Websites in der Schweiz: Rechtskonforme Cookies im Einklang mit der neuen EU-Datenschutz-Grundverordnung

Martin Steiger
Autor:

Martin Steiger

Kategorie:

in

Internet & Recht

Veröffentlicht am 4. Okt. 2017

Aktualisiert am 18. März 2024

Ein Gastbeitrag von Rechtsanwalt Martin Steiger, Steiger Legal

Heute gilt für rechtskonforme Cookies auf Websites: «Opt-in» in der Europäischen Union (EU), «Opt-out» in der Schweiz.

Ab dem 25. Mai 2018 ist in der EU die neue Datenschutz-Grundverordnung (EU-DSGVO) anwendbar. Mit der DSGVO wird das Datenschutzrecht in der EU vollständig erneuert. Damit soll der Datenschutz innerhalb der EU gestärkt und vereinheitlicht werden.

Websites in der Schweiz: Rechtskonforme Cookies im Einklang mit der neuen EU-Datenschutz-Grundverordnung

Die DSGVO hat auch Auswirkungen auf die Verwendung von Cookies auf Websites in der Schweiz. Wer die DSGVO nicht einhält, kann mit empfindlichen Geldbussen von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes bestraft werden.

Die DSGVO führt das sogenannte Marktortprinzip ein: Die DSGVO gilt nicht nur in der EU, sondern weltweit für jede Verarbeitung personenbezogener Daten von Personen in der EU, denen man Dienstleistungen oder Waren anbietet oder deren Verhalten man beobachtet.

In der Folge sind fast alle schweizerischen Websites von der DSGVO betroffen, weil sie ihre Nutzerinnen und Nutzer mittels Webtracking beobachten. So dürfte das Tracking mit Google Analytics weitverbreitet sein und es gibt kaum einen Webserver ohne Auswertung von Logdateien mit IP-Adressen.

Cookies in der Datenschutz-Grundverordnung

Die DSGVO enthält keine besonderen Bestimmungen für Cookies. Aber fast alle Cookies fallen ohne weiteres unter die Definition für «personenbezogene Daten» der DSGVO:

«[…] alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen […] identifiziert werden kann [.]»

Für Cookies gilt deshalb – wie für jede Datenverarbeitung gemäss DSGVO – ein Verbot mit Erlaubnisvorbehalt:

Cookies sind nicht rechtmässig, es sei denn, es wird eine der entsprechenden Ausnahmebedingungen der DSGVO erfüllt.

Eine mögliche Bedingung ist die Einwilligung der betroffenen Personen («Opt-in»). In der Praxis ist eine solche Einwilligung aber häufig weder erwünscht noch praktikabel. Ausserdem sind die Anforderungen an Einwilligungen gemäss DSGVO sehr hoch.

Als weitere Bedingung kommt das «berechtigte Interesse» der Website-Betreiberin in Frage. Die DSGVO formuliert diese Bedingung wie folgt:

«Die Verarbeitung ist nur rechtmäßig, wenn die Verarbeitung […] zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich [ist], sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.»

Prüfung der Rechtmässigkeit mit drei Fragen im Einzelfall

Website-Betreiberinnen müssen deshalb für jede Cookie-Verwendung folgende Abwägung beziehungsweise Prüfung im Einzelfall durchführen:

  1. Gibt es ein berechtiges Interesse an der Cookie-Verwendung?
  2. Ist die Cookie-Verwendung erforderlich um das berechtigte Interesse zu wahren?
  3. Überwiegen die Interessen der Website-Anbieter die Interessen der betroffenen Personen am Schutz ihrer Daten?

Sofern alle Fragen bejaht werden, ist die Cookie-Verwendung grundsätzlich rechtmässig. Die Abwägung ist aber nur möglich, wenn vorgängig bestimmt wurde, für welchen Zweck die Cookies bestimmt sind.

Die Anforderungen an das berechtigte Interesse sind nicht hoch. In Frage kommen alle ideellen, rechtlichen oder wirtschaftlichen Interessen. Auch Direktwerbung gilt ausdrücklich als berechtigtes Interesse.

Bei der Erforderlichkeit ist zu prüfen, ob die datenschutzrechtlichen Grundsätze eingehalten werden. Dazu zählt unter anderem, dass personenbezogene Daten nur für eindeutige, festgelegte und legitime Zwecke erhoben werden dürfen. Ausserdem gilt der Grundsatz der Datenminimierung beziehungsweise Datensparsamkeit, das heisst die Datenverarbeitung muss auf das notwendige Mass für den jeweiligen Zweck beschränkt werden.

Bei der Abwägung dürfen insbesondere die «vernünftigen Erwartungen der betroffenen Person» berücksichtigt werden. Welche Interessen überwiegen, hängt im Einzelfall unter anderem davon ab, welche Daten von welchen Personen verarbeitet werden, welchen Zweck die Datenverarbeitung verfolgt, welche Grundrechte betroffen sind und mit welchen Massnahmen die Datensicherheit gewährleistet wird.

«Klassische» Cookies, die der Nutzerfreundlichkeit dienen, dürften in den meisten Fällen rechtmässig sein. Beispiele dafür sind individuelle Einstellungen, die Erkennung von Nutzerinnen und Nutzer ohne erneute Passworteingabe oder Warenkörbe bei Onlineshops. Tracking-Cookies hingegen erfordern eine vertiefte Prüfung. Mit Blick auf die Datensparsamkeit ist die Verwendung von pseudonymen Merkmalen wie beispielsweise Nutzer-IDs empfehlenswert.

Für die Rechtmässigkeit ist es ausserdem erforderlich, die Nutzerinnen und Nutzer auf ihr Widerspruchsrecht hinzuweisen («Opt-out»):

Betroffene Person müssen wissen, dass sie jederzeit der Verarbeitung ihrer personenbezogenen Daten widersprechen können. Ausserdem gibt es einen Rechtsanspruch auf Auskunft, Berichtigung und Löschung. Genannt werden müssen auch Name und Kontaktdaten jener Person, die jeweils für den Datenschutz verantwortlich ist. Dafür ist – wie heute schon – eine Datenschutzerklärung für jede Website notwendig. Hingegen kann man meines Erachtens auf ein Cookie-Banner verzichten.

Änderungen an dieser Rechtslage können sich durch die neue ePrivacy-Verordnung der EU ergeben. Der aktuelle Entwurf sieht unter anderem eine besondere Cookie-Regelung mit «Opt-in» vor, ist aber umstritten. Die ePrivacy-Verordnung soll gleichzeitig mit der EU-DSGVO in Kraft treten, wird aber erst in diesem Herbst im Europäischen Parlament behandelt.

