Am letzten Donnerstag, den 7. September 2023, fand ein Gemeinschafts-Meetup von WordPress Bern, Baden, Schaffhausen, St. Gallen und Zürich statt. Die Meetups trafen sich vor Ort, Rechtsanwalt Martin Steiger wurde per Video Streaming dazu geschalten.

Er erläuterte, was sich mit dem neuen Schweizer Datenschutzrecht wirklich geändert hat und welche Massnahmen tatsächlich relevant sind. Im Anschluss beantwortete er zahlreiche Fragen der Teilnehmenden. Martin Steiger ist Mitgründer von Datenschutzpartner und bietet kostenpflichtige Webinare zu Datenschutzthemen an. Sie haben auch einen Podcast namens Datenschutzplaudereien, welcher kostenlos verfügbar ist.

Zusammenfassung Vortrag

Bezüglich des neuen Datenschutzrechts klärte er auf, dass es sich nicht um eine Kopie der europäischen Datenschutzgrundverordnung (DSGVO) handelt, sondern eigenständige Regelungen enthält. Dennoch bleibt die DSGVO für die Schweiz wichtig, insbesondere für Unternehmen, die Dienstleistungen im Europäischen Wirtschaftsraum anbieten.

Er sprach auch die Notwendigkeit einer EU-Datenschutzvertretung an, wenn man die DSGVO einhalten muss. Ohne eine solche Vertretung würde die DSGVO offensichtlich verletzt.

Er endete diesen Teil des Vortrags mit der Betonung, dass sich in der Schweiz nicht alles geändert hat. Insbesondere braucht man in der Schweiz weiterhin keine Einwilligung für die Bearbeitung von Personendaten. Man muss jedoch das Datenschutzrecht einhalten und die Datensicherheit gewährleisten.

Desweiteren behandelte er verschiedene Aspekte des Datenschutzes in der Schweiz und wie diese durch die neuen Gesetzgebungen beeinflusst werden. Er ging auf die Verwendung von Cookies, die Notwendigkeit eines Datenschutzbeauftragten und das Thema der digitalen Massenwerbung ein. Er betonte, dass gemäss dem Schweizer Datenschutzgesetz keine Cookie-Banner erforderlich sind und man keinen Datenschutzbeauftragten braucht (alle Unternehmen in der Schweiz mit EU-Zielgruppen brauchen trotzdem ein Cookie-Banner – zumindest für Besucher aus der EU). Für Newsletter und andere digitale Massenwerbung ist jedoch nach wie vor eine Einwilligung notwendig.

Er sprach auch die Änderungen in der Informationspflicht gegenüber den betroffenen Personen an. Im Gegensatz zu früher reicht es nicht mehr aus, die Datenbearbeitung nur «erkennbar» zu machen. Stattdessen müssen die betroffenen Personen nun auch konkret informiert werden, was mit ihren Daten geschieht. Das neue Gesetz verlangt Mindestangaben in der Datenschutzerklärung, wie die Identität des Verantwortlichen und den Verwendungszweck der Daten.

Ein weiterer wichtiger Punkt ist die Transparenz bezüglich der Rechte der betroffenen Personen. Diese müssen nun in der Datenschutzerklärung darauf hingewiesen werden, welche Rechte sie haben und wie sie diese geltend machen können.

Er wies auf verschiedene Werkzeuge hin, die bei der Erstellung einer rechtskonformen Datenschutzerklärung helfen können und warnte vor fehlerhaften Ansätzen, die er in der Praxis gesehen hat. Beispielsweise ist eine Datenschutzerklärung eine reine Information, für die man keine Einwilligung der Website-Besucher:innen einholen muss..

Insgesamt betonte er die Bedeutung einer gründlichen und rechtlich abgesicherten Datenschutzerklärung als ein wesentliches Element des Datenschutzes in der Schweiz.

Im weiteren Verlauf betonte er, dass die Datenschutzerklärung auf einer eigenen Webseite veröffentlicht und regelmässig aktualisiert werden sollte. Dabei riet er davon ab, ein Aktualisierungsdatum zu setzen, um nicht den Eindruck zu erwecken, die Informationen seien veraltet. Er hatte auch auf die neuen Bussgelder und strafrechtlichen Konsequenzen hingewiesen, die bei Verstössen gegen das Datenschutzrecht drohen könnten. Er erwähnte, dass die eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte nun die Befugnis habe, von sich aus Untersuchungen durchzuführen und Massnahmen zu verfügen.

