Langsam aber sicher geht uns die komplizierte Abkürzung locker von den Lippen: DSGVO - die neue Datenschutzverordnung der EU (in English GDPR). Die DSGVO gilt für alle, die personenbezogene Daten von EU-Bürgern bearbeiten und ist seit dem 25. Mai 2018 in Kraft. Das Datenschutzrecht in der EU wird vollständig erneuert, um den Datenschutz zu stärken und zu vereinheitlichen. Auch die Schweiz arbeitet eine Variante der EU-DSGVO aus, welche bereits 2019 in Kraft treten wird.
Wenn Sie auf Ihrer Webseite persönliche Daten Ihrer Besucher mittels Kontaktformular, Newsletter- Anmeldung oder IP-Adressen sammeln, fallen Sie unter die neue Verordnung, egal, wo sich Ihr Unternehmen befindet. Dies gilt auch für Unternehmen in der Schweiz.
Weitere Informationen im Überblick finden Sie auf dem KMU Portal - Info DSGVO.
Datenschutz ist seit 25. Mai 2018 Chefsache. Unsere Empfehlung, bereiten Sie sich vor. Identifizieren Sie Verarbeitungstätigkeiten und erstellen ein Verzeichnis. Auch wenn Sie möglicherweise heute noch nicht von der DSGVO betroffen sind. Die Schweiz ist in der Überarbeitung des neues Datenschutzgesetzes und dieses wird voraussichtlich 2019/2020 in Kraft treten. Prüfen Sie organisatorische Massnahmen und ein Dateninventar das insbesondere folgende Bestandteile und Informationen beinhalten:
Erstellen einer Datenschutzerklärung
Wie ein Impressum auf einer Webseite schon lange obligatorisch ist, benötigt nahezu jede Website heutzutage eine Datenschutzerklärung. Der Link zur Datenschutzerklärung muss von jeder Seite der Website aus erreichbar sein. Betreiben Sie eine gewerbliche Website, stellt eine fehlende oder mangelhafte Datenschutzerklärung einen Wettbewerbsverstoss dar, welcher abgemahnt werden kann.
Datenschutzerklärungen sind modular aufgebaut. Je nachdem, welche Funktionen Ihre Website aufweist, variiert der Wortlaut der Erklärung.
Automatische online Generatoren schissen grad wie Pilze aus dem Boden. Meist bezahlt man diese mit einem Link auf eine entsprechende Webseite oder mit einem Newsletter Abonnement. Wer dies nicht möchte, lässt sich am besten von seinem Anwalt beraten.
Datenschutzgenerator Swissanwalt
Datenschutzerklärung Generator der deutschen Gesellschaft für Datenschutz
Beispiel Datenschutzerklärung von online.foryou
Für den datenschutzkonformen Einsatz von Google Analytics gibt es klare Regelungen, die mit den Aufsichtsbehörden abgestimmt sind.
Zusammenfassend ergeben sich für einen datenschutzkonformen Einsatz von Google Analytics unter Beachtung der Vorgaben der Aufsichtsbehörden insgesamt fünf Punkte, die einzuhalten sind:
Sichere Websites mit SSL und HTTPS
Damit Firmeninterna, Kundendaten und andere sensible Informationen sicher übertragen und verwaltet werden können, gehören SSL und HTTPS zu den heutigen Sicherheitsstandards. Webseiten sollten nun definitive auf HTTPS umgestellt werden.
Checkbox für Einverständnis in Formularen
Bei Formularen auf der Website muss eine datenschutzrechtliche Einwilligungserklärung vorhanden sein. Technisch kann das durch eine Checkbox umgesetzt werden. Wer diese Checkbox anklickt, erklärt sich mit der Datenverarbeitung einverstanden. Die Checkbox könnte z.B. so benannt werden: "Wir benötigen Ihr Einverständnis zur Datenspeicherung gemäß unserer Datenschutzerklärung (verlinken)". Neben der Checkbox steht ein Text wie z.B.: "Ja, ich bin mit der Datenspeicherung einverstanden."
Checkbox in Onlineshop
Bei Shopbestellungen kann auf die Checkbox verzichtet werden, wenn nur notwendige Daten zur Erfüllung des Vertrages erhoben werden. Ein Hinweis auf die Datenspeicherung mit Link zur Datenschutzerklärung ist jedoch erforderlich. Das Gesetz erlaubt das Erheben, Speichern und die Weitergabe personenbezogener Daten, wenn es zur Erfüllung und Abwicklung eines Vertragsverhältnisses, also z.B. des Kaufvertrages bei einem Online-Kauf, erforderlich ist. Die Abfrage der personenbezogenen Daten darf nur Mittel zum Zweck der Vertragserfüllung sein. Deshalb ist auch die Erhebung und Weitergabe der Adressdaten des Kunden an das Versandunternehmen zulässig, da die Ware ansonsten nicht zugestellt werden kann und eine Vertragserfüllung nicht möglich wäre.
Cookie-Regelung in der Schweiz
Betreiber von Websites in der Schweiz sollten zumindest die schweizerische Cookie-Regelung umsetzen. Die Umsetzung kann als Teil einer Datenschutzerklärung erfolgen und sollte Informationen über die Verwendung von Cookies und deren Zweck sowie eine Erklärung zu einer Opt-out-Möglichkeit umfassen. Als Opt-out-Möglichkeit ist ein Hinweis auf die entsprechenden Browser-Einstellungen am einfachsten.
Die Cookie-Regelung in der Schweiz enthält keine Formvorschriften. So genügt in der Regel ein entsprechender Hinweis in der Datenschutzerklärung, wie sie auf vielen Websites in der Fusszeile von einzelnen Seiten verlinkt ist. In Bezug auf das Deaktivieren von Cookies sind kurze Anleitungen für die gängigen Browser nutzerfreundlich, durch die schweizerische Cookie-Regelung aber nicht zwingend vorgeschrieben. (Referenz: Martin Steiger, Cyon Blog. Zu, vollständiger Artikel Cookie Regelung CH. Stand Juli 2018)
Mailchimp ist für E-Mail-Marketing und Newsletter-Versand sehr beliebt. Doch auch der US-amerikanische Dienst ist von der europäischen Datenschutz-Grundverordnung betroffen.
Damit E-Mail Marketing mit Mailchimp DSGVO-konform umgesetzt werden kann, sind folgende Anpassungen notwendig:
