Teil 5 – Webseite: Anforderungen an Schweizer Unternehmen nach dem revidierten Datenschutzgesetz

Inhaltsverzeichnis

  1. Cookies auf der Webseite
  2. Besucher-Statistiken messen
  3. Social Media und andere Plugins
  4. Schriften, Bilder & Formulare
  5. Datenschutz: Email-Newsletter
  6. Automatisierte Einzelentscheidungen

Cookies auf der Webseite

Cookies sind kleine Textdateien, die beim Aufruf einer Internetseite auf dem Computer abgelegt werden können, um Informationen zu speichern. Dabei gilt es zu unterscheiden zwischen der nötigen Information, damit die Internetseite richtig funktioniert (sog. „First-Party-Cookies“; diese ermöglichen z. B. die Speicherung des Warenkorbs eines Online-Shops) und weiteren Cookies (sog. „Third-Party-Cookies“), welche zur Funktionalität der Internetseite grund-sätzlich nichts beitragen, jedoch eine Auswertung von Nutzerdaten ermöglichen (sog. „User-Tracking“; vgl. auch Kapitel „Social Media und andere Plugins“).

Über die Auswertung von Nutzerdaten muss informiert werden (Art. 13 DSGVO) und es muss das Recht auf Widerspruch gewährleistet sowie den Grundsatz der Datenminimierung beachtet werden. Rein informative Cookie-Banner mit dem Text „Diese Internetseite benutzt Cookies“ sind nicht rechtskonform gemäss der EU e-Privacy-Richtlinie. Wie soll der Cookie-Banner also aussehen?

Es müssen alle verwendeten Cookies aufgezählt werden. Standardmässig angewählt sollen nur die Frist-Party-Cookies sein mit der Möglichkeit der Aktivierung der Third-Party-Cookies. Ein Link auf die Datenschutzerklärung (DSE) macht im Cookie-Banner Sinn, zwecks ausführlicher Erläuterung der verwendeten Cookies und deren Funktion (inkl. Adressangaben des Unternehmens, an welche die Cookie-Informationen gesendet werden und Zweck der Bearbeitung).

Das DSGneu sieht eine Regelung analog der EU-Richtlinie nicht vor. Jedoch darf die Informationspflicht (Art. 17 DSGneu) nicht in Vergessenheit geraten, weshalb mindestens in der DSE die Cookies erwähnt werden müssen. Da gemäss Art. 30 DSGneu Personendaten nicht persönlichkeitsverletzend und gemäss Art. 6 DSGneu nur den Grundsätzen nach bearbeitet werden dürfen, was hinsichtlich von Cookies nur mit einem rechtskonformen Cookie-Banner erfolgen kann, müsste nach unserer Meinung auch das Recht auf Widerspruch gewährleistet werden. 

Besucher-Statistiken messen

Mit Besucher-Statistiken kann das Surfverhalten der Seitenbesucher beobachtet werden, was unweigerlich zur Erhebung personenbezogener Daten führt. Es handelt sich um Daten wie bspw. die Anzahl der Seitenaufrufe, die Besucheranzahl auf einer bestimmten Webseite, die Verweildauer der Besucher, verwendete Suchmaschinen und Suchbegriffe oder die genutzten Browsertypen.

Hier gilt als erstes auch die Grundsatzfrage: Ist es für Geschäftszwecke wirklich erforderlich, das Surfverhalten der Seitenbesucher zu beobachten? Wo keine Daten erhoben werden, gibt es keine weitere Arbeit und man läuft nicht Gefahr, an den Rand der Legalität zu kommen. Müssen die Seitenbesucher – in diesem Fall wohl Kunden – für Marketingzwecke beobachtet werden, um Angebote zu verbessern, muss zwingend darauf hingewiesen werden, dass diese Daten erhoben werden und es muss das Recht auf Widerspruch ermöglicht werden bzw. in der Praxis die Deaktivierung des Tracking-Cookies oder -Pixels möglich sein. 

Bei Besucher-Statistiken gibt es drei mögliche Arten:

  • Die Statistik läuft beim Hosting-Anbieter auf dem Control-Panel. Hier muss geprüft werden, ob die Statistik abgeschaltet werden kann oder ob daten-schutzrechtliche Anpassungen gemacht werden können. Diese Statistik geht oft vergessen, da sie nicht vom Seitenbetreiber selbst installiert wird, sondern automatisch auf dem Webserver die Besucherdaten auswertet;
  • Die Statistik läuft auf dem Webserver (externes oder internes Hosting), ist aber vom Seitenbetreiber installiert und muss datenschutzrechtlich korrekt angepasst werden;
  • Die Statistik wird von einem Drittanbieter gehostet und der gesamte Datenfluss läuft über diesen. Im Fall vom weitverbreiteten Google Analytics ist dies besonders bedenkenswert, da kein angemessener Schutz der Daten gewährleistet ist. Es muss sich also um einen Drittanbieter-Service handeln, der seinen Sitz in einem Land hat, welches sich auf der Länderliste mit angemessenem Datenschutz befindet (vgl. Kapitel Datentransfer in die EU / Drittländer).

