Jede Betreiberin, jeder Betreiber einer Homepage ist vom neuen Schweizer Datenschutzgesetz betroffen, welches am 1. September 2023 in Kraft getreten tritt. Auch wenn keine sichtbaren Personendaten verarbeitet werden (z.B. über das Kontaktformular), werden bei jeder Website unsichtbar im Hintergrund Personendaten verarbeitet. Es handelt sich dabei um die sog. IP-Adressen der Besucher/innen.
Dieser Beitrag richtet sich an Internetauftritte von KMU’s, Einzelfirmen, Vereine sowie Privatpersonen und befasst sich mit den Massnahmen, welche getroffen werden sollten, um das Datenschutzrecht umzusetzen.
In diesem Zusammenhang verweise ich gerne auch auf meinen Beitrag Neues CH-Datenschutzgesetz (nDSG), welcher noch mehr Licht in diese Angelegenheit bringt.
Inhaltsverzeichnis
Worum geht es?
Die Grundlage für die Einhaltung des neuen Datenschutzgesetzes besteht aus dem Wissen, wie, wofür und wo Personendaten auf der Homepage verarbeitet werden.
Jeder Internetauftritt muss gemäss Datenschutzrecht eine Datenschutzerklärung enthalten, in welcher der Umgang mit den Personendaten (auch personenbezogene Daten genannt) und deren Verwendung exakt deklariert wird.
Glücklicherweise gibt es in der Schweiz nur eine Informationspflicht und nicht wie bei der Europäischen Datenschutz-Grundverordnung (DSGVO) ein Einwilligungsverfahren mit sog. Cookie-Bannern. Allerdings sollte auch geprüft werden, ob wirklich nur das Schweizer Datenschutzrecht gilt, denn sobald sich eine Website auch an EU-Bürger/innen richtet, gilt auch die DSGVO.
Die Verantwortung für das Einhalten des Datenschutzgesetzes trägt die Betreiberin, der Betreiber der Homepage, doch sollte die Beratung und Hilfestellung vom Entwickler der Website (Webmaster) kommen. Der Webmaster weiss, durch welche Dienste Personendaten an Drittanbieter weitergegeben werden. Grundsätzlich ist es möglich, Cookie freie und von Drittanbieterdiensten befreite Websites zu entwickeln, siehe Cookie freie und von Drittanbietern befreite Websites.
Was gilt es zu beachten?
Folgende Fragen helfen, sich ein Bild über die Verarbeitung der Daten zu machen und zu erkennen, was in der Datenschutzerklärung entsprechend deklariert werden muss.
Verarbeitung von Personendaten
- Welche Personendaten werden verarbeitet?
- Zu welchem Zweck werden Personendaten verarbeitet?
- Wie werden Personendaten verarbeitet?
- Wo werden Personendaten verarbeitet? (siehe auch ‚Abgesichertes Outsourcing, Dienste von Dritten‘)
- Ist die Datenübertragung bei der Verwendung eines Kontaktformulars oder bei einem Webshop durch eine verschlüsselte SSL-Verbindung (https://) abgesichert?
Das Datenschutzgesetz schreibt ein Verzeichnis der Bearbeitungstätigkeiten für Unternehmen mit mehr als 250 Mitarbeitern vor.
Abgesichertes Outsourcing, Cookies und Dienste von Dritten
- Wurde mit dem Hosting-Anbieter ein standardisierter Auftragsverarbeitungsvertrag (AVV) abgeschlossen?
- Erzeugt die Homepage Cookies?
- Werden Dienste von Drittanbietern in Anspruch genommen?
- Wenn ja, wurden mit den Drittanbietern entsprechende Auftragsverarbeitungsverträge (AVV) abgeschlossen?
Mehr Informationen über Cookies und Dienste von Drittanbietern siehe Cookie freie und von Drittanbietern befreite Websites.
Sicherer Daten-Export
- Werden Personendaten im Ausland (aus schweizerischer Sicht) bearbeitet?
- Wenn ja, erfolgt der Daten-Export in ein Land mit angemessenem Datenschutzniveau?
Datenschutzerklärung / Impressum
- Ist eine Datenschutzerklärung vorhanden?
Viele Internetauftritte verfügen noch nicht über eine Datenschutzerklärung! Diese ist aber gemäss Datenschutzgesetz verbindlich. - Ist die Datenschutzerklärung aktuell und sind alle Datenschutz-Deklarationen darin eingeflossen?
- Ist ein Impressum vorhanden? Es besteht datenschutzrechtlich eine Impressumspflicht, um Angaben zur Identität und zu den Kontaktdaten zu gewährleisten.
Cookie freie und von Drittanbietern befreite Websites
Ob eine Website Cookies generiert und / oder Dienste von Dritten beansprucht, kann mit dem Webbkoll Online-Tool getestet werden.
Grundsätzlich ist es möglich, Cookie freie und von Drittanbietern befreite Internetauftritte zu entwickeln. Mehr Informationen über Cookies und Dienste von Drittanbietern siehe Blogbeitrag Cookie freie Websites.
Entwicklung von Cookie freien und von Drittanbietern befreiten Homepages
Einige von mir entwickelten Websites generieren keine Cookies und nehmen keine Dienste von Drittanbietern in Anspruch -> siehe Referenzen.
Fazit
Die Umsetzung des Schweizer Datenschutzgesetz ist bei Cookie freien und von Drittanbieter befreiten Internetauftritten problemlos durchführbar. Erst bei der Verarbeitung von sensiblen Personendaten (z.B. Gesundheitsdaten) und deren Daten-Export ins Ausland, macht es auch Sinn, einen Rechtsanwalt mit Fachgebiet ‚Recht im Internet‘ herbeizuziehen.
Zudem kümmert sich ein seriöser und kompetenter Webdesigner / Webentwickler selber um den Datenschutz des entwickelten Internetauftritts und die Erstellung einer entsprechenden Datenschutzerklärung sollte im Entwicklungsauftrag enthalten sein.
