x

+41 58 510 88 90

help@good-zuerich.ch

Rückruf buchen

Fall schildern

Frage stellen

Datenschutz-Revision

Datenschutz-Revision

Teil 1 – Einleitung:

Anforderungen an Schweizer Unternehmen nach dem revidierten Datenschutzgesetz

Seit einiger Zeit ist es kaum mehr möglich im Internet zu surfen, ohne von «Cookie-Banner» verschont zu bleiben. Es scheint einiges in Bewegung geraten zu sein bezüglich Datenschutz im Internet und es steht die lang erwartete Revision des Schweizer Datenschutzgesetzes an. Mit dieser Arbeit soll Klärung über die Anwendbarkeit und die Begrifflichkeiten der verschiedenen Gesetze, namentlich des Datenschutzgesetzes (DSG), des revidierten Datenschutzgesetzes (DSGneu) sowie der europäischen Datenschutz-Grundverordnung (DSGVO) gebracht werden. Zudem soll sie vor allem als Leitfaden für Internetseiten-Betreiber und Datenschutzver-antwortliche dienen, damit Unternehmen & Internetseiten datenschutzkonform angepasst oder erstellt werden können. 

Zuerst gilt es den Begriff „Internetseiten“ zu definieren. Von der kleinen Web-Visitenkarte eines Einzelunternehmers über private Familienportraits bis zur internationalen Airline mit Such- und Buchungsmöglichkeit ist darunter jeder Internetauftritt zu zählen, ganz unabhängig davon, ob ein Gewerbe dahintersteht oder die Internetseite aus einem beliebig anderen Motiv betrieben wird. Selbsterklärend, dass die datenschutzrechtlichen Anforderungen ziemlich weit auseinanderklaffen können. Weil Surfen im Internet üblicherweise nicht an der Landesgrenze aufhört, gilt es weiter zu klären, ob die Internetseite sich wirklich nur am schweizerischen DSG ausrichten kann oder ob allfälligerweise doch die europäische DSGVO zur Anwendung gelangt.

Sobald die Internetseite nämlich auch Angebote für in der Europäischen Union (EU) lokalisierte Personen bereithält, was in der Praxis vermutlich sehr oft der Fall sein dürfte, kommt die DSGVO zur Anwendung. Beispiele wären ein Newsletter, der nicht explizit nur für Schweizer Bürger und in der Schweiz wohnhafte Personen gedacht ist; oder wenn das Surfverhalten von in der EU lokalisierten Personen, bei einer laufenden Besucher-Statistik, beobachtet wird. 

Grundsätzlich gilt: Je mehr Daten erhoben oder veröffentlicht werden, desto mehr Aufwand entsteht die Rechtmässigkeit zu prüfen und allenfalls die betroffenen Personen darüber zu informieren.

Da es sich bei Internetseiten um digitale Daten handelt, ist ein besonderes Augenmerk auf die IT-Sicherheit zu richten, welche mit dieser Arbeit auch ausführlich erläutert werden soll.

Datenschutz: Status quo in der EU

Die DSGVO ist seit dem 25. Mai 2018 in Kraft. Nach einer Übergangsfrist von zwei Jahren unterstehen der DSGVO alle EU-Mitgliedstaaten sowie auch nicht in der EU niedergelassene Datenverarbeiter, wenn die Datenverarbeitung auf in der EU lokalisierte Personen zielt (Art. 3 DSGVO).

Da die DSGVO schon einige Zeit in Kraft steht, existieren bereits viele den Datenschutz betreffende Rechtsprechungen, verhängte Bussgelder und Schadensersatzklagen. Die DSGVO ist leider ein sehr komplexes Gesetz, was dessen Umsetzung im „daily business“ nicht ganz einfach macht. Des Weiteren besteht die Problematik, dass die Bussgeldhöhen und Rechtsprechungen je nach Land oder Bundesland unterschiedlich ausfallen und somit weiterhin gewisse Rechtsunsicherheit besteht. 

Um diesem Umstand entgegenzuwirken, ist mit dem Europäischen Datenschutzausschuss (EDSA) eine unabhängige europäische Einrichtung entstanden mit dem Ziel, die Anwendung der DSGVO zu vereinheitlichen und die Zusammenarbeit zwischen den Datenschutzaufsichtsbehörden der EU zu fördern. Die ausländischen Datenschutzaufsichtsbehörden sind zuständig für die Verhängung von Bussgeldern und somit massgeblich an der Gesetzesauslegung beteiligt. 

Ziele der Revision des Schweizer Datenschutzgesetzes (DSG)

Durch neue technische Entwicklungen resultieren in immer kürzerer Zeit mehr und mehr Daten. Man denke nur an das Smartphone: Zu jeder Zeit und an (fast) jedem Ort ist es möglich, mit der ganzen Welt verbunden zu sein, im Internet einzukaufen, Dienste wie Google Maps als Navigationssystem zu nutzen, Fotos zu schiessen und mit einem Klick auf diversen Kanälen zu verteilen. Mit jeder Aktivität werden Daten generiert und diese Daten sind grösstenteils personenbezogen, d. h. sie können einer bestimmten Person zugeordnet werden.

Das seit 1992 in Kraft stehende DSG bedarf einer Aktualisierung, es stammt aus einer Zeit ohne Internet. Es soll den Daten-schutz stärken und die Kontrollmöglichkeiten der betroffenen Personen über ihre Daten verbessern. Das Verantwortungsbewusstsein der Datenverarbeiter soll erhöht werden, bspw. mit der Verpflichtung, bereits ab Planung neuer Datenbearbeitungen die Einhaltung der Datenschutzvorschriften zu berück-sichtigen. 

Im selben Zug bzw. vielleicht hauptsächlich – denn so viel hat sich mit dem DSGneu grundlegend gar nicht verändert – soll eine Angleichung an die DSGVO gemacht werden, damit das schweizerische DSG weiterhin als Gesetz mit gleichwertigem Datenschutz akzeptiert wird und somit ein ungehinderter Datenfluss zwischen den Ländern gewährleistet werden kann. Am 3. Juni 2020 sollte die Europäische Kommission darüber entscheiden, ob die Schweiz für Personendaten ein angemessenes Schutzniveau bietet.

Bis heute wurde kein erneuter Äquivalenzentscheid gefällt, somit bleibt die Entscheidung vom 26. Juli 2000 zur Angemessenheit weiterhin gültig. Wann mit der erwarteten Entscheidung gerechnet werden kann, bleibt vorerst offen. Es darf vermutet werden, dass das in Kraft treten des DSGneu dabei eine entscheidende Rolle spielen wird.

Neu soll das DSGneu nur den Schutz der Persönlichkeit und der Grundrechte von natürlichen Personen, über die Daten bearbeitet werden, bezwecken (Art. 1 DSGneu). Der Schutz der Daten von juristischen Personen wurde aufgehoben. Juristische Personen können sich weiterhin auf den Schutz ihrer Persönlichkeit durch Art. 28 ZGB berufen. Ansonsten ist, wie bereits erwähnt, sehr viel aus dem bestehenden DSG übernommen worden.

Bei der Begriffsdefinition ist eine Angleichung an die DSGVO ersichtlich. Wurde bisher vom „Inhaber einer Datensammlung“ gesprochen, heisst dieser neu „Verantwortlicher“ (vgl. DSGVO: „Verantwortlicher“). Wird in der DSVGO von „Verarbeitung personenbezogener Daten“ gesprochen, heisst es im DSGneu weiterhin „Bearbeitung“. Die Begrifflichkeiten wurden neu um „Profiling“, „Profiling mit hohem Risiko“ und „Verletzung der Datensicherheit“ erweitert, auf welche später noch eingegangen wird. 

Art. 4 DSGneu unterstellt die Beaufsichtigung und Anwendung des DSGneu dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB). Er muss neu Verfügungen erlassen und mittels ordentlichen Verwaltungsverfahren gegen die Verantwortlichen vorgehen, das ist ebenfalls eine Angleichung an die europäischen Datenschutzaufsichtsbehörden. Es bleibt abzuwarten, wie sich in Zukunft eine internationale Zusammenarbeit auswirkt, ob der EDÖB, wie die europäischen Datenschutzaufsichtsbehörden, vermehrt Bussgelder sprechen und nach welchem Massstab sich diese berechnen werden. 

