DSGVO – Es wurde viel geschrieben darüber in letzer Zeit. Und noch viel mehr spekuliert. Doch worum geht es eigentlich? Wer ist davon betroffen? Was sind die Pflichten deines Unternehmens und was musst du als Website-Betrieber unternehmen? Vorneweg: Es ändert sich einiges, aber Panik ist nicht angesagt. Wir versuchen im nachfolgenden Text etwas genauer zu erklären worum es geht. Aber Achtung: Bei diesen Einschätzungen handelt es sich NICHT um eine Rechtsberatung. Falls konkrete Probleme oder Fragen auftauchen, wende dich bitte an einen Anwalt oder Datenschutzexperten.
Ab Freitag, 25. Mai 2018 wird in der EU der Umgang mit personenbezogenen Daten ohne Einwilligung stärker reguliert. Nach zweijähriger Übergangsfrist tritt die Datenschutz-Grundverordnung DSGVO (englisch GDPR) der Europäischen Union in Kraft. Sie dient dazu, den Datenschutz in der EU zu vereinheitlichen, den EU-Bürgern weitreichendere Rechte in Bezug auf ihre Daten zu gewähren und Unternehmen zu einem standardisierten und verantwortungsvollen Umgang bei der Sammlung und Verarbeitung personenbezogener Daten zu verpflichten. Also eigentlich durchaus eine gute Sache.
Die Datenschutz-Grundverordnung soll die Daten aller Europäer besser schützen. Jeder muss informiert werden und zustimmen wenn persönliche Daten (Name, Adresse, Email, u.v.m.) gespeichert werden. Das muss sicher geschehen und die Daten dürfen nicht verloren gehen. Unbekannte dürfen keinen Zugriff auf die Daten haben und die Kunden haben das Recht zu erfahren, was mit ihren Daten passiert. Zu welchem Zweck werden sie gespeichert? Und wie lange? Auf Wunsch müssen die gespeicherten Daten (wie z.B. Mails, Fotos oder Kontakte) den Kunden zur Verfügung gestellt werden. Und sie haben das Recht, ihre Daten löschen zu lassen. Die Regelung gilt für alle die persönliche Daten speichern. Nicht nur für Google, Facebook & Co., sondern auch für kleine und mittlere Unternehmen, Behörden oder Vereine. Sollten sie sich nicht daran halten, drohen hohe Strafen.
Grundsätzlich jedes Unternehmen, welches in digitaler Form personenbezogene Daten bearbeitet. Die Webseite ist dabei nur ein Kanal in der ganzen Datenverarbeitung einer Unternehmung. Als Datenlieferant aber sicher sehr zentral und wichtig. Und, obwohl es eine Europäische Verordnung ist, betrifft sie auch uns Schweizer. Sobald man EU-Bürgern Waren oder Dienstleistungen anbietet oder deren Nutzungsverhalten beobachtet, fällt man automatisch unter diese Verordnung.
Gemäss unseren Informationen gehört zum Beispiel schon die Auswertung der Besucherzahlen auf der Firmen-Website (z.B. mit Google Analytics) in die Kategorie «Beobachtung Nutzungsverhalten». Als Schweizer Webseiten-Inhaber kannst du kaum verhindern, dass deine Webseite von EU- Bürgern besucht wird oder diese dir Anfragen mit persönlichen Daten zustellen. Womit wir beim Punkt sind: fast sicher wird auch dein Unternehmen damit verpflichtet, den Bestimmungen der DSGVO Folge zu leisten. Es ist zudem nur eine Frage der Zeit, bis auch hierzulande ähnliche Bestimmungen gelten, den die Schweiz ist unter Zugzwang, das eigene Datenschutzgesetz (DSG) an die europäischen Bestimmungen anzugleichen.
Unsere Handlungsempfehlung #1
Setze dich mit den Bestimmungen der neuen Datenschutz-Grundverordnung DSGVO auseinander und sensibilisiere dein Unternehmen im Umgang mit personenbezogenen Daten.
Man höre und staune: In den Bestimmungen der DSGVO wird das Cookie als technische Hilfsmittel nicht erwähnt. Zwar dienen Cookies, also die kleinen Textdateien mit Identifizierungsmerkmalen auf deinem Computer, massgeblich der Datensammlung, aber sie sind nur technisches Mittel zum Zweck. Im Vordergrund steht bei der (Datenschutz-)Information der Betroffenen, welche Daten zu welchem Zweck erhoben werden und ob dies mit oder ohne Einwilligung oder gar nicht erlaubt ist. Nur nebensächlich ist deshalb WIE die Erhebung technisch genau geschieht.
