EU-DSGVO steht für Datenschutz-Grundverordnung der Europäischen Union, diese tritt am 25. Mai 2018 in Kraft. Davon betroffen sind alle Unternehmen und Personen, welche Daten eines Bewohners der EU bearbeiten, erfassen oder analysieren. Dieser Blog-Artikel befasst sich hauptsächlich mit den Massnahmen im Zusammenhang mit Webseiten von Schweizer Unternehmen. Die EU-DSGVO geht jedoch viel weiter und betrifft neben der Webseite auch viele Prozesse und Anwendungen im gesamten Unternehmen.
Achtung: Ich gebe an dieser Stelle keine Rechtsberatung, sondern stelle lediglich die Situation dar.
Fragen dürfen gerne in den Kommentaren unten auf der Seite gestellt werden.
Unternehmen mit einer Webseite sind betroffen
Praktisch jedes Unternehmen mit einer Website ist vom EU-DSGVO betroffen. Denn: Bereits das Erfassen eines Besuchers auf der Webseite in Google Analytics oder eines anderen Analyse Tools zählt dazu. Wird kein Analyse-Tool verwendet, reicht es bereits aus, damit man sich an die EU-DSGVO halten muss, wenn Daten aus einem Kontaktformular gespeichert werden oder wenn die Möglichkeit besteht, einen kostenlosen Newsletter zu abonnieren.
Das Schweizer Datenschutzrecht ist momentan noch in Überarbeitung, wird jedoch voraussichtlich einen ähnlichen Rahmen annehmen.
Bewusster Umgang mit Personenbezogenen Daten
Mit der Datenschutzverordnung soll bezweckt werden, dass Unternehmen bewusster mit Personendaten umgehen. Das Zusenden von Newslettern ist nur durch eine ausdrückliche Zustimmung erlaubt.
Datenverlust oder Datendiebstahl muss innert 72 Stunden dem eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) gemeldet werden.
Die Übermittlung von personenbezogenen Daten ist nur für Dienste in Ländern mit einem ähnlich hohen Datenschutzniveau (gemäss Angemessenheitsbeschluss, Safe-Harbor-Abkommen mit den USA o. ä.) gestattet.
Handlungsbedarf auf Webseiten & SocialMedia-Profilen
Impressum
Es besteht eine Informationspflicht, wer der Betreiber einer Webseite ist. Diese Informationspflicht besteht in der Schweiz bereits seit dem 1. April 2012 und trat mit der Revision des Bundesgesetzes gegen den unlauteren Wettbewerb (UWG) in Kraft.
Im Impressum müssen zwingend Angaben zum Unternehmen (Betreiber der Webseite) mit Namen und Kontaktdaten enthalten sein.
Datenschutzerklärung
In der Datenschutzerklärung müssen zwingend Angaben zu den verwendeten Statistik-Tools, Social Media-Plugins, Newsletter-Tools, Umfragetools, etc. enthalten sein: Welche Tools werden verwendet und an welche Standorte werden die Daten übermittelt. Auch alle Dienste (Cloud-Anwendungen), in welchen Daten gespeichert oder verarbeitet werden, müssen darin aufgeführt werden.
Zusätzlich müssen die Besucher auf das Auskunftsrecht, Beschwerderecht und Widerrufungsrecht hingewiesen werden.
SocialMedia-Profile
Auch auf Social Media-Profilen muss das Impressum und die Datenschutzerklärung aufgeführt oder verlinkt werden.
Cookie-Erlaubnis / -Hinweis
Je nachdem, wie die Konfiguration der verwendeten Analyse-Tools (z. B. Google Analytics) ist, reicht ein Hinweis im Sinne von: «Diese Webseite verwendet Cookies zu Werbezwecken und zur Optimierung der Benutzererfahrung. Bei der weiteren Verwendung dieser Webseite willigen Sie in die Datenbearbeitung ein.» In diesem Hinweis muss die Datenschutzerklärung verlinkt sein. Falls die IP-Adressen der Besucher registriert oder automatisch Benutzerprofile angelegt werden, bedingt dies ein Opt-in. Dies bedeutet, die Benutzer müssen dieser Handlung zustimmen. Das hat jedoch unter Umständen eine extrem negative Auswirkung auf die Benutzererfahrung.
Newsletteranmeldung
Zur Anmeldung an einen Newsletter oder Massenversand genügt es nicht mehr, nur eine Geschäftsbeziehung zu haben. Auch automatisch angekreuzte Check-Boxen sind nicht mehr erlaubt. Die Anmeldung muss klar ersichtlich sein und bewusst verlangt werden.
Formulardaten
Auf der Webseite muss ein Nutzer um Erlaubnis gefragt werden, ob seine persönlichen Daten (im Formular ausgefüllt) für einen bestimmten Zweck verarbeitet werden dürfen. Dies gilt, sobald diese in einem Dateisystem gespeichert werden, sei es auch nur per E-Mail.
Knackpunkt Datenschutzvertreter in der EU
Das EU-DSGVO verlangt, dass der Webseiten-Betreiber einen Vertreter in einem Land der EU hat und diesen auf der Webseite mit Kontaktdaten aufführt, sobald Daten von Bewohnern der EU verarbeitet, gespeichert oder analysiert werden. Davon ist praktisch jede Webseite betroffen. Der Vertreter kann eine Zweigstelle, eine Privatperson oder ein beauftragtes Unternehmen zur Datenschutzvertretung sein. Der Vertreter kann nicht für Verstösse des Unternehmens haftbar gemacht werden.
Spezialfall Kerngeschäft Datenverarbeitung
Ist das Kerngeschäft eines Unternehmens die Datenverarbeitung, muss zusätzlich ein verantwortlicher Datenschutzbeauftragter (intern oder extern) bestimmt und auf der Webseite aufgeführt werden.
Risiko bei nicht Einhaltung der EU-DSGVO
Die EU-DSGVO sieht bei besonders schweren Verstössen Bussen bis zu 20 Millionen Euro der 4% des globalen Umsatzes vor. Haftbar ist primär das Unternehmen / die Organisation. Haftung von Geschäftsführer oder Verwaltungsrat ist jedoch möglich. Haftbar ist weiter der Auftragsverarbeiter (z. B. Hosting-Anbieter, Webdesigner, IT-Supporter, etc.) für Verstösse gegen die Datenschutzbestimmungen.
Unterstützung Blogartikel zum EU-DSGVO
Dieser Blogartikel wurde mit freundlicher Unterstützung von Thomas Schneider (www.bubblelaw.ch) erstellt. Zudem besuchte ich zu Abgleichungszwecken eine Veranstaltung der Aargauischen Industrie- und Handelskammer (AIHK). Trotzdem lohnt es sich, bei Unklarheiten zusätzlich einen Rechtsexperten im Bereich Datenschutz zu konsultieren.
Fragen dürfen gerne in den Kommentaren unten auf der Seite gestellt werden.