DSGVO Schweiz: Checkliste zur EU-Datenschutz-Grundverordnung

Seit dem 25. Mai 2018 gilt die EU-Datenschutz-Grundverordnung (EU-DSGVO), auch bekannt unter ihrer englischen Bezeichnung General Data Protection Regulation (GDPR). Die EU hat in Art. 3 Abs. 2 EU-DSGVO das sog. Marktortprinzip verankert. Dies bedeutet, dass das EU-Datenschutzrecht immer dann zur Anwendung kommt, wenn personenbezogene Daten von Personen bearbeitet werden, die sich in der EU befinden, auch wenn das bearbeitende Unternehmen selbst keinen Sitz in der EU hat, sich aber entweder mit dem Angebot von Waren oder Dienstleistungen an Kunden in der EU richtet oder das Verhalten von Personen in der EU beobachtet wird.

20.06.2018 Von: Cyril Berger
DSGVO Schweiz

Betroffen sind somit insbesondere Schweizer Online-Shops, die Kunden in der EU bedienen. Unter das Anbieten von Waren und Dienstleistungen fallen kostenpflichtige Produkte, aber auch Angebote, für die nicht bezahlt werden muss, wie z.B. das Versenden eines kostenlosen E-Books oder eines Newsletters an Personen in der EU. Da gemäss EU-DSGVO auch IP-Adressen als personenbezogene Daten gelten, müssen auch Schweizer Betreiber von Websites damit rechnen, unter die EU-DSGVO zu fallen, wenn sie Webtracking einsetzen, um die Besucherbewegungen auf ihrer Website oder das Surf verhalten von Internetnutzern zu analysieren, um Rückschlüsse auf deren Interessen, Vorlieben oder Gewohnheiten zu erhalten, und von einem solchen Webtracking auch Personen in der EU betroffen sind.

Schweizer Unternehmen, auf welche die EU-DSGVO Anwendung findet, unterliegen zahlreichen weitreichenden Pflichten. Den Betreibern von Websites und Online-Shops in der Schweiz ist deshalb unbedingt zu empfehlen zu prüfen, ob sie mit ihrer Tätigkeit in den Anwendungsbereich der EU-DSGVO fallen, und sich gegebenenfalls mit den Vorgaben dieses umfangreichen und komplexen Regelwerks auseinanderzusetzen, bei Bedarf unter Beizug eines spezialisierten Juristen oder Anwaltes. Eine Beachtung der EU-DSGVO ist nur schon deshalb ein Muss, weil die Verordnung einschneidende Sanktionen vorsieht: Wer die EU-DSGVO verletzt, kann mit Geldbussen von bis zu
20 Millionen Euro oder von bis zu vier Prozent des gesamten weltweiten Jahresumsatzes bestraft werden.

Die nachfolgende Checkliste befasst sich mit einigen ausgewählten Aspekten der EU-DSGVO, die im Zusammenhang mit dem Betrieb von Websites oder Online-Shops und damit verbundenen Online-Marketing-Aktivitäten zu beachten sind. Im neuen E-Dossier Recht im Online-Marketing finden Sie einen ausführlicheren Ratgeber zur DSGVO Schweiz.

Cookies

Vor dem Einsatz eines Cookies ist eine Interessenabwägung durchzuführen: Es ist zu prüfen, ob die berechtigten Interessen des Website- oder Online-Shop- Betreibers an der Verwendung des Cookies oder die schützenswerten Interessen des Benutzers überwiegen. Diese Interessenabwägung kann insbesondere dann zugunsten des Betreibers ausfallen, wenn mittels Cookie nur diejenigen Daten erhoben werden, die zur Erreichung des vom Betreiber verfolgten Zwecks erforderlich sind (Datensparsamkeit), der Benutzer absehen kann, dass möglicherweise eine Bearbeitung der Daten für diesen Zweck erfolgt und nur pseudonoymisierte personenbezogene Daten bearbeitet werden.

So ist ein Cookie, welches der besseren Benutzerfreundlichkeit einer Website oder eines Online-Shops dient (z.B. eine Merkfunktion für Sprache oder Warenkorb), oder ein Cookie zur Websiteanalyse in der Regel rechtlich zulässig. Fällt die Interessenabwägung zugunsten des Benutzers aus, muss vor der Verwendung des Cookies dessen Einwilligung eingeholt werden.

Kontaktformulare

Sämtliche Kontaktformulare auf Websites und Online-Shops müssen verschlüsselt sein (z.B. SSL-Verschlüsselung), damit dort eingegebene Daten nicht von unbefugten Dritten abgegriffen werden können. Dies gilt gleichermassen für Formulare, welche für die Registrierung oder im Bestellprozess eingesetzt werden (z.B. für die Eingabe für Rechnungs- und Lieferadresse), für ein allfälliges Online-Widerrufsformular, Newsletter-Anmeldungen und andere Formulare, über welche personenbezogene Daten erhoben werden.

Personenbezogene Daten, die nicht benötigt werden, dürfen nicht «auf Vorrat» erhoben werden. Dies wird erreicht durch eine entsprechende Kennzeichnung von Pflichtfeldern in Formularen.