Sofern du also Daten erhebst, und dies alles "im Rahmen des berechtigten Interesses" geschieht, dürften auch die unbeliebten Cookie-Banner (noch) nicht notwendig sein. Aber Vorsicht: Die rechtliche Lage ist diesbezüglich im Fluss. Der Europäische Gerichtshof muss die Rechtslage noch präzisieren. Die bisherige EU-Richtlinie (2009/136/EG) sollte demnächst durch die präzisere E-Privacy- Verordnung ersetzt werden. Das könnte bedeuten, dass in Zukunft nur für darüber hinausgehende Datenerhebung, beispielsweise beim Retargeting oder Profiling, eine ausdrückliche Einwilligung (Privacy as Default) als Banner erforderlich wäre.
Achtung: Daten werden nicht nur via Website gesammelt!
Du verwaltest Kundendaten in einem CRM oder kommunizierst mit deinen Kunden via E- Mail? Du betreibst E-Mail-Marketing oder bist geschäftlich in einem sozialen Netzwerk aktiv? Du analysierst die Besucherzahlen deiner Webseite oder wirbst mit Google Adwords und misst dabei Conversions?
Was wir damit sagen wollen: Im Rahmen von Geschäftsbeziehungen zwischen Kunden und Unternehmen fallen in unserer heutigen, digitalen Realität unweigerlich eine Vielzahl von Daten an (Vorname, Name, Anschrift, E-Mail-Adresse, Geburtstage, Standortdaten IP-Adressen, u.v.m). Besteht nicht bereits ein Vetrag (z.B. eine Shop-Bestellung, ein Dienstleistungsauftrag oder ein Arbeitsvertrag), eine andere rechtliche Verpflichtung oder ein «berechtigtes Interesse» deines Unternehmens (z.B. Direktwerbung!), ist auch hier eine Einwilligung des Betroffenen erforderlich.
But don‘t panic! Die oben erwähnten Beispiele und ähnliche Fälle einer Datenverarbeitung von personenbezogenen Daten sind weiterhin rechtmässig, aber du musst in Zukunft solche Prozesse in einem Datenverarbeitungsverzeichnis dokumentieren und die Betroffenen proaktiv über die Verarbeitung und deren Zweck in einer verständlichen Datenschutzerklärung informieren (Artikel 13).
Eine Ausnahme bildet das Profiling, wie dies bspw. Facebook Pixel mit erweitertem Abgleich (Custom Matching) vornimmt. In diesen Fällen ist das Einholen einer ausdrücklichen Einwilligung unserem Verständnis nach ein Muss (Artikel 22).
Obwohl die EU vorallem der masslosen Datensammlung der grossen Konzerne den Kampf angesagt hat, betrifft das Gesetz uns alle und auch du als Webseiten-Inhaber wirst in die Pflicht genommen.
Unsere Handlungsempfehlung #2
Dokumentiere deine Datenver-arbeitungsprozesse und prüfe die Erfüllung der Anforderungen gemäss DSGVO. Pragmatisch aber nachhaltig heisst die Devise. Beauftrage zudem eine Fachperson oder kompetenten Anbieter mit der Erstellung einer Datenschutzerklärung.
Die Webseite deines Unternehmens dient zur digitalen Kontaktaufnahme mit potentiellen und bestehenden Kunden, zukünftigen Mitarbeitenden und vielen anderen. Oft werden dabei umfassend Daten erhoben.
Damit die Datenerhebung ohne Einwilligung auch weiterhin mit rechten Dingen zu und her geht, ist eine öffentlich zugängliche Datenschutzerklärung auf deiner Website unumgänglich.
In der nachfolgenden Auflistung findest du die typischen Fälle einer Datenerhebung. Sie sollen dir dabei helfen, die für deine Datenschutzerklärung relevanten Datenverarbeitungsprozesse auf deiner Webseite zu identifizieren.
In diesen Fällen werden Daten an dein Unternehmen übermittelt:
Kontakt-Formulare und E-Mail
Bewerbungen
Bestellungen im Shop
Kommentarfunktion
Anmeldedaten für geschützten Bereich (Benutzer-Verwaltung)
Alle diese Prozesse solltest du dokumentieren (Daten, Zweck, Dauer) und in die Datenschutzerklärung aufnehmen. Lösche zudem nicht mehr verwendete Daten nach einer gewissen, vordefinierten Zeit.
