Datenschutzgrundverordnung (DSGVO) – keine Panik, aber…
Sie kommt, sie ist nicht einfach zu verstehen und sie wird angewendet. Sie betrifft auch ca. 95% aller Schweizer Unternehmen, obwohl wir nicht Teil der EU sind. Aber was heisst denn das nun für uns?
Am 25. Mai 2018 tritt in der EU die Datenschutzgrundverordnung (DSGVO) ein. Ziel ist es, mehr Kontrolle über die Personendaten zu erhalten. Erreicht wird dies in dem die Unternehmen, welche Personendaten verarbeiten, zur Rechenschaft gezogen werden. Gleichzeitig wird der Rolle der Datenschutzbehörde mehr Bedeutung zukommen.
Was versteht man unter Personendaten? Das sind persönliche Daten, die von Unternehmen gespeichert und ausgewertet werden, während eine Person sich im Internet bewegt. Dazu gehören:
- Website-Statistiken (bspw. Google Analytics)
- Shops
- Kontaktformulare und gespeicherte Kundendaten
- Newsletter oder Werbemails
- Facebook-Werbung
Bin ich von der Umstellung betroffen?
Obwohl wir nicht Teil der EU sind, sind wir doch von der DSGVO betroffen. Sobald Produkte oder Dienstleistungen in EU Ländern erworben werden können, oder Leute aus der EU Zugriff auf eine Website in der Schweiz haben und ihre Daten verarbeitet werden, muss die Verordnung eingehalten werden.
Auch wer keine EU-Webseitenbesucher hat, ist gut beraten, sich jetzt schon mit dem Thema DSGVO auseinanderzusetzen. In der Schweiz soll die Revision des Schweizerischen Datenschutzgesetzes voraussichtlich im Jahr 2019 in Kraft treten. Die Vorarbeit macht sich also bezahlt.
Es ist nötig, eine Datenschutzverordnungs-Seite auf der Website zu integrieren. Auf dieser Seite müssen die Website-Betreiber den Nachweis erbringen, dass die allgemeinen Grundsätze der Datenschutzgrundverordnung eingehalten werden.
Jede Information, die sich an die Öffentlichkeit oder betroffenen Personen richtet, muss einfach zugänglich und leicht verständlich sein.
Benutzer haben Recht auf Informationen, Auskunftsrecht, Recht auf Berichtigung, Recht auf Löschung, Benachrichtigung über Datenschutzverletzungen.
Was Websitebetreiber im EU-Raum und auch in der Schweiz alles beachten müssen, ist eine echte bürokratische Herausforderung. Abmahnungen über Tausende von Euros drohen, was aber genau den gesetzlichen Vorschriften entspricht ist alle andere als klar.
Für Webseiten-Betreiber empfehlen wir einige Sofortmassnahmen, mit welchen Sie momentan sicher unterwegs sind:
- Opt-In Verfahren für Formulare, vor allem für Newsletter-Anmeldungen (auf Verlangen muss nachgewiesen werden können, ob und wann persönliche Daten und Einverständnis hinterlegt wurden)
- Eigene Datenschutzerklärungs-Seite. Diese muss separat vom Impressum oder von den Allgemeinen Geschäftsbedingungen aufgeführt sein. Erklären Sie darin Ihren Webseiten-Besuchern, welche Personendaten Sie sammeln.
- IP-Adressen Anonymisierung für z.B. Google Analytics. Daten dürfen nicht bis auf die Ebene Endgerät gespeichert werden. Die letzten Zahlen müssen anonymisiert werden, was aber immer noch ausreicht, um Besucherstatistiken, wie bis anhin zu erstellen.
- Cookie-Warnhinweise anbringen (obwohl diese nerven) mit dem Link auf die Datenschutzerklärung.
- Newsletter-Betreibern wird empfohlen, die neuen Datenschutzverordnung im nächsten Mail anzusprechen und als Einverständnis-Erklärung zu deklarieren. Die Empfänger sollten darauf hingewiesen werden, dass sie sich jederzeit von der Mailingliste austragen können mit dem entsprechenden Link.
- Abschluss von Verträgen mit externen Datenverarbeitern (z.B. Google-Analytics, Campaign Monitor, MailChimp, etc.)
Die nächsten Wochen und Monate werden uns im Bezug auf das neue Datenschutzgesetz sicher neue Erkenntnisse bringen. Unsere Recherchen haben gezeigt, dass sich auch Rechtsanwälte nicht sicher sind, wie das neue Gesetz im Detail angewendet werden muss.
Wir halten Sie auf dem Laufenden, sollten sich neue Empfehlungen und/oder Definitionen ergeben.
