Das totalrevidierte Datenschutzgesetz (DSG) ist seit geraumer Zeit in aller Munde. Langsam wird es konkret, am 1. September 2023 tritt es in Kraft. Doch es geht mehr als um einen Cookie Banner für deine Webseite. Wir haben die sieben wichtigsten Punkte rund um da Thema DSG zusammengetragen.

Gleich vorneweg: wir sind keine Jurist:innen. Wir haben die folgenden Ausführungen nach besten Wissen und Gewissen gesammelt. wir können jedoch keine Haftung für die Richtigkeit der Inhalte übernehmen.

Arrow

#1Was ist das DSG?

Das neue Datenschutzgesetz (auch nDSG oder revDSG genannt) soll die Bearbeitung persönlicher Daten verbessern und Schweizer Bürger:innen neue Rechte ermöglichen. Die vorherige Version des Gesetzes kommt aus einer Zeit, in der das Internet noch nicht allgegenwärtig war. Darum wurde diese Anpassung fällig. Auch wollte die Schweiz ihr Datenschutzgesetz an das der EU (siehe auch unser Beitrag zur DSGVO) anpassen.

Konkret sollen die folgenden Verbesserungen erreicht werden:

  • Generelle Verbesserung der Transparenz

  • Stärkung der Aufsichtskompetenzen und der Unabhängigkeit des Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB)

  • Verschärfung der Strafbestimmungen

  • Berücksichtigung des Datenschutzes bereits bei der Planung der Datenbearbeitung («privacy by design») und durch datenschutzfreundliche Voreinstellungen («privacy by default»)

  • Pflicht, Datenschutz-Folgenabschätzungen durchzuführen

  • Das Recht auf Datenherausgabe und -übertragung

  • Förderung der Datensicherheit und Meldung der Verletzungen der Datensicherheit

Ok wunderbar, aber was heisst das nun für für dich? Zuerst ein paar Erklärungen warum Unternehmen Personendaten verarbeiten.

Arrow

#2Dein Unternehmen als Datenverarbeiter

Du verwaltest Kundendaten in einem CRM oder kommunizierst mit deinen Kunden via E- Mail? Du betreibst E-Mail-Marketing oder bist geschäftlich in einem sozialen Netzwerk aktiv? Du analysierst die Besucherzahlen deiner Webseite oder wirbst mit Google Adwords und misst dabei Conversions?

Was wir damit sagen wollen: Im Rahmen von Geschäftsbeziehungen zwischen Kunden und Unternehmen fallen in unserer heutigen, digitalen Realität unweigerlich eine Vielzahl von Personendaten an (Vorname, Name, Anschrift, E-Mail-Adresse, Geburtstage, Standortdaten, IP-Adressen, u.v.m).

Besteht nicht bereits ein Vertrag (z.B. eine Shop-Bestellung, ein Dienstleistungsauftrag oder ein Arbeitsvertrag), eine andere rechtliche Verpflichtung oder ein «berechtigtes Interesse» deines Unternehmens (z.B. Direktwerbung), ist eine Einwilligung des Betroffenen erforderlich.

Kurz gesagt: das DSG betrifft alle Unternehmen, da alle Unternehmen auf irgendeine Weise Personendaten verarbeiten.

Arrow

#3Was ändert sich beim neuen DSG?

Datenbearbeitung im Unternehmen

Personendaten dürfen grundsätzlich wie bis anhin bearbeitet werden. Die wichtigsten Grundsätze an denen man sich halten sollte sind Transparenz, Zweckbindung und Need-to-know. Wir versuchen diese Stichworte zu erklären.

  • Unternehmen müssen transparent kommunizieren, aus welchen Gründen sie Personendaten erheben (Transparenz)

  • Personendaten dürfen nur zum ursprünglichen Zweck verwendet werden (Zweckbindung)

  • Angestellte vom Unternehmen dürfen nur so viele Personendaten einsehen, wie sie für ihre Auftrageserfüllung benötigen (Need-to-know)

Neu muss der Datenschutz aber schon in der Konzeptionsphase von neuen Dienstleistungen und Produkten berücksichtigt werden (Privacy by Design) und bei konkreten Anwendungen muss immer die datenschutzfreundlichere Variante voreingestellt sein (Privacy by Default).
Auch werden die Informationspflichten über die Datenverabeitung im Unternehmen deutlich strenger. Eine Datenschutzverordung wird quasi Pflicht. Was sind das für Pflichten?

