Am letzten Donnerstag, den 7. September 2023, fand ein Gemeinschafts-Meetup von WordPress Bern, Baden, Schaffhausen, St. Gallen und Zürich statt. Die Meetups trafen sich vor Ort, Rechtsanwalt Martin Steiger wurde per Video Streaming dazu geschalten.
Er erläuterte, was sich mit dem neuen Schweizer Datenschutzrecht wirklich geändert hat und welche Massnahmen tatsächlich relevant sind. Im Anschluss beantwortete er zahlreiche Fragen der Teilnehmenden. Martin Steiger ist Mitgründer von Datenschutzpartner und bietet kostenpflichtige Webinare zu Datenschutzthemen an. Sie haben auch einen Podcast namens Datenschutzplaudereien, welcher kostenlos verfügbar ist.
Zusammenfassung Vortrag
Bezüglich des neuen Datenschutzrechts klärte er auf, dass es sich nicht um eine Kopie der europäischen Datenschutzgrundverordnung (DSGVO) handelt, sondern eigenständige Regelungen enthält. Dennoch bleibt die DSGVO für die Schweiz wichtig, insbesondere für Unternehmen, die Dienstleistungen im Europäischen Wirtschaftsraum anbieten.
Er sprach auch die Notwendigkeit einer EU-Datenschutzvertretung an, wenn man die DSGVO einhalten muss. Ohne eine solche Vertretung würde die DSGVO offensichtlich verletzt.
Er endete diesen Teil des Vortrags mit der Betonung, dass sich in der Schweiz nicht alles geändert hat. Insbesondere braucht man in der Schweiz weiterhin keine Einwilligung für die Bearbeitung von Personendaten. Man muss jedoch das Datenschutzrecht einhalten und die Datensicherheit gewährleisten.
Desweiteren behandelte er verschiedene Aspekte des Datenschutzes in der Schweiz und wie diese durch die neuen Gesetzgebungen beeinflusst werden. Er ging auf die Verwendung von Cookies, die Notwendigkeit eines Datenschutzbeauftragten und das Thema der digitalen Massenwerbung ein. Er betonte, dass gemäss dem Schweizer Datenschutzgesetz keine Cookie-Banner erforderlich sind und man keinen Datenschutzbeauftragten braucht (alle Unternehmen in der Schweiz mit EU-Zielgruppen brauchen trotzdem ein Cookie-Banner – zumindest für Besucher aus der EU). Für Newsletter und andere digitale Massenwerbung ist jedoch nach wie vor eine Einwilligung notwendig.
Er sprach auch die Änderungen in der Informationspflicht gegenüber den betroffenen Personen an. Im Gegensatz zu früher reicht es nicht mehr aus, die Datenbearbeitung nur «erkennbar» zu machen. Stattdessen müssen die betroffenen Personen nun auch konkret informiert werden, was mit ihren Daten geschieht. Das neue Gesetz verlangt Mindestangaben in der Datenschutzerklärung, wie die Identität des Verantwortlichen und den Verwendungszweck der Daten.
Ein weiterer wichtiger Punkt ist die Transparenz bezüglich der Rechte der betroffenen Personen. Diese müssen nun in der Datenschutzerklärung darauf hingewiesen werden, welche Rechte sie haben und wie sie diese geltend machen können.
Er wies auf verschiedene Werkzeuge hin, die bei der Erstellung einer rechtskonformen Datenschutzerklärung helfen können und warnte vor fehlerhaften Ansätzen, die er in der Praxis gesehen hat. Beispielsweise ist eine Datenschutzerklärung eine reine Information, für die man keine Einwilligung der Website-Besucher:innen einholen muss..
Insgesamt betonte er die Bedeutung einer gründlichen und rechtlich abgesicherten Datenschutzerklärung als ein wesentliches Element des Datenschutzes in der Schweiz.
Im weiteren Verlauf betonte er, dass die Datenschutzerklärung auf einer eigenen Webseite veröffentlicht und regelmässig aktualisiert werden sollte. Dabei riet er davon ab, ein Aktualisierungsdatum zu setzen, um nicht den Eindruck zu erwecken, die Informationen seien veraltet. Er hatte auch auf die neuen Bussgelder und strafrechtlichen Konsequenzen hingewiesen, die bei Verstössen gegen das Datenschutzrecht drohen könnten. Er erwähnte, dass die eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte nun die Befugnis habe, von sich aus Untersuchungen durchzuführen und Massnahmen zu verfügen.
Zudem hatte er davor gewarnt, als Dienstleister Verantwortung für den Datenschutz des Kunden zu übernehmen, wenn man nicht die erforderlichen Fachkenntnisse hat. Er sprach ebenfalls die Bedeutung der Auskunftsrechte an und betonte die Notwendigkeit, Anfragen ernst zu nehmen und innerhalb der ersten 30 Tage zu beantworten. Er hatte auch auf onlinekommentar.ch hingewiesen, wo weitere Informationen kostenlos zugänglich ist.
Am Schluss seiner Präsentation sprach er über das Thema des Datenschutzes beim Outsourcing und der Nutzung von Clouddiensten. Er betonte die Bedeutung von Auftragsverarbeitungsverträgen, die in der Schweiz auch als Auftragsbearbeitungsverträge bekannt sind. Besonders wichtig ist dabei, die Datenströme im Auge zu behalten, vor allem wenn Unterauftragsverarbeiter oder Drittstaaten wie die USA beteiligt sind. Der Datenexport in die USA sollte mit Standarddatenschutzklauseln abgesichert werden..
Er führte weiter aus, dass Auftragsbearbeitungsverträge mittlerweile bei allen seriösen Anbietern Standard seien. Er wies zudem auf das Data Privacy Framework hin, das seit kurzem die Datenübertragung von der EU in die USA regelt wohl auch auf die Schweiz ausgeweitet wird.
Er stellte zudem das Konzept der Datenschutzfolgenabschätzungen vor. Dies ist ein risikobasierter Ansatz, der besonders wichtig wird, wenn besonders schützenswerte Personendaten wie z.B. Gesundheitsdaten bearbeitet werden. Obwohl solche Abschätzungen in der Theorie sinnvoll sind, betonte er, dass sie in der Praxis sehr ergebnisorientiert sein können.
Zuletzt verwies er auf verschiedene Ressourcen für weitere Informationen und Vertiefung im Bereich Datenschutz. Darunter ein von ihm veröffentlichter Gastbeitrag sowie weitere Materialien, die teilweise nur für Mitglieder des digitalen Wirtschaftsverbands Swico zugänglich sind. Er empfahl die Mitgliedschaft in diesem Verband als wertvolle Ressource für digitale Themen.
Zusammenfassung Fragen & Antworten
Wenn man Backups für Kunden-Websites erstellt und diese auf OneDrive speichert, muss dies nicht zwingend in der Datenschutzerklärung des Kunden stehen. Allerdings ist ein Auftragsverarbeitungsvertrag zwischen dem Dienstleister und dem Kunden erforderlich.
Websites sollten eine Datenschutzerklärung haben, auch wenn das Fehlen einer solchen nicht sofort zur Deaktivierung der Website führt. Ohne eine solche Erklärung riskiert man jedoch rechtliche Konsequenzen.
Eine Datenschutzerklärung muss nicht explizit vom Benutzer akzeptiert werden; sie muss nur auffindbar sein. Die AGB hingegen müssen akzeptiert werden.
Google Analytics kann ohne explizite Zustimmung der Nutzer verwendet werden. Detailinformationen für jedes Cookie sind nicht zwingend erforderlich, besonders nach Schweizer Recht.
Wenn man Kunden in der Schweiz und in Deutschland hat, muss man sich sowohl an schweizerisches als auch an deutsches Recht halten.
Die Notwendigkeit einer Datenschutzvertretung in der EU gemäss DSGVO ist nicht von der Mitarbeiteranzahl abhängig. Die Mitarbeiterzahl ist hingegen entscheidend bei der Frage, ob man gemäss nDSG ein Verzeichnis der Bearbeitungstätigkeiten führen muss.
Die Speicherung von Backups in der EU oder den USA ist unproblematisch, wenn sie Ende-zu-Ende-verschlüsselt sind. Andernfalls sollte der Datenstandort sorgfältig überlegt werden.
Bei grenzüberschreitender Tätigkeit kann man dem Recht mehrerer Länder unterliegen und sollte dies bei der Vertragsgestaltung berücksichtigen.
Das nDSG verlangt nicht, dass man in der Datenschutzerklärung jeden einzelnen Auftragsverarbeiter und jedes einzelne Cookie nennt. Steiger empfiehlt aber, etwas mehr als nur Minimalangaben zu machen, insbesondere wenn Daten mit Werbenetzwerken geteilt werden.
Martin Steiger ist ein Anhänger von Permission Marketing. Er warnt davor, unerwünschte Werbe-E-Mails zu senden, besonders in Deutschland, wo das rechtliche Risiken birgt.
