchen diese Stichworte zu erklären.
Unternehmen müssen transparent kommunizieren, aus welchen Gründen sie Personendaten erheben (Transparenz)
Personendaten dürfen nur zum ursprünglichen Zweck verwendet werden (Zweckbindung)
Angestellte vom Unternehmen dürfen nur so viele Personendaten einsehen, wie sie für ihre Auftrageserfüllung benötigen (Need-to-know)
Neu muss der Datenschutz aber schon in der Konzeptionsphase von neuen Dienstleistungen und Produkten berücksichtigt werden (Privacy by Design) und bei konkreten Anwendungen muss immer die datenschutzfreundlichere Variante voreingestellt sein (Privacy by Default).
Auch werden die Informationspflichten über die Datenverabeitung im Unternehmen deutlich strenger. Eine Datenschutzverordung wird quasi Pflicht. Was sind das für Pflichten?
Informationspflichten
Es wird erforderlich, dass Personen, deren Daten gesammelt werden, über die Art und den Zweck der Verarbeitung ihrer Daten informiert werden. Dies wird in der eigenen Datenschutzverordnung beschrieben. Und diese sollte auch (aber nicht nur) auf der eigenen Webseite veröffentlicht werden. Am besten an einem Ort, wo sie immer sichtbar ist (z.B. als Link im Footer der Webseite) und es sollte möglich sein, auf die Datenschutzverordnung zu verlinken. So kann überall, wo personenbezogene Daten gesammelt werden, auf die Datenschutzverordnung verwiesen werden.
Auskunftsrecht
Zusätzlich haben Personen umfangreichere Rechte, was ihre Personendaten angeht. Dies sind beispielsweise das Auskunftsrecht über seine Daten im Unternehmen oder das Recht auf Vergessen, also das Löschen der Daten, wenn sie nicht mehr gebraucht werden. Diese Rechte sollten in der Datenschutzverordnung auch berücksichtigt werden.
Und was bedeutet das alles für deine Webseite?
#4Was muss ich als Webseiten-Inhaber machen?
Die Webseite deines Unternehmens dient zur digitalen Kontaktaufnahme mit potentiellen und bestehenden Kunden, zukünftigen Mitarbeitenden und vielen anderen. Oft werden dabei umfassend Daten erhoben.
In der nachfolgenden Auflistung findest du typische Fälle einer Datenerhebung. Sie sollen dir dabei helfen, die für deine Datenschutzerklärung relevanten Datenverarbeitungsprozesse auf deiner Webseite zu identifizieren.
Kontakt-Formulare und E-Mail
Bewerbungen
Bestellungen im Shop
Kommentarfunktion
Anmeldedaten für einen geschützten Bereich (Benutzer-Verwaltung)
Alle diese Prozesse solltest du dokumentieren (Daten, Zweck, Dauer) und in die Datenschutzerklärung aufnehmen. Lösche zudem nicht mehr verwendete Daten nach einer gewissen, vordefinierten Zeit.
Bei der Daten-Übermittlung an Dritt-Unternehmen handelt es sich um die Einbindung von Inhalten von externen Online-Diensten wie zum Beispiel:
Google Maps
YouTube oder Vimeo Videos
Social Share-Widget zum Liken und Teilen von Beiträgen bei Facebook, Twitter, Instagram und Co.
Web-Schriftarten von Google, fonts.com oder Adobe Typekit
Newsletter-Anmeldung von MailChimp und Co.
Auswertung der Besucherzahlen mit Google Analytics
Auswertung von Conversions mit Google Adwords, Facebook Pixel
usw.
In all diesen und vielen anderen Fällen werden personenbezogene Daten (je nach Dienst die IP-Adresse, E-Mail-Adresse, der Standort und andere Angaben) deiner Webseiten-Besucher an ein Dritt-Unternehmen übermittelt und von diesem verarbeitet.
Es ist in deiner Verantwortung, die Konformität mit den Bestimmungen der DSG zu verifizieren und die Besucher deiner Webseite zu informieren.
