Neues Datenschutzgesetz: Diese 5 Schritte müssen Website-Betreiber:innen umsetzen, um 2022 bereit zu sein

Martin Steiger
Autor:
Martin Steiger
Kategorie:
in Internet & Recht
Veröffentlicht am 01. October 2021

Ein Gastbeitrag von Rechtsanwalt Martin Steiger, Datenschutzpartner AG / Steiger Legal AG.

Du hast es allenfalls schon gehört: Die Schweiz hat ein neues verschärftes Datenschutzgesetz verabschiedet, das Mitte / Ende 2022 oder Anfang 2023 in Kraft treten wird. Wenn du eine Website betreibst, bearbeitest du die Personendaten von Besucher:innen und Nutzer:innen. Du musst deshalb das neue Datenschutzrecht umsetzen.

Bundeshaus, Bern

Heute hast du wenig zu befürchten, wenn du das geltende Bundesgesetz über den Datenschutz (DSG) nicht einhältst. Das ändert sich mit dem neuen Datenschutzgesetz (nDSG): Es drohen Bussen bis zu 250’000 Franken (Art. 60 ff. nDSG) und der EDÖB ist nicht mehr auf Abklärungen beschränkt, sondern kann Verfahren führen (Art. 49 ff. nDSG). Keine Sorge, du wirst nicht bei der ersten Datenschutzverletzung mit 250’000 Franken gebüsst. Aber allein schon ein Verfahren kann aufwendig und belastend für dich sein.

Der EDÖB, kurz für Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter, ist die Datenschutz-Aufsichtsbehörde für Private und Bundesbehörden in der Schweiz. Mit dem neuen DSG kann der EDÖB bei dir zum Beispiel Hausdurchsuchungen durchführen und dich als Zeugin oder Zeugen einvernehmen.

Eine erfreuliche Nachricht zum Start: Wenn du dich heute bereits um das Datenschutzrecht kümmerst und vielleicht sogar die europäische Datenschutz-Grundverordnung (DSGVO) umsetzen musst, wird es dir leicht fallen, das neue DSG umzusetzen. Was heute erlaubt ist, wird in den meisten Fällen auch in Zukunft erlaubt sein.

Wann genau das neue DSG in Kraft tritt, ist noch nicht bekannt. Fachkreise gehen von einem Inkrafttreten ab Mitte 2022, inzwischen aber eher Ende 2022 oder Anfang 2023 aus. Das neue DSG wird – anders als damals die DSGVO – ohne wesentliche Übergangsfristen in Kraft treten.

Inhalt

Schritt 1: Welche Personendaten werden wofür, wie und wo bearbeitet?

Personendaten sind «alle Angaben, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen» (Art. 5 lit. a nDSG). Bearbeiten ist «jeder Umgang mit Personendaten, unabhängig von den angewandten Mitteln und Verfahren, insbesondere das Beschaffen, Speichern, Aufbewahren, Verwenden, Verändern, Bekanntgeben, Archivieren, Löschen oder Vernichten von Daten» (Art. 5 lit. d nDSG).

«Personendaten» und «Bearbeiten» sind umfassend definiert. Als Faustregel ist es deshalb am einfachsten, davon auszugehen, dass alle Daten auch Personendaten sind.

Ein Beispiel sind die IP-Adressen von Website-Besucher:innen, wie sie bei fast jeder Website in Logdateien anfallen. IP-Adressen sind nicht in jedem Fall Personendaten. Aber es ist einfacher, IP-Adressen im Zweifelsfall als Personendaten zu behandeln, als mit viel Aufwand und ohne Rechtssicherheit zu argumentieren, es handle sich ausnahmsweise nicht um Personendaten.

Wenn du eine Website betreibst, weisst du normalerweise, welche Personendaten wofür, wie und wo bearbeitet werden. Ansonsten hilft dir die Frage: Welche Funktionen biete ich auf meiner Website an und wie setze ich diese Funktionen um?

Ein Beispiel: «Website-Besucher:innen können mich kontaktieren. Der Zweck ist die Kontaktaufnahme, allenfalls auch mit potenziellen Kundinnen und Kunden. Dafür binde ich einen Formular-Dienst aus den USA ein. Wenn jemand das Formular ausfüllt, werden die Angaben bei diesem Formular-Dienst gespeichert und ich erhalte die Angaben ausserdem per E-Mail. Die Angaben umfassen Namen und E-Mail-Adressen sowie Mitteilungen. Dazu kommen Datum und Zeit sowie IP-Adressen als Metadaten.»