71% aller Schweizer Internetseiten benutzen immer noch Google Analytics. Der Trend ist abnehmend, die Information, dass es datenschutzfreundlichere Alternativen gibt, verbreitet sich langsam aber sicher. Da die Nutzung von Google Analytics in der Schweiz erst ab in Kraft treten des DSGneu, mit entsprechend vorgesehener Sanktionierungsmöglichkeiten von bis zu CHF 250’000, gefährlich werden dürfte, bleibt noch Zeit zur Umstellung.

Rechtlich sichere Alternativen bieten alle Tools, bei denen sich die Anonymisierung der Nutzerdaten (z. B. mit Verschlüsslung der IP-Adresse) einstellen lässt, bei denen ein «Opt-out» (Abmeldung der Trackingfunktion) vom Nutzer auf der Internetseite (am einfachsten in der DSE geregelt oder im Cookie-Banner) vorgenommen werden kann und deren Datenfluss nicht über unsichere Drittländer läuft. Alternativen zu Google Analytics sind: Matomo, Open Web Analytics, etc. 

Social Media und andere Plugins

Werden Social Media Plugins eingebunden (z. B. Facebook, Twitter, Instagram etc.), mittels Streaming-Dienst die Wiedergabe von Videos erleichtert (z. B. Youtube, Vimeo etc.), Bibliotheken eingebettet (z. B. jQuery, MooTools, Angular, AnyChart etc.) oder in Online-Shops Zahlungsdienste (z. B. Paypal, PostFinance, Klarna etc.) verwendet, muss immer bedacht werden, dass es sich hierbei um Dienste von Drittanbietern handelt. Zu beachten gilt dies insbesondere auch bei Cloud-Diensten.

Benutzerdaten fliessen also über die Internetseite in den Machtbereich Dritter. Darüber muss einerseits informiert werden (siehe Kapitel Datenschutzerklärung) und andererseits darf es sich nicht um einen Drittanbieter handeln, der die Gewährleistung des Datenschutzes ablehnt bzw. seinen Sitz in einem unsicheren Drittland hat. Im DSGneu ist dies bisher noch kein Thema, jedoch unter der DSGVO und mit der Ungültigkeit des EU-US Privacy Shields ein umso grösseres und auch noch nicht zu 100% geklärtes (vgl. Kapitel Datentransfer in die EU / Drittländer).

Bei jedem einzelnen Drittanbieter muss also geprüft werden, wo dieser seinen Sitz hat, ob dieses Land angemessenen Datenschutzgesetzen untersteht, welcher Rechtfertigungs-grund für die Verwendung dieses Plugins zum Tragen kommt und ob in der Datenschutzerklärung entsprechend all diesen Punkten umfassend informiert wurde.

Schriften, Bilder & Formulare

Bei den beliebten „Google-Fonts“, welche einfach in eine Internetseite eingebunden werden können, gilt es die zwei verschiedenen Einbindungs-arten zu beachten. Beim „Online-Modus“ stellt der Browser eine Verbindung zum Google-Server her und es werden u. a. verschiedene Browser- und Gerätedaten sowie die IP-Adresse des Nutzers übermittelt. Es handelt sich also um einen Datentransfer personenbezogener Daten in die USA. Wie unter folgendem Kapitel Datentransfer in die EU / Drittländer beschrieben, ist dies ein Problem für der DSGVO unterstehende Internetseiten, jedoch (noch) nicht für Internetseiten welche der DSGneu unterstehen.

Eine einfache Lösung kann diesem Problem Abhilfe verschaffen und empfiehlt sich auch für Schweizer Internetseiten: Die Google-Fonts können auch im „Offline-Modus“ verwendet werden, d. h. sie werden bei Google heruntergeladen und dann lokal auf dem gleichen Server wie die Internetseite gehostet. Dies gilt auch für die Einbindung von Bibliotheken. Damit entfällt ein unnötiger Datentransfer von personenbezogenen Daten.

Gemäss DSG – und dies ändert sich nicht mit dem DSGneu – sind bei der Veröffentlichung von Fotos einige Punkte zu bedenken, sofern diese Personen abbilden, ohne Unterscheidung ob es sich um ein aktuelles Foto oder eines aus längst vergangenen Zeiten handelt.

Es besteht lebenslänglich immer das Recht am eigenen Bild, unabhängig von urheberrechtlichen Überlegungen. Zudem ist teilweise auch die Auffassung vertreten, dass ein Personenfoto bereits in die Kategorie besonders schützenswerte Personendaten fallen kann, da eventuell Aufschluss über deren Rassenzugehörigkeit, Religion oder Gesundheit gemacht werden könnte. Bei der Publikation von Bildern Minderjähriger ist auch die Zustimmung der erziehungsberechtigten Personen einzuholen. Fotos dürfen nur mit dem Einverständnis der Abgebildeten veröffentlicht werden, oder wenn ein überwiegendes öffentliches oder privates Interesse die Veröffentlichung rechtfertigt, wobei dieser Rechtfertigungsgrund nur mit Zurückhaltung angenommen werden darf.

Dieser Rechtfertigungs-grund könnte bei Berichterstattungen über öffentliche Veranstaltungen mit grösserer Bedeutung oder bei Medienberichten unter Einhaltung der journalistischen Sorgfaltspflicht angenommen werden. Bei Gruppenfotos (i. d. R. ab sechs Personen) müssen ebenfalls die Persönlichkeitsrechte bedacht werden, es darf keine Person aus dem Gruppenbild (in benachteiligender Weise) herausstechen. 

Der Kontext ist hier also stark zu beachten. Sind die Personen auf einem Foto derart klein oder unscharf, dass sie nicht erkannt werden können, handelt es sich auch nicht mehr um „Personendaten“ und das Bild darf auch ohne Einwilligung veröffentlicht werden. Betreffend Einwilligung gilt – wie ganz allgemein – dass sie nur dann gültig ist, wenn sie freiwillig und nach angemessener Information erfolgt. Auch ist der Rückzug der Einwilligung grundsätzlich jederzeit möglich. Dies kann in Bezug auf die schnelle Verbreitung in digitalen Medien problematisch sein. Ggf. können abgebildete Personen oder weitere personenbeziehbare Daten vor der Veröffentlichung unkenntlich gemacht werden, um im Bezug zum Datenschutz keine Persönlichkeitsrechte zu verletzen. Diese Regelungen gelten so auch gemäss der DSGVO.

Bei einem Bestell- oder Kontaktformular, ebenso bei gewissen Chat-Bots, werden ebenfalls personenbezogene Daten erhoben. Grundsätzlich gilt wieder das Prinzip der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO) bzw. Zweckmässigkeit der Datenerhebung sowie das der verschlüsselten Übertragung.

Datenschutz: Email-Newsletter

Newsletter sind ein beliebtes Tool, um die Internetseitenbesucher mit Neuigkeiten zu versorgen oder kostengünstig Werbung zu versenden, wobei beim Versand von Werbung speziell Art. 3 Abs. 1 UWG beachtet werden muss. Dabei gibt es zwei Verfahren: Opt-in und Double-Opt-in. Beim (single) Opt-in beschränkt sich der Anmeldeprozess darauf, dass zusätzlich zur Angabe von Namen und E-Mailadresse eine Checkbox angeklickt werden muss, welches darauf hinweist, dass die Anmeldung mit entsprechender Einwilligung erfolgt. Theoretisch könnten hier falsche Benutzerdaten eingegeben werden, was zur Folge hätte, dass eine Person gegen ihren Willen unerwünschte Werbung erhält. 

Empfehlenswerter ist das Verfahren Double-Opt-in, bei welchem zusätzlich zur Aktivierung eines Kontrollkästchens ein per E-Mail versandter Link bestätigt werden muss, welcher die Richtigkeit der eingegebenen Daten überprüft. Die eingegebene E-Mailadresse wird also erst in den E-Mailverteiler aufgenommen, wenn diese aktive Bestätigung erfolgt ist.

In diesem Bestätigungs-E-Mail kann erneut darüber aufgeklärt werden, welche Daten erhoben wurden und zu welchem Zweck. Der Nachteil dieser Variante liegt im grösseren Aufwand für den Nutzer und das Bestätigungs-E-Mail läuft Gefahr, in einem Spam-Ordner zu verschwinden oder übersehen zu werden. Rechtlich gesehen ist diese Variante deutlich die sichere. Denn die Bestätigung dient zum einen als Hinweis für die Nutzer, zum anderen ist so eine absolut aktive und bewusste Zustimmung gewährleistet.

Absoluter Standard muss der Abmelde-Link am Ende jedes versandten E-Mail sein sowie der Hinweis auf den korrekten Absender, also eine Angabe des Impressums am Ende des Newsletters. Sollte der Nutzer es sich anders überlegen, kann er so seine Einwilligung jederzeit und mit einem Klick widerrufen.

In der Schweiz kam es 2019 zu einem Bussgeld von CHF 660 wegen Versand unerwünschter Werbung (Spam). Mit dem DSGneu, wo Bussgelder bis zu CHF 250’000 möglich werden, dürfte mit einem Anstieg der Meldungen gegen Spam und Erhöhung des Bussgeldes zu rechnen sein. In der EU werden regelmässig Bussgelder wegen unerwünschter E-Mail-Werbung gesprochen und deren Höhe ist beträchtlich schmerzhafter, sollten diese Bussgelder gemäss DSGVO doch „wirksam, verhältnismässig und abschreckend“ sein (Art. 83 DSGVO).

Die gleichen Bedingungen gelten bei der Auswahl des Tools für den Newsletter-Versand, wie auch bei der Auswahl der Besucher-Statistik und der Informationspflicht in der Datenschutzerklärung. Wo wird das Tool gehostet? Wie ist der Datenfluss? Handelt es sich um einen Drittanbieter mit genügenden Datenschutzvorkehrungen und ohne Datentransfer in ein unsicheres Drittland? (vgl. Kapitel Besucher-Statistik, Datenschutzerklärung und Daten-transfer in die EU / Drittländer).

Automatisierte Einzelentscheidungen

Neu im DSGneu wird der Begriff des „Profilings“ eingeführt und ersetzt den alten Begriff des „Persönlichkeitsprofils“, welcher gemäss DSGneu nur noch automatisierte Vorgänge erfasst. Automatisierte Einzelentscheidungen dürften in der Praxis bezüglich Internetseiten relativ selten vorkommen, trotzdem sollen sie nicht unerwähnt bleiben. Es handelt sich einzig um Entscheidungen, die allein vom Computer aufgrund gesammelter Daten über eine Person getroffen werden, ohne dass diese erneut von einem Menschen geprüft werden.

Es besteht eine Informationspflicht bei einer automatisierten Einzelentscheidung gemäss Art. 21 Abs.1 DSGneu, wenn damit eine Rechtsfolge verbunden ist oder die betroffene Person erheblich beeinträchtigt würde. Somit soll der betroffenen Person auf Antrag die Möglichkeit gegeben werden, ihren Standpunkt darzulegen und die automatisierte Einzelent-scheidung durch eine natürliche Person überprüfen zu lassen (Art. 21 Abs. 2 DSGneu). Von dieser Informationspflicht kann abgesehen werden, wenn die automatisierte Einzelentscheidung so erfolgt, wie von der betroffenen Person gewünscht (z. B. im Online-Shop bei Abschluss des Kaufvertrages) oder aufgrund ihrer Einwilligung geschieht.

Eine spannende Entscheidung zum Thema / automatisierte Einzelentscheidungen / Profiling (damals noch „Erstellen von Persönlichkeitsprofilen“) ist mit Urteil vom Bundesverwaltungs-gericht am 18. April 2017 ergangen; die Beklagte (Moneyhouse AG) wurde mit Urteil u. a. dazu verpflichtet, „auf der Website www.moneyhouse.ch sämtliche Verlinkungen zu löschen, die das Erstellen von Persönlichkeitsprofilen von Personen ermöglichen, die darin nicht rechtskonform eingewilligt haben“.

In der DSGVO ist nicht ganz klar, ob automatisierte Einzelentscheidungen grundsätzlich verboten sind oder sie lediglich einen Anspruch der betroffenen Person auf die Überprüfung durch eine menschliche Person begründen. Es besteht das Recht, nicht einer auf einer ausschliesslich automatisierten Verarbeitung beruhenden Entscheidung unterworfen zu werden (Art. 22 Abs. 1 DSVGO), dies gilt aber nicht, wenn die Entscheidung für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich ist, aufgrund einer Rechtsvorschrift oder sie mit ausdrücklicher Einwilligung der betroffenen Person erfolgt (Art. 22 Abs. 2 DSVGO).

Fragen zur Revision des Schweizer Datenschutzgesetzes?

Nutzen Sie die Chance und vereinbaren Sie einen Termin

Fenster schliessen
Jetzt anrufen