Ausserdem wird das Datenschutzrecht in der Schweiz überarbeitet. Ein erster Vorentwurf von Ende Dezember 2016 war umstritten. Inzwischen hat der Bundesrat die Botschaft und den Entwurf für das revidierte Datenschutzgesetz (DSG) vorgelegt. Die Revision bezweckt insbesondere, mit dem EU-Datenschutzrecht kompatibel zu bleiben.

Empfehlungen für Website-Betreiberinnen in der Schweiz

  • Datenschutz-Grundverordnung der Europäischen Union (EU-DSGVO) im Zweifelsfall bis spätestens am 25. Mai 2018 umsetzen, es sei denn, man ist davon eindeutig nicht betroffen oder entscheidet sich bewusst gegen eine pünktliche Umsetzung.
  • Die Umsetzung der EU-DSGVO betrifft auch Cookies. In jedem Fall muss bestimmt werden, welche Daten man zu welchen Zwecken verarbeiten möchte, da die EU-DSGVO ansonsten gar nicht rechtskonform umgesetzt werden kann.
  • Bei Cookies von Dritten («Third-Party Cookies»), beispielsweise im Rahmen von Google Analytics, ist besondere Vorsicht geboten, zumal die Datenverarbeitung in den USA trotz «Privacy Shield» umstritten bleibt.

Hinweis: Für Abklärungen im Einzelfall, bei Unklarheiten und im Zweifelsfall empfiehlt sich die Beratung durch eine Fachperson wie beispielsweise einen Rechtsanwalt.

Beteilige dich an der Diskussion

61 Kommentare

Silvio Martucci
Silvio Martucci 12. März 2019 10:19

So, nun haben wir März 2019. Diese Seite hier hat keine Cookie Meldung. Auch die Webseite des Bundes, von Digitec, Microspot auch Blick.ch, keiner hat einen Cookie Hinweis. Somit kann man in der Schweiz wohl noch darauf verzichten. Persönnlich würde ich es nur umsetzen wenn ich wirklich gezielt EU Bürger mit meinen Dienstleistungen/Angeboten anspreche. (20min z.B. filtert bereits, ob die Anfrage aus der EU kommt und zeigt nur bei diesen Zugriffen die Meldung.)

Philipp Zeder
Philipp Zeder cyon
14. März 2019 11:39

Cookie-Meldungen bzw. -Banner dürften mit der neuen ePrivacy-Verordnung wieder ein Thema werden. Martin schreibt dazu:

Hingegen kann man meines Erachtens auf ein Cookie-Banner verzichten.

Änderungen an dieser Rechtslage können sich durch die neue ePrivacy-Verordnung der EU ergeben. Der aktuelle Entwurf sieht unter anderem eine besondere Cookie-Regelung mit «Opt-in» vor, ist aber umstritten. Die ePrivacy-Verordnung soll gleichzeitig mit der EU-DSGVO in Kraft treten, wird aber erst in diesem Herbst im Europäischen Parlament behandelt.

Lisa Marti
Lisa Marti 17. Okt. 2018 10:52

Soeben bin ich per Zufall auf diesem Beitrag gelandet und habe mir die entsprechende Diskussion zu Gemüte geführt. Ich muss sagen, ich habe selten so überhebliche Antworten eines Experten gelesen wie die von Herrn Steiger. Natürlich hat er im Grundsatz mit allem Recht, was er schreibt. Und ja, gewisse Kommentatoren stellen sehr naive Fragen. Jedoch sollte Herr Steiger bitte von seinem hohen Ross herunterkommen. Man kann förmlich sehen, wie er beim Antworten mit den Augen rollt. Hey, hier kommentieren zum Teil Menschen, die mit dem Thema komplett überfordert sind. Deshalb erwarte ich von einem Gastbeitrag, der ausserhalb der angestammten Fachkreise erscheint, dass er in verständlicher Alltagssprache verfasst wird. Das bedeutet, dass man sein Fachchinesisch in eine für Laien leicht verständliche Sprache übersetzt und ein, zwei anschauliche Beispiele zur Anwendung einfliessen lässt. Dabei fällt auch einem Juristen kein Zacken aus der Krone.

Jonas Wanner
Jonas Wanner 23. Juli 2018 11:35

Hallo Zusammen

Wie sieht es denn aus mit Device Fingerprinting?

Ich weiss momentan dass die DSGVO das Fingerprinten von Geräten ebenfalls beinhaltet, da man damit Personen aus einer Masse identifizieren kann.
Jedoch weiss ich nicht was ich nun für Schritte einleiten muss, damit ich DSGVO konform das Fingerprinting verwenden kann. Muss ich den Nutzer darüber informieren oder eine explizite Erlaubnis des Nutzers einholen?

Über eine Antwort würde ich mich freuen.

Gruss Jonas

Lea Halter
Lea Halter 30. Apr. 2018 13:16

Eine Frage noch: Reicht es, wie bisher in einem Footer einen Link auf das Impressum zu haben oder muss die Meldung zur Nutzung von Cookies/Google Analytics etc. als Banner aktiv erscheinen?
Beste Grüsse
Lea Halter

Martin Steiger
Martin Steiger 2. Mai 2018 12:50

@Lea Halter:

In Bezug auf das Impressum ändert sich durch die DSGVO nichts. (Die Datenschutzerklärung hat im Impressum weiterhin nichts verloren.)

Sabine Wirth
Sabine Wirth 26. Apr. 2018 15:33

Ich bin zuständig für die private Webseite einer Schriftstellerin, wo sie Pressemitteilungen, Leserbewertungen und Leseproben zur Verfügung stellt. Und für die Buchbestellungen ist ein simples Kontaktformular geschaltet, wo Name und Email erfasst werden und an ihre Emailadresse weitergeleitet werden. Es werden aber keine weitere Auswertungen gemacht über Herkunft der User etc.

Wie muss ich vorgehen, um den neuen Cookie-Richtlinien zu entsprechen? Gibt es Standard-Texte, die ich dem User mitteilen muss? Aktuell ist einfach eine ganz normale Info geschaltet, dass Cookies verwendet werden. Wenn man dann aber auf die Schaltfläche “mehr” klickt, kommt ein ungültiger Link: https://docs.sitebuilder.guide/v1.0/page/sitebuilder-privacy-policy#section-how-we-use-cookies

Wie schalte ich denn die Cookies im Webhosting komplett ab? Und was verliere ich dann? Wir machen keine aktiven Analysen, da die Seite wirklich (noch) nicht sehr bekannt ist und lediglich zum Werbung machen und Buch bestellen sowie als Kontaktformular genutzt wird.

Danke für Ihr geschätztes Feedback.