Ein zweites Beispiel: «Ich verschicke einen Newsletter. Personen, die den Newsletter abonnieren möchten, müssen sich anmelden und diese Anmeldung ausdrücklich bestätigen (Double-Opt-in). Zweck ist Information und Werbung. Um die Abonnent:innen verwalten und die Newsletter-E-Mails erstellen zu können, verwende ich eine Website-Erweiterung. Für den Versand verwende ich einen spezialisierten E-Mail-Dienstleister in Deutschland. Ich bearbeite die Namen und E-Mail-Adressen der Abonnent:innen, weiss aber auch, wann sich diese angemeldet haben und wie häufig sie auf Weblinks in Newsletter-E-Mails klicken.»

Ein solches Verzeichnis sieht Art. 12 Abs. 1–3 nDSG ausdrücklich vor, wenn auch mit Ausnahmen für Unternehmen mit weniger als 250 Mitarbeiter:innen (Abs. 5). Für ein solches Verzeichnis brauchst du vermutlich keine aufwendige Software, sondern eine Tabelle bei Google Sheets oder in Microsoft Excel genügt in vielen Fällen.

Das Bearbeitungsverzeichnis – manche sprechen von einem «Daten-Inventar» – orientiert sich am Verzeichnis der Bearbeitungstätigkeiten gemäss europäischer Datenschutz-Grundverordnung (DSGVO). Du kannst dich deshalb genauso an Beispielen von Datenschutz-Aufsichtsbehörden in Europa orientieren.

Aufmerksame Leser:innen werden feststellen, dass im Europäischen Wirtschaftsraum (EWR) die Rede von personenbezogenen Daten und deren Verarbeitung ist. Das soll nicht stören, denn die Begriffe entsprechen den Personendaten und deren Bearbeitung in der Schweiz.

Dein Bearbeitungsverzeichnis darf mehr Einzelheiten als gesetzlich vorgeschrieben enthalten. So kann es sinnvoll sein, nicht nur die Kategorien der Empfänger von Daten zu nennen, sondern die tatsächlichen Empfängerinnen. Ich halte es für praktisch, Angaben zu einzelnen Auftragsbearbeitern und zum Daten-Export zu erfassen. Mehr dazu folgt bei den Schritten 2 und 3.

Das Format – bei den genannten Beispielen jeweils eine Matrix bzw. Tabelle – ist nicht in Stein gemeisselt. Wichtig ist, dass die Angaben aktuell und vollständig vorhanden sind. Du könntest dein Bearbeitungsverzeichnis auch als Mindmap führen. So oder anders muss das Bearbeitungsverzeichnis regelmässig aktualisiert werden, zum Beispiel alle sechs Monate.

Schritt 2: Ist mein Outsourcing abgesichert?

Die Angaben aus Schritt 1 sind unter anderem wichtig, damit du weisst, wie und wo – bei wem und mit welchen Mitteln – die Bearbeitung von Personendaten erfolgt.

Wer eine Website betreibt, nutzt fast immer Dienste von Dritten. Die meisten Betreiber:innen hosten ihre Website nicht selbst, sondern nutzen einen Hosting-Provider wie cyon. Auch für viele Funktionen werden Dienste von Dritten eingesetzt, zum Beispiel für den E-Mail- und Newsletter-Versand, für die Erfolgs- und Reichweitenmessung oder für Video-Konferenzen.

Ein solches Outsourcing ist datenschutzrechtlich erlaubt und häufig eine gute Idee: Die meisten Website-Betreiber:innen haben weder das Wissen noch die Zeit, um die Infrastruktur für ihre Website von A bis Z selbst zu betreiben.

Im Datenschutzrecht spricht man von einer Bearbeitung durch Auftragsbearbeiter bzw. von einer Auftragsbearbeitung. Gemäss Art. 9 Abs. 1–3 nDSG darf die Bearbeitung von Personendaten unter folgenden Voraussetzungen vertraglich einem Auftragsbearbeiter übertragen werden:

  • Die Daten werden nur so bearbeitet, wie es die verantwortliche Website-Betreiberin oder der verantwortliche Website-Betreiber selbst tun dürfte
  • Die Auftragsbearbeitung wird durch keine Geheimhaltungspflicht verboten
  • Der Auftragsbearbeiter ist in der Lage, die Datensicherheit zu gewährleisten
  • Die Unter-Auftragsbearbeitung darf nur mit vorgängiger Genehmigung erfolgen

Dienste von Dritten schleichen sich manchmal aufgrund der Verwendung von Erweiterungen in eine Website ein. Viele Erweiterungen binden ungefragt Dritt-Dienste für Schriftarten aus dem Internet ein. Solche trojanischen Pferde findest du mit einem Dienst wie webbkoll, der deine Website unter die Lupe nimmt.

Alle kompetenten Anbieter:innen von Internet-Diensten bieten einen AVV an. Wer schon länger im Geschäft ist, verwendet zum Teil noch die frühere Bezeichnung als Auftragsdatenverarbeitungsvertrag (ADV). Ob der AVV inhaltlich im jeweiligen Einzelfall genügt, muss im Zweifelsfall geprüft werden.