Einholung der Einwilligung

Bei der Einholung der Einwilligung des Benutzers zur Bearbeitung von personenbezogenen Daten (z.B. zum Erhalt eines Newsletters) muss zum Zeitpunkt der Einwilligung klar und bestimmt sein, wofür die Einwilligung erteilt wird, der Benutzer muss vorgängig transparent informiert werden, und er muss sein Einverständnis mit der beabsichtigten Bearbeitung seiner personenbezogenen Daten eindeutig zum Ausdruck bringen (z.B. durch Anklicken eines Kästchens). Ein «Opt-out» (z.B. in Form eines bereits angekreuzten Kästchens) reicht nicht aus.

Der Website- oder Online-Shop-Betreiber muss die Einwilligung des Benutzers jederzeit nachweisen können. Der Benutzer hat ein Widerrufsrecht, über welches er bereits bei der Einholung der Einwilligung durch den Betreiber zu informieren ist.

Die Einwilligung muss vom Benutzer freiwillig erteilt werden. Das Kriterium der Freiwilligkeit muss anhand der im konkreten Fall vorliegenden Gegebenheiten beurteilt werden, insbesondere falls der Vertragsabschluss (z.B. die Bestellung in einem Online-Shop) von der Einwilligung (z.B. zum Erhalt eines Newsletters) abhängig gemacht wird.

Sie möchten regelmässig von Praxistipps rund um den Datenschutz profitieren und die Anforderungen sicherstellen? Jetzt Newsletter abonnieren.

Datenschutzerklärung

Die Datenschutzerklärung muss in einer verständlichen, klaren und einfachen Sprache verfasst und in einer leicht zugänglichen Form bereitgestellt werden. Weiter hat die Datenschutzerklärung die in Art. 13 EU-DSGVO detailliert aufgelisteten Informationen zu enthalten. Der Website- oder Online-Shop-Betreiber hat in der Datenschutzerklärung insbesondere die Erhebung und Bearbeitung von personenbezogenen Daten über Kontaktformulare, Registrierung/Kundenkonto, Cookies und Social Plugins zu behandeln sowie sich zu Themen wie Newsletter, Durchführung von Bonitätsprüfungen, Hosting und Server-Logfiles zu äussern.

Bonitätsprüfung

Generell ist die Durchführung einer Bonitätsprüfung grundsätzlich zulässig, wenn sie aus Sicht des Online-Shop-Betreibers für den Abschluss des Vertrages erforderlich ist. Zusätzlich ist eine Interessenabwägung durchzuführen und dabei zu prüfen, ob die berechtigten Interessen des Betreibers an der Durchführung der Bonitätsprüfung oder die schützenswerten Interessen des Benutzers überwiegen.

Bei der Zahlungsart «Kauf auf Rechnung» ist die Bonitätsprüfung für den Abschluss des Vertrages erforderlich. Es muss somit keine vorgängige Einwilligung des Benutzers eingeholt werden. Die Bonitätsprüfung darf jedoch erst nach Auswahl der Zahlungsart erfolgen und nicht vorher.

Bei den Zahlungsarten «Vorauskasse», «Kreditkarte» (inkl. PayPal) und dergleichen ist die Bonitätsprüfung für den Vertragsabschluss nicht erforderlich. Für deren Durchführung muss somit die Einwilligung des Benutzers vorliegen. Entsprechend ist auch eine Bonitätsprüfung zur aktiven Zahlungsartensteuerung ohne Einwilligung des Benutzers unzulässig.

Social-Media-Plugins

Da der Benutzer in die Verwendung von Social-Media-Plugins nicht rechtswirksam einwilligen kann, ist auf deren Einsatz entweder zu verzichten oder es sind alternative Lösungen wie «Shariff» zu verwenden (sog. datenschutzfreundliche Social-Media-Buttons).

Beizug von externen Dienstleistern

Beim Beizug von externen Dienstleistern, die im Auftrag des Website- oder Online-Shop-Betreibers personenbezogene Daten bearbeiten sollen, müssen der Betreiber und der beigezogene Dienstleister zum Schutz der zu bearbeitenden Daten eine Vereinbarung abschliessen. Es sind die in der EU-DSGVO aufgeführten Anforderungen an diese «Vereinbarung zur Auftragsdatenverarbeitung» zu beachten. Sämtliche bestehenden Vereinbarungen mit beigezogenen Dienstleistern sind daraufhin zu prüfen, ob diese im Detail den Anforderungen der EU-DSGVO genügen. Falls nicht, sind die betroffenen Vereinbarungen nachzuverhandeln. Bei der Übermittlung von personenbezogenen Daten an Dienstleister in sog. Drittländer (Mitgliedstaaten ausserhalb von EU und EWR) sind die Zulässigkeitsvoraussetzungen gemäss EU-DSGVO zu befolgen.

Pflicht zur Bestellung eines Datenschutzbeauftragten

Die Website- und Online-Shop-Betreiber müssen die in der EU-DSGVO sowie im nationalen Recht ihrer EU-Absatzländer enthaltenen Tatbestände, in denen die Pflicht zur Bestellung eines Datenschutzbeauftragten besteht, beachten. Als Datenschutzbeauftragte sollen nur Personen mit einer entsprechenden beruflichen Qualifikation und dem notwendigen Fachwissen bestellt werden. Die Bestellung eines externen Datenschutzbeauftragten ist möglich.

Der Datenschutzbeauftragte ist in erster Linie Anlaufstelle für die Aufsichtsbehörden und für betroffene Personen in der EU in allen Fragen der Bearbeitung personenbezogener Daten. Die EU-DSGVO enthält eine Liste mit den Aufgaben des Datenschutzbeauftragten. 

Newsletter W+ abonnieren