Das Blockieren von Website-Zugriffen aus der EU ist grundsätzlich erlaubt.
Das Gesetz kennt keine Plugins, aber man sollte über den Datenfluss informieren.
Bei Firmen (GmbH, AG) muss keine Einzelperson als Kontakt angegeben werden.
Man kann für jede Website eine separate Datenschutzerklärung haben, aber es sollte nutzerfreundlich sein.
Wenn der Kunde keine Datenschutzerklärung will, liegt die Verantwortung bei ihm, nicht beim Webdesigner oder Webmaster.
Das Webhosting ist ein klassischer Fall von Auftragsbearbeitung und braucht deshalb einen Auftragsbearbeitungsvertrag. Ob allerdings der Kunde oder die Agentur diesen ABV mit dem Hosting Provider abschliessen muss, hängt davon ab, wie das Verhältnis zwischen Agentur und Kunde geregelt ist.
In der Schweiz ist ein Datenschutzberater optional und muss deshalb auch in der Datenschutzerklärung nicht erwähnt werden.. Der Inhaber der Einzelfirma ist für die Datenverarbeitung verantwortlich und kann als Ansprechperson in der Datenschutzerklärung genannt werden. Die Nutzung eines Datenschutzgenerators bietet keine absolute Garantie für eine rechtssichere Datenschutzerklärung
Datenschutzrecht gilt für beide, unabhängig davon, ob die Webseite ehrenamtlich betreut wird oder nicht.
Die Nutzung eines Datenschutzgenerators bietet keine absolute Garantie, aber es ist ein guter Anfangspunkt.
Selbst für lokale Betriebe wie Restaurants kann die EU-DSGVO relevant sein, insbesondere wenn sie Kunden aus der EU anziehen.
Ein Restaurant in Basel könnte schnell unter europäisches Datenschutzrecht fallen, da es in einem Dreiländereck liegt.
Der Datenschutzbeauftragte hat eine beratende Funktion und ist normalerweise nicht haftbar, es sei denn, er übernimmt Entscheidungsbefugnisse.
Es ist generell ratsam, im Voraus die Zustimmung der betroffenen Personen einzuholen, sofern man Fotos von diesen Personen veröffentlichen möchte, z.B. nach einem Vereinsanlass. Und wenn eine abgebildete Person nachträglich darum bittet, das Foto zu entfernen, sollte man dieser Bitte nachkommen.
Es ist besser, wenn Impressum und Datenschutz auf getrennten Seiten sind, aber nicht verpflichtend.
Ein einzelner Programmierer oder Administrator kann haftbar gemacht werden, insbesondere wenn er schuldhaft handelt. Es gibt sowohl zivilrechtliche als auch strafrechtliche Haftungsmöglichkeiten. Die Erwartung ist, dass man sorgfältig arbeitet und einen gewissen Mindeststandard einhält.
Es gibt keinen Formzwang für Verträge; sie können auch elektronisch abgeschlossen werden. Bei der Veröffentlichung von Vertragsbedingungen (wie z.B. einem AVV – Auftragsverarbeitungsvertrag) wäre ein Verweis in den AGB ideal, aber nicht zwingend notwendig.
Dankeschön
Abschliessend sagte Martin Steiger, dass die Datenschutzpartner sich als Teil der WordPress Community sehen. Sie haben auch am WordCamps Switzerland im April teilgenommen und sie nutzen selber WordPress.
An dieser Stelle ein herzliches Dankeschön an Martin Steiger, dass er sich so viel Zeit für die Schweizer WordPress Community genommen hat. Danke ebenfalls an Gerd Zimmermann und das Berner WordPress Meetup Orga-Team für die Koordination dieses Gemeinschafts-Meetups.
Wir freuen uns, dich am nächsten Zürcher WordPress Meetup im Q4/2023 begrüssen zu dürfen. Den genauen Termin werden wir dann wie gewohnt auf meetup.com bekannt geben.
Links & Credits
- Aufzeichnung des Meetups – Die Folien sowie die verlinkten Quellen sind nur für Mitglieder der Datenschutzpartner Academy verfügbar.
- Datenschutz-Generator für Datenschutzerklärungen (kostenpflichtig)
- Datenschutz Self Assessment Tool
- Was bedeutet das neue Datenschutzrecht für Agenturen und Webmaster:innen in der Schweiz?
- Beitragsbild von Tobias Tullius
