nDSG geht jeden etwas an. Was es zu beachten gibt für Selbstständige und Unternehmen.
Das neue Datenschutzgesetz der Schweiz muss auf deiner Website umgesetzt werden, in einer Form, die verständlich ist für deine Besucher*innen.
Per 1. September 2023 ist es soweit und das neue Gesetz ist aktiv. Warum es auch dich etwas angeht? Weil du als Unternehmen, auch wenn du ein Einzelunternehmen bist, die Pflicht hast, mit den Daten von Kund*innen sorgsam umzugehen. Datenschutz betrifft deine gesamte Firma. In diesem Artikel beleuchte ich nur die Websites.
Was muss ich für meine Website beachten
Die wichtigsten Datenschutzvorschriften bei einer Webseite hier im Überblick:
Datensicherheit im neuen Datenschutzgesetz der Schweiz (nDSG)
Es liegt in deiner Verantwortung technische und organisatorische Massnahmen zu ergreifen um Personendaten zu schützen. Die Massnahmen müssen vermeiden, dass Personendaten verletzt werden. Dies kann unbeabsichtigt oder widerrechtlich geschehen, doch sollten Daten gelöscht oder gar gehackt werden ist dies ein Verstoss gegen die Datensicherheit.
Unter Personendaten verstehen sich alle Daten oder Angaben die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen. Das nDSG (inkl. Datenschutzverordnung (DSV)) sieht verschiedene Kriterien sowie Schutzziele vor um eben diese Personendaten zu schützen.
Wichtig für dich in diesem Zusammenhang ist:
- eine verschlüsselte Website (SSL-Zertifikat), erkennbar am Schloss in der Domain. Dies ist bei den meisten Schweizer Domainanbietern im Preis inbegriffen oder gegen einen Aufpreis buchbar. Checke deine Website, ob sie über ein 🔓 in der Domain verfügt. Nutz du ein Hosting bei Jimdo, ist dies im Hostingpreis inbegriffen.
- Updates und Aktualisierungen deiner Website müssen in regelmässigen Abständen erfolgen, um deine Website vor Hacking oder Verlust von Daten durch andere Einflüsse zu schützen. Hast du eine Jimdo-Seite, so wird dies von Jimdo im Hintergrund gewartet. Das erklärt auch den Preis, den du jährlich für dein Hosting bezahlst. Ein riesiger Aufwand für Jimdo, den du bequem geliefert bekommst.
Informationspflicht
Bereits das Erfassen von IP-Adressen ist als «Beschaffen von Personendaten» anzusehen. Deshalb ist es unumgänglich, dass deine Webseite eine Datenschutzerklärung braucht. Denn kommt ein User auf deine Website, wird automatisch die IP-Adresse erfasst. Weitere Personendaten die du allenfalls erhebst sind z.B. Personendaten via eines Kontaktformulars, einer Buchung/Bestellung, einer Anmeldung für deinen Newsletter, eines Analysetools für Werbezecke etc. so hast du die Person zu informieren was mit deinen Daten geschieht. Dies muss in einem ersten Schritt (erste Kommunikatonsstufe) erfolgen, so dass Besucher*innen deiner Website die Möglichkeit haben, sich vorher zu informieren und allenfalls die Personendaten nicht bekannt zu geben.
Ein Bespiel wie die erste Kommunikationsstufe zu verstehen ist: Der Datenschutz muss mit dem 1. Klick auf deiner Website gefunden werden. Deshalb empfehle ich, einen Link im Footer und auch im Cookiebanner zu hinterlegen. Das gleiche empfehle ich dir auch auf den Social Media Kanälen. Hinterlege dort den direkten Link auf einen Button zu deiner Datenschutzverordnung und auch zu deinem Impressum.
Du hast mindestens folgend Information mitzuteilen, welche du in deiner Datenschutzerklärung auf deiner Website festhalten solltest:
Identität und Kontaktdaten des Verantwortlichen der Website (Inhaber der Firma)
Bearbeitungszweck
Empfänger*innen oder Kategorien von Empfänger*innen, denen Personendaten bekanntgeben werden
Empfängerstaat, sofern die Personendaten ins Ausland bekannt gegeben werden
Falls du unternehmerisch soweit tätig bist, dass auch die Datenschutz-Grundverordnung der EU (DSGVO, GDPR) zur Anwendung kommt, so solltest du weitere Informationen zur Verfügung stellen. Hier rate ich dir zur Vorsicht mit Datenschutzgeneratoren. Besser ist es, hier eine Rechtsberatung durch eine Fachperson beizuziehen.
Meine Empfehlung: >> www.onlaw.ch
Cookies
Unter Cookies versteht man eine Textinformation, welche im Browser auf den Endgeräten (Tablet, Smartphone, Computer etc.) des Besuchers einer Website gespeichert werden. Cookies dienen dazu, Daten auf dem Webserver zu speichern, damit Informationen bei einem erneuten Besuch direkt ausgelesen werden können. Dies ist zum Beispiel der Grund, warum deine Waren im Warenkorb auch nach einem Tag allenfalls noch darin enthalten sind, wenn du die Seite erneut aufrufst. Durch die Identifizierung des Surfers (Session ID) können Warenkörbe gespeichert werden oder dein Nutzerverhalten für Werbezwecke mit Analyse Tools, beispielsweise Google Analytics, erfasst werden.
Im Datenschutz stehen Cookies als Synonym für eine Datenentnahme, Datenspeicherung, Datennutzung, Datenverwertung, Datenweitergabe wie auch Datenmissbrauch, unabhängig davon, ob dazu tatsächlich ein physisches Cookie verwendet wird oder andere Techniken eingesetzt werden.
>> alles zu Cookies findest du auf Wikipedia
Meine Empfehlung: Da es heute kaum mehr möglich ist, ohne Spuren zu hinterlassen im Netz zu surfen, empfehle ich dir einen Cookie Banner auf deiner Website zu installieren. Ausser du bist Profi und 100% sicher, dass deine Website keine IP-Adressen oder dergleichen trackt. Ein Cookie-Banner sollte immer drei Optionen für den Besucher haben: Akzeptieren-Auswählen-Ablehnen. Bist du unsicher, so rate ich dir, dich mit deinem Hostingpartner auszutauschen, was genau auf deiner Website alles getrackt wird. Die Person, die dir deine Website eingerichtet hat, muss dies wissen und dir mitteilen.
Datentransfer ins Ausland
Du denkst, geht mich nichts an, ich bin in der Schweiz und habe nur Schweizer Kundinnen und Kunden? So einfach ist es nicht, denn vielleicht nutzt deine Website Google Analytics? Dann werden die Daten nach Irland transferiert und vermutlich dann auch noch gleich in die USA. Oder du nutzt ein Plug-in auf deiner Website eines ausländischen Anbieters? Siehst du und schwups sind die Personendaten im Kontaktformular bei dem Anbieter auf dessen Server hinterlegt.
Eine weitere Möglichkeit Personendaten im Ausland zu deponieren sind natürlich Anmeldungen zu einem Newsletter. Hier gibt es viele gute Tools aus dem EU Raum und aus den USA (Mailchimp). In der Zwischenzeit auch einige Schweizer Anbieter die vergleichbar gut sind. Wichtig ist zu wissen wohin die Daten gehen und dies in deiner Datenschutzerklärung aufzuführen. Bei einer Newsletteranmeldung solltest du immer das Double-opt-in verwenden. Sprich die Person, welche sich für den Newsletter anmeldet, muss bestätigen, dass er den Newsletter wirklich will.
Meine Empfehlung: Erkläre in einfacher Sprache was du mit den Daten passiert, welcher Anbieter du nutzt und hinterlege immer auch gleich den Link zu den Datenschutzerklärungen des Anbieters.
Was passiert bei der Verletzung des nDSG in der Schweiz?
Strafbestimmungen:
- Busse bis max. CHF 250’000.00
- Konkrete Tatbestände, welche mit Strafe angedroht sind
- Bussen sind nicht gegen das Unternehmen, sondern gegen die verantwortliche/n Person/en
- gerichtet
- Vorsatz (inkl. Eventualvorsatz) gefordert
- Nach herrschender Meinung weder versicherbar, noch darf das Unternehmen die Bussen bezahlen
Verwaltungsmassnahmen:
Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) kann grundsätzlich von Amtes wegen oder auf Anzeige hin Untersuchungen durchführen. Bei Verletzung von Datenschutzvorschriften kann der EDÖB verfügen, dass die Datenbearbeitung angepasst, unter- resp. abgebrochen und/oder Personendaten gelöscht/vernichtet werden. Auszug aus dem Bundesgesetz über den Datenschutz (Datenschutzgesetz, DSG):
Untersuchung von Verstössen gegen Datenschutzvorschriften
Art. 49 Untersuchung
Der EDÖB eröffnet von Amtes wegen oder auf Anzeige hin eine Untersuchung gegen ein Bundesorgan oder eine private Person, wenn genügend Anzeichen beste- hen, dass eine Datenbearbeitung gegen die Datenschutzvorschriften verstossen könnte.
Er kann von der Eröffnung einer Untersuchung absehen, wenn die Verletzung der Datenschutzvorschriften von geringfügiger Bedeutung ist.
Das Bundesorgan oder die private Person erteilt dem EDÖB alle Auskünfte und stellt ihm alle Unterlagen zur Verfügung, die für die Untersuchung notwendig sind. Das Auskunftsverweigerungsrecht richtet sich nach den Artikeln 16 und 17 des VwVG13, sofern Artikel 50 Absatz 2 des vorliegenden Gesetzes nichts anderes bestimmt.
Hat die betroffene Person Anzeige erstattet, so informiert der EDÖB sie über die gestützt darauf unternommenen Schritte und das Ergebnis einer allfälligen Untersuchung.
Mein Fazit für den Datenschutz deiner Website in der Schweiz
Kümmere dich darum, ohne Angst, jedoch mit Respekt. Beachte folgende Punkte meiner Kollegin Caroline Danner von Onlaw.ch und es kommt gut:
- Verschlüsselung der Webseite
- Datenschutzerklärung auf der Webseite:
-
- leicht auffindbar (und nicht durch Cookie-Banner verdeckt)
- vollständig
- aktuell (muss kein Datum enthalten, da man davon ausgeht, dass sie aktuell ist, halte sie deshalb aktuell)
- konsistenter Detaillierungsgrad
- wenn ein Datenschutzgenerator verwendet wird, Inhalte der Textbausteine verstehen (prüfen lassen durch eine Fachperson)
- muss nicht akzeptiert werden
- Cookie-Banner korrekt umsetzen:
-
- Berücksichtigung der rechtlichen Anforderungen
- Cookie-Banner muss funktionieren
- Gib immer die Wahl an: AKZEPTIEREN-AUSWÄHLEN-ABLEHNEN
- Link zu den Datenschutzerklärung und Impressum einsetzten
- Prüfung, welche Daten in ein Empfängerstaat ohne angemessenes Datenschutzniveau geht:
-
- Prüfschema des EDÖB berücksichtigen
- (Kategorie der) Empfänger:innen und Empfängerstaat/en sind in der Datenschutzerklärung
Nicht vergessen: Implementierung von Updates / Aktualisierungen sicherstellen. Lese deine Datenschutzerklärung von Zeit zu Zeit immer wieder durch, ob diese noch aktuell ist. Vergiss nicht, bei Anpassungen, Änderungen oder Implementierung eines Plug-in, deine Datenschutzerklärung anzupassen.
Das kannst du tun, um deine Datenschutzerklärung konform zu erstellen
- Checkliste von FlowOn herunterladen und ausfüllen >> hier klicken
- Nutze mein Angebot für Jimdo-Seiten. Ich prüfe diese und gebe dir dann Feedback, was genau angepasst werden muss
- Du willst eine umfassende Datenschutzberatung, welche alle Aspekte in deiner Firma beleuchtet und erfasst? Dann empfehle ich dir die Angebote von Onlaw >> www.onlaw.ch
Anmerkung der Autorin zum Artikel. Dies ist eine kleine Übersicht aus dem nDSG. Beachte bitte, dass die hier aufgeführten Inhalte nur ein geringer Teil aus dem gesamten nDSG sind. Ich bin keine Juristin und übernehme keine Verantwortung für deine Datenschutzerklärung. Bitte konsultiere eine juristische Institution um deine Datenschutzerklärung abzusichern.
Kommentar schreiben