Wir haben vor knapp einem Jahr darüber berichtet und jetzt wird die Sache noch klarer: EV-Zertifikate sind ihr Geld nicht mehr wert. Zumindest was die Nutzung auf Websites angeht. Dafür sorgen Änderungen in den neuesten Versionen der Webbrowser Chrome und Firefox.
Mit Chrome 77 (verfügbar ab 10.09.2019) und Firefox 70 (verfügbar ab 22.10.2019) wird die im EV-Zertifikat hinterlegte Firma nicht mehr in der Adresszeile angezeigt. Nach der Entfernung des sogenannten «grünen Balkens» geht’s mit dieser Änderung den EV-SSL-Zertifikaten endgültig an den Kragen.
In Chrome 76 ist der Firmenname bereits ausgegraut und verschwindet in Chrome 77 komplett.
In Firefox 69 ist der Firmenname noch grün markiert. In Firefox 70 verschwinden die Angabe komplett.
EV-Zertifikate mögen bei ihrer Lancierung eine gute Idee gewesen zu sein, mittlerweile sind sie es nicht mehr. Das haben unzählige Experimente bewiesen, die die von EV-Zertifikaten versprochenen Sicherheitsmerkmale ausgehebelt haben. Mit dem Verschwinden des Firmennamens aus der Adresszeile ist für Nutzerinnen und Nutzer nicht mehr auf den ersten Blick erkennbar, ob es sich um ein teures Extended-Validated-Zertifikat (EV) oder doch um ein Domain-Validated-Zertifikat (DV) handelt, wie es zum Beispiel die kostenlosen SSL-Zertifikate von Let’s Encrypt sind.
Wieso eigentlich SSL-Zertifikate?
Mit dem Wegfall der zusätzlichen Merkmale für EV-SSL-Zertifikate fragen Sie sich vielleicht, warum wir im Web überhaupt SSL-Zertifikate einsetzen. Die Sicherheitszertifikate bieten im Web-Gebrauch 3 grundsätzliche Mehrwerte:
Vertraulichkeit: Sensible Daten wie Passwörter werden mithilfe eines SSL-Zertifikats verschlüsselt übertragen.
Integrität: Auf dem Weg zwischen Absender und Empfänger kann der Inhalt nicht verändert werden. Das Einschleusen schädlicher Inhalte oder unerwünschter Werbung durch Dritte ist damit nicht möglich.
Authentizität: Ein SSL-Zertifikat garantiert, dass Sie mit der Domain kommunizieren, die in der Adresszeile sichtbar ist.
Verschwinden EV-SSL-Zertifikate tatsächlich?
EV-Zertifikate können selbstverständlich weiterhin genutzt werden und wir gehen davon aus, dass Zertifikateanbieter, zumindest vorerst, weiterhin Extended-Validation-Zertifikate verkaufen werden. Die Nachprüfung, ob es sich um ein EV-SSL-Zertifikat handelt, ist nämlich weiterhin möglich. Wer es genau wissen möchte, kann sowohl in Chrome als auch Firefox mithilfe eines Klicks erfahren, ob es sich um ein EV-Zertifikat handelt und auf welchen Firmennamen das Zertifikat ausgestellt ist.
Ein Klick auf das Schlosssymbol verrät, auf welchen Firmennamen das SSL-Zertifikat ausgestellt ist.
Dem Grossteil der Web-Nutzerinnen und -Nutzer dürfte das Wegfallen der Firmeninformationen in der Adresszeile aber schlichtweg nicht auffallen. Und das ist der Hauptgrund, weshalb sich die Entwickler-Teams hinter Chrome und Firefox für diesen Schritt entschieden haben.
Unser Tipp: Seien Sie vorsichtig bei Anbietern, die Ihnen auch weiterhin EV-Zertifikate mit veralteten Argumenten wie dem «grünen Balken» oder des sichtbaren Firmennamens verkaufen wollen. Sind Sie nicht zwingend darauf angewiesen, dass Ihr SSL-Zertifikat zusätzliche Informationen wie den Firmennamen enthält, bieten kostenlose SSL-Zertifikate von Let’s Encrypt genau so viel Vertraulichkeit, Integrität und Authentizität, wie die teureren Alternativen.