Doch welche externe Online-Dienste sind auf jeden Fall in deiner Cmsbox Webseite?
#5Was macht die cmsbox?
Die Cmsbox GmbH ist für den Betrieb und das Hosting deiner Webseite zuständig. Damit wir unsere Dienstleistungen bereitstellen, überprüfen und verbessern können, sammeln wir ebenfalls personenbezogene Daten. Und zwar die folgenden:
Server-Aufzeichnungen
Die Server-Infrastruktur erfasst bei jedem Aufruf deiner Unternehmens-Webseite eine Reihe von allgemeinen Daten zum Zugriff, welche in sogenannten Logfiles gespeichert werden. Erfasst werden:
der Name der abgerufenen Webseite
die URL
Datum und Uhrzeit des Abrufs
übertragene Datenmenge
Meldung über erfolgreichen Abruf
Browsertyp und Version
das Betriebssystem des Nutzers
Referrer URL (die zuvor besuchte Seite)
die IP-Adresse des Nutzers
Diese Daten werden benötigt, um die Funktionsfähigkeit und Sicherheit unseres Systems zu überprüfen und zu gewährleisten.
Matomo
Wir verwenden bei allen Cmsbox-Webseiten das Tracking-System Matomo (ehemals PiWiK) zur Auswertung von Besucherzahlen. Diese Datenerhebung unterstützt uns beim Betrieb und der Verbesserung der technischen Infrastruktur, kann auf expliziten Wunsch auch deaktiviert werden. Die Erfassung der Daten erfolgt pseudonymisiert, womit kein Rückschluss auf einen Besucher mehr möglich ist. Die zugrundeliegenden Aufzeichnungen werden zudem nach 180 Tagen gelöscht. Ein Opt-out Mechanismus für die Besucher deiner Webseite ist unter diesem Link verfügbar.
reCaptcha
Die Formulare von Cmsbox-Webseiten werden von Google reCaptcha v3 vor unberechtigtem Versand durch Roboter geschützt. Es ist technisch unumgänglich, dass hierfür eine Vielzahl von personenbezogenen Daten an Google übertragen werden. Google hat sich verpflichtet, einen angemessenen Datenschutz zu gewährleisten. Daher ist bei jedem Formular ein entsprechender Hinweis («protected by reCaptcha») mit einem Link auf die Datenschutzerklärung von Google platziert.
#6Was ist mit dem Cookie Banner?
Ein Obligatorium für einen Cookie Banner ist weder in der DSGVO noch im DSG erwähnt. Zwar dienen Cookies, also die kleinen Textdateien mit Identifizierungsmerkmalen auf deinem Computer, massgeblich der Datensammlung, aber sie sind nur technisches Mittel zum Zweck. Im Vordergrund steht bei der DSG jedoch die Information der Betroffenen. Also, welche Daten zu welchem Zweck erhoben werden und ob dies mit oder ohne Einwilligung oder gar nicht erlaubt ist. Nur nebensächlich ist deshalb WIE die Erhebung technisch genau geschieht.
Sofern du also Daten erhebst, und dies alles «im Rahmen des berechtigten Interesses» geschieht, ist ein Cookie Banner (noch) keine Pflicht.
Falls du trotzdem einen Cookie Banner möchtest, melde dich. Unsere Lösung entspricht dem «privacy by default» Grundsatz und ist erst noch gratis für dich. Idealerweise sendest du uns auch gleich einen Text, den du gerne im Cookie Banner hättest und den Link zu deiner Datenschutzerklärung.
#7Unsere Handlungsempfehlungen
Die Erstellung einer vollständigen und verständlichen Datenschutzerklärung können wir nicht für dich übernehmen. Auch können wir keine Schritt für Schritt Anleitung geben was bis am 1. September 2023 zu tun ist. Wir würden dir aber die folgenden Schritte empfehlen:
Setze dich mit den Bestimmungen von dem DSG auseinander und sensibilisiere dein Unternehmen im Umgang mit personenbezogenen Daten.
