Das neue Datenschutzgesetz (nDSG) der Schweiz
In der Schweiz wurde ein neues, schärferes Datenschutzgesetz veröffentlicht. Wirksam wird es, gemäss aktuellen Informationen, Ende 2022 oder Anfang 2023. Als Websitebetreiber ist es wichtig, sich mit den Datenschutzrichtlinien auseinanderzusetzen und allenfalls Anpassungen vorzunehmen.
Die Schweiz galt im Bereich Datenschutz bisher als harmlos. Mit dem neuen Gesetz können Bussen von bis zu 250'000 Franken verteilt werden. Daher lohnt es sich durchaus, sich die folgenden Punkte durchzulesen.
Vier wichtige Schritte für das neue Datenschutzgesetz
Heute teile ich vier Schritte mit dir, die du als Websitebetreiber durchlaufen solltest. Als Quelle diente hierfür der Artikel von Cyon.ch
Schritt 1: Art und Verarbeitung von Personendaten
Es ist wichtig zu wissen, welche Personendaten wie, wo und wofür verwendet werden. Das dient als Basis der nächsten Schritte. Am einfachsten ist es, wenn man bei allen Daten von Personendaten ausgeht.
Beispiel: IP-Adressen gelten nicht immer als Personendaten. Jedoch ist es rechtlich einfacher, IP-Adressen als Personendaten zu kategorisieren.
Eine gute Option, um zu erkennen, welche Daten wofür, wie und wo verwendet werden, ist ein Verzeichnis oder eine Tabelle.
Gemäss Art. 12 Abs. 1-3 nDSG muss ein solches Verzeichnis existieren. Ausnahmen bilden ausschliesslich Unternehmen, die weniger als 250 Mitarbeiter beschäftigen. Hierfür benötig es keine spezielle Software. Meistens genügt bereits eine Google Sheets Tabelle oder ein Microsoft Excel.
Das Verzeichnis sollte im Stil des Verzeichnisses der Bearbeitungstätigkeiten gemäss der DSGVO erstellt werden. Gute Beispiele hierfür liefern folgende Quellen:
- Es besteht je ein Muster und eine Vorlage für Unternehmen und Vereine bei der Datenschutzstelle Fürstentum Liechtenstein.
- Muster und Vorlagen für Online-Shops, Vereine, Hotels, Handwerkbetriebe und Detailhändler stellen das bayrischene Landesamt für Datenschutzaufsicht zur Verfügung.
Schritt 2: Das Outsourcing absichern
Fast jede:r Websitebetreiber:in benutzt in irgendeiner Form Dienstleistungen von Dritten. Bereits der Hosting-Provider befindet sich meist ausserhalb der eigenen Organisation. Das Outsourcing in dieser Form ist kein Problem und auch nicht verboten.
Gemäss Art. 9 Abs. 1-3 nDSG dürfen Personendaten unter folgenden Voraussetzungen vertraglich von externen Anbietern bearbeitet werden:
- Die Daten dürfen ausschliesslich in der selben Art bearbeitet werden, wie dies der Websitebetreiber selbst darf.
- Die Bearbeitung des Auftrags wird durch keine Geheimhaltungspflicht verboten.
- Der/die Beauftragte ist fähig, die Datensicherheit sicherzustellen.
- Die weitergeleitete Auftragsbearbeitung darf nur durch zuvor erteilte Genehmigung durchgeführt werden.
Wichtig: Eine solche Auftragsbearbeitung sollte in jedem Fall mit einem Vertrag abgesichert werden. Es handelt sich hier meist um einen standardisierten Auftragsverarbeitungsvertrag (AVV).
Schritt 3: Den Daten-Export absichern
Wichtig zu wissen ist: Werden Personendaten im Ausland verarbeitet, resultiert automatisch ein Daten-Export daraus. Dieser muss durch das schweizer Unternehmen abgesichert werden. In Ländern, deren Gesetzgebung über einen korrekten Datenschutz verfügt, ist dies nicht kompliziert. Der Bundesrat wird hierfür eine List mit «sicheren Drittstaaten» zur Verfügung stellen.
Beim Export in die USA kann ein angemessener Datenschutz mit sog. Standardvertragsklauseln gewährleistet werden. Früher bediente man sich bestimmter Absicherungen mittels Privacy Shield- bzw. Safe Harbor-Regelung. Dies ist nicht mehr möglich. Heutzutage verwenden die meisten kompetenten Internet-Dienstleister in den USA Standardvertragsklauseln. Diese sind meist Bestandteil der AGB oder des AVV.
Schritt 4: Eine aktuelle und vollständige Datenschutzerklärung ist zwingend notwendig
Gemäss des alten DSG reichte die Erkennbarkeit der Bearbeitung von personenbezogenen Daten völlig aus. Das neue Datenschutzgesetz sieht dies etwas anders. Neu müssen die Nutzer und Besucher der Website über die Beschaffung ihrer Personendaten informiert werden.
Eine Datenschutzerklärung ist unumgänglich. Es benötigt gemäss des neuen DSG kein Pop-up-Fenster. Nutzer:innen sollen einfach auf die Datenschutzerklärung zugreifen können und bestenfalls wird diese zusätzlich im Footer der Website verlinkt.
Die Datenschutzerklärung sollte folgende Punkte beinhalten:
- Wer ist Websiteverantwortliche:r und wie kann die Person kontaktiert werden.
- Wofür werden die Personendaten verwendet.
- Auflistung allfälliger Empfänger:innen der bearbeiteten Daten.
- Wie wird ein möglicher Daten-Export abgesichert.
- Über welche Rechte verfügen die Personen bzgl. Datenschutz.
AGB, Impressum und Datenschutzerklärung sollten nicht vermischt werden. Es empfiehlt sich eine separate Erstellung der jeweiligen Seiten.
Der Datenschutz-Generator kann bei der Erstellung von Datenschutzerklärungen durchaus unterstützen.
Wie geht es weiter
Wenn die vergangenen Schritte durchgeführt wurden, ist man bereits auf einem guten Weg. Weitere Punkte, die zusätzlich in Angriff genommen werden sollten wären die Folgenden:
- Welche datenschutzrechtlichen Grundsätze müssen immer eingehalten werden?
- Um was handelt es sich bei der Datenschutz-Folgenabschätzung und in welchem Fall muss ich diese durchführen?
- Was versteht man unter «automatisierten Einzelentscheiden» und «Profiling»?
- Was bedeuten die Begriffe «Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen»?
Ein kleines Schmankerl zum Schluss
Das neue Datenschutzgesetz verlangt nicht nach Cookie-Bannern in der Schweiz. Sie sind nur dann notwendig, wenn das europäische Telekommunikationsrecht eingehalten werden muss.