Wer ausserhalb unserer Öffnungszeiten auf Hilfe in Bezug auf sein Hosting angewiesen ist, musste bislang Geduld haben. Zwar kommt es gar nicht so selten vor, dass wir Supporttickets auch ausserhalb unserer Öffnungszeiten beantworten und unseren Kunden damit oft «aus der Patsche» helfen können, doch eine Garantie für Hilfe ausserhalb unserer Supportzeiten gab es bisher nicht.
Wer also mitten in der Nacht dringend auf ein Backup angewiesen war, eine DNS-Zone verhauen oder mit einem Update seine Website lahmgelegt hatte, wusste sich entweder selber zu helfen oder machte die Faust im Sack, bis er oder sie am darauffolgenden Morgen auf unsere Hilfe zählen konnte.
Der Notfall-Service hilft – rund um die Uhr
Ab heute ändert sich das. Wer ausserhalb unserer Öffnungszeiten Hilfe benötigt, dem steht neu unser Notfall-Service zur Verfügung. Das Prinzip dahinter ist simpel: Notfall-Formular im my.cyon ausfüllen und kompetente Hilfe erhalten – rund um die Uhr.
Notfall-Service statt SLA
Wir bei cyon mögen es gerne einfach: Wer Hilfe benötigt, soll sie auch bekommen. Und zwar unabhängig davon, ob er oder sie im Vorfeld für teures Geld ein Service Level Agreement (SLA) gekauft hat. Deshalb steht unser Notfall-Service all unseren Kunden zur Verfügung, egal, ob es sich um ein Webhosting, einen Speed- oder Agencyserver handelt.
Nach dem Absenden des Notfall-Service-Formulares im my.cyon wird eine ganze Alarmkette in Gang gesetzt und zum Beispiel Pikett-Mitarbeitende aufgeboten. Die Kosten werden dabei verursachergerecht pro Notfallauftrag erhoben. Pro Auftrag sind das jeweils CHF 250, inkl. 30 Minuten Arbeit. Für jede weitere 30 Minuten kommen CHF 100 dazu.
Am 14. September 2019 gastiert die Schweizer WordPress-Community im Technopark Zürich. Dort findet nach 2015 wieder ein WordCamp statt. WordCamps sind Konferenzen, die von der WordPress-Community veranstaltet werden. Naturgemäss dreht sich dabei alles um das beliebte Content-Management-System (CMS). WordCamps werden in allen Ecken dieser Welt veranstaltet und tragen einen grossen Teil dazu bei, dass WordPress mit Abstand das meistbenutzte Content-Management-System der Welt ist.
Wir sind dieses Jahr wieder Sponsor der Schweizer WordCamp-Ausgabe und werden am 14. September 2019 mit einem Stand vor Ort sein.
13.09.19: Contributor Day – Zu WordPress beitragen
Traditionell findet einen Tag vor dem eigentlichen Event der sogenannte Contributor Day statt. An diesem Tag können Sie als Nutzerin und Nutzer von WordPress selbst zu WordPress beitragen. Zum Beispiel mit Code um den WordPress-Core zu verbessern, als Designer, um die Weiterentwicklung des WordPress-Interfaces voranzutreiben oder mit Übersetzungen, um die Software noch zugänglicher zu machen. Die Möglichkeiten der Mithilfe sind vielfältig. Und dank der Unterstützung von erfahrenen Personen aus der Community sind auch Neulinge in kurzer Zeit bereits produktive WordPress-Contributors. Für den Contributor Day stellt die Agentur Liip ihre Räumlichkeiten zur Verfügung. Sämtliche Informationen zum Contributor Day gibt’s auf der WordCamp-Website.
14.09.19: WordCamp Zürich 2019 – Tickets zu gewinnen
Am Samstag, 14.09.2019 findet dann der Main-Event in den Räumen des Zürcher Technoparks statt. Bereits die WordCamp-Ausgaben 2014 und 2015 (damals noch unter dem Namen WordCamp Switzerland bekannt) gastierten im Technopark. Die perfekte Location für diesen Event, wie wir finden.