Je nach Anbieter:in ist der AVV bereits Teil der allgemeinen Geschäftsbedingungen (AGB) oder muss ausdrücklich abgeschlossen werden. Der Vertragsabschluss ist online möglich und muss nicht auf Papier erfolgen. Die Zeiten, als AVV von Hand unterzeichnet und per Briefpost oder Fax eingereicht werden mussten, sind vorbei.

Auf Englisch heisst der AVV üblicherweise Data Processing Agreement (DPA), zum Teil ist auch von einem Data Processing Addendum die Rede.

Als Website-Betreiber:in musst du prüfen, ob du für jede beanspruchte Auftragsbearbeitung einen AVV vorweisen kannst. Diese Information kann in einem ergänzten Bearbeitungsverzeichnis gemäss Schritt 1 vermerkt werden.

Ein Sonderfall ist die gemeinsame Verantwortlichkeit: Der Auftragsbearbeiter beschränkt sich nicht darauf, die Daten des Auftraggebers ausschliesslich in dessen Auftrag zu bearbeiten, sondern verwendet die Daten für eigene Zwecke. In diesem Fall ist eine zusätzliche Absicherung erforderlich. Ein gängiges Beispiel dafür ist die gemeinsame Verantwortlichkeit für Seiten-Insights bei Facebook.

Schritt 3: Ist mein Daten-Export abgesichert?

Aufgrund der Angaben aus Schritt 1 weisst du unter anderem, ob Personendaten im Ausland bearbeitet werden. Das ist üblicherweise durch die Nutzung von Auftragsbearbeitern gemäss Schritt 2 der Fall, denn diese sitzen in vielen Fällen im Ausland.

Grundsätzlich kein Problem ist die Absicherung beim Daten-Export in Staaten, deren Gesetzgebung einen angemessenen Datenschutz gewährleistet (Art. 16 Abs. 1 nDSG). Der Bundesrat wird eine Liste solcher «sicherer Drittstaaten» führen.

Heute führt der EDÖB eine vergleichbare Staatenliste. Zu den Staaten mit einem angemessenen Datenschutz zählen insbesondere alle Mitgliedstaaten im Europäischen Wirtschaftsraum (EWR), Grossbritannien, Kanada, Israel und Neuseeland. Die USA hingegen sind der bekannteste «unsichere Drittstaat».

Siehe auch: Stirbt der freie Datenverkehr zwischen der EU und der Schweiz?

Die frühere Absicherung mittels Privacy Shield- bzw. Safe Harbor-Regelung ist nicht mehr möglich. Alle kompetenten Anbieter:innen von Internet-Diensten in den USA arbeiten mit Standardvertragsklauseln, häufig als Bestandteil der AGB oder des AVV.

Eine solche zusätzliche Absicherung muss auch beim Daten-Export in osteuropäische und südosteuropäische Staaten ausserhalb der EU, nach Indien und nach Südafrika erfolgen.

Der EDÖB anerkennt die neuen Standardvertragsklauseln der Europäischen Kommission, wie sie am 4. Juni 2021 beschlossen wurden. Je nach Einzelfall sind Anpassungen und Ergänzungen erforderlich, was im Zweifelsfall geprüft werden muss. Die früheren Standardvertragsklauseln, die teilweise noch in Gebrauch sind, müssen ersetzt werden. Wie immer gibt es Fälle, wo Ausnahmsweise keine Standardvertragsklauseln erforderlich sind (Art. 17 nDSG). Der EDÖB hat kürzlich eine ausführliche Anleitung gemäss dem geltenden DSG veröffentlicht.

Bei einigen amerikanischen Internet-Diensten kannst du inzwischen wählen, dass die Daten in Europa oder gar in der Schweiz gespeichert werden. Dadurch werden die datenschutzrechtlichen Risiken erheblich vermindert. Zum Teil bieten amerikanische Anbieter:innen ihre Leistungen für europäische Kundinnen und Kunden über Tochtergesellschaften in Irland oder anderswo in Europa an, so dass kein direkter Daten-Export erfolgt. Hilfreich, aber noch selten verfügbar ist die Möglichkeit, nur den Zugriff aus Europa zu erlauben («EU Access»).

Siehe auch: Nach dem Ende von Privacy Shield: Wie können amerikanische Internet-Dienste weiterhin genutzt werden?

Schritt 4: Ist meine Datenschutzerklärung aktuell und vollständig?

Nach der Absicherung von Auftragsbearbeitungen und Daten-Exporten kannst du aufgrund der Angaben aus Schritt 1 in einem weiteren Schritt die Informationspflicht gemäss dem neuen Datenschutzgesetz (nDSG) umsetzen.

