Am 1. September 2023 trat das neue bzw. revidierte Datenschutzgesetz (revDSG) in der Schweiz in Kraft, um die Privatsphäre und die Selbstbestimmung von Personen bezüglich ihrer Daten zu stärken. Im Zuge der digitalen Entwicklung gewinnt der grenzüberschreitende Datenfluss an Bedeutung, wobei nun der Bundesrat die Länder auflistet, die einen angemessenen Datenschutz bieten.
Das DSG betont die Transparenz und Kontrolle in der Datenverarbeitung und stärkt die Aufsichts- und Strafmassnahmen bei Datenschutzverletzungen. Datenschutzvorschriften müssen nun bereits in der Planungsphase einer Datenverarbeitung berücksichtigt werden, wobei bei hohem Risiko eine Datenschutz-Folgenabschätzung erforderlich ist.
Was hat sich denn nun geändert?
Am 7. September traf sich die Zürcher WordPress Community wieder im Kreis 5, um sich genau über diese Themen auszutauschen. Rechtsanwalt Martin Steiger referierte über das neue Schweizer Datenschutzrecht.
Behandelte Datenschutz-Themen
- Was gilt wirklich im Zusammenhang mit Einwilligungen und Rechtsgrundlagen für die Bearbeitung von Personendaten?
- Wann wird eine «Consent Management Platform» benötigt, für Cookies und anderes?
- Wie muss über den Daten-Export informiert werden?
- Wie helfen das Data Privacy Framework und andere Garantien beim Daten-Export?
- Wann müssen Datenschutz-Folgenabschätzungen durchgeführt werden?
- Wer muss einen Datenschutzbeauftragten benennen, wer eine Datenschutz-Vertretung?
Cookie-Banner
Vorlage Datenschutzerklärung
Wenn du auf deiner Webseite oder deinem Webshop noch keine Datenschutzerkärung hast, solltest du eine erstellen. WordPress liefert hier bereits eine entsprechende Vorlage, die aber keinen Anspruch auf Rechtssicherheit gewährleistet und noch erweitert werden muss, um die eingesetzten Plugins bzw. 3rd Party Services und Tracker wie Google Fonts, Google Analytics, Google reCATPCHA oder ähnliche Dienste zu berücksichtigen.
Fragen & Antworten zum neuen Datenschutzrecht
Im Anschluss an seinen Vortrag hat Martin Steiger zahlreiche Fragen beantwortet, welche hier in gekürzter Form sinngemäss wiedergegeben werden.
Fehlende Datenschutzerklärung
Websites sollten eine Datenschutzerklärung haben, auch wenn das Fehlen einer solchen nicht sofort zur Deaktivierung der Website führt. Ohne eine solche Erklärung riskiert man jedoch rechtliche Konsequenzen.
Datenschutzerklärung bei Backups
Wenn man Backups für Kunden-Websites erstellt und diese auf OneDrive speichert, muss dies nicht zwingend in der Datenschutzerklärung des Kunden stehen. Allerdings ist ein Auftragsverarbeitungsvertrag zwischen dem Dienstleister und dem Kunden erforderlich.
Datenschutzerklärung vs. AGB
Eine Datenschutzerklärung muss nicht explizit vom Benutzer akzeptiert werden; sie muss nur auffindbar sein. Die AGB hingegen müssen akzeptiert werden.
Datenschutzvertretung
Die Notwendigkeit einer Datenschutzvertretung in der EU gemäss DSGVO ist nicht von der Mitarbeiteranzahl abhängig. Die Mitarbeiterzahl ist hingegen entscheidend bei der Frage, ob man gemäss nDSG ein Verzeichnis der Bearbeitungstätigkeiten führen muss.
Google Analytics und Cookies
Google Analytics kann ohne explizite Zustimmung der Nutzer verwendet werden. Detailinformationen für jedes Cookie sind nicht zwingend erforderlich, besonders nach Schweizer Recht.
Internationale Tätigkeit
Wenn man Kunden in der Schweiz und in Deutschland hat, muss man sich sowohl an schweizerisches als auch an deutsches Recht halten.
Backups in anderen Ländern
Die Speicherung von Backups in der EU oder den USA ist unproblematisch, wenn sie Ende-zu-Ende-verschlüsselt sind. Andernfalls sollte der Datenstandort sorgfältig überlegt werden.
Verschiedene Rechtsräume
Bei grenzüberschreitender Tätigkeit kann man dem Recht mehrerer Länder unterliegen und sollte dies bei der Vertragsgestaltung berücksichtigen.
Detaillierungsgrad der Datenschutzerklärung
Das nDSG verlangt nicht, dass man in der Datenschutzerklärung jeden einzelnen Auftragsverarbeiter und jedes einzelne Cookie nennt. Steiger empfiehlt aber, etwas mehr als nur Minimalangaben zu machen, insbesondere wenn Daten mit Werbenetzwerken geteilt werden.
E-Mail Marketing
Martin Steiger ist ein Anhänger von Permission Marketing. Er warnt davor, unerwünschte Werbe-E-Mails zu senden, besonders in Deutschland, wo das rechtliche Risiken birgt.
Geoblocking
Das Blockieren von Website-Zugriffen aus der EU ist grundsätzlich erlaubt.
Plugins und Datenschutzerklärung
Das Gesetz kennt keine Plugins, aber man sollte über den Datenfluss informieren.
Kontaktdaten
Bei Firmen (GmbH, AG) muss keine Einzelperson als Kontakt angegeben werden.
Mehrere Websites und Datenschutzerklärungen
Man kann für jede Website eine separate Datenschutzerklärung haben, aber es sollte nutzerfreundlich sein.
Verantwortung für Datenschutzerklärung bei Kunden
Wenn der Kunde keine Datenschutzerklärung will, liegt die Verantwortung bei ihm, nicht beim Webdesigner oder Webmaster.
Auftragsbearbeitungsvertrag beim Webhosting
Das Webhosting ist ein klassischer Fall von Auftragsbearbeitung und braucht deshalb einen Auftragsbearbeitungsvertrag. Ob allerdings der Kunde oder die Agentur diesen ABV mit dem Hosting Provider abschliessen muss, hängt davon ab, wie das Verhältnis zwischen Agentur und Kunde geregelt ist.
Datenschutzerklärung für Einzelfirmen
In der Schweiz ist ein Datenschutzberater optional und muss deshalb auch in der Datenschutzerklärung nicht erwähnt werden.. Der Inhaber der Einzelfirma ist für die Datenverarbeitung verantwortlich und kann als Ansprechperson in der Datenschutzerklärung genannt werden. Die Nutzung eines Datenschutzgenerators bietet keine absolute Garantie für eine rechtssichere Datenschutzerklärung
Webseiten für Firmen vs. Vereine
Datenschutzrecht gilt für beide, unabhängig davon, ob die Webseite ehrenamtlich betreut wird oder nicht.
Datenschutzgenerator
Die Nutzung eines Datenschutzgenerators bietet keine absolute Garantie, aber es ist ein guter Anfangspunkt.
Restaurantwebsite und EU-DSGVO
Selbst für lokale Betriebe wie Restaurants kann die EU-DSGVO relevant sein, insbesondere wenn sie Kunden aus der EU anziehen.
Ein Restaurant in Basel könnte schnell unter europäisches Datenschutzrecht fallen, da es in einem Dreiländereck liegt.
Datenschutzbeauftragter und Haftung
Der Datenschutzbeauftragte hat eine beratende Funktion und ist normalerweise nicht haftbar, es sei denn, er übernimmt Entscheidungsbefugnisse.
Veröffentlichung von Fotos
Es ist generell ratsam, im Voraus die Zustimmung der betroffenen Personen einzuholen, sofern man Fotos von diesen Personen veröffentlichen möchte, z.B. nach einem Vereinsanlass. Und wenn eine abgebildete Person nachträglich darum bittet, das Foto zu entfernen, sollte man dieser Bitte nachkommen.
Impressum und Datenschutz
Es ist besser, wenn Impressum und Datenschutz auf getrennten Seiten sind, aber nicht verpflichtend.
Haftung von Einzelpersonen
Ein einzelner Programmierer oder Administrator kann haftbar gemacht werden, insbesondere wenn er schuldhaft handelt. Es gibt sowohl zivilrechtliche als auch strafrechtliche Haftungsmöglichkeiten. Die Erwartung ist, dass man sorgfältig arbeitet und einen gewissen Mindeststandard einhält.
Vertragsformalitäten
Es gibt keinen Formzwang für Verträge; sie können auch elektronisch abgeschlossen werden. Bei der Veröffentlichung von Vertragsbedingungen (wie z.B. einem AVV – Auftragsverarbeitungsvertrag) wäre ein Verweis in den AGB ideal, aber nicht zwingend notwendig.
Credits
- Beitragsbild von Andreas Fischinger
- «Neues Datenschutzrecht tritt heute in Kraft» auf admin.ch
- Zusammenfassung Vortrag Martin Steiger inkl. Fragen und Antworten, sowie weiterführenden Links auf wpzurich.ch