Der genaue Event-Zeitplan wird in den nächsten Tagen bekanntgegeben, die ersten Speakers sind aber bereits bekannt. Die Vorfreude ist, nicht nur bei uns, gross:
Reguläre Tickets sind zum Preis von CHF 25.-/Stück direkt auf der WordCamp-Website erhältlich.
Mit etwas Glück schicken wir Sie gratis ans WordCamp Zürich 2019, denn wir verlosen 2 x 1 Ticket unter unseren Leserinnen und Lesern. Die Teilnahme an der Verlosung ist simpel:
Verraten Sie uns in einem Kommentar unter diesem Beitrag, welches Ihre liebste Glacé-Sorte ist. Kommentare die bis 01.09.2019, 23:59 Uhr eintreffen, nehmen automatisch an der Verlosung teil.
Update 02.09.2019: Herzlichen Glückwunsch an unsere Gewinner Martina und Roger. Wir wünschen viel Spass am WordCamp :)
Was Glacé übrigens mit WordCamp zu tun hat, erfahren WordCamp-Besucherinnen und -Besucher dann vor Ort 😉
Fast jede Website verfügt über eine Datenschutzerklärung. Die meisten Cookie-Banner verlinken auf eine Datenschutzerklärung. Im Übrigen ist die Datenschutzerklärung in der Fusszeile einer Website verlinkt.
Wieso benötigt eine Website eine Datenschutzerklärung?
Im Datenschutzrecht gilt immer der Grundsatz der Transparenz: Die Beschaffung von Personendaten und der Zweck oder die Zwecke, für den oder die diese Personendaten bearbeitet werden, müssen für die betroffenen Personen erkennbar sein, wie es das heutige schweizerische Datenschutzgesetz (DSG) formuliert (Art. 4 Abs. 4 DSG).
Personendaten sind alle Angaben, die sich auf eine bestimmte oder bestimmbare Person beziehen (Art. 3 lit. a DSG). Betroffene Personen sind jene Personen, deren Personendaten beschafft und bearbeitet werden (Art. 3 lit. b DSG). Bearbeiten umfasst jeden Umgang mit Personendaten (Art. 3 lit. e DSG).
Der Betrieb einer Website ohne die Bearbeitung von Personendaten ist kaum denkbar. So können bereits IP-Adressen, die in Server-Logdateien erfasst werden, Personendaten darstellen. Das gängige Mittel, um die Besucherinnen und Besucher einer Website über die Beschaffung und Bearbeitung ihrer Personendaten zu informieren, ist die Veröffentlichung einer Datenschutzerklärung.
Eine Datenschutzerklärung ist, wie der Name sagt, eine Erklärung. Es geht um Information. Eine Datenschutzerklärung ist deshalb kein Vertrag, in den eingewilligt werden muss. Es ist ein typischer Fehler, dass man sich die Einwilligung in eine Datenschutzerklärung bestätigen lässt, allenfalls sogar ausdrücklich mit einem Kästchen.
Welche Informationen muss eine Datenschutzerklärung enthalten?
Die betroffenen Personen müssen einerseits informiert werden, welche Personendaten beschafft werden, wie, wofür und wo die Personendaten bearbeitet werden und wohin die Personendaten übermittelt werden. Dazu gehören beispielsweise Informationen über die Verwendung von Cookies, Server-Logdateien und Zählpixel, aber auch über den Einsatz von Kontaktformularen, Newslettern sowie Diensten von Google und anderen Dritten, wie sie auf Websites gängig sind.
Die betroffenen Personen müssen andererseits informiert werden, welche Rechte ihnen das Datenschutzrecht gibt. Dazu zählen beispielsweise das Recht auf Auskunft und das Recht auf Widerspruch. Die DSGVO verlangt ausserdem, dass die Rechtsgrundlagen der Datenbearbeitung genannt werden.