Gemäss dem geltenden DSG genügt die Erkennbarkeit der Bearbeitung von Personendaten. Gemäss dem neuen DSG hingegen müssen die betroffenen Personen – bei einer Website in erster Linie die Besucherinnen und Nutzer – grundsätzlich bei der Beschaffung ihrer Personendaten informiert werden (Art. 19 Abs. 1 nDSG).

Die Information muss nicht mit einem Pop-up-Fenster aufgedrängt werden, sondern es genügt, wenn die betroffenen Personen die Möglichkeit haben, sich zu informieren. Dafür verlinkst du die Datenschutzerklärung im Footer der Website, sodass sie mit einem Klick oder Tap zugänglich ist. Die Seite kann auch einen Titel wie «Datenschutzinformation» oder schlicht «Datenschutz» tragen. Auf Englisch ist die Bezeichnung als «Privacy Policy» üblich. Die Datenschutzerklärung sollte in den Sprachen der Website veröffentlicht werden. Als Anfang genügt die Übersetzung mit einem Dienst wie DeepL.

Die Datenschutzerklärung auf deiner Website muss insbesondere folgende Angaben enthalten (Art. 19 Abs. 2 ff. nDSG):

  • Wer ist für die Website verantwortlich und wie kann der Kontakt erfolgen?
  • Für welchen Zweck oder für welche Zwecke werden die Personendaten bearbeitet?
  • Wer sind allfällige Empfänger:innen der bearbeiteten Personendaten?
  • Wie wird ein allfälliger Daten-Export abgesichert?
  • Welche Rechte haben die betroffenen Personen im Zusammenhang mit dem Datenschutz?

Die Angaben zur Identität und den Kontaktdaten stellen eine datenschutzrechtliche Impressumspflicht dar.

Nicht empfehlenswert ist die Vermischung von Datenschutzerklärung und Impressum oder die Verbindung von AGB und Datenschutzerklärung. Datenschutzerklärung und Impressum dienen jeweils unterschiedlichen Informationszwecken, die AGB stellen einen Vertrag dar.

In einem früheren Gastbeitrag bei cyon erklärte ich ausführlich, wie man die perfekte Datenschutzerklärung für eine Website erstellt. Meine damaligen Tipps sind weiterhin hilfreich. Eine Datenschutzerklärung muss regelmässig aktualisiert werden, zum Beispiel alle sechs Monate.

Schritt 5: Wie reagiere ich auf Anfragen und bei Vorfällen?

Betroffene Personen, bei einer Website zum Beispiel die Besucher:innen, haben zahlreiche Rechte im Zusammenhang mit der Bearbeitung ihrer Daten. Wenn du Anfragen von betroffenen Personen erhältst, in einem ersten Schritt meist ein Auskunftsbegehren, musst du innert 30 Tagen reagieren (Art. 25 ff. nDSG). Grundlage für die Reaktion bilden deine Angaben aus Schritt 1.

Wichtig ist, dass jede einzelne Anfrage sorgfältig geprüft wird. Die anfragende Person muss identifiziert werden. Wie genau reagiert wird, hängt vom Einzelfall ab. So gelten das Recht auf Auskunft, das Recht auf Löschung und alle weiteren Rechte nie absolut. Wer voreilig reagiert, kann sich genauso falsch verhalten wie jemand, der gar nicht auf Anfragen reagiert.

Das Gleiche gilt für Anfragen von Behörden wie insbesondere dem EDÖB. Auch solche Anfragen sollte man nicht verpassen. Wie schnell darauf reagiert werden muss, ergibt sich normalerweise aus der gesetzten Frist.

Wie Auskunftsbegehren aus Sicht der betroffenen Personen funktionieren, habe ich am Winterkongress 2021 der Digitalen Gesellschaft unter dem Titel «Daten bei Staat und Unternehmen: Ich will Auskunft!» erklärt.

Ein schnelles und sorgfältiges Vorgehen ist auch bei Verletzungen der Datensicherheit erforderlich:

Bei Datenpannen und vergleichbaren Vorfällen ist in vielen Fällen eine Meldung an den EDÖB oder auch an die betroffenen Personen erforderlich (Art. 24 nDSG). Eine Meldung kann beispielsweise erforderlich sein, wenn E-Mails an die falschen Empfänger:innen verschickt werden, Daten aus Versehen gelöscht wurden oder ein Ransomware-Angriff erfolgreich war. Auf Englisch spricht man von «Data Breach Notifications».

Die Meldung an den EDÖB muss «so rasch wie möglich» erfolgen. Ob du einen Vorfall melden musst, hängt vom Risiko ab, das mit der Verletzung der Datensicherheit für die betroffenen Personen verbunden ist. Das Risiko muss hoch und konkret sein. Die betroffenen Personen musst du direkt informieren, wenn es für ihren Schutz erforderlich ist. Eine gängige Information ist die Aufforderung, das Passwort zu ändern.

Im Einzelfall wirst du als Verantwortliche:r entscheiden müssen, ob eine Meldung erforderlich ist. Das Verfahren durch den EDÖB sowie der mögliche Reputationsschaden aufgrund einer Meldung können erhebliche Folgen haben. Häufig wird eine Meldung freiwillig erfolgen, um den Inhalt und den Zeitpunkt der Kommunikation selbst bestimmen zu können.

Gibt es weitere Schritte für Website-Betreiber:innen?

Wenn du die ersten 5 Schritte umgesetzt hast, bist du vermutlich besser auf das neue Datenschutzgesetz (nDSG) vorbereitet als die meisten anderen Website-Betreiber:innen in der Schweiz. Du wirst damit das Datenschutzrecht gut genug einhalten können, um Bussen und Verfahren mit hoher Wahrscheinlichkeit zu vermeiden.

Wenn du an diesem Punkt stehst, lohnt es sich, die datenschutzrechtliche Kür in Angriff zu nehmen und sich mit weiteren Themen zu befassen. Einige Beispiele:

  • Welche datenschutzrechtlichen Grundsätze muss ich immer einhalten (insbesondere Art. 6 Abs. 1–5 nDSG)?
  • Was ist eine Datenschutz-Folgenabschätzung (DSFA) und wann muss ich eine solche Abschätzung durchführen (Art. 22 nDSG)?
  • Was gilt bei «automatisierten Einzelentscheiden» (Art. 21 nDSG) und beim «Profiling» (Art. 5 lit. f u. g nDSG)?
  • Was bedeuten «Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen» (Art. 7 nDSG)?
  • Was sind für mich angemessene bzw. «geeignete technische und organisatorische Massnahmen» zur Gewährleistung der Datensicherheit (Art. 8 nDSG)?

Gibt es erfreuliche Nachrichten für Website-Betreiber:innen?

Ja, es gibt erfreuliche Nachrichten, denn die Schweiz übernimmt nicht die europäische Datenschutz-Grundverordnung (DSGVO). Vieles ändert sich deshalb im Anwendungsbereich des schweizerischen Datenschutzrechtes nicht.

Wenn du nur das neue Datenschutzgesetz (nDSG) einhalten musst, bedeutet das für dich unter anderem:

  • Erlaubt ist weiterhin, was nicht verboten ist: Du darfst grundsätzlich Personendaten im Zusammenhang mit deiner Website bearbeiten. Die Bearbeitung ist nicht wie in Europa nur ausnahmsweise erlaubt.
  • Du musst betroffene Personen weiterhin fast nie um eine Einwilligung ersuchen. Die Erforderlichkeit einer Einwilligung ist und bleibt eine grosse Ausnahme.
  • Du benötigst weiterhin keine Datenschutzbeauftragte und auch keinen Datenschutzbeauftragten, wobei das neue DSG diese Rolle übrigens als Datenschutzberater:in bezeichnet (Art. 10 nDSG).
  • Die neuen Strafbestimmungen greifen nur bei Vorsatz, nicht aber bei Fahrlässigkeit. Allerdings: Du wirst es vermutlich nicht auf ein Strafverfahren ankommen lassen!

Siehe auch: Cookie-Richtlinie, DSGVO und ePrivacy-Verordnung: Welche Websites benötigen ein Cookie-Banner?

Beim Newsletter-Versand geht die erforderliche Einwilligung auf das Bundesgesetz gegen den unlauteren Wettbewerb (Art. 3 Abs. 1 lit. o UWG) zurück. Erforderlich ist und bleibt die Information der Newsletter-Empfänger:innen, zum Beispiel über die Messung von angeklickten Weblinks in Newsletter-E-Mails.

Siehe auch: Newsletter: So verschickt man digitale Massenwerbung, ohne für Spam bestraft zu werden

Dennoch lohnt es sich, wenn du versuchst, das Datenschutzrecht einzuhalten. Vielleicht ist es für dich schlicht eine Erleichterung, wenn du weisst, dass du dein Bestes tust. In jedem Fall trägt die Umsetzung des neuen DSG zur Datensicherheit bei und du vermeidest Ärger mit Behörden, betroffenen Personen und Vertragspartnern.

Hinweis: Der vorliegende Beitrag kann nur allgemeine Hinweise zu einem Einstieg in die Thematik geben. Für Abklärungen im Einzelfall, bei Unklarheiten und im Zweifelsfall empfiehlt sich die gezielte Beratung durch eine erfahrene und qualifizierte Fachperson wie beispielsweise einen Rechtsanwalt.

Titelbild: Andreas Fischinger/Unsplash

Beteilige dich an der Diskussion

31 Kommentare

Sébastien Gissler
Sébastien Gissler 15. October 2021 um 09:10

Vielen Dank für die inhaltlich wertvollen Informationen. Ich erlaube mir nur eine kleine Bemerkung zur Form… Ich empfinde es als Affront, wenn man mich als ‚Betreiber:innen‘ bezeichnet. Ich bin ein Betreiber. Es gibt auch Betreiberinnen, die sind vermutlich auch keine ‚Betreiber:innen‘, sondern eben Betreiberinnen. Es geht mir um Stil, Lesbarkeit, Vernunft und Anstand. Besten Dank für Ihre Rücksichtnahme.

Nick Weisser
Nick Weisser 11. October 2021 um 18:10

Danke für den umfangreichen Beitrag. Beste Nachricht: Es gibt keinen guten Grund, Website-Besucher:innen aus der Schweiz mit einem Cookie-Banner zu belästigen 😅

juerg Wrubel
juerg Wrubel 10. October 2021 um 16:10

Frage: Muss ich als Privater auch einen Kostenpflichtige Datenschutzversion verwenden? Welche Blogplattform nutzt Cyon? Ich verkaufe nichts und es ist nicht möglich Blogbeiträge auf meiner Seite zu kommentieren. Wenn jemand Kontakt über die Kontaktseite aufnehmen möchte landen die Daten nur bei uns (Cyon Kontaktformular) dies ist so auch bezeichnet im Formular. Ich bin grad ein wenig Ratlos was ich als minimum tun muss für die nur Privat gentuzte Seite wrubel.ch

Martin Steiger
Martin Steiger 12. October 2021 um 06:10

@juerg Wrubel:

Ein erster Blick auf Deine Website zeigt, dass Du unter anderem auch Google Analytics verwendest. Du benötigst allein schon deshalb eine Datenschutzerklärung. Eine Datenschutzerklärung hast Du auch bereits veröffentlicht, allerdings ist sie auf Deutschland ausgerichtet und unvollständig. Leider führt kein Weg daran vorbei, dass Du Dich unter anderem weiterhin damit befasst, welche Daten von anderen Personen Du bearbeitest und was das Datenschutzrecht dazu sagt. Wenn Du datensparsam bist, fällt viel Aufwand weg. Wenn Du beispielsweise auf Google Analytics verzichtest, musst Du darüber nicht in der Datenschutzerklärung informieren, benötigst Du dafür kein Cookie-Banner, musst Du den Daten-Export in die USA nicht absichern und musst Du keinen Auftragsverarbeitungsvertrag mit Google schliessen …

Chris D.
Chris D. 05. October 2021 um 13:10

Frage an Herrn Steiger: Müssen Vereine (mit einer Webseite) wirklich ein Verarbeitungsverzeichnis führen? Ist das nicht „unverhältnismässig“?

Martin Steiger
Martin Steiger 05. October 2021 um 18:10

@Chris D.:

«Verein» ist kein datenschutzrechtliches Kriterium. Es gibt aber eine Ausnahmen für alle Verantwortlichen mit weniger als 250 Mitarbeiterinnen und Mitarbeitern (Art. 12 Abs. 5 nDSG):

«Der Bundesrat sieht Ausnahmen für Unternehmen vor, die weniger als 250 Mitarbeiterinnen und Mitarbeiter beschäftigen und deren Datenbearbeitung ein geringes Risiko von Verletzungen der Persönlichkeit der betroffenen Personen mit sich bringt.»

Gemäss dem Vorentwurf der neuen Verordnung zum Datenschutzgesetz (VE-VDSG) müssen solche Verantwortlichen nur unter einer der beiden folgenden Voraussetzungen ein Bearbeitungsverzeichnis führen:

Es werden umfangreich besonders schützenswerte Personendaten bearbeitet, oder es wird ein Profiling mit hohem Risiko durchgeführt.

Die meisten Vereine werden demnach kein Bearbeitungsverzeichnis führen müssen. Allerdings führt unabhängig davon kein Weg daran vorbei, dass Verantwortliche wissen, welche Personendaten wofür, wie und wo bearbeitet werden. Ohne dieses Wissen kann das Datenschutzrecht nicht umgesetzt werden. Wer dieses Wissen nicht hat, kann seine Daten beispielsweise nicht wirksam schützen und kann betroffenen Personen auch keine vollständige Auskunft erteilen.

Chris
Chris 07. October 2021 um 11:10

Besten Dank Herr Steiger.
Es grüsst

Chris
Chris 05. October 2021 um 11:10

Danke cyon und danke Herr Steiger für die praxisnahen und verständlichen Erklärungen zu nDSG und GDPR: Ausgezeichnet.
Beste Grüsse, Chris D.