Informationspflichten

Es wird erforderlich, dass Personen, deren Daten gesammelt werden, über die Art und den Zweck der Verarbeitung ihrer Daten informiert werden. Dies wird in der eigenen Datenschutzverordnung beschrieben. Und diese sollte auch (aber nicht nur) auf der eigenen Webseite veröffentlicht werden. Am besten an einem Ort, wo sie immer sichtbar ist (z.B. als Link im Footer der Webseite) und es sollte möglich sein, auf die Datenschutzverordnung zu verlinken. So kann überall, wo personenbezogene Daten gesammelt werden, auf die Datenschutzverordnung verwiesen werden.

Auskunftsrecht

Zusätzlich haben Personen umfangreichere Rechte, was ihre Personendaten angeht. Dies sind beispielsweise das Auskunftsrecht über seine Daten im Unternehmen oder das Recht auf Vergessen, also das Löschen der Daten, wenn sie nicht mehr gebraucht werden. Diese Rechte sollten in der Datenschutzverordnung auch berücksichtigt werden.

Und was bedeutet das alles für deine Webseite?

Arrow

#4Was muss ich als Webseiten-Inhaber machen?

Die Webseite deines Unternehmens dient zur digitalen Kontaktaufnahme mit potentiellen und bestehenden Kunden, zukünftigen Mitarbeitenden und vielen anderen. Oft werden dabei umfassend Daten erhoben.

In der nachfolgenden Auflistung findest du typische Fälle einer Datenerhebung. Sie sollen dir dabei helfen, die für deine Datenschutzerklärung relevanten Datenverarbeitungsprozesse auf deiner Webseite zu identifizieren.

  • Kontakt-Formulare und E-Mail

  • Bewerbungen

  • Bestellungen im Shop

  • Kommentarfunktion

  • Anmeldedaten für einen geschützten Bereich (Benutzer-Verwaltung)

Alle diese Prozesse solltest du dokumentieren (Daten, Zweck, Dauer) und in die Datenschutzerklärung aufnehmen. Lösche zudem nicht mehr verwendete Daten nach einer gewissen, vordefinierten Zeit.

Bei der Daten-Übermittlung an Dritt-Unternehmen handelt es sich um die Einbindung von Inhalten von externen Online-Diensten wie zum Beispiel:

  • Google Maps

  • YouTube oder Vimeo Videos

  • Social Share-Widget zum Liken und Teilen von Beiträgen bei Facebook, Twitter, Instagram und Co.

  • Web-Schriftarten von Google, fonts.com oder Adobe Typekit

  • Newsletter-Anmeldung von MailChimp und Co.

  • Auswertung der Besucherzahlen mit Google Analytics

  • Auswertung von Conversions mit Google Adwords, Facebook Pixel

  • usw.

In all diesen und vielen anderen Fällen werden personenbezogene Daten (je nach Dienst die IP-Adresse, E-Mail-Adresse, der Standort und andere Angaben) deiner Webseiten-Besucher an ein Dritt-Unternehmen übermittelt und von diesem verarbeitet.

Es ist in deiner Verantwortung, die Konformität mit den Bestimmungen der DSG zu verifizieren und die Besucher deiner Webseite zu informieren.

Doch welche externe Online-Dienste sind auf jeden Fall in deiner Cmsbox Webseite?

Arrow

#5Was macht die cmsbox?

Die Cmsbox GmbH ist für den Betrieb und das Hosting deiner Webseite zuständig. Damit wir unsere Dienstleistungen bereitstellen, überprüfen und verbessern können, sammeln wir ebenfalls personenbezogene Daten. Und zwar die folgenden:

Server-Aufzeichnungen

Die Server-Infrastruktur erfasst bei jedem Aufruf deiner Unternehmens-Webseite eine Reihe von allgemeinen Daten zum Zugriff, welche in sogenannten Logfiles gespeichert werden. Erfasst werden:

  • der Name der abgerufenen Webseite

  • die URL

  • Datum und Uhrzeit des Abrufs

  • übertragene Datenmenge

  • Meldung über erfolgreichen Abruf

  • Browsertyp und Version

  • das Betriebssystem des Nutzers

  • Referrer URL (die zuvor besuchte Seite)

  • die IP-Adresse des Nutzers

Diese Daten werden benötigt, um die Funktionsfähigkeit und Sicherheit unseres Systems zu überprüfen und zu gewährleisten.