Die DSGVO nennt folgenden Mindestinhalt für eine Datenschutzerklärung:
Name und Kontaktdaten des Verantwortlichen, das heisst des Website-Betreibers
Kontaktdaten eines allfälligen betrieblichen oder externen Datenschutzbeauftragten
Kontaktdaten eines allfälligen EU-Datenschutz-Vertreters
Zwecke, für die Personendaten bearbeitet werden
Dauer, für welche die Personendaten gespeichert werden, oder zumindest die Kriterien für die Festlegung der Dauer
Rechtsgrundlagen für die Datenbearbeitung, zum Beispiel die überwiegenden berechtigten Interessen des Website-Betreibers gemäss Art. 6 Abs. 1 lit. f DSGVO
Empfänger der beschafften Personendaten
beabsichtigte Übermittlung von Personendaten in ein Drittland und inwiefern dort ein angemessener Datenschutz gewährleistet ist
Information über eine allfällige automatisierte Entscheidungsfindung einschliesslich Profiling
Aufklärung, inwiefern die Bereitstellung von Personendaten zwingend erforderlich ist, zum Beispiel aus rechtlichen Gründen oder für die Erfüllung von bestimmten Verträgen
Recht auf Auskunft, Recht auf Berichtigung oder Löschung sowie Recht auf Datenübertragbarkeit
Recht auf Einschränkung der Datenbearbeitung sowie Recht auf Widerspruch gegen die Datenbearbeitung
Recht auf Widerruf nach erfolgter Einwilligung
Recht auf Beschwerde bei einer Datenschutz-Aufsichtsbehörde
Diese umfassenden Informationen sind gemäss DSGVO «in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln.» Das revidierte DSG geht weniger weit, doch ist es empfehlenswert, sich auch für Datenschutzerklärungen an der DSGVO als «Goldstandard» zu orientieren.
Es gibt unterschiedliche Meinungen, wie genau die Vorgaben der DSGVO umzusetzen sind. Je ausführlicher beispielsweise eine Datenschutzerklärung ausfällt, desto eher wird sie nicht gelesen. Das Erstellen einer Datenschutzerklärung ist nicht nur eine Rechtsfrage, sondern gleichzeitig immer auch eine Stilfrage.
Dennoch sollte eine Datenschutzerklärung alle Punkte gemäss dem vorgeschriebenen Mindestinhalt abdecken. Ansonsten riskieren Website-Betreiber unerwünschten Kontakt mit betroffenen Personen, Datenschutz-Aufsichtsbehörden und Konsumentenschutz-Organisationen. Abmahnungen im Datenschutzrecht sind möglich, bislang aber wesentlich seltener als im Urheberrecht.
In jedem Fall ist wichtig, dass eine Datenschutzerklärung immer aktuell, richtig und vollständig ist. Um den Inhalt nicht ausufern zu lassen, kann auf weitergehende Informationen verlinkt werden. Es ist nicht zwingend, nur eine allgemeine Datenschutzerklärung zu veröffentlichen. Es wäre beispielsweise denkbar, für den Newsletter-Versand eine zusätzliche Datenschutzerklärung zu veröffentlichen.
Da eine Datenschutzerklärung immer aktuell sein muss, ist es unsinnig, sie mit einem Datum zu versehen. Ein Datum führt dazu, dass eine Datenschutzerklärung sofort als veraltet erkennbar ist. So gibt es viele Datenschutzerklärung mit dem Datum vom 25. Mai 2018, denn an diesem Datum wurde die DSGVO anwendbar. Die Wahrscheinlichkeit, dass eine solche Datenschutzerklärung heute noch aktuell und richtig ist, halte ich für gering.
Was sind typische Inhalte einer Website-Datenschutzerklärung?
Jede Website ist anders und damit auch die Datenschutzerklärung. Es gibt aber einige typische Inhalte, wie sie in fast jeder Website-Datenschutzerklärung aufgeführt werden müssen.
In der Website-Datenschutzerklärung muss der Verantwortliche für die Datenbearbeitung – üblicherweise der Website-Betreiber – genannt werden. Normalerweise handelt es sich um die gleichen Angaben wie im Impressum, das heisst mindestens die Firma oder der Name, die Adresse und eine E-Mail-Adresse müssen genannt werden.
Ausserdem müssen ein allfälliger EU-Datenschutz-Vertreter gemäss Art. 27 DSGVO und ein allfälliger Datenschutzbeauftragter genannt werden. Ein Datenschutzbeauftragter ist für Unternehmen mit weniger als 10 Mitarbeitern meist nicht erforderlich. Hingegen benötigen viele Schweizer Websites einen EU-Datenschutz-Vertreter, insbesondere weil sich ihr Angebot auch an Personen in Deutschland, im Fürstentum Liechtenstein oder anderswo im Europäischen Wirtschaftsraum (EWR) richtet. Angebote, die kostenlos sind, fallen auch unter dieses sogenannte Marktortprinzip.