Zudem hatte er davor gewarnt, als Dienstleister Verantwortung für den Datenschutz des Kunden zu übernehmen, wenn man nicht die erforderlichen Fachkenntnisse hat. Er sprach ebenfalls die Bedeutung der Auskunftsrechte an und betonte die Notwendigkeit, Anfragen ernst zu nehmen und innerhalb der ersten 30 Tage zu beantworten. Er hatte auch auf onlinekommentar.ch hingewiesen, wo weitere Informationen kostenlos zugänglich ist.

Am Schluss seiner Präsentation sprach er über das Thema des Datenschutzes beim Outsourcing und der Nutzung von Clouddiensten. Er betonte die Bedeutung von Auftragsverarbeitungsverträgen, die in der Schweiz auch als Auftragsbearbeitungsverträge bekannt sind. Besonders wichtig ist dabei, die Datenströme im Auge zu behalten, vor allem wenn Unterauftragsverarbeiter oder Drittstaaten wie die USA beteiligt sind. Der Datenexport in die USA sollte mit Standarddatenschutzklauseln abgesichert werden..

Er führte weiter aus, dass Auftragsbearbeitungsverträge mittlerweile bei allen seriösen Anbietern Standard seien. Er wies zudem auf das Data Privacy Framework hin, das seit kurzem die Datenübertragung von der EU in die USA regelt wohl auch auf die Schweiz ausgeweitet wird.

Er stellte zudem das Konzept der Datenschutzfolgenabschätzungen vor. Dies ist ein risikobasierter Ansatz, der besonders wichtig wird, wenn besonders schützenswerte Personendaten wie z.B. Gesundheitsdaten bearbeitet werden. Obwohl solche Abschätzungen in der Theorie sinnvoll sind, betonte er, dass sie in der Praxis sehr ergebnisorientiert sein können.

Zuletzt verwies er auf verschiedene Ressourcen für weitere Informationen und Vertiefung im Bereich Datenschutz. Darunter ein von ihm veröffentlichter Gastbeitrag sowie weitere Materialien, die teilweise nur für Mitglieder des digitalen Wirtschaftsverbands Swico zugänglich sind. Er empfahl die Mitgliedschaft in diesem Verband als wertvolle Ressource für digitale Themen.

Zusammenfassung Fragen & Antworten

Datenschutzerklärung bei Backups

Wenn man Backups für Kunden-Websites erstellt und diese auf OneDrive speichert, muss dies nicht zwingend in der Datenschutzerklärung des Kunden stehen. Allerdings ist ein Auftragsverarbeitungsvertrag zwischen dem Dienstleister und dem Kunden erforderlich.

Fehlende Datenschutzerklärung

Websites sollten eine Datenschutzerklärung haben, auch wenn das Fehlen einer solchen nicht sofort zur Deaktivierung der Website führt. Ohne eine solche Erklärung riskiert man jedoch rechtliche Konsequenzen.

Datenschutzerklärung vs. AGB

Eine Datenschutzerklärung muss nicht explizit vom Benutzer akzeptiert werden; sie muss nur auffindbar sein. Die AGB hingegen müssen akzeptiert werden.

Google Analytics und Cookies

Google Analytics kann ohne explizite Zustimmung der Nutzer verwendet werden. Detailinformationen für jedes Cookie sind nicht zwingend erforderlich, besonders nach Schweizer Recht.

Internationale Tätigkeit

Wenn man Kunden in der Schweiz und in Deutschland hat, muss man sich sowohl an schweizerisches als auch an deutsches Recht halten.

Datenschutzvertretung

Die Notwendigkeit einer Datenschutzvertretung in der EU gemäss DSGVO ist nicht von der Mitarbeiteranzahl abhängig. Die Mitarbeiterzahl ist hingegen entscheidend bei der Frage, ob man gemäss nDSG ein Verzeichnis der Bearbeitungstätigkeiten führen muss.

Backups in anderen Ländern

Die Speicherung von Backups in der EU oder den USA ist unproblematisch, wenn sie Ende-zu-Ende-verschlüsselt sind. Andernfalls sollte der Datenstandort sorgfältig überlegt werden.

Verschiedene Rechtsräume

Bei grenzüberschreitender Tätigkeit kann man dem Recht mehrerer Länder unterliegen und sollte dies bei der Vertragsgestaltung berücksichtigen.

Detaillierungsgrad der Datenschutzerklärung

Das nDSG verlangt nicht, dass man in der Datenschutzerklärung jeden einzelnen Auftragsverarbeiter und jedes einzelne Cookie nennt. Steiger empfiehlt aber, etwas mehr als nur Minimalangaben zu machen, insbesondere wenn Daten mit Werbenetzwerken geteilt werden.

E-Mail Marketing

Martin Steiger ist ein Anhänger von Permission Marketing. Er warnt davor, unerwünschte Werbe-E-Mails zu senden, besonders in Deutschland, wo das rechtliche Risiken birgt.