Helmut
Helmut 05. October 2021 um 08:10

Wie sieht es eigentlich mit Email aus, die ich über mein Cyon Hosting empfange – vor allem, wenn die Emails besonders schützenswerte Daten enthalten (Patienten, die um einen Termin ansuchen und dabei ihre Symptome beschreiben).

ImpactFactory
ImpactFactory 16. October 2021 um 10:10

Wenn ein Patient etwas unverschlüsselt verschickt, ist das sein Entscheid. Wenn die Mail gesichert wird, muss sie auf Schweizer Servern liegen. Wenn Sie beantwortet wird und wiederum Gesundheitsdaten drin sind, muss ssl und eine Ende zu Ende Verschlüsselung benutzt werden von der Arztpraxis. Die meisten Arztpraxen in der Schweiz, auch Spitäler und so benutzen HIN Global Mail. Nicht gerade die modernste Lösung, aber alle sind es mittlerweile gewohnt. Die Praxis hat zudem die Pflicht, die Patienten auf die Gefahren unverschlüsselter Kommunikation von Gesundheitsdaten hinzuweisen.

Bei Praxis-Websites würd ich nur Schweizer Hoster, Matomo statt Analytics, keine Videos in iframes und keine Google Maps in Frames und keine Google Schriften verwenden. Dann bleibts einfacher. Bei WordPress muss man aufpassen, dass Plugins nicht irgendwohin zurücktelefonieren.

Martin Steiger
Martin Steiger 05. October 2021 um 18:10

@Helmut:

Was Du beschreibst, klingt nach einer Arztpraxis. Ein Arzt muss nicht nur das Datenschutzgesetz einhalten, sondern unterliegt insbesondere dem ärztlichen Berufsgeheimnis und muss dieses zusätzlich absichern. Diese Thema würde im Zusammenhang mit dem vorliegenden Gastbeitrag aber zu weit führen.

Helmut
Helmut 06. October 2021 um 13:10

@Martin Steiger: Danke, das hilft schon mal.

Pascal Pfeffer
Pascal Pfeffer 05. October 2021 um 07:10

Haben die Beamten in Bern nichts anderes zu tun?

Martin Steiger
Martin Steiger 12. October 2021 um 06:10

@Pascal Pfeffer:

«Haben die Beamten in Bern nichts anderes zu tun?»

Fangfrage? 😉

Ralph
Ralph 05. October 2021 um 07:10

Was wären denn die Folgen für einen Websitebetreiber, der keine der genannten Angaben bereitstellt? Zig-Zehntausende von privaten Seiten dürften unter diese Kategorie fallen.

Martin Steiger
Martin Steiger 05. October 2021 um 19:10

@Ralph:

Wer es vorsätzlich unterlässt, betroffene Personen zu informieren oder vorgeschriebene Angaben zu liefern, kann insbesondere mit einer persönlichen Busse von bis zu 250’000 Franken bestraft werden (Art. 60 Abs. 1 lit. b nDSG).

Gian
Gian 02. October 2021 um 06:10

Besten Dank für diese Hinweise.
Eine Frage bleibt für mich. Muss ich etwas ändern, wenn meine WebSite weder Cookies, Formulare usw. enthält? Will ein Besucher mit mir in Kontakt treten, geht das nur über die abgesicherte E-Mail Adresse. Meine WebSite ist eigentlich nur eine Möglichkeit, sich über eines meiner Hobbys zu informieren, d.h. vor allem enthält sie Tipps und Tricks dazu.
Wenn ich also die Massnahmen 1:1 umsetzen müsste, wäre dies der Tod meiner WebSite, denn diesen Aufwand werde ich nicht machen, d.h. das bereits geplante Ende meiner WebSite (meinem Alter geschuldet) wäre dann anstatt Ende 2024 schon Ende 2022.

Martin Steiger
Martin Steiger 03. October 2021 um 14:10

@Gian:

Du musst selbst prüfen (lassen), ob Du etwas ändern musst. Wenn Du Dich bislang noch gar nicht um den Datenschutz gekümmert hast, wirst Du einiges an Nachholbedarf haben. Wenn Du heute noch keine Datenschutzerklärung veröffentlicht hast, wirst Du insbesondere eine Datenschutzerklärung erstellen müssen.

Bea
Bea 02. October 2021 um 03:10

Danke für die Infos. Aber für Laien tönt das recht kompliziert. Wäre toll, wenn ihr unter Support Beispiele aufschalten könntet. Danke.

Toni
Toni 02. October 2021 um 11:10

Diesem Wunsch schliesse ich mich gerne an.

Marcel
Marcel 03. October 2021 um 22:10

Auch ich hätte gerne ein konkretes Beispiel:

Eine Standard-Wordpress-Installation, wie mit eurem App-Installer erstellt, mit den dort per default ausgewählten Plugins. Keine weiteren 3rd-Party-Tools, insbesondere keine Google Analytics oder so. Nur eigene Inhalte und Links auf weitere Seiten und ein mailto:Link.

Ich denke, das würde vielen weiterhelfen. Liebe Grüsse, Marcel

ImpactFactory
ImpactFactory 16. October 2021 um 10:10

Plugins sind 3rd-Party-Tools und können manchmal an den Entwickler Daten über die Nutzung zurücksenden.

Martin Steiger
Martin Steiger 03. October 2021 um 14:10

@Bea, @Toni:

An was für Beispiele habt Ihr gedacht?

Bea
Bea 04. October 2021 um 07:10

Ich wäre froh, könnte ich unter Support einfach Datenschutzerklärung eingeben und hätte dann eine Vorlage. z.B. für eine ganz normale Seite ohne Login und so. Dazu noch im Baukastensystem Zusätze, wenn man ein Kontaktformular drauf hat, ein Forum oder gar einen Shop integriert.
Ich habe keine Ahnung, wie ich sowas formulieren soll. Als ich das alles gelesen habe, ist mir der Spass am Webseiten machen ziemlich vergangen. Mir reicht es schon, mich mit dem Code rumzuschlagen.
Zudem den Hinweis, WO muss diese Erklärung erscheinen. Bei einem CMS kann man das ja irgendwie einbauchen. Aber ein Forum ist meistens fix und fertig, wie ginge das dort.
Ich bin sicher, dass ich nicht die einzige bin, die grad total überfordert ist ;-)

Martin Steiger
Martin Steiger 04. October 2021 um 07:10

@Bea:

Für Dein Anliegen mit der Datenschutzerklärung gibt es sogenannte Datenschutz-Generatoren. Wir bieten bei Datenschutzpartner einen solchen Datenschutz-Generator an, aber es gibt auch andere Anbieter.

(Den Datenschutz-Generator von Datenschutzpartner gibt es übrigens im Wesentlichen, weil ich mich über die häufig unpassenden Texte von anderen Anbietern geärgert hatte. Kostenlose Datenschutz-Generatoren sind häufig veraltet, weil sie ungenügend gepflegt werden, denn sie dienen in erster Linie der Werbung für andere Angebote. Deutsche Datenschutz-Generatoren haben fast immer das Problem, dass sie das schweizerische Recht nicht genügend berücksichtigen.)

Wo die Datenschutzerklärung erscheinen muss, steht übrigens oben im Beitrag. Im Beitrag ist auch ein weiterer – sehr ausführlicher – Beitrag verlinkt, wie man eine Datenschutzerklärung erstellen kann.

Simon
Simon 01. October 2021 um 15:10

Vielen Dank Martin für diesen wertvollen und informativen Beitrag. Ich habe dazu eine etwas ketzerische Frage, die aber durchaus ernst gemeint ist: Nehmen wir an, ich speichere auf meinem Webhosting eine leere .html-Datei, die über eine Domain öffentlich aufrufbar ist. Es gibt somit keine Möglichkeit, dass Besucher*innen Daten über diese Website übermitteln. Trotzdem wird, wie von dir angesprochen, wahrscheinlich die IP-Adresse bei einem Besuch durch meinen Webhosting-Anbieter in einem Log – zumindest für eine kurze Zeit – gespeichert. Bräuchte damit diese leere Website eine Datenschutzerklärung?

Martin Steiger
Martin Steiger 03. October 2021 um 14:10

@Simon:

Mit einer Datenschutzerklärung wird über die Bearbeitung von Personendaten informiert. Wenn Du zum Ergebnis gelangst, gar keine Personendaten zu bearbeiten, ist auch keine Datenschutzerklärung erforderlich. Es dürfte aber einfacher sein, eine – entsprechend kurz gehaltene – Datenschutzerklärung zu veröffentlichen.

Um Fragen dieser Art diskutieren zu können, gibt es bei unserer Datenschutzpartner Academy ganz neu die Legal Sessions. Mündlich kann man weiter ausholen und differenzierter antworten als per Blog-Kommentar.

Simon
Simon 04. October 2021 um 13:10

Vielen Dank für deine Antwort und das Angebot.

Heinz
Heinz 01. October 2021 um 13:10

Herzlichen Dank für die frühzeitigen und umfassenden Informationen!

Dominic
Dominic 01. October 2021 um 12:10

Hallo zusammen

Danke vielmal für den sehr ausführlichen Beitrag!

Ich hätte noch einen kleinen Korrekturwunsch: Der Link welcher zu den Cookie Richtlinien führen sollte, öffnet einen Beitrag zum Newsletter Versand. Das stimmt so wohl nicht ganz.

Philipp Zeder
Philipp Zeder cyon
01. October 2021 um 17:10

Hey Dominic, vielen Dank für den Hinweis. Ich habe den Link soeben korrigiert.