Das DSGneu ist prinzipienbasiert und viel weniger detailliert als die DSGVO. Nichtsdestotrotz haben sich auch einige nicht sehr sinnvolle Regelungen, teils europarechtlichen Vorgaben geschuldet, teils durch politische Kompromisse verursacht, im DSGneu niedergeschlagen. Im Grossen und Ganzen kann aber gesagt werden, dass das DSGneu wesentlich schlanker und einfacher in der Umsetzung ist als die DSGVO. Das DSGneu wird vermutlich frühestens zwischen Ende 2021 und Sommer 2022 in Kraft treten.

Teil 2 – Personenbezogene Daten:

Personenbezogene Daten

Die Definition von „personenbezogene Daten“ ist in Art. 5 lit. b DSGneu zu finden bzw. in Art. 4 Abs. 1 DSGVO. Beide Artikel bringen identisch zum Ausdruck, dass es sich um Daten einer identifizierten oder identifizierbaren Person handeln muss.

In der digitalen Welt des Internets sind personenbezogene Daten nicht nur da zu finden, wo sie von einer Person aktiv z. B. mittels eines Formulars oder einer Bestellung eingegeben und übermittelt werden; nur schon der Besuch auf einer Internetseite hinterlässt eine IP-Adresse, welche – zumindest für eine gewisse Zeit – einem Gerät und somit wahrscheinlich auch einer Person zugeordnet werden kann

Wobei hier – vor allem unter der DSGVO und der Meinung der Datenschutzaufsichtsbehörden – Rechtsunsicherheit besteht. Nehmen die Datenschutzaufsichtsbehörden nämlich regelmässig an, dass IP-Adressen Personendaten sind, stellt sich hingegen der EuGH dagegen. 

Zusammenfassend ist die Datenbearbeitung betreffend Internetseiten auf folgende Möglichkeiten beschränkt: 

Es kommen nur Datenbearbeitungen in Frage, welche der Benutzer mit seinem Besuch hinterlässt, welche er aktiv eingibt oder welche der Seitenbetreiber veröffentlicht und bearbeitet sowie weitergegebene Daten an Auftragsverarbeiter (Outsourcing-Dienstleister) oder Daten, die durch einen Service von Drittanbietern (vgl. Kapitel Social Media und andere Plugins) in dessen Machtbereich fliessen. 

Personenbezogene Daten

Art. 5 lit. c DSGneu definiert besonders schützenswerte Personendaten wie folgt:

  • Daten über religiöse, weltanschauliche, politische oder gewerkschaftliche Ansichten oder Tätigkeiten;
  • Daten über die Gesundheit, die Intimsphäre oder die Zugehörigkeit zu einer Rasse oder Ethnie;
  • Genetische Daten;
  • Biometrische Daten, die eine natürliche Person eindeutig identifizieren;
  • Daten über verwaltungs- und strafrechtliche Verfolgungen oder Sanktionen;
  • Daten über Massnahmen der sozialen Hilfe.

Werden Daten der Kategorie besonders schützenswerter Personendaten bearbeitet, muss eine Einwilligung nur gegeben sein, wenn Art. 30 DSGneu erfüllt ist, d.h. die Grundprinzipien des Gesetzes bei der Datenbearbeitung «nicht» eingehalten werden. In diesem Fall muss eine ausdrückliche Einwilligung vorliegen. Die Einwilligung ist nur gültig, wenn sie für eine oder mehrere bestimmte Bearbeitungen nach angemessener Information freiwillig erteilt wird (Art. 6 Abs. 6 und 7 lit. a DSGneu).

Unter Art. 9 Abs. 1 DSGVO werden dieselben besonders schützenswerten Personendaten gelistet wie im DSGneu. Diese zu bearbeiten ist aber grundsätzlich untersagt, um sie dann mit Art. 9 Abs. 2 DSGVO durch vielseitige Ausnahmen wieder zu erlauben. Zusammengefasst kann gesagt werden, dass es sich um eine berechtigte Bearbeitung handelt, wenn für die festgelegten Zwecke ausdrücklich eingewilligt wurde, es sich um eine Verarbeitung im Rahmen einer Stiftung, Vereinigung oder sonstige Organisation ohne Gewinnerzielungsabsicht handelt oder die besonders schützenswerten Personendaten von der betroffenen Person offensichtlich bereits öffentlich gemacht wurden.

Werden besonders schützenswerte Personendaten erhoben und ist die Bearbeitung mit einem hohen Risiko für die betroffene Person verbunden, ist eine profunde Datenschutz-Folgenabschätzung (DSFA; vgl. Kapitel Daten-schutz-Folgenabschätzung) und genaue Prüfung der Rechtsgrundlage uner-lässlich (Art. 22 DSGneu und Art. 35 DSGVO).

Rechte der betroffenen Person

Art. 32 DSGneu regelt die Rechtsansprüche betroffener Personen, die im Verhältnis zur DSGVO (Art. 12 – 23 DSGVO) weniger weitreichend sind, den-noch nach beiden Gesetzen eine zentrale Säule des Datenschutzes bilden. Es handelt sich um folgende Rechte:

  • „Recht auf Berichtigung;
  • Recht auf Löschung / Vergessen;
  • Recht auf Einschränkung;
  • Recht auf Widerspruch;
  • Recht auf Datenübertragbarkeit;
  • Pflicht, Dritte über die erfolgte Ausübung dieser Rechte zu informieren.“

Anfragen von betroffenen Personen, die ihre Daten berichtigt, gelöscht oder vernichtet haben wollen, oder einfach eine Auskunft darüber wollen, welche Daten bearbeitet werden, müssen unbedingt ernst genommen werden und in angemessener Zeit beantwortet werden. Siehe zum Auskunftsrecht Art. 25 – 29 DSGneu und Art. 15 DSGVO. Von den deutschen Datenschutz- aufsichtsbehörden werden Verstösse gegen die Betroffenenrechte kritisch gesehen. Es ist nicht auszuschliessen, dass in Zukunft auch bei uns vermehrt mit Sanktionen zu rechnen sein wird, schliesslich ist gemäss Art. 60 DSGneu – wie bisher – die vorsätzliche Verletzung des Rechts gemäss Art. 25 ff. DSGneu unter Strafe gestellt.

Grundsätze und Rechtfertigungsgründe für die Verarbeitung

In der Schweiz braucht man – anders als in der EU – keine Rechtfertigungsgründe, damit man Personendaten bearbeiten darf, sondern man muss einfach die sog. Bearbeitungsgrundsätze einhalten. Die Bearbeitungsgrundsätze entsprechen materiell dem bisherigen Recht, sie sind nur sprachlich etwas umgestaltet worden. Grundsätzlich muss die Bearbeitung von Personendaten ihre Rechtmässigkeit haben, nach Treu und Glauben erfolgen und verhältnismässig sein.

Ganz zentral ist ebenfalls die Zweckmässigkeit: Die Personendaten dürfen nur zum bestimmten und für die betroffene Person erkennbaren Zweck beschafft werden, ebenso soll nur das nötige Mindestmass an Daten erhoben werden (Art. 6 DSGneu). Dies dürfte in der Praxis leicht umzusetzen sein und muss unbedingt Berücksichtigung finden.

Beispiel: Wird bei einer Bestellung im Online-Shop das Geburtsdatum des Kunden erhoben, sollte dieses erstens nur eine optionale Angabe darstellen und zweitens sollte das Geburtsdatum nur dann erhoben werden, wenn dann tatsächlich am Geburtstag eine dem Zweck entsprechende Aktion ausgeführt wird, bspw. ein Gutschein per Mail versandt wird.

In Art. 5 Abs. 1 DSGVO finden wir die gleichen Bearbeitungsgrundsätze: Transparenz, Zweckbindung, Fairness, Datenminimierung, begrenzte Speicherfristen, Datenrichtigkeit und Datensicherheit. Wichtig zu wissen: Art. 5 Abs. 2 DSGVO verlangt einen Nachweis der Einhaltung der Bear-beitungsgrundsätze, die sog. „Rechenschaftspflicht“ oder auch „accountability-Prinzip“.

Art. 6 DSGVO regelt die Rechtmässigkeit der Verarbeitung. Sollen Daten bearbeitet werden, braucht es einen der folgenden Rechtfertigungen:

  • Einwilligung der betroffenen Person; 
  • Zur Erfüllung eines Vertrages oder im Rahmen vorvertraglicher Massnahmen;
  • Zur Erfüllung einer rechtlichen Verpflichtung;
  • Um lebenswichtige Interessen einer Person zu schützen;
  • Gestützt auf ein öffentliches Interesse;
  • Zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten.

Bezüglich der Rechtfertigungsgründe geht das DSGneu weniger weit mit Art. 31 DSGneu. Wie gesagt ist in der Schweiz im Normalfall kein Rechtfertigungsgrund erforderlich, sofern keine andere Norm des Schweizer Rechts verletzt wird, welche den Schutz der Persönlichkeit bezweckt. Es darf sich aber weder um Weitergabe besonders schützenswerter Personendaten handeln (Art. 6 Abs. 7 lit. a DSGneu), noch ist die Bearbeitung zulässig, wenn die betroffene Person widerspricht (Art. 31 Abs. 1 DSGneu). In diesen beiden Fällen muss auch in der Schweiz bei der betroffenen Person eine Einwilligung eingeholt werden.

In der DSGVO ist das Thema der Einwilligung kompliziert. Die Einwilligung ist nur gültig nach vorgängiger Information, für den konkreten Fall und wenn sie freiwillig und unmissverständlich ist. Zudem besteht ein sog. Kopplungsverbot: man darf bspw. die Einwilligung nicht an etwas anderess koppeln. Weiter braucht es zwingend einen Hinweis auf das Recht und die Widerrufsmöglichkeit; der Widerruf ist jederzeit gültig (Art. 9 DSGVO). Summa summarum ist dies schwierig rechtssicher umsetzbar. In der Praxis bedeutet dies bspw. konkret, dass vorangekreuzte Kontrollkästchen (auch sog. Checkboxen) nicht verwendet werden dürfen. 

Art. 6 Abs. 6 und 7 DSGneu definieren, wie eine rechtsgültige Einwilligung aussieht. Grundsätzlich entspricht die Einwilligung im DSGneu weiterhin dem Konzept, wie es im gesamten Schweizer Recht gültig und vorgesehen ist. Vorangekreuzte Checkboxen sind also zulässig. Trotzdem empfiehlt es sich, die Checkboxen nicht voranzukreuzen, so kann einer Uneinigkeit zwischen Nutzer und Seitenbetreiber vorgebeugt werden. Das im letzten Absatz erwähnte Kopplungsverbot existiert gemäss Art. 7 Abs. 3 DSGneu nicht.

Teil 3 – Datenverarbeitung

Datenschutz-Folgenabschätzung

Art. 22 DSGneu normiert die Anwendung einer DSFA. Diese ist immer dann notwendig, wenn eine Bearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringen kann. Vor jedem Projekt im Unternehmen muss also die Überlegung angestellt werden, welche Daten wie, wo, von wem und wozu bearbeitet und ggf. weitergeben werden.

 Des Weiteren müssen auch die Speicherfristen und die Sicherheit der Speichermedien bedacht werden. Ist in der vorhergesehenen Datenbearbeitung ein hohes Risiko für die Persönlichkeit der betroffenen Personen enthalten?

Die DSFA muss also eine Beschreibung der geplanten Bearbeitung (mehrere Bearbeitungsvorgänge können zusammengefasst werden), eine Bewertung der Risiken für die Persönlichkeit oder die Grundrechte der betroffenen Person sowie die Massnahmen zum Schutz der Persönlichkeit und der Grundrechte enthalten (Art. 22 Abs. 3 DSGneu). Gemäss Art. 22 Abs. 2 DSGneu definiert sich ein hohes Risiko insbesondere bei Verwendung neuer Technologien, aus der Art, dem Umfang, den Umständen und dem Zweck der Bearbeitung. 

Die DSFA ist in Art. 35 DSGVO geregelt und Art. 22 DSGneu prinzipiell sehr ähnlich. Art. 35 Abs. 7 DSGVO enthält die Mindestanforderungen, welche – im Gegensatz zum DSGneu – auch die Rechtsgrundlage enthalten muss (vgl. Rz. 19 und 20). Auch hier gilt, wenn die Internetseite bereits auf die DSGVO ausgerichtet ist, erübrigen sich weitere Anpassungen. 

Unterschiedlich ist die Pflicht zur Meldung bei Verarbeitungen mit vermutungs-weise hohem Risiko. Diese müssen nämlich unter der DSGVO in jedem Fall der zuständigen Datenschutzaufsichtsbehörde gemeldet werden. Im DSGneu (Art. 23 Abs. 4 DSGneu) ist die Konsultation eines Datenschutzberaters (normiert durch Abs. 10 DSGneu) anstelle der Konsultation des EDÖBs möglich.

Benennung eines Datenschutzverantwortlichen

Im Gegensatz zur DSGVO wird im DSGneu auch weiterhin nicht die Pflicht zur Benennung eines Datenschutzverantwortlichen bestehen (Art. 37 ff. DSGVO). Jedoch ist im Gesetz die Möglichkeit einer Benennung eines Datenschutz-beraters vorgesehen (Art. 10 DSGneu), welcher aber keine rechtlich praxis-relevanten Vorteile bringt. Einzig können gemäss Art. 23 Abs. 4 DSGneu Datenbearbeitungsvorhaben, welche trotz erfolgter DSFA und der Festlegung von Massnahmen weiterhin ein hohes Risiko aufweisen, dem Datenschutz-berater anstelle des EDÖBs vorgelegt werden.

Verarbeitungsverzeichnis

Gemäss Art. 12 DSGneu ist ein Verzeichnis der Bearbeitungstätigkeiten zu führen, dies gilt für den Verantwortlichen sowie allfällige Auftragsverarbeiter. Art. 12 Abs. 5 DSGneu nennt die Ausnahmen dieser Pflicht für Unternehmen, die weniger als 250 Mitarbeiterinnen und Mitarbeiter beschäftigen und deren Datenbearbeitung nur ein geringes Risiko für Verletzungen der Persönlichkeit der betroffenen Person mit sich bringt. Gemäss Art. 30 Abs. 1 DSGVO muss das Verzeichnis von Verarbeitungstätigkeiten folgende Angaben enthalten:

  • Namen und Kontaktdaten des Verantwortlichen;
  • Die Zwecke der Verarbeitungstätigkeit;
  • Beschreibung der Kategorien der betroffenen Personen und Kategorien der personenbezogenen Daten;
  • Kategorien von Empfängern;
  • Ggf. Übermittlung von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation;
  • Wenn möglich, die vorgesehene Frist für die Löschung der verschiedenen Datenkategorien;
  • Wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Massnahmen gemäss Art. 32 Abs. 1 DSGVO.

Diese Anforderungen der DSGVO können im DSGneu so übernommen werden, müssen allerdings explizit um die Auflistung der Exportländer und deren Rechtsgrundlage für die Bearbeitung ergänzt werden.

Sensibilisierung Mitarbeiter

Es ist von zentraler Bedeutung, dass alle Verantwortlichen wie auch alle Mitarbeiter zum Thema Datenschutz geschult und sensibilisiert werden. Art. 62 DSGneu („Verletzung der beruflichen Schweigepflicht“) führt nämlich neu ein „Berufsgeheimnis“ für alle diejenigen ein, die Daten verarbeiten.

War diese Art von Berufsgeheimnis früher nur in bestimmen Berufsgruppen (z. B. Anwälte, Ärzte, Banker etc.) Pflicht, gilt diese Schweigepflicht neu für alle Berufsleute, welche in Ausübung des Berufes Personendaten erfahren, sofern deren Kenntnis für die Ausübung des Berufes nötig ist. Dies soll ein Schutz der Kunden(daten) gewährleisten. Ein Verstoss gegen diese Schweigepflicht kann persönlich mit einer Busse bis zu CHF 250’000 bestraft werden. Diese Regelung existiert in der DSGVO nicht. 

Teil 4 – Datensicherheit:

Datensicherheitsmassnahmen

Art. 8 DSGneu sowie Art. 8 VDSG enthalten Vorschriften zur allgemeinen Datensicherheit. Genannter Artikel besagt, dass geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit gewährleisten sollen. Die Massnahmen müssen ermöglichen, Verletzungen der Datensicherheit zu vermeiden. Der Bundesrat wird noch einen Standard zur Mindestanforderung an die Datensicherheit festlegen müssen. Das wird im Rahmen der neuen Verordnungen erfolgen.

Wird dieser Standard dann nicht eingehalten, kann entsprechend – und ebenfalls bis CHF 250’000 – gebüsst werden. In Art. 7 DSGneu wird festgehalten, dass eine Datenbearbeitung technisch und organisatorisch so auszugestalten ist, dass alle Datenschutz-vorschriften eingehalten werden. Somit sind durch das DSGneu zwei neue Schlagworte geboren: „Privacy by Design“ und „Privacy by Default“. Letzteres besagt, dass alle Voreinstellungen möglichst so zu wählen sind, dass der grösstmögliche Datenschutz „by Default“ (gem. Voreinstellung) gewährleistet ist.

„Privacy by Design“ bedeutet, dass der grösstmögliche Datenschutz durch die Ausgestaltung der Internetseite sowie durch alles, was die Datenbearbeitung mitbeinhaltet (Bearbeitungsabläufe, Zugriffsrechte und Zuständigkeiten etc.) berücksichtigt werden muss. Diese zwei Punkte sind aber nicht bussenbewährt. 

Art. 25 DSGVO fasst Art. 6 und 7 DSGneu unter dem Titel „Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“ zusammen. „Privacy by Default“ bedeutet gemäss DSGVO eine standard-mässige Beschränkung der Datenverarbeitung auf ein Minimum sowie keine Veröffentlichung ohne Zustimmung der betroffenen Person. In den Grund-zügen ist das DSGneu mit der DSGVO gleich betreffend Datensicher-heitsmassnahmen und es muss keine Angleichung vorgenommen werden. 

Schutz vor Datenverlust und kriminellen Angriffen

Da Daten, die über Server mit dem Internet verbunden sind, auch immer Angriffsfläche für Hacker und Malware sind (Malware ist Software wie z. B. Viren, Würmer, Ransomware etc, die in Computersysteme eindringen und dort Störungen oder Schäden verursachen), müssen auch diesbezüglich alle Überlegungen und Massnahmen ergriffen werden, um die Datensicherheit zu gewährleisten. Malware kann auch zu Erpressungszwecken benutzt werden, was in neuster Zeit immer häufiger passiert.

Die Daten werden dazu von Hackern verschlüsselt und erst wieder freigegeben, wenn ein horrendes Lösegeld, im Durchschnitt sind es USD 178‘245, bezahlt wird. Deshalb ist es auch unerlässlich, immer aktuelle Sicherungskopien zu haben, die dem Zugriff durch Hacker garantiert entzogen sind, also z. B. offline auf externen Festplatten. Aus dem Gesagten wird klar, dass die Installation einer Firewall und einer Antiviren-Software alleine in vielen Fällen nicht genügen dürfte. 

Dementsprechend empfiehlt sich ein professioneller IT-Sicherheitsdienstleister zu Rate zu ziehen, um den Schutz vor Datenverlust und kriminellen Angriffen bestmöglich zu gewährleisten und bussgeldbewährte Verstösse zu vermeiden.

Ein weiterer wichtiger Punkt ist die Verschlüsselung der Daten, sei dies auf der Internetseite mittels HTTPS (englisch für „sicheres Hypertext-Übertragungs-protokoll“) oder im E-Mailverkehr mit der sog. TLS-Verschlüsselung (Transport Layer Security) oder auf dem Server Passwörter mit einem Hashwert zu versehen. Dabei unbedingt zu beachten ist, dass Unbefugte keinen Zugang zum Entschlüsselungscode haben und die Verschlüsselung stark genug sein muss, damit die Verschlüsselung auch wirklich als sicher gilt.

Fehlen diese Verschlüsselungen, ist das System viel vulnerabler für Datenverluste und kriminelle Angriffe. Dies wäre zudem ein Verstoss gegen Art. 32 DSGVO bzw. dem zu bestimmenden Standard der Datensicherheitsmassnahmen durch den Bundesrat. Es ist davon auszugehen, dass die genannten Verschlüsselungsmöglichkeiten zu diesem Standard gezählt werden und deshalb sollten diese Anpassungen unbedingt schon jetzt vorgenommen werden. Abschliessend will herausgehoben werden, dass IT-Sicherheit kein Zustand, sondern ein Prozess ist, der immerwährend erweitert und angepasst werden muss.

Externes Hosting

Die Internetseite wird der Welt zugänglich gemacht, wenn sie auf einem Webserver, der mit dem Internet verbunden ist, liegt und via Domain (www.das-ist-der-domainname.ch) von einem anderen Gerät, das ebenfalls mit dem Internet verbunden ist, abgerufen werden kann. Der Webserver, der die Internetseite bereitstellt, kann entweder „inhouse“ sein oder wie es in der Praxis wohl öfters vorkommt, von einem Dienstleister (sog. „Hoster“) zur Verfügung gestellt werden.

Zu diesem Thema dürfen zwei Punkte nicht unerwähnt bleiben. Einerseits muss an den Auftragsverarbeitungsvertrag (Art. 8 DSGneu und Art. 28 DSGVO; Rz. 62) mit dem Hoster gedacht werden, da dieser personenbezogene Daten im Auftrag des Internetseitenbetreibers verarbeitet und andererseits, dass auch der Hoster die Mindestanforderungen für die Datensicherheit, wie unter letztem Kapitel erläutert, einhalten muss. Hier gibt es enorm grosse Qualitätsunterschiede der Dienstleister und eine unvorsichtige Auswahl kann auf den Verantwortlichen der Datenbearbeitung bzw. den Internetseitenbetreiber zurückfallen.

Teil 5 – Webseite:

Cookies auf der Webseite

Cookies sind kleine Textdateien, die beim Aufruf einer Internetseite auf dem Computer abgelegt werden können, um Informationen zu speichern. Dabei gilt es zu unterscheiden zwischen der nötigen Information, damit die Internetseite richtig funktioniert (sog. „First-Party-Cookies“; diese ermöglichen z. B. die Speicherung des Warenkorbs eines Online-Shops) und weiteren Cookies (sog. „Third-Party-Cookies“), welche zur Funktionalität der Internetseite grund-sätzlich nichts beitragen, jedoch eine Auswertung von Nutzerdaten ermöglichen (sog. „User-Tracking“; vgl. auch Kapitel „Social Media und andere Plugins“).

Über die Auswertung von Nutzerdaten muss informiert werden (Art. 13 DSGVO) und es muss das Recht auf Widerspruch gewährleistet sowie den Grundsatz der Datenminimierung beachtet werden. Rein informative Cookie-Banner mit dem Text „Diese Internetseite benutzt Cookies“ sind nicht rechtskonform gemäss der EU e-Privacy-Richtlinie. Wie soll der Cookie-Banner also aussehen?

Es müssen alle verwendeten Cookies aufgezählt werden. Standardmässig angewählt sollen nur die Frist-Party-Cookies sein mit der Möglichkeit der Aktivierung der Third-Party-Cookies. Ein Link auf die Datenschutzerklärung (DSE) macht im Cookie-Banner Sinn, zwecks ausführlicher Erläuterung der verwendeten Cookies und deren Funktion (inkl. Adressangaben des Unternehmens, an welche die Cookie-Informationen gesendet werden und Zweck der Bearbeitung).

Das DSGneu sieht eine Regelung analog der EU-Richtlinie nicht vor. Jedoch darf die Informationspflicht (Art. 17 DSGneu) nicht in Vergessenheit geraten, weshalb mindestens in der DSE die Cookies erwähnt werden müssen. Da gemäss Art. 30 DSGneu Personendaten nicht persönlichkeitsverletzend und gemäss Art. 6 DSGneu nur den Grundsätzen nach bearbeitet werden dürfen, was hinsichtlich von Cookies nur mit einem rechtskonformen Cookie-Banner erfolgen kann, müsste nach unserer Meinung auch das Recht auf Widerspruch gewährleistet werden. 

Besucher-Statistiken messen

Mit Besucher-Statistiken kann das Surfverhalten der Seitenbesucher beobachtet werden, was unweigerlich zur Erhebung personenbezogener Daten führt. Es handelt sich um Daten wie bspw. die Anzahl der Seitenaufrufe, die Besucheranzahl auf einer bestimmten Webseite, die Verweildauer der Besucher, verwendete Suchmaschinen und Suchbegriffe oder die genutzten Browsertypen.

Hier gilt als erstes auch die Grundsatzfrage: Ist es für Geschäftszwecke wirklich erforderlich, das Surfverhalten der Seitenbesucher zu beobachten? Wo keine Daten erhoben werden, gibt es keine weitere Arbeit und man läuft nicht Gefahr, an den Rand der Legalität zu kommen. Müssen die Seitenbesucher – in diesem Fall wohl Kunden – für Marketingzwecke beobachtet werden, um Angebote zu verbessern, muss zwingend darauf hingewiesen werden, dass diese Daten erhoben werden und es muss das Recht auf Widerspruch ermöglicht werden bzw. in der Praxis die Deaktivierung des Tracking-Cookies oder -Pixels möglich sein. 

Bei Besucher-Statistiken gibt es drei mögliche Arten:

  • Die Statistik läuft beim Hosting-Anbieter auf dem Control-Panel. Hier muss geprüft werden, ob die Statistik abgeschaltet werden kann oder ob daten-schutzrechtliche Anpassungen gemacht werden können. Diese Statistik geht oft vergessen, da sie nicht vom Seitenbetreiber selbst installiert wird, sondern automatisch auf dem Webserver die Besucherdaten auswertet;
  • Die Statistik läuft auf dem Webserver (externes oder internes Hosting), ist aber vom Seitenbetreiber installiert und muss datenschutzrechtlich korrekt angepasst werden;
  • Die Statistik wird von einem Drittanbieter gehostet und der gesamte Datenfluss läuft über diesen. Im Fall vom weitverbreiteten Google Analytics ist dies besonders bedenkenswert, da kein angemessener Schutz der Daten gewährleistet ist. Es muss sich also um einen Drittanbieter-Service handeln, der seinen Sitz in einem Land hat, welches sich auf der Länderliste mit angemessenem Datenschutz befindet (vgl. Kapitel Datentransfer in die EU / Drittländer).

71% aller Schweizer Internetseiten benutzen immer noch Google Analytics. Der Trend ist abnehmend, die Information, dass es datenschutzfreundlichere Alternativen gibt, verbreitet sich langsam aber sicher. Da die Nutzung von Google Analytics in der Schweiz erst ab in Kraft treten des DSGneu, mit entsprechend vorgesehener Sanktionierungsmöglichkeiten von bis zu CHF 250’000, gefährlich werden dürfte, bleibt noch Zeit zur Umstellung.

Rechtlich sichere Alternativen bieten alle Tools, bei denen sich die Anonymisierung der Nutzerdaten (z. B. mit Verschlüsslung der IP-Adresse) einstellen lässt, bei denen ein «Opt-out» (Abmeldung der Trackingfunktion) vom Nutzer auf der Internetseite (am einfachsten in der DSE geregelt oder im Cookie-Banner) vorgenommen werden kann und deren Datenfluss nicht über unsichere Drittländer läuft. Alternativen zu Google Analytics sind: Matomo, Open Web Analytics, etc. 

Social Media und andere Plugins

Werden Social Media Plugins eingebunden (z. B. Facebook, Twitter, Instagram etc.), mittels Streaming-Dienst die Wiedergabe von Videos erleichtert (z. B. Youtube, Vimeo etc.), Bibliotheken eingebettet (z. B. jQuery, MooTools, Angular, AnyChart etc.) oder in Online-Shops Zahlungsdienste (z. B. Paypal, PostFinance, Klarna etc.) verwendet, muss immer bedacht werden, dass es sich hierbei um Dienste von Drittanbietern handelt. Zu beachten gilt dies insbesondere auch bei Cloud-Diensten.

Benutzerdaten fliessen also über die Internetseite in den Machtbereich Dritter. Darüber muss einerseits informiert werden (siehe Kapitel Datenschutzerklärung) und andererseits darf es sich nicht um einen Drittanbieter handeln, der die Gewährleistung des Datenschutzes ablehnt bzw. seinen Sitz in einem unsicheren Drittland hat. Im DSGneu ist dies bisher noch kein Thema, jedoch unter der DSGVO und mit der Ungültigkeit des EU-US Privacy Shields ein umso grösseres und auch noch nicht zu 100% geklärtes (vgl. Kapitel Datentransfer in die EU / Drittländer).

Bei jedem einzelnen Drittanbieter muss also geprüft werden, wo dieser seinen Sitz hat, ob dieses Land angemessenen Datenschutzgesetzen untersteht, welcher Rechtfertigungs-grund für die Verwendung dieses Plugins zum Tragen kommt und ob in der Datenschutzerklärung entsprechend all diesen Punkten umfassend informiert wurde.

Schriften, Bilder & Formulare

Bei den beliebten „Google-Fonts“, welche einfach in eine Internetseite eingebunden werden können, gilt es die zwei verschiedenen Einbindungs-arten zu beachten. Beim „Online-Modus“ stellt der Browser eine Verbindung zum Google-Server her und es werden u. a. verschiedene Browser- und Gerätedaten sowie die IP-Adresse des Nutzers übermittelt. Es handelt sich also um einen Datentransfer personenbezogener Daten in die USA. Wie unter folgendem Kapitel Datentransfer in die EU / Drittländer beschrieben, ist dies ein Problem für der DSGVO unterstehende Internetseiten, jedoch (noch) nicht für Internetseiten welche der DSGneu unterstehen.

Eine einfache Lösung kann diesem Problem Abhilfe verschaffen und empfiehlt sich auch für Schweizer Internetseiten: Die Google-Fonts können auch im „Offline-Modus“ verwendet werden, d. h. sie werden bei Google heruntergeladen und dann lokal auf dem gleichen Server wie die Internetseite gehostet. Dies gilt auch für die Einbindung von Bibliotheken. Damit entfällt ein unnötiger Datentransfer von personenbezogenen Daten.

Gemäss DSG – und dies ändert sich nicht mit dem DSGneu – sind bei der Veröffentlichung von Fotos einige Punkte zu bedenken, sofern diese Personen abbilden, ohne Unterscheidung ob es sich um ein aktuelles Foto oder eines aus längst vergangenen Zeiten handelt.

Es besteht lebenslänglich immer das Recht am eigenen Bild, unabhängig von urheberrechtlichen Überlegungen. Zudem ist teilweise auch die Auffassung vertreten, dass ein Personenfoto bereits in die Kategorie besonders schützenswerte Personendaten fallen kann, da eventuell Aufschluss über deren Rassenzugehörigkeit, Religion oder Gesundheit gemacht werden könnte. Bei der Publikation von Bildern Minderjähriger ist auch die Zustimmung der erziehungsberechtigten Personen einzuholen. Fotos dürfen nur mit dem Einverständnis der Abgebildeten veröffentlicht werden, oder wenn ein überwiegendes öffentliches oder privates Interesse die Veröffentlichung rechtfertigt, wobei dieser Rechtfertigungsgrund nur mit Zurückhaltung angenommen werden darf.

Dieser Rechtfertigungs-grund könnte bei Berichterstattungen über öffentliche Veranstaltungen mit grösserer Bedeutung oder bei Medienberichten unter Einhaltung der journalistischen Sorgfaltspflicht angenommen werden. Bei Gruppenfotos (i. d. R. ab sechs Personen) müssen ebenfalls die Persönlichkeitsrechte bedacht werden, es darf keine Person aus dem Gruppenbild (in benachteiligender Weise) herausstechen. 

Der Kontext ist hier also stark zu beachten. Sind die Personen auf einem Foto derart klein oder unscharf, dass sie nicht erkannt werden können, handelt es sich auch nicht mehr um „Personendaten“ und das Bild darf auch ohne Einwilligung veröffentlicht werden. Betreffend Einwilligung gilt – wie ganz allgemein – dass sie nur dann gültig ist, wenn sie freiwillig und nach angemessener Information erfolgt. Auch ist der Rückzug der Einwilligung grundsätzlich jederzeit möglich. Dies kann in Bezug auf die schnelle Verbreitung in digitalen Medien problematisch sein. Ggf. können abgebildete Personen oder weitere personenbeziehbare Daten vor der Veröffentlichung unkenntlich gemacht werden, um im Bezug zum Datenschutz keine Persönlichkeitsrechte zu verletzen. Diese Regelungen gelten so auch gemäss der DSGVO.

Bei einem Bestell- oder Kontaktformular, ebenso bei gewissen Chat-Bots, werden ebenfalls personenbezogene Daten erhoben. Grundsätzlich gilt wieder das Prinzip der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO) bzw. Zweckmässigkeit der Datenerhebung sowie das der verschlüsselten Übertragung.

Datenschutz: Email-Newsletter

Newsletter sind ein beliebtes Tool, um die Internetseitenbesucher mit Neuigkeiten zu versorgen oder kostengünstig Werbung zu versenden, wobei beim Versand von Werbung speziell Art. 3 Abs. 1 UWG beachtet werden muss. Dabei gibt es zwei Verfahren: Opt-in und Double-Opt-in. Beim (single) Opt-in beschränkt sich der Anmeldeprozess darauf, dass zusätzlich zur Angabe von Namen und E-Mailadresse eine Checkbox angeklickt werden muss, welches darauf hinweist, dass die Anmeldung mit entsprechender Einwilligung erfolgt. Theoretisch könnten hier falsche Benutzerdaten eingegeben werden, was zur Folge hätte, dass eine Person gegen ihren Willen unerwünschte Werbung erhält. 

Empfehlenswerter ist das Verfahren Double-Opt-in, bei welchem zusätzlich zur Aktivierung eines Kontrollkästchens ein per E-Mail versandter Link bestätigt werden muss, welcher die Richtigkeit der eingegebenen Daten überprüft. Die eingegebene E-Mailadresse wird also erst in den E-Mailverteiler aufgenommen, wenn diese aktive Bestätigung erfolgt ist.

In diesem Bestätigungs-E-Mail kann erneut darüber aufgeklärt werden, welche Daten erhoben wurden und zu welchem Zweck. Der Nachteil dieser Variante liegt im grösseren Aufwand für den Nutzer und das Bestätigungs-E-Mail läuft Gefahr, in einem Spam-Ordner zu verschwinden oder übersehen zu werden. Rechtlich gesehen ist diese Variante deutlich die sichere. Denn die Bestätigung dient zum einen als Hinweis für die Nutzer, zum anderen ist so eine absolut aktive und bewusste Zustimmung gewährleistet.

Absoluter Standard muss der Abmelde-Link am Ende jedes versandten E-Mail sein sowie der Hinweis auf den korrekten Absender, also eine Angabe des Impressums am Ende des Newsletters. Sollte der Nutzer es sich anders überlegen, kann er so seine Einwilligung jederzeit und mit einem Klick widerrufen.

In der Schweiz kam es 2019 zu einem Bussgeld von CHF 660 wegen Versand unerwünschter Werbung (Spam). Mit dem DSGneu, wo Bussgelder bis zu CHF 250’000 möglich werden, dürfte mit einem Anstieg der Meldungen gegen Spam und Erhöhung des Bussgeldes zu rechnen sein. In der EU werden regelmässig Bussgelder wegen unerwünschter E-Mail-Werbung gesprochen und deren Höhe ist beträchtlich schmerzhafter, sollten diese Bussgelder gemäss DSGVO doch „wirksam, verhältnismässig und abschreckend“ sein (Art. 83 DSGVO).

Die gleichen Bedingungen gelten bei der Auswahl des Tools für den Newsletter-Versand, wie auch bei der Auswahl der Besucher-Statistik und der Informationspflicht in der Datenschutzerklärung. Wo wird das Tool gehostet? Wie ist der Datenfluss? Handelt es sich um einen Drittanbieter mit genügenden Datenschutzvorkehrungen und ohne Datentransfer in ein unsicheres Drittland? (vgl. Kapitel Besucher-Statistik, Datenschutzerklärung und Daten-transfer in die EU / Drittländer).

Automatisierte Einzelentscheidungen

Neu im DSGneu wird der Begriff des „Profilings“ eingeführt und ersetzt den alten Begriff des „Persönlichkeitsprofils“, welcher gemäss DSGneu nur noch automatisierte Vorgänge erfasst. Automatisierte Einzelentscheidungen dürften in der Praxis bezüglich Internetseiten relativ selten vorkommen, trotzdem sollen sie nicht unerwähnt bleiben. Es handelt sich einzig um Entscheidungen, die allein vom Computer aufgrund gesammelter Daten über eine Person getroffen werden, ohne dass diese erneut von einem Menschen geprüft werden.

Es besteht eine Informationspflicht bei einer automatisierten Einzelentscheidung gemäss Art. 21 Abs.1 DSGneu, wenn damit eine Rechtsfolge verbunden ist oder die betroffene Person erheblich beeinträchtigt würde. Somit soll der betroffenen Person auf Antrag die Möglichkeit gegeben werden, ihren Standpunkt darzulegen und die automatisierte Einzelent-scheidung durch eine natürliche Person überprüfen zu lassen (Art. 21 Abs. 2 DSGneu). Von dieser Informationspflicht kann abgesehen werden, wenn die automatisierte Einzelentscheidung so erfolgt, wie von der betroffenen Person gewünscht (z. B. im Online-Shop bei Abschluss des Kaufvertrages) oder aufgrund ihrer Einwilligung geschieht.

Eine spannende Entscheidung zum Thema / automatisierte Einzelentscheidungen / Profiling (damals noch „Erstellen von Persönlichkeitsprofilen“) ist mit Urteil vom Bundesverwaltungs-gericht am 18. April 2017 ergangen; die Beklagte (Moneyhouse AG) wurde mit Urteil u. a. dazu verpflichtet, „auf der Website www.moneyhouse.ch sämtliche Verlinkungen zu löschen, die das Erstellen von Persönlichkeitsprofilen von Personen ermöglichen, die darin nicht rechtskonform eingewilligt haben“.

In der DSGVO ist nicht ganz klar, ob automatisierte Einzelentscheidungen grundsätzlich verboten sind oder sie lediglich einen Anspruch der betroffenen Person auf die Überprüfung durch eine menschliche Person begründen. Es besteht das Recht, nicht einer auf einer ausschliesslich automatisierten Verarbeitung beruhenden Entscheidung unterworfen zu werden (Art. 22 Abs. 1 DSVGO), dies gilt aber nicht, wenn die Entscheidung für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich ist, aufgrund einer Rechtsvorschrift oder sie mit ausdrücklicher Einwilligung der betroffenen Person erfolgt (Art. 22 Abs. 2 DSVGO).

Teil 6 – Informationspflichten

Das Impressum: Pflicht?

Die Impressumspflicht ist – im Gegensatz zur Datensschutzerklärung – abhängig davon, ob es sich um eine Internetseite mit Kaufangeboten, also um bspw. einen Online-Shop, handelt. Dabei kommt Art. 3 Abs. 1 lit. s Ziff. 1 UWG zur Anwendung: Wer «Waren, Werke oder Leistungen im elektronischen Geschäftsverkehr anbietet», muss «klare und vollständige Angaben über seine Identität und seine Kontaktadresse einschliesslich derjenigen der elektronischen Post machen». Ebenso besteht eine Impressumspflicht beim Newsletter-Versand (Art. 3 Abs. 1 lit. o UWG) und für Medien (Art. 322 Abs. 1 StGB).

Ein Impressum gilt als vollständig, wenn Name und Adresse inklusive E-Mailadresse des Seitenverantwortlichen genannt werden. Diese Angaben müssen aktuell sein, Briefpost muss zwingend zustellbar sein. Bei juristischen Personen braucht es des Weiteren die Angabe der Firma, wie sie im Handelsregister benannt ist, optional mit der Unternehmens-Identifikation-snummer (UID) oder auch der MWST-Nummer (Mehrwertsteuer).

Das Impressum soll es dem Seitenbesucher erleichtern, mit dem Seitenbetreiber in Kontakt zu treten. Aus diesem Grunde ist die Angabe einer Telefonnummer zu empfehlen, eventuell auch ein Kontaktformular.

Handelt es sich um kein E-Commerce-Angebot, ist ein Impressum trotzdem empfehlenswert. Art. 19 DSGneu nennt die Informationspflicht, die immer zum Tragen kommt bei der Beschaffung von Personendaten. Diese kann im Impressum und / oder in der DSE umgesetzt werden. 

Untersteht die Internetseite der DSGVO sind Informationen zum Handels-registereintrag (falls vorhanden), zur Rechtsform, zu einer allfälligen Daten-schutzaufsichtsbehörde sowie zur MWST, zwingend zu machen.

Genau wie die DSE oder ggf. die Allgemeinen Geschäftsbedingungen (AGB; keine Pflicht zur Veröffentlichung online, aber u. U. empfohlen, falls überhaupt vorhanden) ist das Impressum so zu verlinken, dass es von jeder Seite aus zugänglich ist, z. B. in der Fusszeile.

Die Datenschutzerklärung: Was muss Sie enthalten?

Die Erhebung von Personendaten löst eine Informationspflicht gegenüber der betroffenen Person aus und wird in Art. 13 ff. DSGVO mit einem Mindestinhalt geregelt. Diese Informationspflicht kann mittels DSE gewährleistet werden. Im DSGneu wird diese Informationspflicht neu eingeführt, der Mindestinhalt im Vergleich zur DSGVO ist jedoch kürzer. In einem Punkt geht das DSGneu allerdings weiter als die DSGVO: Es müssen alle Länder aufgelistet werden, in welche Daten exportiert werden (Art. 19 Abs. 4 DSGneu).

In 99% aller Fälle braucht es also eine DSE. Und selbst bei dem einen Prozent, wo wirklich keine Daten erhoben werden, wäre es ratsam, den Seitenbesucher darüber zu informieren, dass eben keine Daten erhoben werden. Die Anforderungen an eine rechtsgültige DSE sind gemäss DSGneu und DSGVO wie gesagt unterschiedlich hoch.

Beiden gemeinsam ist jedoch der Grundsatz der Transparenz: Für den Seitenbesucher muss der Zweck der Bearbeitung erkennbar sein und welche Personendaten erhoben werden, wie, wofür und von wem die Daten bearbeitet werden und allenfalls wohin die Personendaten übermittelt werden. Dabei gilt es besonders alle Drittanbieter zu nennen wie unter Kapitel Social Media und andere Plugins beschrieben. Gemäss DSGneu muss zusätzlich die Rechtsgrundlage für Exporte in unsichere Länder erwähnt werden.

Die Mindestanforderungen an die DSE gemäss Art. 14 DSGVO:

  • „Kontaktdaten eines allfälligen betrieblichen oder externen Datenschutz-beauftragten;
  • Kontaktdaten eines allfälligen EU-Datenschutzvertreters;
  • Zwecke, für die Personendaten bearbeitet werden;
  • Dauer, für welche die Personendaten gespeichert werden, oder zumindest die Kriterien für die Festlegung der Dauer;
  • Rechtsgrundlagen für die Datenbearbeitung, zum Beispiel die überwiegenden berechtigten Interessen des Website-Betreibers gemäss Art. 6 Abs. 1 lit. f DSGVO;
  • Empfänger der beschafften Personendaten;
  • beabsichtigte Übermittlung von Personendaten in ein Drittland und inwiefern dort ein angemessener Datenschutz gewährleistet ist;
  • Information über eine allfällige automatisierte Entscheidungsfindung einschliesslich Profiling;
  • Aufklärung, inwiefern die Bereitstellung von Personendaten zwingend erforderlich ist, zum Beispiel aus rechtlichen Gründen oder für die Erfüllung von bestimmten Verträgen;
  • Recht auf Auskunft, Recht auf Berichtigung oder Löschung sowie Recht auf Datenübertragbarkeit;
  • Recht auf Einschränkung der Datenbearbeitung sowie Recht auf Widerspruch gegen die Datenbearbeitung;
  • Recht auf Widerruf nach erfolgter Einwilligung;
  • Recht auf Beschwerde bei einer Datenschutzaufsichtsbehörde.“

Die DSE kann z. B. in der Fusszeile platziert werden, das entspricht der gängigen Praxis. Auf alle Fälle sollte die DSE von jeder Seite verlinkt sein, auch ev. sinnvoll im Cookie-Banner. Ein gängiger Fehler ist, dass auf die DSE eingewilligt werden muss (z. B. bei einem Bestellvorgang), denn es handelt sich hierbei um eine reine Informationsgebung, die nicht einwilligungsbedürftig ist, im Gegensatz zu einem Vertrag oder den AGBs.

Beim Verfassen der DSE muss darauf geachtet werden, dass sie einfach und gut verständlich ist oder konkret dem Wortlaut der DSGVO folgend: «in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache» (Art. 12 Abs. 1 DSGVO). Seitenlange DSEs werden seltener gelesen. Es gilt sich auf die wesentlichen Informationen zu beschränken, diese aber unbedingt allesamt korrekt aufzuführen.

Es darf vermutet werden, dass aufgrund ungenügender DSEs zukünftig gemäss DSGneu Sanktionierungen erfolgen werden, deshalb gilt es unbedingt auf eine rechtsgültige DSE zu achten. Auf Basis der DSGVO wurde 2019 das empfindlich hohe Bussgeld gegen Google (EUR 50 Mio.) wegen undurch-sichtiger Datenschutzbestimmungen und fehlender rechtlicher Grundlage für personalisierte Werbung gesprochen.

Teil 7 – Auftragsbearbeitung

Anforderungen an Schweizer Unternehmen nach dem revidierten Datenschutzgesetz

Wenn Personendaten nicht im eigenen Unternehmen, sondern von einem Outsourcing-Dienstleister bearbeitet werden, nennt man diesen Dienstleister «Auftragsverarbeiter bzw. Auftragsbearbeiter». Neu im DSGneu ist die Übernahme aus der DSGVO der Begrifflichkeiten „Verantwortlicher / Auftragsverarbeiter“ (Art. 5 lit. j und k DSGneu). Mit einem Auftragsdatenverarbeitungs-Vertrag (ADV) zwischen dem Verantwortlichen und dem Auftragsverarbeiter muss dafür gesorgt werden, dass dieser die Datenbearbeitung so durchführt, wie es der Verantwortliche selbst tun würde.

Ein externer Hoster bspw. ist ein Auftragsverarbeiter und stellt i. d. R. bereits einen ADV zur Verfügung. Dies zeichnet zumindest einen vertrauenswürdigen und datenschutzrechtlich zeitgemässen Hoster aus. In Art. 28 Abs. 3 DSGVO ist der Mindestinhalt eines ADVs festgelegt:

  • „Art und Zweck der Verarbeitung;
  • Art der personenbezogenen Daten, Kreis betroffener Personen;
  • Umfang der Weisungsbefugnisse;
  • Pflichten und Rechte des Verantwortlichen;
  • Pflichten des Auftragsverarbeiters: 
    • Verarbeitung nach dokumentierter Weisung;
    • Wahrung der Vertraulichkeit bzw. Verschwiegenheit;
    • Ergreifung geeigneter Maßnahmen für die eigene Sicherheit der Verarbeitung;
    • Rechtmäßige Hinzuziehung von Subunternehmen;
    • Unterstützung des Verantwortlichen bei der Beantwortung von Anträgen betroffener Personen;
    • Unterstützung des Verantwortlichen bei der Einhaltung dessen Pflichten aus Art. 32 bis 36 DSGVO;
    • Ergreifung geeigneter Maßnahmen für die Sicherheit der Verarbeitung (Art. 28 III 2 lit. f DSGVO i. V. m. Art. 32 DSGVO);
    • Meldung von Verletzungen des Schutzes personenbezogener Daten an die Datenschutzaufsichtsbehörden (Art. 28 III 2 lit. f DSGVO i. V. m. Art. 33 DSGVO);
    • Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person (Art. 28 III 2 lit. f DSGVO i. V. m. Art. 34 DSGVO); 
    • Durchführung einer Datenschutz-Folgenabschätzung (Art. 28 III 2 lit. f DSGVO i. V. m. Art. 35 DSGVO);
    • Konsultierung der Datenschutzaufsichtsbehörden bei Verarbeitung mit hohen Risiken (Art. 28 III 2 lit. f DSGVO i. V. m. Art. 36 DSGVO);
    • Löschung oder Rückgabe nach Beendigung des Auftrags;
    • Zurverfügungstellung von Informationen und Ermöglichung von Überprüfungen.“

Diese Mindestanforderungen können gemäss DSGneu so übernommen werden, auch wenn die Inhaltsvorgaben weniger detailliert sein müssen. Dafür müssen sie explizit um die Länderliste für Datenexporte ergänzt werden. Art. 26 DSGVO verlangt die vertragliche Festlegung der Verantwortlichkeiten von gemeinsamen Verantwortlichen, was nach dem DSGneu nicht so ist. Daraus resultiert auch eine unterschiedliche Haftung: Gemäss DSGVO haften Auftragsverarbeiter beschränkt, während im DSGneu alle in die Haftung gezogen werden, die an einer Persönlichkeitsverletzung mitwirken.

Die Abgrenzung zwischen Verantwortlicher und Auftragsverarbeiter ist jedoch nicht immer ganz einfach, es herrschen verschiedene Meinungen und in der EU gibt es schon einige Gerichtsentscheide dazu. Der EDSA hat dazu kürzlich eine Leitlinie veröffentlicht, welche aber weiterhin gewisse Fragen offenlässt. Wichtig bei diesem Thema ist also ganz genau zu prüfen, ob alle nötigen Verträge vorhanden sind, ob die Verantwortlichkeiten genau geregelt sind und zu bedenken, dass neu auch in der Schweiz Bussgelder für fehlende ADVs gesprochen werden können.

