Neues Datenschutzrecht

·

·

Am 1. September 2023 trat das neue bzw. revidierte Datenschutzgesetz (revDSG) in der Schweiz in Kraft, um die Privatsphäre und die Selbstbestimmung von Personen bezüglich ihrer Daten zu stärken. Im Zuge der digitalen Entwicklung gewinnt der grenzüberschreitende Datenfluss an Bedeutung, wobei nun der Bundesrat die Länder auflistet, die einen angemessenen Datenschutz bieten.

Das DSG betont die Transparenz und Kontrolle in der Datenverarbeitung und stärkt die Aufsichts- und Strafmassnahmen bei Datenschutzverletzungen. Datenschutzvorschriften müssen nun bereits in der Planungsphase einer Datenverarbeitung berücksichtigt werden, wobei bei hohem Risiko eine Datenschutz-Folgenabschätzung erforderlich ist.

Was hat sich denn nun geändert?

Am 7. September traf sich die Zürcher WordPress Community wieder im Kreis 5, um sich genau über diese Themen auszutauschen. Rechtsanwalt Martin Steiger referierte über das neue Schweizer Datenschutzrecht.

Behandelte Datenschutz-Themen

  • Was gilt wirklich im Zusammenhang mit Einwilligungen und Rechtsgrundlagen für die Bearbeitung von Personendaten?
  • Wann wird eine «Consent Management Platform» benötigt, für Cookies und anderes?
  • Wie muss über den Daten-Export informiert werden?
  • Wie helfen das Data Privacy Framework und andere Garantien beim Daten-Export?
  • Wann müssen Datenschutz-Folgenabschätzungen durchgeführt werden?
  • Wer muss einen Datenschutzbeauftragten benennen, wer eine Datenschutz-Vertretung?

Cookie-Banner

Gemäss dem Schweizer Datenschutzgesetz ist kein Cookie-Banner erforderlich und man braucht keinen Datenschutzbeauftragten. Alle Unternehmen in der Schweiz mit EU-Zielgruppen brauchen trotzdem ein Cookie-Banner – zumindest für Besucher aus der EU. Für Newsletter und andere digitale Massenwerbung ist jedoch nach wie vor eine Einwilligung notwendig.

Vorlage Datenschutzerklärung

Wenn du auf deiner Webseite oder deinem Webshop noch keine Datenschutzerkärung hast, solltest du eine erstellen. WordPress liefert hier bereits eine entsprechende Vorlage, die aber keinen Anspruch auf Rechtssicherheit gewährleistet und noch erweitert werden muss, um die eingesetzten Plugins bzw. 3rd Party Services und Tracker wie Google Fonts, Google Analytics, Google reCATPCHA oder ähnliche Dienste zu berücksichtigen.

Fragen & Antworten zum neuen Datenschutzrecht

Im Anschluss an seinen Vortrag hat Martin Steiger zahlreiche Fragen beantwortet, welche hier in gekürzter Form sinngemäss wiedergegeben werden.

Fehlende Datenschutzerklärung

Websites sollten eine Datenschutzerklärung haben, auch wenn das Fehlen einer solchen nicht sofort zur Deaktivierung der Website führt. Ohne eine solche Erklärung riskiert man jedoch rechtliche Konsequenzen.

Datenschutzerklärung bei Backups

Wenn man Backups für Kunden-Websites erstellt und diese auf OneDrive speichert, muss dies nicht zwingend in der Datenschutzerklärung des Kunden stehen. Allerdings ist ein Auftragsverarbeitungsvertrag zwischen dem Dienstleister und dem Kunden erforderlich.

Datenschutzerklärung vs. AGB

Eine Datenschutzerklärung muss nicht explizit vom Benutzer akzeptiert werden; sie muss nur auffindbar sein. Die AGB hingegen müssen akzeptiert werden.

Datenschutzvertretung

Die Notwendigkeit einer Datenschutzvertretung in der EU gemäss DSGVO ist nicht von der Mitarbeiteranzahl abhängig. Die Mitarbeiterzahl ist hingegen entscheidend bei der Frage, ob man gemäss nDSG ein Verzeichnis der Bearbeitungstätigkeiten führen muss.

Google Analytics und Cookies

Google Analytics kann ohne explizite Zustimmung der Nutzer verwendet werden. Detailinformationen für jedes Cookie sind nicht zwingend erforderlich, besonders nach Schweizer Recht.

Internationale Tätigkeit

Wenn man Kunden in der Schweiz und in Deutschland hat, muss man sich sowohl an schweizerisches als auch an deutsches Recht halten.

Backups in anderen Ländern

Die Speicherung von Backups in der EU oder den USA ist unproblematisch, wenn sie Ende-zu-Ende-verschlüsselt sind. Andernfalls sollte der Datenstandort sorgfältig überlegt werden.

Verschiedene Rechtsräume

Bei grenzüberschreitender Tätigkeit kann man dem Recht mehrerer Länder unterliegen und sollte dies bei der Vertragsgestaltung berücksichtigen.

Detaillierungsgrad der Datenschutzerklärung

Das nDSG verlangt nicht, dass man in der Datenschutzerklärung jeden einzelnen Auftragsverarbeiter und jedes einzelne Cookie nennt. Steiger empfiehlt aber, etwas mehr als nur Minimalangaben zu machen, insbesondere wenn Daten mit Werbenetzwerken geteilt werden.

E-Mail Marketing

Martin Steiger ist ein Anhänger von Permission Marketing. Er warnt davor, unerwünschte Werbe-E-Mails zu senden, besonders in Deutschland, wo das rechtliche Risiken birgt.

Geoblocking

Das Blockieren von Website-Zugriffen aus der EU ist grundsätzlich erlaubt.

Plugins und Datenschutzerklärung

Das Gesetz kennt keine Plugins, aber man sollte über den Datenfluss informieren.

Kontaktdaten

Bei Firmen (GmbH, AG) muss keine Einzelperson als Kontakt angegeben werden.

Mehrere Websites und Datenschutzerklärungen

Man kann für jede Website eine separate Datenschutzerklärung haben, aber es sollte nutzerfreundlich sein.

Verantwortung für Datenschutzerklärung bei Kunden

Wenn der Kunde keine Datenschutzerklärung will, liegt die Verantwortung bei ihm, nicht beim Webdesigner oder Webmaster.

Auftragsbearbeitungsvertrag beim Webhosting

Das Webhosting ist ein klassischer Fall von Auftragsbearbeitung und braucht deshalb einen Auftragsbearbeitungsvertrag. Ob allerdings der Kunde oder die Agentur diesen ABV mit dem Hosting Provider abschliessen muss, hängt davon ab, wie das Verhältnis zwischen Agentur und Kunde geregelt ist.

Datenschutzerklärung für Einzelfirmen

In der Schweiz ist ein Datenschutzberater optional und muss deshalb auch in der Datenschutzerklärung nicht erwähnt werden.. Der Inhaber der Einzelfirma ist für die Datenverarbeitung verantwortlich und kann als Ansprechperson in der Datenschutzerklärung genannt werden. Die Nutzung eines Datenschutzgenerators bietet keine absolute Garantie für eine rechtssichere Datenschutzerklärung

Webseiten für Firmen vs. Vereine

Datenschutzrecht gilt für beide, unabhängig davon, ob die Webseite ehrenamtlich betreut wird oder nicht.

Datenschutzgenerator

Die Nutzung eines Datenschutzgenerators bietet keine absolute Garantie, aber es ist ein guter Anfangspunkt.

Restaurantwebsite und EU-DSGVO

Selbst für lokale Betriebe wie Restaurants kann die EU-DSGVO relevant sein, insbesondere wenn sie Kunden aus der EU anziehen.
Ein Restaurant in Basel könnte schnell unter europäisches Datenschutzrecht fallen, da es in einem Dreiländereck liegt.

Datenschutzbeauftragter und Haftung

Der Datenschutzbeauftragte hat eine beratende Funktion und ist normalerweise nicht haftbar, es sei denn, er übernimmt Entscheidungsbefugnisse.

Veröffentlichung von Fotos

Es ist generell ratsam, im Voraus die Zustimmung der betroffenen Personen einzuholen, sofern man Fotos von diesen Personen veröffentlichen möchte, z.B. nach einem Vereinsanlass. Und wenn eine abgebildete Person nachträglich darum bittet, das Foto zu entfernen, sollte man dieser Bitte nachkommen.

Impressum und Datenschutz

Es ist besser, wenn Impressum und Datenschutz auf getrennten Seiten sind, aber nicht verpflichtend.

Haftung von Einzelpersonen

Ein einzelner Programmierer oder Administrator kann haftbar gemacht werden, insbesondere wenn er schuldhaft handelt. Es gibt sowohl zivilrechtliche als auch strafrechtliche Haftungsmöglichkeiten. Die Erwartung ist, dass man sorgfältig arbeitet und einen gewissen Mindeststandard einhält.

Vertragsformalitäten

Es gibt keinen Formzwang für Verträge; sie können auch elektronisch abgeschlossen werden. Bei der Veröffentlichung von Vertragsbedingungen (wie z.B. einem AVV – Auftragsverarbeitungsvertrag) wäre ein Verweis in den AGB ideal, aber nicht zwingend notwendig.

Credits

  • Beitragsbild von Andreas Fischinger
  • «Neues Datenschutzrecht tritt heute in Kraft» auf admin.ch
  • Zusammenfassung Vortrag Martin Steiger inkl. Fragen und Antworten, sowie weiterführenden Links auf wpzurich.ch