Neue EU-Datenschutzverordnung und Auswirkungen auf die Schweizer Unternehmen
Am 25. Mai 2018, trat die neue EU-Datenschutz-Grundverordnung DSGVO in Kraft. Mit dieser neuen, umfassenden und sicherlich weltweit restriktivsten Datenschutzregelung möchte die EU insbesondere die Rechte der Web-User hinsichtlich der Nutzung privater Informationen stärken. Dadurch entstehen für Unternehmen neue Anforderungen bzgl. ihrer kompletten Datenhaltung, der Datennutzung und -verarbeitung sowie auch bzgl. der Inhalte und Tools von Webseiten.
Den Nutzern wird mit der neuen Verordnung zukünftig vor allem das Recht auf Information, auf Auskunft, auf Berichtigung, auf Löschung der persönlichen Daten, auf Einschränkung der Bearbeitung, auf Mitteilung, auf Datenübertragbarkeit, ein dezidiertes Widerspruchsrecht und ein Recht auf Benachrichtigung über Datenschutzverletzungen eingeräumt. Allein anhand dieser Aufzählung wird ersichtlich, um was für ein umfassendes Werk es sich handelt.
Begleitet wird die Verordnung von Sanktionen, die Bussgelder in Höhe von bis zu 20 Mio. Euro oder 4 Prozent des weltweiten Jahresumsetzes vorsehen. Im Gegensatz zu schweizerischem Recht gesteht die Verordnung den Behörden in der EU das Recht zu, Geldbussen direkt zu verhängen, wenn gegen die Verordnung verstossen wird.
Welche Unternehmen sind in der Schweiz betroffen?
Die Verordnung ist ein komplexes juristisches Werk und obwohl es eine EU-Verordnung ist, hat es auch Auswirkungen auf Unternehmen und Organisationen mit Sitz in der Schweiz, da die Anwendung der Verordnung von den Kritieren der Niederlassung sowie auch des Zielmarktes (der Produkt- oder Leistungsangebote) abhängt.
Betroffen von der Verordnung sind somit Schweizer Unternehmen oder Organsationen, die
- Zweigstellen, Niederlassungen oder Tochterfirmen in der EU unterhalten oder
- Waren- oder Dienstleistungsangebote an Personen mit Aufenthalt in der EU richten bzw.
- Daten von Personen mit Wohnsitz in der EU be- oder verarbeiten.
Ihre Webseite – die «Daten-Schnittstelle» nach aussen
Grundsätzlich lässt sich festhalten, dass die Gesetzgebung sich einerseits (und vor allem) auf das firmeninterne Datenhandling bezieht, andererseits auf die Schnittstellen nach aussen. So ist als eine der primären Schnittstellen nach aussen – wenn Ihr Unternehmen oder Ihre Organisation zu den oben genannten Betroffenen zählt – auch Ihre Webseite betroffen, weshalb wir hier für Sie einige ausgewählte Beispiele über datenschutzrelevante Fakten und Massnahmen zusammengetragen haben.
Massnahmen im Rahmen der Webseite oder E-Newsletter für Schweizer Unternehmen und Organisationen, die von der DSGVO betroffen sind …
Bitte beachten Sie, dass alle hier aufgeführten Beispiele nur Ihre Webseite betreffen. Sollten Sie zu den betroffenen Kreisen zählen, ist es unerlässlich, dass Sie sich selbst mit der Datenschutzverordnung befassen, da es viele Gesetzesänderungen gibt, welche Datenhaltung, Datenschutz und Datenkontrolle innerhalb Ihres Unternehmens betreffen.
1. Informationen zur Sicherheit und Datenspeicherung auf unseren Servern
Wir speichern serverseitig lediglich sogenannte Session-Cookies, das heisst, wir nutzen die personenbezogenen Daten nur für die Zeit der Nutzung der entsprechenden Website. Danach sind diese Daten nicht mehr verfügbar, ausser diese Daten sind zur Auftragsbeabreitung nötig, wie z.B. bei Bestellungen oder Kontaktanfragen.
2. Pflicht zur SSL-Verschlüsselung jeglicher Nutzer-Daten
Wenn Sie ein Formular auf Ihrer Website haben (z.B. Kontaktformular, Bestellformular …), dann müssen Sie Ihre Website SSL-verschlüsseln, damit die Daten der Nutzer über eine sichere Verbindung übermittelt werden. Kommen Sie diesbezüglich gerne auf uns zu.