Bei der Daten-Übermittlung an Dritt-Unternehmen handelt es sich um die Einbindung von Inhalten von externen Online-Diensten wie zum Beispiel:
Google Maps
YouTube oder Vimeo Videos
Social Share-Widget zum Liken und Teilen von Beiträgen bei Facebook, Twitter, Instagram und Co.
Web-Schriftarten von Google, fonts.com oder Adobe Typekit
Newsletter-Anmeldung von MailChimp und Co.
Auswertung der Besucherzahlen mit Google Analytics
Auswertung von Conversions mit Google Adwords, Facebook Pixel, usw.
In all diesen und vielen anderen Fällen werden personenbezogene Daten (je nach Dienst die IP-Adresse, E-Mail-Adresse, der Standort und andere Angaben) deiner Webseiten-Besucher an ein Dritt-Unternehmen übermittelt und von diesem verarbeitet. Es ist in deiner Verantwortung, die Konformität mit den Bestimmungen der DSGVO zu verifizieren und die Besucher deiner Webseite zu informieren.
Die wichtigste Vorarbeit kannst du allerdings selber leisten: Dokumentiere vorab die interne und externe Datenverarbeitung. Eine allgemeine Vorlage kann bspw. mit einem der vielen Generatoren (siehe Link weiter unten) erstellt, den Prozessen angepasst und von deinem Anwalt ergänzt werden.
Unsere Link-Sammlung zu den Datenschutzplattformen der wichtigsten Online-Diensteanbietern:
Google (Maps, YouTube, Google+, Fonts, uvm.): https://privacy.google.com/intl/de_ALL/
Google Analytics: Anonymisierung der IP-Adresse: https://support.google.com/analytics/answer/2763052?hl=de (empfohlen und wird durch Cmsbox bei allen bestehenden Kunden vorgenommen)
Google Analytics: Auftragsdatenverarbeitungsvertrag: http://www.google.com/analytics/terms/de.pdf > Zustimmung in den Kontoeinstellungen von Google Analytics (empfohlen)
Vimeo: https://vimeo.com/privacy
Facebook/Instagram: https://www.facebook.com/business/gdpr
Twitter: https://gdpr.twitter.com/de.html
Mailchimp: Gültige Einwilligung von Newsletter-Abonnenten einholen: https://kb.mailchimp.com/accounts/management/collect-consent-with-gdpr-forms
Mailchimp: Auftragsdatenverarbeitungsvertrag: https://mailchimp.com/legal/data-processing-addendum/ (empfohlen)
Adobe (Typekit und andere Dienste): https://www.adobe.com/ch_de/privacy.html
Generator für DSGVO-konforme Muster-Datenschutzerklärung: https://www.ratgeberrecht.eu/leistungen/muster-datenschutzerklaerung.html#Generator
KI-Generator für Datenschutzerklärungen https://www.privacybee.ch/
Unsere Handlungsempfehlung #3
Dokumentiere Datenübermittlungen von personenbezogenen Daten an dein Unternehmen. Überprüfe deine Webseite auf die Einbindung von externen Online-Diensten und schliesse Auftragsdatenverarbeitungs-verträge ab. Ergänze und veröffentliche deine Datenschutz-erklärung auf der Webseite.
Verantwortung
Minimiere die Erfassung von personenbezogenen Daten (Menge und Aufbewahrungsdauer) und schütze diese wirkungsvoll, beispielsweise durch Pseudonymisierung, Verschlüsselung oder Zugangsbeschränkungen. Bei Verletzungen des Datenschutzes besteht eine Meldepflicht und es drohen Bussen.
Privacy by Default
Gewährleiste, dass standardmässig nur wirklich notwendige Informationen erhoben werden. Eine Newsletter-Anmeldung ohne bewusste Interaktion (Zusage) des Besuchers sollte man zukünftig vermeiden.
Auftragsdatenverarbeiter
Falls du die Verarbeitung von Daten an Dritte delegierst, z.B. bei der Auswertung von Besucherzahlen an Google Analytics, so ist es in deiner Verantwortung zu überprüfen, dass die Verarbeitung im Einklang mit den Anforderungen der DSGVO ist. Im Idealfall schliesst du hierzu einen Vertrag ab, einen sog. Auftragsdatenverarbeitungsvertrag — diese Bezeichnung haben übrigens nicht wir erfunden ;-)
Datenschutz-Vertreter
Solltest du regelmässig Daten von EU-Bürgern auswerten, verlangt die DSGVO im Artikel 27 die Ernennung eines Datenschutz-Vertreters mit EU- Anschrift.
