Am 25. Mai 2018 ist es soweit: Die in den vergangenen Wochen im Netz viel diskutierte Datenschutzgrundverordnung der EU (DSGVO oder im Englischen GDPR) gilt nach einer zweijährigen Übergangsphase. Mit den neuen Bestimmungen erhalten Personen in der EU mehr Kontrolle über ihre Personendaten, Unternehmen werden stärker in die Verantwortung genommen und Datenschutzbehörden in ihrer Rolle gestärkt. Wir zeigen, was sich für Sie als cyon-Kunde oder Besucher unserer Website mit der DSGVO ändert.
DSGVO: Eine gute Sache
Datenschutz war uns schon immer wichtig. So verfolgen wir den Ansatz der Datensparsamkeit und geben Kundendaten nur in zwingend nötigen Ausnahmefällen an Dritte weiter. Deshalb begrüssen wir die Dynamiken, die die DSGVO ins Rollen gebracht hat, auch wenn zum Start noch ein paar Unsicherheiten bestehen und noch die Rechtssprechung der Gerichte abzuwarten ist.
Ist meine Website von der DSGVO betroffen?
Die kurze Antwort: Vermutlich ja. Wie so oft steckt der Teufel im Detail und Details gibt es in der 99 Artikel starken Verordnung einige. Rechtsanwalt Martin Steiger formuliert es in seinem Gastbeitrag in unserem Blog «Websites in der Schweiz: Rechtskonforme Cookies im Einklang mit der neuen EU-Datenschutz-Grundverordnung» so:
Die DSGVO führt das sogenannte Marktortprinzip ein: Die DSGVO gilt nicht nur in der EU, sondern weltweit für jede Verarbeitung personenbezogener Daten von Personen in der EU, denen man Dienstleistungen oder Waren anbietet oder deren Verhalten man beobachtet.
In der Folge sind fast alle schweizerischen Websites von der DSGVO betroffen, weil sie ihre Nutzerinnen und Nutzer mittels Webtracking beobachten. So dürfte das Tracking mit Google Analytics weitverbreitet sein und es gibt kaum einen Webserver ohne Auswertung von Logdateien mit IP-Adressen.
Im Zweifelsfall sollten sie daher davon ausgehen, dass Ihre Website von der DSGVO betroffen ist. Eine Beratung durch eine juristische Fachperson ist, wie immer bei rechtlichen Themen, empfohlen.
Wie mache ich meine Website DSGVO-konform?
Als erstes sollten Sie prüfen, ob Sie mit Ihrer Website in irgendwelcher Form personenbezogene Daten verarbeiten:
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.
Haben Sie Plugins für Ihr Content-Management-System installiert, die mit externen Diensten kommunizieren? Nutzen Sie Social-Media-Plugins wie einen Facebook-Pixel? Erfassen Sie personenbezogene Daten mit einem Formular? Oder schicken Sie Ihren Kunden einen Newsletter? All das sind Fragen, die Sie sich stellen sollten.
Sobald klar ist, mit welchen Teilen Ihrer Website personenbezogene Daten verarbeitet werden, stellt sich die Frage, ob die Verarbeitung dieser Daten eine der 6 Bedingungen in Artikel 6 der DSGVO erfüllt. Ist auch diese Frage geklärt, sollten Sie Ihrer Website eine DSGVO-konforme Datenschutzerklärung spendieren. Eine praktische Vorlage bietet das Datenschutz Self Assessment Tool DSAT der beiden Schweizer Anwälte David Rosenthal und David Vasella. Hilfreich ist auch der Datenschutz-Generator.de, welcher von Privatpersonen und Kleinunternehmern kostenlos genutzt werden kann.
ADV-Vereinbarung?
Wenn die DSGVO bei Ihrer Website zur Anwendung kommt, können Sie mit uns eine Vereinbarung zur Auftragsdatenverarbeitung (ADV-Vereinbarung) abschliessen. Eine solche Vereinbarung ist in Artikel 28 der DSGVO geregelt und klärt die Zuständigkeiten zwischen uns als Auftragsverarbeiter und Ihnen als Verantwortlichen.
Der Abschluss dieser Vereinbarung ist mit einem Klick erledigt. Sie finden die ADV-Vereinbarung in Ihrem my.cyon-Konto im Menü «Meine Daten» im Abschnitt «Vereinbarung zur Auftragsdatenverarbeitung». In Ihrem my.cyon-Konto wird Ihnen nach erfolgtem Abschluss das Datum angezeigt.
Wir empfehlen: Drucken Sie die Vereinbarung und die Seite «Meine Daten» aus und legen Sie die Dokumente zu Ihren Akten.
Auftragsverarbeiter in die Datenschutzerklärung
Die verwendeten Auftragsverarbeiter sollten in der oben erwähnten Datenschutzerklärung Ihrer Website aufgeführt werden. Damit gehört auch ein Hinweis auf die beim Webhosting-Provider verarbeiteten Daten in die Erklärung. Vielfach geht nämlich vergessen, dass auch ohne Zutun des Website-Betreibers Daten protokolliert werden. Während wir zwar keine Cookies oder direkt andere Daten von Website-Besuchern sammeln, loggen unsere Webserver bei jedem Zugriff bestimmte technische Daten.
Den folgenden Textabschnitt können Sie als cyon-Kunde in Ihrer Datenschutzerklärung verwenden. Der Abschnitt beschreibt Informationen, die von unseren Webservern protokolliert werden und gibt DSGVO-konform darüber Auskunft.
Wie bei jeder Verbindung mit einem Webserver protokolliert und speichert der Server unseres Webhosting-Anbieters cyon in Basel, Schweiz, bestimmte technische Daten. Zu diesen Daten gehören die IP-Adresse und das Betriebssystem Ihres Geräts, die Daten, die Zugriffszeit, die Art des Browsers sowie die Browser-Anfrage inklusive der Herkunft der Anfrage (Referrer). Dies ist aus technischen Gründen erforderlich, um Ihnen unsere Website zur Verfügung zu stellen. cyon schützt diese Daten mit technischen und organisatorischen Massnahmen vor unerlaubten Zugriffen und gibt sie nicht an Dritte weiter. Soweit wir dabei personenbezogene Daten verarbeiten, tun wir dies aufgrund unseres Interesses, Ihnen die bestmögliche Nutzererfahrung zu bieten und die Sicherheit und Stabilität unserer Systeme zu gewährleisten.
Cookies und die DSGVO?
Cookies, also die kleinen Textdateien, die überall im Web für die Speicherung von Einstellungen oder das Tracking von Besuchern verwendet werden, sind ebenfalls von der DSGVO betroffen. Rechtsanwalt Martin Steiger hat dazu einen ausführlichen Gastbeitrag in unserem Blog verfasst: Websites in der Schweiz: Rechtskonforme Cookies im Einklang mit der neuen EU-Datenschutz-Grundverordnung
Stellen Sie sich für die verwendeten Cookies die folgenden Fragen:
- Gibt es ein berechtiges Interesse an der Cookie-Verwendung?
- Ist die Cookie-Verwendung erforderlich um das berechtigte Interesse zu wahren?
- Überwiegen die Interessen der Website-Anbieter die Interessen der betroffenen Personen am Schutz ihrer Daten?
Martin Steiger schreibt dazu:
Sofern alle Fragen bejaht werden, ist die Cookie-Verwendung grundsätzlich rechtmässig. Die Abwägung ist aber nur möglich, wenn vorgängig bestimmt wurde, für welchen Zweck die Cookies bestimmt sind.
WHOIS-Privacy: Wie weiter?
Zu einem Hosting gehört eine Domain, ohne Adresse geht schliesslich nichts. Auch auf die Verwaltung von Domains hat die DSGVO Einfluss. Insbesondere auf das «Telefonbuch» von Domainnamen, den sogenannten WHOIS-Datenbanken. In den WHOIS-Datenbanken sind Kontaktdaten zu einem Domainnamen erfasst und öffentlich einsehbar. Während bis anhin das Ausmass der einsehbaren Daten je nach Domainendung stark variiert hat und bei einzelnen Domainendungen ein kostenpflichtiger WHOIS-Privacy-Dienst nötig war, um Angaben wie die E-Mail-Adresse oder Telefonnummer vor Spammern zu schützen, bringt die DSGVO hier automatisch Linderung. Die Registerbetreiber sind dazu übergangen nur noch ganz wenige Informationen in der WHOIS-Datenbank uneingeschränkt einsehbar zu machen. Damit wird Spammern erfolgreich ein Riegel geschoben, die bis anhin verbotenerweise die WHOIS-Datenbanken automatisiert nach E-Mail-Adressen abgegrast hatten.
Übrigens: Für .ch-Domains waren und sind E-Mail-Adressen und Telefonnummern nie in den WHOIS-Daten sichtbar.
Schweizer Datenschutzrecht wird überarbeitet
Auch das Schweizer Datenschutzgesetz (DSG) befindet sich zurzeit in Revision. Ein Entwurf wurde im Herbst 2017 präsentiert. Geplant war, das neue Gesetz bis August 2018 einzuführen, zurzeit wird die neue Version aber noch im Parlament behandelt. Das neue DSG wird sich nach Expertenmeinungen in vielen Teilen an die DSGVO anlehnen. Wer jetzt seine Website DSGVO-konform betreibt, dürfte für das neue Schweizer Datenschutzgesetz damit wertvolle Vorarbeit geleistet haben.
Weitere Hilfestellungen zum Thema DSGVO
Die Anzahl Inhalte zum Thema DSGVO ist in den vergangenen Wochen förmlich explodiert. Korrekte Informationen zur neuen Verordnung zu finden, das ist dadurch sicher nicht einfacher geworden. Gute Anlaufstellen für Informationen rund um die DSGVO sind, wie wir finden, die Themenseite des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB), der Blog der Kanzlei Vischer oder der Blog der Kanzlei Dr. Schwenke. Kennen Sie weitere gute Links? Oder haben Sie Fragen zur DSGVO? Hinterlassen Sie uns einen Kommentar.
Hinweis: Für Abklärungen im Einzelfall, bei Unklarheiten und im Zweifelsfall empfiehlt sich die Beratung durch eine Fachperson wie beispielsweise einen Rechtsanwalt.