Dokumentiere deine Datenverarbeitungsprozesse und prüfe die Erfüllung der Anforderungen gemäss DSG. Pragmatisch aber nachhaltig heisst die Devise. Beauftrage zudem eine Fachperson oder kompetenten Anbieter mit der Erstellung einer Datenschutzerklärung. Eine allgemeine Vorlage kann bspw. mit einem der vielen Generatoren (siehe Links weiter unten) erstellt, den Prozessen angepasst und von einer Fachperson ergänzt werden.
Dokumentiere Datenübermittlungen von personenbezogenen Daten an dein Unternehmen. Überprüfe deine Webseite auf die Einbindung von externen Online-Diensten (siehe was macht die cmsbox). Melde dich bei uns, wenn du nicht sicher bist, welche externen Dienste du sonst noch auf der Webseite hast. Ergänze und veröffentliche deine Datenschutzerklärung auf der Webseite.
Du siehst, grundsätzlich ist es nicht so eine Sache. Aber wie eingangs erwähnt, geht es eben um mehr als nur um einen Cookie Banner. Wenn du Fragen hast, versuchen wir dir gerne weiterzuhelfen, wenn wir können.
Weitere Informationen findest du auch auf unserer Linksammlung
Link-Sammlung:
Unsere Link-Sammlung zu den Datenschutzplattformen der wichtigsten Online-Diensteanbietern:
Google (Maps, YouTube, Google+, Fonts, uvm.): https://privacy.google.com/intl/de_ALL/
Google Analytics: Anonymisierung der IP-Adresse: https://support.google.com/analytics/answer/2763052?hl=de (empfohlen und wird durch Cmsbox bei allen bestehenden Kunden vorgenommen)
Google Analytics: Auftragsdatenverarbeitungsvertrag: http://www.google.com/analytics/terms/de.pdf > Zustimmung in den Kontoeinstellungen von Google Analytics (empfohlen)
Vimeo: https://vimeo.com/privacy
Facebook/Instagram: https://www.facebook.com/business/gdpr
Twitter: https://gdpr.twitter.com/de.html
Mailchimp: Gültige Einwilligung von Newsletter-Abonnenten einholen: https://kb.mailchimp.com/accounts/management/collect-consent-with-gdpr-forms
Mailchimp: Auftragsdatenverarbeitungsvertrag: https://mailchimp.com/legal/data-processing-addendum/ (empfohlen)
Adobe (Typekit und andere Dienste): https://www.adobe.com/ch_de/privacy.html
Generator für Muster-Datenschutzerklärung: https://www.ratgeberrecht.eu/leistungen/muster-datenschutzerklaerung.html#Generator
KI-Generator für Datenschutzerklärungen https://www.privacybee.ch/
Link zum DSG https://www.fedlex.admin.ch/eli/cc/2022/491/de#art_22
Cookie Banner - ja oder nein? https://www.hostpoint.ch/blog/das-neue-dsg-und-der-cookie-banner-wirrwarr-was-gilt-denn-nun-eigentlich/
Disclaimer
Wir hoffen, mit diesen Informationen, basierend auf unserer eigenen Recherche, mehr Klarheit zur DSG und deren Folgen für dein Unternehmen und deine Webseite zu schaffen. Aber wir möchten dich nochmals daran erinnern, dass wir Informatiker und keine Juristen sind. Unsere Einschätzung ist keine Rechtsberatung und ersetzt diese auch nicht! Wende dich für Detailfragen zur DSG und deren Umsetzung bitte an deinemn Rechtsbeistand. Für die Vollständigkeit, Aktualität und Richtigkeit unserer Angaben können wir keine Haftung übernehmen.
Die Informationen von diesem Blogbeitrag haben wir von den folgenden Webseiten entnommen:
Wir arbeiten mit Hochdruck an einer Lösung zur Behebung der Probleme.