Matomo

Wir verwenden bei allen Cmsbox-Webseiten das Tracking-System Matomo (ehemals PiWiK) zur Auswertung von Besucherzahlen. Diese Datenerhebung unterstützt uns beim Betrieb und der Verbesserung der technischen Infrastruktur, kann auf expliziten Wunsch auch deaktiviert werden. Die Erfassung der Daten erfolgt pseudonymisiert, womit kein Rückschluss auf einen Besucher mehr möglich ist. Die zugrundeliegenden Aufzeichnungen werden zudem nach 180 Tagen gelöscht. Ein Opt-out Mechanismus für die Besucher deiner Webseite ist unter diesem Link verfügbar.
 

reCaptcha

Die Formulare von Cmsbox-Webseiten werden von Google reCaptcha v3 vor unberechtigtem Versand durch Roboter geschützt. Es ist technisch unumgänglich, dass hierfür eine Vielzahl von personenbezogenen Daten an Google übertragen werden. Google hat sich verpflichtet, einen angemessenen Datenschutz zu gewährleisten. Daher ist bei jedem Formular ein entsprechender Hinweis («protected by reCaptcha») mit einem Link auf die Datenschutzerklärung von Google platziert.

Arrow

#6Was ist mit dem Cookie Banner?

Ein Obligatorium für einen Cookie Banner ist weder in der DSGVO noch im DSG erwähnt. Zwar dienen Cookies, also die kleinen Textdateien mit Identifizierungsmerkmalen auf deinem Computer, massgeblich der Datensammlung, aber sie sind nur technisches Mittel zum Zweck. Im Vordergrund steht bei der DSG jedoch die Information der Betroffenen. Also, welche Daten zu welchem Zweck erhoben werden und ob dies mit oder ohne Einwilligung oder gar nicht erlaubt ist. Nur nebensächlich ist deshalb WIE die Erhebung technisch genau geschieht.

Sofern du also Daten erhebst, und dies alles «im Rahmen des berechtigten Interesses» geschieht, ist ein Cookie Banner (noch) keine Pflicht.

Falls du trotzdem einen Cookie Banner möchtest, melde dich. Unsere Lösung entspricht dem «privacy by default» Grundsatz und ist erst noch gratis für dich. Idealerweise sendest du uns auch gleich einen Text, den du gerne im Cookie Banner hättest und den Link zu deiner Datenschutzerklärung.

Arrow

#7Unsere Handlungsempfehlungen

Die Erstellung einer vollständigen und verständlichen Datenschutzerklärung können wir nicht für dich übernehmen. Auch können wir keine Schritt für Schritt Anleitung geben was bis am 1. September 2023 zu tun ist. Wir würden dir aber die folgenden Schritte empfehlen:

  1. Setze dich mit den Bestimmungen von dem DSG auseinander und sensibilisiere dein Unternehmen im Umgang mit personenbezogenen Daten.

  2. Dokumentiere deine Datenverarbeitungsprozesse und prüfe die Erfüllung der Anforderungen gemäss DSG. Pragmatisch aber nachhaltig heisst die Devise. Beauftrage zudem eine Fachperson oder kompetenten Anbieter mit der Erstellung einer Datenschutzerklärung. Eine allgemeine Vorlage kann bspw. mit einem der vielen Generatoren (siehe Links weiter unten) erstellt, den Prozessen angepasst und von einer Fachperson ergänzt werden.

  3. Dokumentiere Datenübermittlungen von personenbezogenen Daten an dein Unternehmen. Überprüfe deine Webseite auf die Einbindung von externen Online-Diensten (siehe was macht die cmsbox). Melde dich bei uns, wenn du nicht sicher bist, welche externen Dienste du sonst noch auf der Webseite hast. Ergänze und veröffentliche deine Datenschutzerklärung auf der Webseite.


Du siehst, grundsätzlich ist es nicht so eine Sache. Aber wie eingangs erwähnt, geht es eben um mehr als nur um einen Cookie Banner. Wenn du Fragen hast, versuchen wir dir gerne weiterzuhelfen, wenn wir können.

Weitere Informationen findest du auch auf unserer Linksammlung

Link-Sammlung:

Unsere Link-Sammlung zu den Datenschutzplattformen der wichtigsten Online-Diensteanbietern:

Disclaimer

Wir hoffen, mit diesen Informationen, basierend auf unserer eigenen Recherche, mehr Klarheit zur DSG und deren Folgen für dein Unternehmen und deine Webseite zu schaffen. Aber wir möchten dich nochmals daran erinnern, dass wir Informatiker und keine Juristen sind. Unsere Einschätzung ist keine Rechtsberatung und ersetzt diese auch nicht! Wende dich für Detailfragen zur DSG und deren Umsetzung bitte an deinemn Rechtsbeistand. Für die Vollständigkeit, Aktualität und Richtigkeit unserer Angaben können wir keine Haftung übernehmen.

Die Informationen von diesem Blogbeitrag haben wir von den folgenden Webseiten entnommen:

cmsbox_team_teaser.png

TeamWer steckt alles in der Box?

Cmsblox

CmsbloXNoch mehr News aus der Box

Momentan sind unsere Webseiten von einer Störung betroffen.
Wir arbeiten mit Hochdruck an einer Lösung zur Behebung der Probleme.