3. Datenschutzerklärung
Sie benötigen eine eigene Seite „Datenschutz“ auf Ihrer Webseite mit ausführlicher Information zur Datenverarbeitung, verwendeten Drittanbieter-Werkzeugen wie Schriften, Social-Plug-Ins oder Statistik-Tools sowie Opt-Out Möglichkeiten, die von jeder Seite Ihrer Website annavigierbar ist. Die Seite „Datenschutz“ kann bei entsprechender Kennzeichnung mit dem Impressum zusammengelegt werden.
4. Newsletter-Anmeldung
Die Newsletter Anmeldung muss zukünftig via Double-Opt-In Verfahren erfolgen, wie das bislang bereits in Deutschland vorgeschrieben war. Neu hingegen ist die zusätzliche Nachweismöglichkeit der Speicherung der Anmeldung zum Zeitpunkt der Zustimmung vorgeschrieben.
5. Google Analytics
Dass man die Verwendung von Google Analytics oder vergleichbare Analysetools in der Datenschutzerklärung aufführen muss, ist bereits heute vorgeschrieben. Speziell bei der Nutzung von Google Analytics ist es jedoch ab sofort Pflicht, einen schriftlichen Vertrag mit Google abzuschliessen, um klarzustellen, dass Google im Auftrag des Seitenbetreibers handelt.
6. Cookie-Warnung
Viele Websites haben bereits eine Cookie-Warnung, die immer beim ersten Aufruf der Website auftaucht. Diese Warnung ist zurzeit nicht gesetzlich vorgeschrieben. Pflicht ist diese Warnung nur dann, wenn personenbezogene Daten dauerhaft mitgeschrieben werden, was wir unsererseits jedoch in der Regel nicht implementieren bzw. nur auf ausdrücklichen Kundenwunsch.
Hinweise zur Umsetzung und Implementierung
Je nach Entwicklungsversion und Aktualität Ihrer Website sind manche Änderungen einfach und schnell umzusetzen, während andere wiederum komplexer und zeitaufwendiger sind.
Wir bitten Sie, die oben aufgeführten Hinweise genau zu studieren und ggf. uns zu kontaktieren. Gerne werden wir in den nächsten Tagen auch unsererseits aktiv werden und die Kunden, die aus unserer Sicht von der neuen Verordnung betroffen sind, kontaktieren.
Bitte beachten Sie, dass wir nicht in der Lage sind, das rein rechtliche Zutreffen der Verordnung auf Ihr Unternehmen zu 100% zu gewährleisten bzw. Ihre Datenschutzerklärung auf Rechtssicherheit zu überprüfen, da es für die verschiedenen Branchen auch unterschiedliche Regelungen gibt und wir keinen Einblick auf Ihr internes Datenhandling haben. Bitte wenden Sie sich diesgezüglich an Ihren Rechtsbeistand bzw. den Datenschutzbeauftragten in Ihrem Unternehmen (ist in Unternehmen ab 250 Mitarbeiter zukünftig Pflicht).
Inwieweit der Schweizer Gesetzgeber die Regelung der EU-Verordnung in Schweizer Recht (auch nur teilweise) übernehmen wird, ist zurzeit für uns noch nicht absehbar. Sicherlich werden sich jedoch webbedingt diverse Gepflogenheiten wie z. B. SSL-Verschlüsselung, Double-Opt-In Verfahren bei Newsletter-Anmeldungen oder Cookie-Warnung bei den Usern als gewohnte Bedienungsweisen verbreiten.
Was für Ihre Webseite im einzelnen Sinn macht umzusetzen – auch für Webseiten von Unternehmen und Organisationen, die nicht von der Verordnung betroffen sind – beleuchten und besprechen wir gerne mit Ihnen gemeinsam. Kontaktieren Sie uns.
Interessante Links zu diesem Thema
Erklärung und Hinweise des Eidg. Datenschutz- und Öffentlichkeitsbeauftragten >>>
Artikel in der Schweizer IT-Fachzeitschaft Netzwoche >>>
Artikel in der Neuen Zürcher Zeitung >>>
Genauer Gesetzestext der DSGVO >>>
Diverse Datenschutzerklärungen (Mustervorlagen) >>>
Online-Marketing: Was zu beachten ist >>>
DSGVO e-recht24 >>>