Geoblocking

Das Blockieren von Website-Zugriffen aus der EU ist grundsätzlich erlaubt.

Plugins und Datenschutzerklärung

Das Gesetz kennt keine Plugins, aber man sollte über den Datenfluss informieren.

Kontaktdaten

Bei Firmen (GmbH, AG) muss keine Einzelperson als Kontakt angegeben werden.

Mehrere Websites und Datenschutzerklärungen

Man kann für jede Website eine separate Datenschutzerklärung haben, aber es sollte nutzerfreundlich sein.

Verantwortung für Datenschutzerklärung bei Kunden

Wenn der Kunde keine Datenschutzerklärung will, liegt die Verantwortung bei ihm, nicht beim Webdesigner oder Webmaster.

Auftragsbearbeitungsvertrag beim Webhosting

Das Webhosting ist ein klassischer Fall von Auftragsbearbeitung und braucht deshalb einen Auftragsbearbeitungsvertrag. Ob allerdings der Kunde oder die Agentur diesen ABV mit dem Hosting Provider abschliessen muss, hängt davon ab, wie das Verhältnis zwischen Agentur und Kunde geregelt ist.

Datenschutzerklärung für Einzelfirmen

In der Schweiz ist ein Datenschutzberater optional und muss deshalb auch in der Datenschutzerklärung nicht erwähnt werden.. Der Inhaber der Einzelfirma ist für die Datenverarbeitung verantwortlich und kann als Ansprechperson in der Datenschutzerklärung genannt werden. Die Nutzung eines Datenschutzgenerators bietet keine absolute Garantie für eine rechtssichere Datenschutzerklärung

Webseiten für Firmen vs. Vereine

Datenschutzrecht gilt für beide, unabhängig davon, ob die Webseite ehrenamtlich betreut wird oder nicht.

Datenschutzgenerator

Die Nutzung eines Datenschutzgenerators bietet keine absolute Garantie, aber es ist ein guter Anfangspunkt.

Restaurantwebsite und EU-DSGVO

Selbst für lokale Betriebe wie Restaurants kann die EU-DSGVO relevant sein, insbesondere wenn sie Kunden aus der EU anziehen.
Ein Restaurant in Basel könnte schnell unter europäisches Datenschutzrecht fallen, da es in einem Dreiländereck liegt.

Datenschutzbeauftragter und Haftung

Der Datenschutzbeauftragte hat eine beratende Funktion und ist normalerweise nicht haftbar, es sei denn, er übernimmt Entscheidungsbefugnisse.

Veröffentlichung von Fotos

Es ist generell ratsam, im Voraus die Zustimmung der betroffenen Personen einzuholen, sofern man Fotos von diesen Personen veröffentlichen möchte, z.B. nach einem Vereinsanlass. Und wenn eine abgebildete Person nachträglich darum bittet, das Foto zu entfernen, sollte man dieser Bitte nachkommen.

Impressum und Datenschutz

Es ist besser, wenn Impressum und Datenschutz auf getrennten Seiten sind, aber nicht verpflichtend.

Haftung von Einzelpersonen

Ein einzelner Programmierer oder Administrator kann haftbar gemacht werden, insbesondere wenn er schuldhaft handelt. Es gibt sowohl zivilrechtliche als auch strafrechtliche Haftungsmöglichkeiten. Die Erwartung ist, dass man sorgfältig arbeitet und einen gewissen Mindeststandard einhält.

Vertragsformalitäten

Es gibt keinen Formzwang für Verträge; sie können auch elektronisch abgeschlossen werden. Bei der Veröffentlichung von Vertragsbedingungen (wie z.B. einem AVV – Auftragsverarbeitungsvertrag) wäre ein Verweis in den AGB ideal, aber nicht zwingend notwendig.

Dankeschön

Abschliessend sagte Martin Steiger, dass die Datenschutzpartner sich als Teil der WordPress Community sehen. Sie haben auch am WordCamps Switzerland im April teilgenommen und sie nutzen selber WordPress.

An dieser Stelle ein herzliches Dankeschön an Martin Steiger, dass er sich so viel Zeit für die Schweizer WordPress Community genommen hat. Danke ebenfalls an Gerd Zimmermann und das Berner WordPress Meetup Orga-Team für die Koordination dieses Gemeinschafts-Meetups.

Wir freuen uns, dich am nächsten Zürcher WordPress Meetup im Q4/2023 begrüssen zu dürfen. Den genauen Termin werden wir dann wie gewohnt auf meetup.com bekannt geben.

Links & Credits

Schreib einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert