DSGVO Schweiz: Checkliste zur EU-Datenschutz-Grundverordnung
Cyril Berger
Cyril Berger hat Rechtswissenschaften in Zürich studiert. Bereits während seinem Studium interessierte er sich für technologiebezogene Rechtsfragen, insbesondere rund um das Internet. Seit Abschluss seines Anwaltspraktikums bei einer Zürcher Wirtschaftskanzlei arbeitet Cyril Berger als Senior Legal Counsel für ein grosses Schweizer ICT-Unternehmen, wo er vornehmlich in den Bereichen Vertragsrecht, Fernmelderecht und Datenschutzrecht tätig ist. Dabei verknüpft er sein Fachwissen und seine Erfahrung mit seiner Leidenschaft für technisch geprägte Sachverhalte.
Betroffen sind somit insbesondere Schweizer Online-Shops, die Kunden in der EU bedienen. Unter das Anbieten von Waren und Dienstleistungen fallen kostenpflichtige Produkte, aber auch Angebote, für die nicht bezahlt werden muss, wie z.B. das Versenden eines kostenlosen E-Books oder eines Newsletters an Personen in der EU. Da gemäss EU-DSGVO auch IP-Adressen als personenbezogene Daten gelten, müssen auch Schweizer Betreiber von Websites damit rechnen, unter die EU-DSGVO zu fallen, wenn sie Webtracking einsetzen, um die Besucherbewegungen auf ihrer Website oder das Surf verhalten von Internetnutzern zu analysieren, um Rückschlüsse auf deren Interessen, Vorlieben oder Gewohnheiten zu erhalten, und von einem solchen Webtracking auch Personen in der EU betroffen sind.
Schweizer Unternehmen, auf welche die EU-DSGVO Anwendung findet, unterliegen zahlreichen weitreichenden Pflichten. Den Betreibern von Websites und Online-Shops in der Schweiz ist deshalb unbedingt zu empfehlen zu prüfen, ob sie mit ihrer Tätigkeit in den Anwendungsbereich der EU-DSGVO fallen, und sich gegebenenfalls mit den Vorgaben dieses umfangreichen und komplexen Regelwerks auseinanderzusetzen, bei Bedarf unter Beizug eines spezialisierten Juristen oder Anwaltes. Eine Beachtung der EU-DSGVO ist nur schon deshalb ein Muss, weil die Verordnung einschneidende Sanktionen vorsieht: Wer die EU-DSGVO verletzt, kann mit Geldbussen von bis zu
20 Millionen Euro oder von bis zu vier Prozent des gesamten weltweiten Jahresumsatzes bestraft werden.
Die nachfolgende Checkliste befasst sich mit einigen ausgewählten Aspekten der EU-DSGVO, die im Zusammenhang mit dem Betrieb von Websites oder Online-Shops und damit verbundenen Online-Marketing-Aktivitäten zu beachten sind. Im neuen E-Dossier Recht im Online-Marketing finden Sie einen ausführlicheren Ratgeber zur DSGVO Schweiz.
Cookies
Vor dem Einsatz eines Cookies ist eine Interessenabwägung durchzuführen: Es ist zu prüfen, ob die berechtigten Interessen des Website- oder Online-Shop- Betreibers an der Verwendung des Cookies oder die schützenswerten Interessen des Benutzers überwiegen. Diese Interessenabwägung kann insbesondere dann zugunsten des Betreibers ausfallen, wenn mittels Cookie nur diejenigen Daten erhoben werden, die zur Erreichung des vom Betreiber verfolgten Zwecks erforderlich sind (Datensparsamkeit), der Benutzer absehen kann, dass möglicherweise eine Bearbeitung der Daten für diesen Zweck erfolgt und nur pseudonoymisierte personenbezogene Daten bearbeitet werden.
So ist ein Cookie, welches der besseren Benutzerfreundlichkeit einer Website oder eines Online-Shops dient (z.B. eine Merkfunktion für Sprache oder Warenkorb), oder ein Cookie zur Websiteanalyse in der Regel rechtlich zulässig. Fällt die Interessenabwägung zugunsten des Benutzers aus, muss vor der Verwendung des Cookies dessen Einwilligung eingeholt werden.
Passende Produkt-Empfehlungen
Kontaktformulare
Sämtliche Kontaktformulare auf Websites und Online-Shops müssen verschlüsselt sein (z.B. SSL-Verschlüsselung), damit dort eingegebene Daten nicht von unbefugten Dritten abgegriffen werden können. Dies gilt gleichermassen für Formulare, welche für die Registrierung oder im Bestellprozess eingesetzt werden (z.B. für die Eingabe für Rechnungs- und Lieferadresse), für ein allfälliges Online-Widerrufsformular, Newsletter-Anmeldungen und andere Formulare, über welche personenbezogene Daten erhoben werden.
Personenbezogene Daten, die nicht benötigt werden, dürfen nicht «auf Vorrat» erhoben werden. Dies wird erreicht durch eine entsprechende Kennzeichnung von Pflichtfeldern in Formularen.