Ob für eine einzelne Website ein EU-Datenschutz-Vertreter benannt werden muss, kann mit dem Online-Fragebogen von Datenschutzpartner ermittelt werden. (Datenschutzpartner ist ein Angebot, an dem ich mit meiner Anwaltskanzlei beteiligt bin.)
Für fast alle Websites werden Personendaten mit Cookies, Server-Logdateien und Zählpixeln bearbeitet. Darüber muss informiert werden.
Informiert werden muss über vorhandene Kontaktmöglichkeiten, zum Beispiel über Kontaktformulare, sowie über die Bearbeitung von Personendaten für Newsletter. Bei einem Newsletter ist zu beachten, dass für den E-Mail-Versand sowie die Erfolgs- und Reichweitenmessung grundsätzlich die Einwilligung der Empfängerinnen und Empfänger eingeholt werden muss. Bei Kontaktformularen hingegen ist meist keine Einwilligung erforderlich.
Weiter muss über Dienste von Dritten, die in die Website eingebunden werden, informiert werden. Dazu zählen Dienste für Analytics und Tracking wie beispielsweise Google Analytics oder Hotjar, Inhalte und Plugins von Social Media-Plattformen wie beispielsweise Facebook oder Instagram, Newsletter-Dienste wie beispielsweise CleverReach oder MailChimp sowie Dienste für Kartenmaterial, Schriftarten oder Videos wie beispielsweise Google Maps, Adobe Fonts oder Vimeo und YouTube. Auch Website-Komponenten, die bei Dritten gehostet werden, müssen erwähnt werden, zum Beispiel Spamschutz mit Google reCAPTCHA oder die Verwendung von jQuery.com.
Bei Diensten von Dritten im Ausland wie auch bei der Übermittlung von Personendaten in ein Drittland muss informiert werden, inwiefern dort ein angemessener Datenschutz gewährleistet ist. Aus schweizerischer Sicht stammen fast alle Dienste, die in Websites eingebunden werden, von Anbietern im Ausland.
Einfach ist dieser Punkt mit Blick auf den EWR und die Schweiz, die einen gemeinsamen Datenraum bilden, weil das Datenschutzrecht gegenseitig als angemessen anerkannt wird. In den USA hingegen ist – wenn überhaupt – ein angemessener Datenschutz insbesondere gewährleistet, wenn sich der jeweilige Anbieter freiwillig dem Privacy Shield unterworfen hat oder vertragliche Absicherungen bestehen.
Bei einigen Diensten von Dritten ist der Website-Betreiber gemeinsam mit dem Dritten verantwortlich, so zum Beispiel bei Social Plugins von Facebook. Eine solche gemeinsame Verantwortlichkeit gilt mutmasslich für alle Dienste, bei denen Personendaten nicht ausschliesslich im Auftrag des Website-Betreibers bearbeitet werden, das heisst insbesondere für fast alle kostenlosen Dienste von Dritten.
Wo in der Welt ein angemessener Datenschutz besteht, findet man beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) und bei der Europäischen Kommission (EU-Kommission). Die Privacy Shield List enthält alle amerikanischen Anbieter, bei denen grundsätzlich ein angemessener Datenschutz gewährleistet ist. Aus schweizerischer Sicht muss beachtet werden, dass es amerikanische Anbieter gibt, die sich dem Privacy Shield nur in Bezug auf die EU unterworfen haben, so dass aus schweizerischer Sicht kein angemessener Datenschutz gewährleistet ist.
Wie findet man heraus, welche Dienste von Dritten verwendet werden?
Ein häufiges Problem ist, dass Website-Betreiber gar nicht wissen, welche Personendaten auf ihrer Website beschafft werden, wieso und wofür die Personendaten bearbeitet werden und wohin die Personendaten übermittelt werden.
Wer seine Website selbst entwickelt und pflegt, sollte eigentlich über die entsprechenden Informationen verfügen. Allerdings binden viele Website-Betreiber unzählige Dienste von Dritten gedankenlos ein. Teilweise enthalten auch Plugins, wie sie insbesondere im WordPress-Umfeld beliebt sind, Dienste von Dritten, ohne sie zu deklarieren.
Auch Web-Agenturen liefern ihren Kundinnen und Kunden häufig nicht die benötigten Informationen, zum Beispiel zur genauen Konfiguration von Google Analytics. Man darf von Web-Agenturen keine (kompetente) Rechtsberatung erwarten, aber sie sollten die Bearbeitung von Personendaten auf einer Website zu Händen ihrer Kundinnen und Kunden immer dokumentieren. Sie sollten ausserdem die Veröffentlichung und Verlinkung einer Datenschutzerklärung sowie ein allfälliges Cookie-Banner vorsehen.
Letztlich ist aber jeder Website-Betreiber selbst dafür verantwortlich, den Datenschutz auf der jeweiligen Website zu gewährleisten. Dazu gehört im Zweifelsfall eine aktuelle, richtige und vollständige Datenschutzerklärung.
Einiges an Informationen über die verwendeten Dritt-Dienste kann man durch Surfen auf der Website herausfinden. So sind beispielsweise Banner von Google AdSense, Karten von Google Maps oder Videos von YouTube problemlos sichtbar. Fortgeschrittene Website-Betreiber nutzen die Browser-Konsole oder Content-Blocker wie beispielsweise uBlock Torrent, um weitere Informationen zu erhalten. Content-Blocker zeigen an, welche Dritt-Dienste eingebunden sind.
Ausserdem gibt es nützliche Online-Dienste, welche versuchen, die Bearbeitung von Personendaten, insbesondere mit Cookies und Diensten von Dritten, zu ermitteln. Besonders empfehlenswert sind Webbkoll und PrivacyScore.
Viele Anbieter von Dritt-Diensten, unter anderem Facebook und Google, schreiben die Informationen der betroffenen Personen ausdrücklich vor. Beispiel: Ziffer 7 der Nutzungsbedingungen von Google Analytics.
Wie erstellt man am einfachsten eine Website-Datenschutzerklärung?
Das Wissen, welche Personendaten auf einer Website beschafft sowie wie, wofür und wo solche Personendaten bearbeitet werden, müssen Website-Betreiber in Form einer Datenschutzerklärung sammeln und veröffentlichen. Dieses Wissen ist deshalb das A und O für jede gelungene Datenschutzerklärung.
Wer selbst nicht weiss, wie man eine Datenschutzerklärung erstellt und keine Fachperson beauftragen möchte, nutzt mit Vorteil eine aktuelle Vorlage. Solche Vorlagen gibt es in zwei empfehlenswerten Varianten:
Die veröffentlichten eigenen Datenschutzerklärungen von Behörden und Fachpersonen haben im besten Fall Vorbildcharakter. Allerdings sollten Datenschutzerklärungen von anderen Websites immer nur als Inspiration dienen, wenn der jeweilige Website-Betreiber beurteilen kann, ob der Inhalt rechtssicher ist und für die eigene Website passt. Viele fehlerhafte oder zumindest unsinnige Formulierungen verbreiten sich rasant im Internet, weil Datenschutzerklärungen ohne das erforderliche Wissen kopiert und verwendet werden.
Andererseits gibt es sogenannte Datenschutz-Generatoren, mit denen man online Datenschutzerklärungen erstellen kann. Bei den meisten Datenschutz-Generatoren muss man auswählen oder beantworten, welche Personendaten für die jeweilige Website beschafft sowie wie, wofür und wo diese bearbeitet werden. Die meisten Datenschutz-Generatoren sind ganz oder teilweise kostenlos nutzbar, weil sie als Werbung für andere – kostenpflichtige – Angebote dienen. Einige Datenschutz-Generatoren sind kostenpflichtig, werden dafür aber aktuell gehalten sowie ergänzt und verbessert.
Viele Datenschutz-Generatoren, die aufgrund der Geltung der DSGVO per 25. Mai 2018 auf den Markt geworfen wurden, werden sichtbar nicht mehr gepflegt. Ein Alarmzeichen ist beispielsweise, wenn das eingestellte Google+ ausgewählt werden kann oder nicht mehr existierende Anbieter von Diensten wie die Google Inc. oder gar die YouTube LLC genannt werden.
Bei deutschen Datenschutz-Generatoren besteht aus schweizerischer Sicht das Problem, dass die abweichende Rechtslage in der Schweiz nicht ausreichend berücksichtigt wird. Deutsche Datenschutz-Generatoren gehen normalerweise davon aus, dass die DSGVO und allenfalls das deutsche Bundesdatenschutzgesetz (BDSG) vollumfänglich anwendbar sind. Wer eine entsprechende Datenschutzerklärung veröffentlicht, riskiert, die eigene Website freiwillig und vollumfänglich der DSGVO zu unterstellen, ohne dazu verpflichtet zu sein. In der Folge verfügen betroffene Personen über wesentlich mehr Rechte im Vergleich zum schweizerischen Datenschutzrecht. Zum Teil versprechen deutsche Datenschutz-Generatoren, auch für die Schweiz zu funktionieren, doch zeigen sich im Ergebnis meistens Fehler.
Datenschutz-Generatoren, die nicht aktuell gehalten werden oder nicht zur Schweiz passen, waren für mich der Anlass, mich mit meiner Anwaltskanzlei am Datenschutz-Generator von Datenschutzpartner zu beteiligen. Dieser Datenschutz-Generator richtet sich ausdrücklich an Website-Betreiber in der Schweiz (und nur in der Schweiz) und berücksichtigt das tatsächlich anwendbare Datenschutzrecht für die jeweilige Website. Erstellte Datenschutzerklärungen können geändert, ergänzt oder neu erstellt werden.
Die Veröffentlichung einer erstellten Datenschutzerklärung sollte auf einer eigenen Seite erfolgen und nicht gemeinsam mit dem Impressum oder gar in Allgemeinen Geschäftsbedingungen (AGB). Die Datenschutzerklärung sollte auf jeder einzelnen Seite der betreffenden Website verlinkt werden, üblicherweise als «Datenschutz» oder «Datenschutzerklärung» in der Fusszeile. Es sollten alle Sprachen unterstützt werden, in denen die Website abrufbar ist.
Auf einleitende Texte im Stil von «Der Schutz Ihrer Daten ist uns wichtig» oder «Gemäss Artikel 13 der Bundesverfassung» sollte man verzichten. Solche Texte haben rechtlich keine Bedeutung und wirken auf die meisten Besucher einer Website nicht glaubwürdig.
Was sind häufige Fehler bei Datenschutzerklärungen?
Wer nicht weiss, was er tut, begeht zwangsläufig Fehler beim Erstellen von Datenschutzerklärungen. Jenseits vom Fall, dass noch gar keine Datenschutzerklärung besteht, sind insbesondere folgende Fehler häufig zu beobachten:
Schweizerische Websites unterstellen sich freiwillig und vollständig der DSGVO und sonstigem ausländischem Recht, halten aber die entsprechenden Pflichten nicht ein
Inhalt der Datenschutzerklärung ist sichtbar veraltet, allenfalls allein schon aufgrund einer Datumsangabe
Weblink zur Datenschutzerklärung ist nicht auffindbar, zum Beispiel, weil der Weblink in einem Menü versteckt ist
Weblink zur Datenschutzerklärung wird verdeckt, zum Beispiel durch ein Banner oder ein responsives Layout-Element
Inhalt der Datenschutzerklärung ist unvollständig, häufig betroffen sind eingebundene Dritt-Dienste
Inhalt der Datenschutzerklärung ist falsch, zum Beispiel wird eine Anonymisierung von IP-Adressen behauptet, die gar nicht erfolgt
Datenschutzerklärung behauptet Einwilligungen, die nicht erteilt wurden und allein durch die Erwähnung in der Datenschutzerklärung auch nicht rechtswirksam erteilt werden können
Ausdrückliche Einwilligung in die Datenschutzerklärung, wodurch diese zu einem Vertrag wird und Anpassungen, wie sie bei einer gepflegten Datenschutzerklärung regelmässig vorkommen, wie Vertragsänderungen behandelt werden müssen
Widerspruchsmöglichkeiten funktionieren nicht, zum Beispiel bei Google Analytics, wo das frühere «Opt-out» mit einem JavaScript-Weblink nicht mehr verfügbar ist
Facebook-Seiten und andere Social Media-Präsenz werden nicht erwähnt oder es geht vergessen, die Datenschutzerklärung auf der Facebook-Seite zu verlinken
Schweizerische Websites, die tatsächlich teilweise die DSGVO einhalten müssen, haben keinen EU-Datenschutz-Vertreter benannt
Die Datenschutzerklärung wird einmal erstellt und danach nicht mehr gepflegt, so dass sie im Lauf der Zeit Fehler enthält, unvollständig ist und veraltet wirkt
Datenschutzerklärungen: Don’t panic!