Teil 8 – Datentransfer

Datentransfer in die EU / Drittländer

Ist gemäss DSG aktuell noch der EDÖB zuständig für die Genehmigung der Datenexporte ins Ausland, so wird neu gemäss Art. 16 DSGneu die Bekanntgabe von Personendaten ins Ausland normiert. Neu ist hierbei die Zuständigkeit des Bundesrates für die Entscheidung, ob ein Land einen angemessenen Datenschutz bietet; er wird sich vermutlich an dieselben Entscheidungen der Europäischen Kommission bzw. an die bisherige Länderliste des EDÖBs halten.

Neu kann ein Verstoss gegen die Datenexportregelung sanktioniert werden (Art. 61 lit. a DSGneu). Sofern ein Drittland ein angemessenes Datenschutzniveau bietet, ist ein Datentransfert unproblematisch. Es sind die Betroffenen dennoch zu informieren. Sofern ein Drittland nicht über ein angemessenes Datenschutzniveau verfügt, ist der Datentransfer deutlich komplizierter. Der Datenexporteur muss dann nämlich mit geeigneten vertraglichen Massnahmen (bspw. Standard Contract Clauses der EU) gewährleisten, dass die exportierten Daten gut geschützt sind.

In der EU gilt Folgendes: Art. 44 – 50 DSGVO regeln die Datenübermittlungen in Drittländer, wobei diese untersagt ist, sofern sie nicht gemäss Art. 45 DSGVO auf der Liste der Europäischen Kommission der Länder mit angemessenem Datenschutz auf Basis von Art. 45 Richtlinie (EU) 2016/679 (vgl. Fussnote 1) ist oder mit einer Richtlinie wie das ePrivacy Shield oder einer Standardvertragsklausel (SCC: Standard Contract Clauses) ausdrücklich geregelt und genehmigt wurde.

Die Beziehung EU-USA hat bezüglich Datenaustausch eine längere bewegte Geschichte. Die Politik in der EU wie in der Schweiz versuchte schon mehrmals, mit internationalen Verträgen zu ermöglichen, dass personenbezogene Daten in die USA exportiert werden dürfen. Das erste Abkommen, namentlich das Safe-Harbor Abkommen aus dem Jahre 2015, wurde durch den EuGH mit dem Urteil „Schrems I“ für ungenügend erklärt.

Die Folgelösung für das gekippte Safe-Harbor Abkommen hiess EU-US Privacy Shield. Erst kürzlich im Juli 2020 wurde auch das Privacy Shield vom EuGH durch das Urteil „Schrems II“ für untauglich erklärt. Es bleiben zurzeit nur die SCC, um einen Datenexport in die USA zu rechtfertigen, welche auch genutzt werden.

Hinsichtlich dieser SCCs wird es mit Rechtsprechungen in der EU, vor allem aber auch durch die Datenschutzaufsichtsbehörden sowie den EDSA, in naher Zukunft noch einiges zu entscheiden geben. Max Schrems, österreichischer Datenschutzaktivist, kämpft für den Schutz der Privatsphäre, welcher in den Datenschutzgesetzen der EU verankert ist. Dies steht im Konflikt mit dem Überwachungsgesetz der USA, die eine Überwachung verlangen bzw. uneingeschränkten Datenzugriff durch die US-Behörden erlaubt. Eine Firma wie Microsoft, die ihren Sitz in den USA hat, für Kunden Daten aber in den Niederlanden hostet, kann dies trotzdem rechtmässig tun, ohne gegen die DSGVO zu verstossen.

Teil 9 – Meldepflicht bei Datenschutzverletzungen

Meldepflichtbestimmungen

Einleitend soll die Funktion der Datenschutzaufsichtsbehörden der EU und des EDÖB, welcher als Schweizer Datenschutzaufsichtsbehörde gilt, erläutert werden. Beiden gemeinsam ist, dass ihnen eine allfällige Verletzung des Datenschutzes gemeldet werden muss, dass sie Verarbeitungsvorgänge (so bezeichnet in der DSGVO) bzw. Bearbeitungsvorgänge (so bezeichnet im DSGneu) untersuchen und dass sie Verfügungen zur Einstellung, Einschränkung oder Anpassung einer Datenbearbeitung erlassen können.

Die Definition „Verletzung der Datensicherheit“ ist im DSGneu und der DSGVO gleich und meint, dass Personendaten unbeabsichtigt oder widerrechtlich verlorengehen, gelöscht, vernichtet oder verändert werden oder Unbefugten offengelegt oder zugänglich gemacht werden (Art. 5 lit. h DSGneu). Gemäss DSGVO müssen solche Meldungen von Verletzungen innert 72 Stunden an die zuständige Datenschutzaufsichtsbehörde gemeldet werden (Art. 33 f. DSGVO).

Im DSGneu ist die Vornahme einer sog. „Data Breach Notification“ mit Art. 24 DSGneu („Meldung von Verletzungen der Datensicherheit“) neu eingeführt. Nur wenn „ein hohes Risiko“ negativer Folgen für die betroffene Person besteht, muss eine Verletzung der Datensicherheit dem EDÖB gemeldet werden, was eine Beurteilung im Einzelfall nötig macht. In der Schweiz kennen wir die 72 Stunden-Frist nicht (Gesetzeswortlaut: „so rasch als möglich“) und auch nicht die Pflicht zur Protokollierung der Verletzung, was gewiss die sinnvollere Regelung ist als in der DSGVO, wo jede dieser Meldungen eines Datenlecks auch an die betroffene Person gemacht werden muss (Art. 33 Abs. 5 DSGVO).

Gemäss DSGneu muss eine Meldung an die betroffene Person nur gemacht werden, falls es zu ihrem Schutz erforderlich ist, also falls sie z. B. ein Passwort ändern muss, damit der verletzte Schutz eines Accounts wiederhergestellt ist, weil die Zugangsdaten durch Unberechtigte abgegriffen wurden. In der Meldung an den EDÖB oder die Datenschutzaufsichtsbehörde ist mindestens die Art der Verletzung der Datensicherheit, deren Folgen und die ergriffenen oder vorgesehenen Massnahmen zu nennen.

Auftragsverarbeiter müssen Datenschutzverletzungen in jedem Fall sofort dem Auftragsgebenden melden, unabhängig davon, ob die Verletzung ein hohes Risiko mit sich bringt, damit der Auftraggeber entscheiden kann und muss, wie mit der Datensicherheitsverletzung umzugehen ist. Das DSGneu sieht keine rechtlichen Sanktionen für Verletzung der Melde- und Informationspflichten vor, was in der Praxis wohl bedeuten wird, dass längst nicht alle Vorfälle gemeldet werden dürften.

Teil 10 – Sanktionen & Schadenersatz

Bussen

Im Vergleich zum DSGneu ist die Höhe der Sanktionierung bei Verstössen gegen die DSGVO auf einem ganz anderen Level angesiedelt: Es können Bussen bis EUR 10 Mio. bzw. 20 Mio. oder 2% bzw. 4% des weltweit erzielten Jahresumsatzes gesprochen werden, je nach dem welches die höhere Zahl ist (Art. 83 Abs. 5 und 6 DSGVO). Hier wird klar, dass sich das Bussgeld an Unternehmen richtet. 

Wenngleich die maximale Sanktionierung im DSGneu von CHF 250’000 (Art. 60 ff. DSGneu) im Vergleich zur DSGVO als gering erscheint, relativiert es sich doch wieder, wenn man bedenkt, dass eben nicht das Unternehmen, sondern eine Privatperson gebüsst wird.

Ein gewisser Schutz vor Strafe bietet, dass nur vorsätzliche Verstösse gebüsst werden (enthält auch den Eventualvorsatz). Weil Bussgelder nicht versichert werden können und ein Strafbefehl eine unschöne Sache ist, soll hier noch einmal die Wichtigkeit der korrekten Einhaltung des DSGneu und der DSGVO betont werden.

Nicht unerwähnt bleiben sollte das Thema Schadenersatz. Gemäss DSGneu und der DSGVO (gemäss welcher dies sogar ein grosses Thema ist, denn es wurden schon zahlreiche Schadenersatzstrafen gesprochen) ist neben der oben genannten Sanktionierung auch immer die Möglichkeit einer Klage auf Schadenersatz gegeben (Art. 82 DSGVO).

Nach Art. 32 Abs. 2 DSGneu – dieser verweist auf Art. 28 ff. ZGB – können auf dem zivilrechtlichen Weg nebst Schadenersatz auch Genugtuung und die Gewinnherausgabe sowie konkrete Massnahmen betreffend der Datenbearbeitung verlangt werden (Berichtigung, Löschung, Verbot der Bekanntgabe, Verbot der Datenbearbeitung).