Martin Steiger
Martin Steiger 2. Mai 2018 12:54

@Sabine Wirth:

Es gibt keine neuen Regelungen für Cookies, sondern es gilt immer noch die bisherige ePrivacy-Richtline. Diese sieht für Cookies, die technisch nicht notwendig sind, ein «Opt-in» vor:

https://blog.cyon.ch/Opt-in,-Opt-out:-Rechtskonforme-Cookies-auf-Websites-in-der-Schweiz

Das erwähnte cookiebot.com-Angebot halte ich nicht ohne weiteres für empfehlenswert, weil man damit (weitere) Drittinhalte einbindet, sich aber nicht sicher sein kann, dass diese den Besucherinnen und Besuchern tatsächlich angezeigt werden:

https://twitter.com/martinsteiger/status/984426712141352965

Und wie Philipp Zeder richtig geschrieben hat: Erst einmal muss man wissen, wie die eigene (oder betreute) Website funktioniert und welche Personendaten bearbeitet werden. Danach kann man entscheiden, informieren und so weiter …

Philipp Zeder
Philipp Zeder cyon
27. Apr. 2018 16:09

Besten Dank für die Frage, Frau Wirth. Auf einem klassischen Webhosting werden von Haus aus keine Cookies automatisch gesetzt, das geschieht also immer durch eine Applikation wie ein Content-Management-System oder eine Website-Baukasten. Dem erwähnten Link (https://docs.sitebuilder.guide/v1.0/page/sitebuilder-privacy-policy#section-how-we-use-cookies) nach zu urteilen, gehe ich davon aus, dass Sie einen Website-Baukasten verwenden. Der Anbieter dieses Baukastens müsste Ihnen da weitere Informationen liefern können, welche Cookies und zu welchem Zweck diese durch den Baukasten gesetzt werden. Allenfalls wäre ein Angebot wie https://www.cookiebot.com/de/ eine Möglichkeit, die gesetzten Cookies zu überprüfen und die nötigen Einwilligungen zu holen.

Hildegard Ockenfels
Hildegard Ockenfels 21. Apr. 2018 13:57

Ich bin als deutsche Unternehmerin von der neuen DSGVO direkt betroffen. Im Rahmen Ihrer Dienste werden ja personenbezogene Daten verarbeitet. (z.B. Speicherung von IP Adressen). Daher benötige ich – soweit ich es verstanden habe – eine Vereinbarung zur Auftragsverarbeitung mit Ihnen. Diese Vereinbarung muss im Falle einer Kontrolle durch die Datenschutzaufsichtsbehörde vorgelegt werden können. Soweit ich weiß, können Sie aktuell keine ADV Verträge mit deutschen Kunden abschließen. Werden Sie dieses Problem noch vor Inkrafttreten der DSGVO lösen können? Sonst bliebe mir ja nur ein Providerwechsel…

Philipp Zeder
Philipp Zeder cyon
23. Apr. 2018 09:31

Herzlichen Dank für die Nachfrage, Frau Ockenfels. Wir werden unsere AGB per 25. Mai 2018 dahingehend anpassen, dass nebst anderen auch die Anforderungen gemäss Art. 28(3) DSGVO abgedeckt sein werden.

Rolf Wilhelm
Rolf Wilhelm 25. Apr. 2018 07:05

Lieber Philipp
wann passiert das mit den AGB-Anpassungen und wird es davon öffentlich einsehbare Texte geben, auf die ich im Zuge meiner Datenschutzerklärung wegen des Hostings bei cyon im Sinne der geforderten Transparenz verlinken kann?
Es müsste ja, wenn ich darüber nachdenke, durchaus öffentlich sein, damit ich als potentieller Neukunde (was ich nicht bin) vorher Einsicht nehmen kann.

Martin Steiger
Martin Steiger 2. Mai 2018 12:56

@Rolf Wilhelm:

Sie können über den verwendeten Hoster informieren, müssen das aber nicht. Das Stichwort lautet «Auftragsbearbeitung» (oder «Auftragsverarbeitung»).

Philipp Zeder
Philipp Zeder cyon
25. Apr. 2018 10:57

Hallo Rolf. Wir werden die angepassten Bedingungen in den den nächsten Wochen veröffentlichen. Selbstverständlich werden die Texte wie gehabt öffentlich einsehbar sein. Du findest unsere AGB sowie weitere Informationen zu rechtlichen Themen jeweils unter https://www.cyon.ch/legal/ bzw. verlinkt in der Fusszeile auf unserer Website.

Jörg Gross
Jörg Gross 13. Apr. 2018 09:54

Sehr geehrter Herr Steiger, Ich bin in Internet-User und auf der Suche betr. einer direkten Begebenheit. http://WWW.ebalance.ch ist eine Site, für die ich zahlen muss. Wenn ich Cookies nicht möchte, bleibt dessen Banner auf der Befehlszeile. Dies schränkt mich sehr ein, die bezahlte Leistung nutzen zu können. Gemäss Aussage von deren Helpline (Mail) gibt es keine Möglichkeit beim Nichtwollen der Cookingnutzung dieses Banner mit einem Button wegzuklicken. Muss ich das akzeptieren, Hilft mir dafür die DSVGO oder gibt es eine andere Möglichkeit? Vielen Dank für Ihre Antwort und Gruss Jörg Gross

Martin Steiger
Martin Steiger 15. Apr. 2018 20:39

@Jörg Gross:

Sofern Sie eine Person in der Schweiz sind, hilft Ihnen die DSGVO nicht direkt.

Bei eBalance fällt mir auf, dass man die Website auch nutzen kann, ohne dass man dem Einsatz von (nicht erforderlichen) Cookies zustimmt. Sofern die Cookie Notice richtig umgesetzt ist, werden ohne Einwilligung tatsächlich keine (nicht erforderlichen) Cookies gesetzt. Ob das der Fall ist, habe ich nicht überprüft.

Sofern es Ihnen primär darum geht, die Cookie Notice nicht mehr zu sehen, können Sie einen Content Blocker wie uBlock Origin mit einer entsprechenden Filterliste verwenden.

gaetano
gaetano 5. Apr. 2018 09:28

Da interessiert mich nun die Antwort an “Marc Wäckerlin”.

Wenn ich Daten sammle bzw. diese Funktionen in der Homepage drin sind.

Ich aber diese Daten nicht auswerte oder professionell verarbeite!!!
Dann fällt es nicht unter der Kategorie der Datenverarbeitung/Auswertung.

Ich benutze die Daten nur dann um zu prüfen Wie viele und von Wo die Besucher kommen.

Hier sollte man ganz klar und deutlich die Angst der Webseiten Benutzer wegnehmen. Dieses Juristen/Beamtendeutsch das alles einschränkt und doch nichts sagt ist mittlerweile nur eine
Geldmachrei.

Martin Steiger
Martin Steiger 5. Apr. 2018 18:44

@gaetano:

Sie können sich beschweren und jammern. Die DSGVO gilt unabhängig davon ab dem 25. Mai 2018 nach einer Übergangsfrist von zwei Jahren. Sofern Sie personenbezogene Daten von Personen in der EU bearbeiten, ist die Wahrscheinlichkeit hoch, dass die DSGVO auch für Ihre Website(s) gilt.

Zur Erinnerung:

«Personenbezogene Daten [bezeichnen] alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden ‹betroffene Person›) beziehen […].»

(Art. 4 Ziff. 1 DSGVO)

«Verarbeitung [bezeichnet] jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.»

(Art. 4 Ziff. 2 DSGVO)

Marc Wäckerlin
Marc Wäckerlin 3. Apr. 2018 22:45

Lieber Martin

Warum sollte mich scheren, was die EU reguliert? Wie wollen die einen Rechtsanspruch gegenüber einem Schweizer Bürger oder einer Schweizer Firma geltend machen? Auch wenn ich Kunden aus der EU bediene, die können mir doch mal den Buckel runter rutschen…?!?

Und im Übrigen: Wenn ich nur einen Shop nutze, der für sein Login / Warenkorb Cookies verwende, die aber nicht auswerte, dann muss ich nichts tun, ausser in einer Datenschutzerklärung schreiben, dass personenbezogene Daten nur für den Kauf und die damit verbundenen Leistungen genutzt werden?

Und Last but not Least: Kannst Du nochmals deutlich bestätigen: Eine Datenschutzerlkärung ist ausreichend, diese bescheuerten dämlichen «Wir verwenden Cookies»-Popups sind genauso überflüssig, wie diese depperten E-Mail-Disclaimer?

Was für Juristen empfehlen eigentlich dauernd solchen Schwachsinn?!?

Martin Steiger
Martin Steiger 5. Apr. 2018 18:40

@Marc Wäckerlin:

Jede und jeder kann das Risiko eingehen, die DSGVO nicht einzuhalten. Wer die DSGVO nicht einhält, riskiert Sanktionen von Aufsichtsbehörden (und haftet persönlich). Weiter muss man damit rechnen, dass betroffene Personen in der EU ihre Rechte durchsetzen, unter anderem mit Abmahnungen und mit Verfahren vor Gerichten in der EU. Auch verlangen immer mehr Unternehmen aus der EU von ihren Geschäftspartnern in der Schweiz, dass sie die DSGVO umsetzen – zum Teil sogar mit entsprechender Zertifizierung …

Rechtliche Schritte wegen Datenschutzverletzungen könnten in Zukunft genauso alltäglich (und teuer) werden wie rechtliche Schritte wegen Urheberrechtsverletzungen.

Für die Verarbeitung von personenbezogenen Daten, die für die Erfüllung eines Vertrages erforderlich ist – zum Beispiel in einem Onlineshop –, wird keine Einwilligung benötigt (Art. 1 lit. b DSGVO). Man muss die betroffenen Personen aber über die Verarbeitung ihrer Daten informieren, was normalerweise im Rahmen einer Datenschutzerklärung geschieht.

In Bezug auf «Opt-in» für Cookies verweise ich auf https://blog.cyon.ch/Opt-in,-Opt-out:-Rechtskonforme-Cookies-auf-Websites-in-der-Schweiz.

Schwachsinn? Wenn Du «Pirat» Marc Wäckerlin bist und nicht bloss ein Namensvetter, würde ich eigentlich davon ausgehen, dass Datenschutz für Dich ein wichtiges Anliegen ist.

Yuri Barberio
Yuri Barberio 29. März 2018 22:51

Meine Frage ist, wenn ich ein CH- Unternehmen habe aber nur in die USA also Daten sammeln, welches Gesetz muss ich beachten? Bin ich von der DSGVO betroffen? Geht das überhaupt und was ist einfacher?

Martin Steiger
Martin Steiger 5. Apr. 2018 18:31

@Yuri Barberio:

Sofern keine personenbezogenen Daten von Personen in der EU verarbeitet werden, muss man die DSGVO nicht einhalten.

Tom
Tom 27. Feb. 2018 13:25

Frage:
Kann es sein, dass es sich in nachfolgendem Text um einen Verdreher handelt?:
“Überwiegen die Interessen der Website-Anbieter die Interessen der betroffenen Personen am Schutz ihrer Daten?”
– Sollten nicht die Rechte der betroffenen Personen überwiegen?:
“Überwiegen die Interessen der Betroffenen am Schutz ihrer Daten dem Interesse des Betreibers der Webseite?”

Philipp Zeder
Philipp Zeder cyon
28. Feb. 2018 10:08

Hallo Tom, nein, da handelt es sich nicht um einen Verdreher. Überwiegen die Interessen des Website-Betreibers jene des Besuchers am Schutz seiner Daten nicht, ist der Einsatz des Cookies nicht rechtmässig. Du musst also als Website-Betreiber ein gerechtfertigtes Interesse an den gespeicherten Daten geltend machen, was in der Regel bei Cookies der Fall ist, die zum Speichern von individuellen Einstellungen für die Website (gewähltes Land, Währung, etc.) dienen. Dazu ist auch folgender Abschnitt interessant:

Die Abwägung ist aber nur möglich, wenn vorgängig bestimmt wurde, für welchen Zweck die Cookies bestimmt sind.

Die Anforderungen an das berechtigte Interesse sind nicht hoch. In Frage kommen alle ideellen, rechtlichen oder wirtschaftlichen Interessen. Auch Direktwerbung gilt ausdrücklich als berechtigtes Interesse.

kusi
kusi 30. Jan. 2018 10:26

Hallo zusammen
Ziemlich verwirrend. Gibt es irgendwo eine einfache Anleitung was ein schweizer Webanbieter zu tun hat?
Google Analytics und Kontaktformular gehören zu 95% zu einer ganz einfachen Website.
Eine Schritt für Schritt Anleitung wäre grossartig..

Martin Steiger
Martin Steiger 5. Apr. 2018 18:30

@kusi:

Man kann – gerade eine «einfache Website» – problemlos ohne Google Analytics betreiben. Eine empfehlenswerte Alternative ist Matomo (ehemals Piwik), dass man bei Cyon problemlos lokal installieren kann und das sich sehr datenschutzfreundlich konfigurieren lässt:

https://matomo.org/

Matomo ist freie (und kostenlose) Open Source-Software.

Philipp Zeder
Philipp Zeder cyon
1. Feb. 2018 13:17

Hallo kusi, eine einfache Anleitung für Schweizer Website-Betreiber ist mir noch nicht bekannt. Die EU-Kommission hat vor ein paar Tagen aber eine FAQ-Seite aufgeschaltet, mit der sich viele Fragen beantworten lassen: https://ec.europa.eu/info/strategy/justice-and-fundamental-rights/data-protection/reform/rules-business-and-organisations_de

Michael Laubacher
Michael Laubacher 20. Dez. 2017 14:34

Besten Dank für den Beitrag und die spannende Diskussion.
Ist demnach folgendes zusammengefasst richtig:

Eine Website in der CH gehostet von einer CH-Firma, welche Kunden in der CH anspricht ist trotzdem von der EU-DSGVO betroffen, weil ja auch EU-Bürger auf diese Website zugreifen können?

Man muss daraufhin sicherstellen, dass keine personenbezogene Daten (z.Bsp. IP-Adressen etc.) von Website-Besuchern gesammelt werden. Weder von Scripts/Cookies noch von Server-seitigen Analyse-Tools?

Philipp Zeder
Philipp Zeder cyon
21. Dez. 2017 15:24

Vielen Dank für die Fragen, Michael.

Zu Frage 1:

Eine Website in der CH gehostet von einer CH-Firma, welche Kunden in der CH anspricht ist trotzdem von der EU-DSGVO betroffen, weil ja auch EU-Bürger auf diese Website zugreifen können?

Das ist richtig. Die EU-DSGVO führt das Marktortprinzip ein. Um Martin zu zitieren:

Die DSGVO gilt nicht nur in der EU, sondern weltweit für jede Verarbeitung personenbezogener Daten von Personen in der EU, denen man Dienstleistungen oder Waren anbietet oder deren Verhalten man beobachtet.

Zu Frage 2:

Man muss daraufhin sicherstellen, dass keine personenbezogene Daten (z.Bsp. IP-Adressen etc.) von Website-Besuchern gesammelt werden. Weder von Scripts/Cookies noch von Server-seitigen Analyse-Tools?

Nicht zwingend. Du solltest vorgängig bestimmen, für was diese Daten genutzt werden. Am Beispiel Cookie von Martin erklärt:

1. Gibt es ein berechtiges Interesse an der Cookie-Verwendung?
2. Ist die Cookie-Verwendung erforderlich um das berechtigte Interesse zu wahren?
3. Überwiegen die Interessen der Website-Anbieter die Interessen der betroffenen Personen am Schutz ihrer Daten?

Ausserdem ist es notwendig, Besucher auf ihr Widerspruchsrecht hinzuweisen.

Betroffene Person müssen wissen, dass sie jederzeit der Verarbeitung ihrer personenbezogenen Daten widersprechen können. Ausserdem gibt es einen Rechtsanspruch auf Auskunft, Berichtigung und Löschung. Genannt werden müssen auch Name und Kontaktdaten jener Person, die jeweils für den Datenschutz verantwortlich ist. Dafür ist – wie heute schon – eine Datenschutzerklärung für jede Website notwendig. Hingegen kann man meines Erachtens auf ein Cookie-Banner verzichten.

Im Zweifelsfall empfiehlt sich die Beratung durch eine Fachperson.

SSH
SSH 5. Dez. 2017 09:47

Hallo allerseits
Wir verhält es sich mit einem international tätigen Unternehmen mit Hauptsitz in der Schweiz und einer .com Domain? Welches Recht greift in einem solchen Fall?
Danke für eine Feedback.

Martin Steiger
Martin Steiger 5. Apr. 2018 18:27

@SSH:

Die verwendeten Top-Level-Domains (TLDs) spielen grundsätzlich keine Rolle. Bei .com kann man daraus auch nicht auf die Ausrichtung einer Website schliessen. Bei einem internationalen Unternehmen wird vermutlich kein Weg daran vorbeiführen, die DSGVO umzusetzen.

Philipp Zeder
Philipp Zeder cyon
6. Dez. 2017 12:44

Hallo SSH, danke für die Frage. Die EU-DSGVO funktioniert nach dem Marktortprinzip, damit sind auch Schweizer Unternehmen betroffen, die Daten von Personen in der EU verarbeiten.

Die DSGVO führt das sogenannte Marktortprinzip ein: Die DSGVO gilt nicht nur in der EU, sondern weltweit für jede Verarbeitung personenbezogener Daten von Personen in der EU, denen man Dienstleistungen oder Waren anbietet oder deren Verhalten man beobachtet.

Martin Zoller
Martin Zoller 8. Nov. 2017 16:51

Andere Frage, wie oder von wem kann man da als Privater überhaupt belangt werden? Verletzung des Datenschutzgesetzes ist ja kein Offizialdelikt, oder?

In Deutschland kann man von privaten Kanzleien abgemahnt werden, wenn man irgendwelche Regelungen nicht einhält – so wurde vor längerer Zeit eingeführt, dass jede dortige Website ein Impressum haben muss, das gewisse Informationen enthält.

In der Schweiz war es bisher so, dass man als Privater nichts zu befürchten hatte, solange sich nicht ein Kläger von der Website gestört fühlte – es gab also keine “Datenschutzpolizei”. Alles andere ist in meinen Augen auch absurd. Sieht es denn danach aus, dass sich das ändert?

Martin Steiger
Martin Steiger 11. Nov. 2017 16:26

@Martin Zoller:

Wer Personen in Deutschland in ihrem Datenschutz verletzt, muss heute schon mit Verwaltungssanktionen rechnen – auch als private Person in der Schweiz, wobei die Wahrscheinlichkeit dafür gering ist. In Deutschland sind die Datenschutzbehörden in den Bundesländern, anders als die Datenschützer in Kantonen in der Schweiz, auch für die Datenbearbeitung durch private Personen zuständig.

Kostenpflichtige Abmahnungen aus Deutschland können auch an Personen in der Schweiz gehen, zum Beispiel im Zusammenhang mit «Spam». Bislang sind Abmahnungen im Datenschutzrecht aber finanziell nicht interessant, weil davon normalerweise nur der Rechtsanwalt des deutschen Abmahners profitiert, nicht aber der Abmahner selbst. Aus diesem Grund sind solche Abmahnungen bislang vergleichsweise selten und eigentlich müssen nur besonders freche «Spammer» damit rechnen (siehe https://www.kanzlei-hoenig.de/2017/der-autodoc-hat-gezahlt/ für ein Beispiel, das Anwaltskollege Carsten Hoenig in Berlin verbloggt hat).

Mit der EU-DSGVO wird das Datenschutzrecht in der EU verschärft und diese Verschärfungen sollen – so ist es jedenfalls vorgesehen – mit schmerzhaften Verwaltungssanktionen durchgesetzt werden:

«Wer die DSGVO nicht einhält, kann mit empfindlichen Geldbussen von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes bestraft werden.»

Aufgrund der weltweiten Geltung der EU-DSGVO müssen auch Datenbearbeiter in der Schweiz damit rechnen, ins Visier genommen zu werden.

In der Schweiz soll der Eidgenössische Datenschutzbeauftragte (EDÖB) künftig bei Anzeichen für Verstösse gegen Datenschutzvorschriften nicht nur auf Anzeige hin, sondern auch von Amtes wegen eine Untersuchung eröffnen können.

Der entsprechende Entwurf für das revidierte Datenschutzgesetz sieht ausserdem Strafbestimmungen vor, die allerdings einen Strafantrag sowie Vorsatz bedingen. Lediglich bei der Missachtung von EDÖB-Verfügungen ist kein Strafantrag notwendig. Die Bestrafung erfolgt mit Busse bis zu 250’000 Franken. In den parlamentarischen Beratungen können sich diese Bestimmungen noch ändern, wobei sie im Vergleich zum Vorentwurf für das revidierte Datenschutzgesetz aber bereits entschärft wurden.

(Siehe dazu auch https://steigerlegal.ch/2017/09/18/dsg-datenschutz-botschaft/.)

Peter
Peter 2. Nov. 2017 16:43

Danke für alle Kommentare, ich habe folgenden Link gefunden welcher event. helfen kann sich in diesem riesigen Gesetzesdschungel seinen Weg zu bahnen.
Viel Glück allen.
https://www.e-recht24.de/muster-datenschutzerklaerung.html

Martin Steiger
Martin Steiger 4. Nov. 2017 10:24

Vorsicht, das Angebot von eRecht24 ist vermutlich (noch) nicht DSGVO-kompatibel!

Philipp Zeder
Philipp Zeder cyon
3. Nov. 2017 09:38

Danke für den Link, Peter.

Bourboulas
Bourboulas 26. Okt. 2017 19:08

Guten Tag

Wie ist das bei einer ganz einfachen Homepage muss ich mir hier
Gedanken machen? Sie ist personenbezogen aber denke hier gibt
es keine Cookies und keine weiteren Personen die identifiziert werden
muss ich meine homepage löschen lassen?

Philipp Zeder
Philipp Zeder cyon
27. Okt. 2017 11:59

Nein, eine Löschung der Homepage ist nicht nötig.

In einem ersten Schritt muss bestimmt werden, welche Daten man zu welchen Zwecken verarbeiten möchte…

https://blog.cyon.ch/Rechtskonforme-Cookies-EU-DSGVO#comment-177193

Bertram
Bertram 27. Juni 2018 10:26

Leider ist die Antwort nicht zu gebrauchen.
ich weiss doch garnicht welche Daten ihr speichert , wenn jemand meine Webseite öffnet.
Wen ich ein WordPress Template benutzte welche Daten werden dann gespeichert.
Woher weis ich off eine Webseite bei euch cookies setzt.

Bei dieser Antwortqualität und Unsicherheit muss ich Bourboulas zustimmen , löschen oder mit Passwot versehen ist die sicherste Lösung im Moment

Gruss
Bertram

Philipp Zeder
Philipp Zeder cyon
28. Juni 2018 17:01

Wir als Hosting-Provider setzen keine Cookies und speichern auch sonst keine persönlichen Daten im Hintergrund. Das geschieht, falls so in der genutzten Web-Applikation konfiguriert, durch die jeweils genutzte Web-Applikation wie z.B. das von Dir erwähnte WordPress.

Unsere Server speichern temporär Informationen wie die IP-Adresse des Besuchers, um den Betrieb zu gewährleisten. Einen Beispieltext für die Datenschutzerklärung Deiner Website findest Du in unserem Blogpost Die DSGVO ist da: Das sollten cyon-Kunden wissen im Abschnitt «Auftragsverarbeiter in die Datenschutzerklärung».

Claudio
Claudio 26. Okt. 2017 17:36

Mal eine grundsätzliche Frage:
Muss mich EU-Recht interessieren, wenn ich eine Webseite für Schweizer Kunden in der Schweiz hoste???

Die Schweiz ist ein souveräner Staat mit eigenen Gesetzen und kein ausländischer User wird gezwungen, meine Webseite aufzurufen. Darum verstehe ich das ganze Theater mit EU-Recht nicht.

Martin Steiger
Martin Steiger 4. Nov. 2017 10:25

@Claudio: Genau, auch in der Schweiz wird das Datenschutzrecht revidiert – es gibt zwar ebenfalls viel Kritik, aber an der Revision führt wohl kein Weg vorbei:

https://steigerlegal.ch/2017/09/18/dsg-datenschutz-botschaft/

Philipp Zeder
Philipp Zeder cyon
27. Okt. 2017 11:25

Hi Claudio, danke für die Frage. Wenn Deine Website ausschliesslich auf ein Schweizer Publikum abzielt, bist Du nicht von EU-Recht betroffen. Unter Umständen musst Du es aber EU-Einwohnern verunmöglichen, Deine Website zu besuchen. Bitte beachte auch, dass zurzeit in der Schweiz ein neues Datenschutzgesetz (DSG) erarbeitet wird, dass der EU-DSGVO in vielen Bereichen ähneln wird um mit EU-Recht kompatibel zu sein. Im Zweifelsfall empfiehlt sich die Abklärung durch eine Fachperson.

Stefan
Stefan 16. Okt. 2017 14:24

Mit Verlaub: Natürlich kann man anhand von einfachen Beispielen zeigen, «welche Daten man zu welchen Zwecken verarbeiten» tut. Einfachstes Beispiel: Ich bekomme einen Anfrage-Header und schicke daraufhin das gewünschte HTML-File mit Antwort-Header. Ein paar Angaben landen in meinem Log-File. Diesen technisch beschriebenen Vorgang könnte der juristisch Geschulte übersetzten. Was sind juristisch gesehen die relevanten Daten und was der Zweck. Das Beispiel kann man jetzt Schritt um Schritt erweitern: Ein Formular hinzufügen, eine Kommentarfunktion, eine Kommentarfunktion nur für registrierte User, User-Einstellungen anbieten, ein File von einem andern Host einbinden etc. Und immer fragen: Was sind juristisch gesehen die Daten und was der Zweck. Und dann mal typische Installationen viel verwendete Systeme wie WordPress anschauen. Was passiert hier, auch mit Blick auf «versteckte» Prozesse (dieser Blog hier will beispielsweise Canvas-Daten extrahieren).

Martin Steiger
Martin Steiger 17. Okt. 2017 15:06

@Stefan:

«Einfachstes Beispiel: Ich bekomme einen Anfrage-Header und schicke daraufhin das gewünschte HTML-File mit Antwort-Header. Ein paar Angaben landen in meinem Log-File. Diesen technisch beschriebenen Vorgang könnte der juristisch Geschulte übersetzten. Was sind juristisch gesehen die relevanten Daten und was der Zweck.»

Datenschutzrechtlich gesehen sind personenbezogene Daten relevant. Aber welche personenbezogenen Daten / Personendaten verarbeiten Sie zu welchen Zwecken?

Vorliegend geht es eigentlich um Cookies, aber ich beziehe mich gerne auf Ihr Beispiel:

Welche Angaben «landen» in den Logdateien? (Unter anderem vermutlich vollständige IP-Adressen, die grundsätzlich als personenbezogene Daten qualifiziert werden müssen.)

Wie verarbeiten Sie diese Daten, zum Beispiel für welche Dauer werden diese Daten wo und wie gespeichert? Und für welche Zwecke verarbeiten Sie diese Daten?

Dürfen Sie die Daten nach heutigen und künftigem Recht verarbeiten? Ist eine Einwilligung notwendig oder genügt ein Hinweis in der Datenschutzerklärung? Wie muss die Datenschutzerklärung formuliert werden?

Wer ist auf Ihrer Seite für den Datenschutz verantwortlich? Wer führt bei Ihnen das Verzeichnis der Verarbeitungstätigkeiten? Benötigen Sie einen Vertreter in der EU? Wie gewährleisten Sie die Rechte der betroffenen Personen?

Die Informationsdichte in Bezug auf die DSVGO wird in den nächsten Wochen und Monaten selbstverständlich wachsen. Ein gutes Beispiel sind die Informationen von MailChimp:

https://kb.mailchimp.com/binaries/content/assets/mailchimpkb/us/en/pdfs/mailchimp_gdpr_sept2017.pdf

Das Beispiel zeigt aber auch, dass Ihnen niemand die Aufgabe abnehmen kann zu bestimmen, welche Daten man zu welchen Zwecken verarbeiten möchte, denn das wissen 1) nur Sie und 2) können nur Sie die betroffenen Personen informieren:

«You should carefully design each of these forms to make sure that language in the body and/or footer is clear, specific, and covers all possible reasons for using the information being solicited. Be very specific about the intended use of the information you are collecting.»

Susanne
Susanne 12. Okt. 2017 13:29

… und nun bin ich armer Tor genau so schlau als zuvor!
Wie alle anderen Kommentierenden lässt mich das Ganze “Zeugs” etwas ratlos zurück.
Hoffe schon sehr, dass von Seiten Cyon noch etwas konkretere Artikel folgen werden. Etwas Zeit haben wir ja noch.

Martin Steiger
Martin Steiger 15. Okt. 2017 21:37

@Susanne:

Cyon wird Ihnen die Fleissarbeit mit Blick auf die EU-DSGVO leider nicht abnehmen können. Mit dem ersten notwendigen Schritt sollten Sie so bald wie möglich beginnen:

«In jedem Fall muss bestimmt werden, welche Daten man zu welchen Zwecken verarbeiten möchte, da die EU-DSGVO ansonsten gar nicht rechtskonform umgesetzt werden kann.»

Weitere Hinweise finden Sie in meinen bisherigen Kommentar-Antworten.

Dave
Dave 10. Okt. 2017 10:39

Spannender Artikel, leider schwer behaftet.

Da brummen uns die EU Bürokraten einen völlig Sinnlosen Mist auf, der die Arbeit im Netz erschwert und das Ergebnis wiedermal auf Kosten der Nutzer verschlechtert. Das alles fälschlicherweise im Namen des Datenschutzes.

Erschreckend ist hier der Fokus auf den Begriff “Cookie”. Ein Cookie ist ein minimales, veraltetes und hoch eingeschränktes Mittel zur Nutzeridentifizierung. Wie steht es denn mit Local Storage? Oder IndexedDb? Beide sind viel potenter und werden von jedem modernen Browser unterstützt. Wie steht es denn mit Browser Fingerprinting, das geht mit jedem System und hinterlässt beim User keine Spuren. Nicht zuletzt, wie steht es damit, wenn man Serverseitig einfach die Daten des Useragents abfängt und still verwertet, auch hier kriegt der User nichts mit.

Während Datenschutz ein wichtiges Thema ist, scheint die EU nur darauf ab zu zielen, ihre Kassen aufzubessern indem sie kleinen Webseitenbetreiber Bussen aufzubrummen, wegen gebraucht von “Cookies”.

Martin Steiger
Martin Steiger 11. Okt. 2017 19:47

@Dave:

Was für herkömmliche Cookies gilt, trifft auch für die von Ihnen erwähnten Beispiele zu. Die EU-DSGVO kennt wie erwähnt keine «Cookies», sondern definiert erst einmal, was unter «personenbezogenen Daten» zu verstehen und was für deren Schutz vorgesehen ist.

Nutzerinnen und Nutzer mögen nicht bemerken, dass ihre Daten bearbeitet werden, aber die Datenschutzbehörden können in Zukunft insbesondere die entsprechende Dokumentation überprüfen. Gleichzeitig ist klar, dass kein Datenschutzrecht vollständig verhindern kann, dass der Datenschutz bisweilen immer noch verletzt wird. Mit dem neuen Datenschutzrecht in der EU und in der Schweiz wird aber versucht zu bewirken, dass es nicht mehr bequemer ist, den Datenschutz zu ignorieren anstatt sich um den Schutz von Personendaten zu bemühen.

Cookies und die meisten anderen Beispiele, die Sie erwähnen, sind per se übrigens kein datenschutzrechtliches Problem. Für einen Warenkorb darf man sie wie erwähnt durchaus verwenden. Das Problem ist Tracking, wobei Facebook und andere Anbieter, insbesondere in den USA, mit ihrem Verhalten geradezu ein verschärftes Datenschutzrecht provoziert haben. Wer eine Website betreibt, muss sich in Zukunft verstärkt überlegen, ob es sich lohnt, die entsprechenden Dienste nutzen, sofern ihre Nutzung überhaupt noch rechtmässig möglich ist.

Piwik wirbt übrigens bereits damit, im Rahmen der EU-DSGVO Vorteile gegenüber Google Analytics und anderen Drittdiensten zu bieten:

https://piwik.pro/blog/how-will-gdpr-affect-your-web-analytics-tracking/

Martin @pokipsie
Martin @pokipsie 6. Okt. 2017 17:02

Einen wunderschönen guten Morgen Martin
Ich glaub ich muss mal einen Individuellen Termin mit dir ausmachen :D
Die ganze rechtliche Seite wird immer komplexer und da ich doch die eine oder andere Seite in diesem Web hab muss/sollte ich mich da schon etwas absichern.
Wie/wo erreiche ich dich am besten?

Lieben Gruss Martin

Martin Steiger
Martin Steiger 11. Okt. 2017 19:38
Stef
Stef 5. Okt. 2017 08:45

Sehr verwirrender Artikel. Nicht-Juristen werden das kaum verstehen. Entwickler/Projektleiter bruachen eine genaue Schritt für Schritt Anleitung, oder sie treten ungewollt in ein Fettnäpfchen. Hoffe da kommen noch genauere Infos.
Laut Google ist das übermitteln persönlicher Daten (e-mail, security numbers etc.) an Analytics sowieso verboten und würde in der Sperrung des Accounts enden. Was ich gefunden habe ist die Möglichkeiten, IP Adresse nicht an Analytics zu übermitteln. Da man diese “aus datenschutzgründen” aber im Analytics selber sowieso nicht sehen kann, ist es nicht möglich zu überprüfen, ob die Adressen tatsächlich nicht an Google gesendet werden:
https://developers.google.com/analytics/devguides/collection/analyticsjs/ip-anonymization

Und der Betreiber der Website ist der dumme. Dann wohl künftig lieber ohne Google Analytics und Alternativen suchen.

Martin Steiger
Martin Steiger 11. Okt. 2017 19:37

@Stef:

Zürcher Anwaltskollegen haben gerade eine detaillierte Schritt-für-Schritt-Anleitung veröffentlicht:

https://www.linkedin.com/feed/update/urn:li:activity:6323151588848390144

Ich fürchte allerdings, dass Sie damit auch nicht glücklich werden, denn an viel eigener Fleissarbeit führt voraussichtlich kein Weg vorbei und der umfassende Ansatz der erwähnten Anwaltskollegen ist für viele kleine Unternehmen vermutlich gar nicht zu bewältigen. Cookies sind ja nur ein kleiner Teil der Herausforderungen, die mit dem neuen europäischen und schweizerischen Datenschutzrecht bewältigt werden müssen.

Albert
Albert 4. Okt. 2017 23:29

Ein weiterer Schritt und gutes Beispiel für die Überregulierungswut der EU. Ich hoffe sehr die EU geht den Bach ab und man begriefft endlich dass die EU eine reine Fehlkonstruktion ist. Wieso muss die Schweiz das EU Recht übernehmen? Wir sind ja schliesslich eigenständig!!!

Silas
Silas 4. Okt. 2017 14:50

Ist zwar ein guter Beitrag und bringt etwas Transparenz ist aber etwas am Ziel vorbei. Den Hauptabschnitt mit “Was muss ich konkret machen” wurde weggelassen.

Das

Datenschutz-Grundverordnung der Europäischen Union (EU-DSGVO) im Zweifelsfall bis spätestens am 25. Mai 2018 umsetzen, es sei denn, man ist davon eindeutig nicht betroffen oder entscheidet sich bewusst gegen eine pünktliche Umsetzung.

ist zwar gut gemeint, aber ich weiss leider immernoch nicht was ich umsetzen muss damit meine Webseite EU-DSGVO konform ist.

Eine simple Erklärung für Fälle wie “Ich habe eine private Webseite und verwende Goolge Analytics & ein Kontaktforumlar” wäre sehr hilfreich an dieser Stelle.

Martin Steiger
Martin Steiger 4. Okt. 2017 15:15

@Silas:

Erster Schritt, wie im Beitrag erwähnt:

«In jedem Fall muss bestimmt werden, welche Daten man zu welchen Zwecken verarbeiten möchte, da die EU-DSGVO ansonsten gar nicht rechtskonform umgesetzt werden kann.»

Da sich die Zwecke erheblich unterscheiden können, sind «simple Erklärungen» nicht ohne weiteres zu bewerkstelligen. So gibt es allein bei Google Analytics nicht nur verschiedene Zwecke, sondern auch verschiedene Varianten der Verwendung (zum Beispiel mit vollständigen oder gekürzten E-Mail-Adressen oder, als weiteres Beispiel, in Verknüpfung mit Google Adwords). Auch bei Kontaktformularen kann der Kontakt völlig unterschiedlich sein, häufig möchte man damit beispielsweise auch noch Newsletter-Abonnenten gewinnen.

Stefan Müller
Stefan Müller 4. Okt. 2017 15:56

Dann anders gefragt:

Was muss eine normale Website tun, die das Standard Script von Google Analytics integriert und ein Kontaktformular mit Name, Email, Betreff und Text anbietet, das inkl. IP in einer Datenbank gespeichert wird?

Das würde vermutlich schon sehr vielen einfachen Website-Betreibern helfen.
Ich weiss, Anwälte wollen meist erst in der individuellen Beratung konkret werden, aber das können oder wollen sich schlicht viele nicht leisten.

Martin Steiger
Martin Steiger 4. Okt. 2017 20:17

@Stefan Müller:

In einem ersten Schritt muss bestimmt werden, welche Daten man zu welchen Zwecken verarbeiten möchte:

Welche Daten sollen mit Google Analytics und mit dem Kontaktformular zu welchen Zwecken im jeweiligen Einzelfall verarbeitet werden?

Bei Google Analytics kann man sich erst einmal an den heutigen Empfehlungen der deutschen Datenschutzbeauftragten orientieren:

https://www.datenschutz-hamburg.de/news/detail/article/google-analytics-hinweise-fuer-webseitenbetreiber-in-hamburg.html

Bert Hofmänner
Bert Hofmänner 4. Okt. 2017 14:22

Spannender Artikel, der mich allerdings etwas ratlos hinterlässt. Wir werden wohl allen Kunden raten müssen, sich mit einem Rechtsanwalt in Verbindung zu setzen… Da haben die Juristen in Brüssel ja gute Arbeit geleistet…
Die Bemühungen für Datenschutz sind ja grundsätzlich nicht falsch. Wenn die Homepage-Betreiber transparent aufzeigen, welche Daten sie speichern und was sie damit machen, finde ich das gut. Dass jetzt aber jede Webseite sagt, dass sie Cookies speichert, ist absolut lächerlich. Die meisten Cookies sind nämlich völlig harmlos oder schlicht technisch notwendig. Oder anders gesagt, wie speichert Google Analytics wohl ein Opt-out eines Internet-Benutzers?! Ausserdem gibt es noch viele anderen Gefahren: Bald müssen wohl nicht verschlüsselte Website auf die damit verbundenen Gefahren hinweisen… Schöne neue Internetwelt…

Martin Steiger
Martin Steiger 4. Okt. 2017 15:09

@Bert Hofmänner:

Zur Erinnerung: Die heutige Cookie-Richtlinie der EU ist bereits vergleichsweise streng – und die erwähnte, aber noch nicht verabschiedete ePrivacy-Verordnung der EU könnte noch strengere Bestimmungen bringen.

https://blog.cyon.ch/Opt-in,-Opt-out:-Rechtskonforme-Cookies-auf-Websites-in-der-Schweiz

«Opt-out» bei Google Analytics: https://tools.google.com/dlpage/gaoptout oder gaOptout()-JavaScript. Ausserdem besteht die Möglichkeit, Google Analytics mit gekürzten und damit anonymisierten IP-Adressen zu nutzen.