«Don’t panic!» gilt auch für Datenschutzerklärungen. So führt zwar für die meisten Websites kein Weg daran vorbei, eine Datenschutzerklärung zu erstellen, zu veröffentlichen und zu pflegen. Die Datenschutzerklärung ist ein wichtiger Bestandteil, um das Datenschutzrecht einzuhalten. Die perfekte Datenschutzerklärung gibt es aber leider nicht, denn dafür ist das Datenschutzrecht zu ausufernd und widersprüchlich.
Datenschutzerklärungen dienen der Information der betroffenen Personen. Sie sollen wissen, wer ihre Personendaten beschafft sowie wie, wofür und wo diese bearbeitet. Sie sollen ausserdem ihre Rechte kennen, zum Beispiel das Recht auf Auskunft.
Um diese Informationspflichten zu erfüllen, müssen Website-Betreiber wissen, wie Personendaten auf ihren Websites beschafft und bearbeitet werden. Mit diesem Wissen kann eine Datenschutzerklärung erstellt werden, die üblicherweise gut genug ist, sofern die Empfehlungen in diesem Betrag beherzigt und typische Fehler vermieden werden. Wer die Rechtssicherheit verbessern möchte, lässt seine Datenschutzerklärung durch eine qualifizierte Fachperson erstellen oder zumindest überprüfen.
Hinweis: Für Abklärungen im Einzelfall, bei Unklarheiten und im Zweifelsfall empfiehlt sich die Beratung durch eine erfahrene und qualifizierte Fachperson wie beispielsweise einen Rechtsanwalt.
Als wir 2013 mit unserem inzwischen fast schon traditionellen CMS-Ranking begannen, war Joomla! dem Aufsteiger WordPress noch ziemlich genau 10 Prozent voraus. Ein Jahr später sah alles bereits ganz anders aus und änderte sich auch 2015, 2016 oder 2017 nicht mehr: WordPress schwang sich zum Spitzenreiter auf und baut seinen Vorsprung seither kontinuierlich weiter aus.
Das ist auch in unserem 2019er Ranking nicht anders: Inzwischen gehen 72 Prozent der Top-5-CMS-Installationen bei cyon auf das Konto von WordPress. Gegenüber 2017, unserem letzten publizierten Ranking, hat WordPress damit seinen Vorsprung um 7,85 Prozentpunkte ausgebaut. Auch in absoluten Zahlen ist der Vorsprung inzwischen eindrücklich: WordPress wurde über sechsmal häufiger installiert als das auf Platz zwei liegende Joomla!.
Immerhin: Obwohl bereits weit abgeschlagen, verfügt Joomla! noch über einen zweistelligen Prozentanteil, nämlich 12,3 Prozent. Im Vergleich zum Vorjahr haben TYPO3 und Contao die Plätze getauscht: Das vor allem in der deutschsprachigen Community beliebte Contao belegt mit 6,8 Prozent neu Platz 3 und verweist TYPO3 auf den vierten Platz (5,9 Prozent). Drupal liegt mit 3 Prozent, wie bereits 2017, auf Platz 5.
Und International? Auch weltweit beherrscht WordPress die Ranglisten, wie ein Blick zu W3techs oder zu BuilthWith zeigt. Die dort veröffentlichten Zahlen bestätigen auch den Trend bei uns: Während WordPress immer mehr Marktanteile gewinnt, müssen die anderen CMS immer mehr einstecken.