Einholung der Einwilligung
Bei der Einholung der Einwilligung des Benutzers zur Bearbeitung von personenbezogenen Daten (z.B. zum Erhalt eines Newsletters) muss zum Zeitpunkt der Einwilligung klar und bestimmt sein, wofür die Einwilligung erteilt wird, der Benutzer muss vorgängig transparent informiert werden, und er muss sein Einverständnis mit der beabsichtigten Bearbeitung seiner personenbezogenen Daten eindeutig zum Ausdruck bringen (z.B. durch Anklicken eines Kästchens). Ein «Opt-out» (z.B. in Form eines bereits angekreuzten Kästchens) reicht nicht aus.
Der Website- oder Online-Shop-Betreiber muss die Einwilligung des Benutzers jederzeit nachweisen können. Der Benutzer hat ein Widerrufsrecht, über welches er bereits bei der Einholung der Einwilligung durch den Betreiber zu informieren ist.
Die Einwilligung muss vom Benutzer freiwillig erteilt werden. Das Kriterium der Freiwilligkeit muss anhand der im konkreten Fall vorliegenden Gegebenheiten beurteilt werden, insbesondere falls der Vertragsabschluss (z.B. die Bestellung in einem Online-Shop) von der Einwilligung (z.B. zum Erhalt eines Newsletters) abhängig gemacht wird.
Datenschutzerklärung
Die Datenschutzerklärung muss in einer verständlichen, klaren und einfachen Sprache verfasst und in einer leicht zugänglichen Form bereitgestellt werden. Weiter hat die Datenschutzerklärung die in Art. 13 EU-DSGVO detailliert aufgelisteten Informationen zu enthalten. Der Website- oder Online-Shop-Betreiber hat in der Datenschutzerklärung insbesondere die Erhebung und Bearbeitung von personenbezogenen Daten über Kontaktformulare, Registrierung/Kundenkonto, Cookies und Social Plugins zu behandeln sowie sich zu Themen wie Newsletter, Durchführung von Bonitätsprüfungen, Hosting und Server-Logfiles zu äussern.
Bonitätsprüfung
Generell ist die Durchführung einer Bonitätsprüfung grundsätzlich zulässig, wenn sie aus Sicht des Online-Shop-Betreibers für den Abschluss des Vertrages erforderlich ist. Zusätzlich ist eine Interessenabwägung durchzuführen und dabei zu prüfen, ob die berechtigten Interessen des Betreibers an der Durchführung der Bonitätsprüfung oder die schützenswerten Interessen des Benutzers überwiegen.
Bei der Zahlungsart «Kauf auf Rechnung» ist die Bonitätsprüfung für den Abschluss des Vertrages erforderlich. Es muss somit keine vorgängige Einwilligung des Benutzers eingeholt werden. Die Bonitätsprüfung darf jedoch erst nach Auswahl der Zahlungsart erfolgen und nicht vorher.
Bei den Zahlungsarten «Vorauskasse», «Kreditkarte» (inkl. PayPal) und dergleichen ist die Bonitätsprüfung für den Vertragsabschluss nicht erforderlich. Für deren Durchführung muss somit die Einwilligung des Benutzers vorliegen. Entsprechend ist auch eine Bonitätsprüfung zur aktiven Zahlungsartensteuerung ohne Einwilligung des Benutzers unzulässig.
Social-Media-Plugins
Da der Benutzer in die Verwendung von Social-Media-Plugins nicht rechtswirksam einwilligen kann, ist auf deren Einsatz entweder zu verzichten oder es sind alternative Lösungen wie «Shariff» zu verwenden (sog. datenschutzfreundliche Social-Media-Buttons).
Beizug von externen Dienstleistern
Beim Beizug von externen Dienstleistern, die im Auftrag des Website- oder Online-Shop-Betreibers personenbezogene Daten bearbeiten sollen, müssen der Betreiber und der beigezogene Dienstleister zum Schutz der zu bearbeitenden Daten eine Vereinbarung abschliessen. Es sind die in der EU-DSGVO aufgeführten Anforderungen an diese «Vereinbarung zur Auftragsdatenverarbeitung» zu beachten. Sämtliche bestehenden Vereinbarungen mit beigezogenen Dienstleistern sind daraufhin zu prüfen, ob diese im Detail den Anforderungen der EU-DSGVO genügen. Falls nicht, sind die betroffenen Vereinbarungen nachzuverhandeln. Bei der Übermittlung von personenbezogenen Daten an Dienstleister in sog. Drittländer (Mitgliedstaaten ausserhalb von EU und EWR) sind die Zulässigkeitsvoraussetzungen gemäss EU-DSGVO zu befolgen.
Pflicht zur Bestellung eines Datenschutzbeauftragten
Die Website- und Online-Shop-Betreiber müssen die in der EU-DSGVO sowie im nationalen Recht ihrer EU-Absatzländer enthaltenen Tatbestände, in denen die Pflicht zur Bestellung eines Datenschutzbeauftragten besteht, beachten. Als Datenschutzbeauftragte sollen nur Personen mit einer entsprechenden beruflichen Qualifikation und dem notwendigen Fachwissen bestellt werden. Die Bestellung eines externen Datenschutzbeauftragten ist möglich.
Der Datenschutzbeauftragte ist in erster Linie Anlaufstelle für die Aufsichtsbehörden und für betroffene Personen in der EU in allen Fragen der Bearbeitung personenbezogener Daten. Die EU-DSGVO enthält eine Liste mit den Aufgaben des Datenschutzbeauftragten.