Die EU-Verordnung stattet die Betroffenen mit ausdrücklichen Rechten aus, um die Datensammlung der Unternehmen kontrollieren zu können. Umgekehrt wird von datenverarbeitenden Unternehmen verlangt, dass sie diese Rechte auch gewähren:
Auskunftsrecht
Leg auf Anfrage den betroffenen Personen offen, welche Daten du aus welchen Gründen und wie lange noch gespeichert hast.
Recht auf Vergessen werden
Werden die Daten zu einer bestimmten Person nicht mehr zum ursprünglichen Verwendungszweck benötigt, so sind diese ohne Aufforderung zu löschen.
Recht auf Löschung
Verlangt die betroffene Person die Löschung der Daten, so ist diesem Antrag umgehend nachzukommen, sofern nicht eine andere Aufbewahrungspflicht dagegen spricht (bspw. die 10-jährige Aufbewahrungsfrist gemäss MWSTG).
Recht auf Widerspruch (Opt-out)
Der Artikel 21 regelt im Abschnitt 2 explizit den Umgang mit Direktwerbung. Obwohl diese als berechtigtes Interesse legitim bleibt, musst du allen betroffenen Personen eine Möglichkeit zum Opt-out einräumen: Beispiel: Abmeldemöglichkeit beim Newsletter.
Unsere Handlungsempfehlung #4
Schliesse auch mit uns, der Cmsbox GmbH, einen Auftragsdatenver-arbeitungsvertrag ab, sobald dieser verfügbar ist. Integriere zudem die untenstehenden Informationen in deine eigene Datenschutzerklärung.
Die Cmsbox GmbH ist für den Betrieb und das Hosting deiner Webseite zuständig. Damit wir unsere Dienstleistungen bereitstellen, überprüfen und verbessern können, sammeln wir ebenfalls personenbezogene Daten. Und zwar die folgenden:
Server-Aufzeichnungen
Die Server-Infrastruktur erfasst bei jedem Aufruf deiner Unternehmens-Webseite eine Reihe von allgemeinen Daten zum Zugriff, welche in sogenannten Logfiles gespeichert werden. Erfasst werden der Name der abgerufenen Webseite, die URL, Datum und Uhrzeit des Abrufs, übertragene Datenmenge, Meldung über erfolgreichen Abruf, Browsertyp nebst Version, das Betriebssystem des Nutzers, Referrer URL (die zuvor besuchte Seite) sowie die IP-Adresse des Nutzers. Diese Daten werden benötigt, um die Funktionsfähigkeit und Sicherheit unseres Systems zu überprüfen und zu gewährleisten.
Matomo
Wir verwenden bei allen Cmsbox-Webseiten das Tracking-System Matomo (ehemals PiWiK) zur Auswertung von Besucherzahlen. Diese Datenerhebung unterstützt uns beim Betrieb und der Verbesserung der technischen Infrastruktur, kann auf expliziten Wunsch aber auch deaktiviert werden. Die Erfassung der Daten erfolgt pseudonymisiert, womit kein Rückschluss auf einen Besucher mehr möglich ist. Die zugrundeliegenden Aufzeichnungen werden zudem nach 180 Tagen gelöscht. Ein Opt-out Mechanismus für die Besucher deiner Webseite ist ebenfalls verfügbar: https://tracker.cmsbox.com/index.php?module=CoreAdminHome&action=optOut&language=de
reCaptcha
Die Formulare von Cmsbox-Webseiten werden von Google reCaptcha v3 vor unberechtigtem Versand durch Roboter geschützt. Es ist technisch unumgänglich, dass hierfür eine Vielzahl von personenbezogenen Daten an Google übertragen werden. Google hat sich verpflichtet, einen angemessenen Datenschutz zu gewährleisten. Daher ist bei jedem Formular ein entsprechender Hinweis („protected by reCaptcha“) mit einem Link auf die Datenschutzerklärung vom Betreiber Google platziert.
Wir hoffen, mit diesen Informationen, basierend auf unserer eigenen Recherche, mehr Klarheit zur neuen Europäischen Datenschutz-Grundverordnung DSGVO und deren Folgen für dein Unternehmen und deine Webseite zu schaffen. Aber wir möchten dich daran erinnern, dass wir Informatiker und keine Juristen sind. Unsere Einschätzung ist keine Rechtsberatung und ersetzt diese auch nicht! Wende dich für Detailfragen zur DSGVO und deren Umsetzung bitte an deinem Rechtsbeistand. Für die Vollständigkeit, Aktualität und Richtigkeit unserer Angaben können wir keine Haftung übernehmen.