Datenschutzerklärung: Die DSGVO in der IT – was müssen Schweizer beachten?
Lars Behrens, Dipl.-Paed
Lars Behrens ist Geschäftsführer der Firma MaLiWi IT. Staatlich geprüfter Netzwerkadministrator, Microsoft MCP/Linux LCP. Er hat langjährige Erfahrung in der Beratung bei Planung und Einrichtung von IT-Systemen und Netzwerken und dem Support heterogener Systeme (Apple Macintosh, Microsoft Windows, Linux). Universitätsstudium der Pädagogik, mehrere Jahre Tätigkeit im Ausland. Seminar- und Kursleiter, Referent und Fachbuchautor. Weiterhin ist er Herausgeber von dem Online-Fachportal «InformatikPraxis» bei der WEKA Business Media AG.
Kerngedanke der DSGVO
Kerngedanke der DSGVO (englisch GDPR, General Data Protection Resolution) ist der besondere Schutz personenbezogener Daten. Bitte nicht lachen - aber neben Name und Geburtsdatum (Angaben, die vermutlich über die meisten von uns mit einer simplen Internetsuche zutage gefördert werden könnten) zählt dazu die IP-Adresse des Besuchers einer Webseite. Sie könnten einwenden, dass dies erstens noch gar nichts an wirklich persönlichen Daten enthält und zweitens in Zeiten von NAT und gemeinsamen Internetzugängen der gesamten Familie, Firma oder WG über eben dieselbe öffentliche IP-Adresse erst recht nicht auf den dahinter im lokalen Netzwerk (LAN) steckenden Nutzer schliessen lässt. Die IP-Adresse verrät auch in Zeiten angeblich künstlicher Intelligenz (KI oder AI) wenig bis gar nichts über Familienstand, Schuhgrösse oder persönliche Vorlieben beim Restaurantbesuch - aber es ist, wie es ist, und lamentieren hilft hier nicht. Vielmehr muss man sich den Anforderungen der DSGVO anpassen, sofern man in irgend einer Weise Daten von EU-Bürgern erfasst und bearbeitet (bereits das Erfassen fällt unter "Bearbeiten", die Speicherung erst recht!).
Der Webserver, auf dem Ihre Unternehmens-Webseite liegt, erfasst mit an Sicherheit grenzender Wahrscheinlichkeit die Daten der Besucher. Dies dient zum Teil den Administratoren des Webservers (Apache, Nginx, IIS usw.) beziehungsweise des darunter liegenden Servers zur Kontrolle der Funktionalitäten und zur Fehlersuche bei etwaigen Störungen. Da hierunter aber auch Daten wie besagte IP-Adresse oder der verwendete Browser fallen, müssen Besucher darauf hingewiesen werden - die so berüchtigten wie nervigen Cookie-Warnmeldungen, durch die man sich erst einmal klicken muss, bevor man auch nur ein Pixel der gewünschten Webseite zu Gesicht bekommt, fallen im weitesten Sinne hierunter.
Verwendung von Cookies
Das bringt uns zum nächsten Punkt, den Sie beachten sollten, wenn Sie eine Webseite DSGVO-konform betreiben wollen - den berüchtigten Cookies. Schon heute trifft man auf kaum noch eine Webseite, die nicht beim ersten Aufruf einen Hinweis auf deren Verwendung einblendet: «Diese Website benutzt Cookies. Wenn Sie die Website weiter nutzen, stimmen Sie der Verwendung von Cookies zu», heisst es in der Regel, wobei es nicht üblich zu sein scheint, dass man eine Wahlmöglichkeit bekommt. Entweder die Webseite ansehen und die Nutzung von Cookies erlauben - oder den Besuch abbrechen, falls man keine digitalen Kekse auf seinem PC sammeln möchte. Mit den lokal abgelegten Cookies (kleinen Textdateien, die auf dem PC, Laptop, Smartphone des Besuchers gespeichert werden) können bestimmte Einstellungen und Daten zum Aufruf einer Webseite im Browser gespeichert werden. Einige Cookies werden nach Schliessen des Browsers wieder gelöscht, andere verbleiben auf dem System des Besuchers und ermöglichen es den besuchten Webseiten, den Browser des Nutzers beim nächsten Besuch wiederzuerkennen.
Cookies fallen in den Anwendungsbereich der DSGVO. Es gilt prinzipiell ein Verbot, allerdings mit Erlaubnisvorbehalt. Die Nutzung ist grundsätzlich zulässig, wenn der Betroffene eingewilligt hat - damit haben wir aber wieder das oben bereits angesprochene Henne-Ei-Problem. Wird zuerst die Webseite aufgerufen oder zuerst der Cookie eingespielt? Da im Zuge der Novellierung der DSGVO weitere Aspekte beachtet werden müssen wie die Interessen und Grundfreiheiten der betroffenen Person und diejenigen des Betreibers der Webseite, wird abzuwarten sein, wie sich die praktische Handhabung von Cookies auf Webseiten entwickeln wird.
Und dass man in dem Moment, in dem man einen Datenschutzhinweis auf einer Webseite überhaupt zu Gesicht bekommt, diese bereits aufgerufen und genau diese Daten preisgegeben hat, steht auf einem anderen Blatt. Vielleicht kommt ja mit der zukünftigen Verschärfung der DSGVO noch der Zwang zu einer Vorschaltseite, die man bestätigen muss, bevor man die eigentliche Seite aufrufen kann - schöne goldene Zeiten des Datenschutzes, der nicht immer Quell reiner Freude und Bedienungsfreundlichkeit ist.
Zurück zur Frage, ob wir in der Schweiz uns überhaupt an die DSGVO halten müssen - und welche praktischen Auswirkungen die Datenschutzverordnung im Bereich der IT haben könnte.
Der erste Teil der Frage kann recht einfach beantwortet werden. Die DSGVO gilt immer dann, wenn ein Schweizer Unternehmen einen Standort im Bereich der Europäischen Union hat oder wenn innerhalb dieses Wirtschafts- und Rechtsraums personenbezogene Daten im Auftrag verarbeitet werden (Auftragsdatenverarbeitung). Lagert oder bearbeitet also beispielsweise ein Schweizer Unternehmen Daten im Auftrag eines Unternehmens aus der EU, gilt die DSGVO unbedingt. Ein anderes Beispiel wäre ein Unternehmen mit Sitz in der Schweiz, das einen Newsletter über seine Website anbietet, den Personen in der EU abonnieren können. Im konkreten Fall würde dies bedeuten, das beispielsweise über diesen Online-Shop Daten von Kunden aus der EU im Sinne der DSGVO erfasst oder bearbeitet würden. Verständlicherweise lässt sich eine Einschränkung des Zugriffs auf einen Online-Shop anhand von Landesgrenzen technisch nur sehr schwer bis gar nicht realisieren. Somit würde hier die DSGVO auch für den eigentlich «schweizerischen» Webshop gelten, die sich daraus ergebenden Regelungen und Massnahmen zum Schutz persönlicher Daten wären zu beachten und umzusetzen. Aber welche Massnahmen sind denn das konkret?
Passende Produkt-Empfehlungen
Schutz der personenbezogenen Daten
Kern der aktuellen DSGVO ist, wie bereits erwähnt, der Schutz personenbezogener Daten. Es gilt das Sparsamkeitsgebot: so wenig Datenerhebung wie möglich, so viel wie nötig. Welche Daten sind aber personenbezogen? Das sind Vor- und Zuname, die E-Mail-Adresse, der Wohnort, Telefonnummern, weitere Information wie Zugehörigkeit zu einer Religion, Gesundheitsdaten, Zahlungsdaten und vor allem die IP-Adresse - also die je nach eingesetzter Technik unter Umständen eindeutig identifizierbare weltweit einmalige Identifikationsnummer des mit dem Internet verbundenen Systems. Da fast alle am Internet teilhabenden PCs, Laptops, Smartphones und Tablets heutzutage über so genannte Router ans weltweite Netz angeschlossen sind, wird es sich in der Regel nicht um die IP-Adresse des einzelnen internetfähigen Gerätes handeln, sondern um diejenige des davor geschalteten Routers. Dennoch kann darüber u.U. eine Rückverfolgung des Nutzers erfolgen.
Wasserdichte Datenschutzerklärung
Dies gilt vor allem für die Visitenkarte praktisch jeden Unternehmens, seine Webseite. Ein Klassiker mangelnder Transparenz, der aber in erster Linie gar nichts mit dem Datenschutz an sich zu tun hat, war und ist ein fehlendes, an nicht genügend prominenter Stelle stehendes oder mit lückenhaften Angaben versehenes Impressum - gerne wurde ein solches auch von Abmahnanwälten für ihr mehr oder weniger sinniges Tun herangezogen. Was aber dem Thema verwandt ist und auf jeden Fall hinsichtlich des Datenschutzes beachtet werden sollte, ist das Vorhandensein einer rechtssicheren Datenschutzerklärung. Weshalb sollte eine solche Erklärung aber notwendig sein, wenn Installateur Maier eine rein statische Webseite mit ein wenig Text und einem Bild, seiner Firmenanschrift sowie dem Portfolio des Betriebs betreibt? Ganz ohne ein Kontaktformular, bei dem ja noch verständlich ist, dass durch die Eingabe der Daten des Nutzers der Datenschutz berührt sein könnte?
Was an diesem Beispiel sehr gut zu erkennen ist: bei der DSGVO geht es vor allem um den Grundsatz, nach dem Daten nur erhoben werden dürfen, wenn sie zur Erfüllung eines bestimmten Zwecks auch tatsächlich erforderlich sind. Es geht um eine Interessensabwägung: Überwiegen die Interessen der Betroffenen, dass deren Daten geschützt werden, oder das Interesse des Webseitenbetreibers, der andernfalls seine Inhalte gar nicht sinnvoll darstellen könnte?
Datenminimierung
Neben der Datenminimierung stehen vor allem auch die Pseudonymisierung der Daten, die Datentrennung und die erweiterten Rechte Betroffener auf ihre Daten im Mittelpunkt der DSGVO. Daten, die über ein Kontaktformular auf Ihrer Webseite gesammelt wurden, dürfen nicht ohne besonderen Grund lange aufgehoben und vor allem den Betroffenen nicht vorenthalten werden. Fordert jemand, der Ihnen seine Kontaktdaten zur Verfügung gestellt hat, Einsicht in die Daten auf Ihrem System oder verlangt gar die Löschung, ist diesem Verlangen anstandslos nachzukommen! Ganz wichtig ist auch die vertrauliche Behandlung solcher Daten.
Da wir gerade beim Thema «Kontaktformular» sind: eine Übertragung vom System des Users zu Ihrem muss selbstverständlich dem aktuellen Stand der Technik entsprechend abgesichert werden. Es ist zwar nicht ausdrücklich erwähnt, stellt anhand dieser Vorgabe jedoch eine Selbstverständlichkeit dar, dass Sie Ihre Kontaktformular nur über eine per HTTPS abgesicherte Seite ins Web stellen. Und wenn Sie schon dabei sind, sollten Sie gleich den gesamten Internetauftritt per HTTPS absichern.
DSGVO-konforme Datenschutzerklärungen
Das führt uns zu den drei letzten Punkten unserer kleinen Checkliste, die Sie beachten sollten, sofern Sie die DSGVO beachten müssen: Social-Media-Links (also die bunten Button, die einen zu Facebook/Meta, Twitter und so weiter führen), ReCaptchas und Google Analytics. Haben Sie diese Tools auf Ihrer Webseite eingebunden, werden Daten von Besuchern Ihrer Seite an Facebook, Google und Co. übermittelt - und wenn Sie Besucher Ihres Internetauftritts nicht darauf hinweisen und um Zustimmung bitten, bewegen Sie sich datenschutzrechtlich auf ziemlich dünnem Eis. Auch hier gilt wie bei den meisten Fragen zur DSGVO, dass die Praxis in Gestalt rechtskräftiger Urteile das Bild ganz anders erscheinen lassen kann. Sollten Sie im Zweifel sein, ob es bei einem bestimmten Dienst zu einer Übermittlung personenbezogener Daten an Dritte kommt und/oder zur zustimmungspflichtigen Verarbeitung auf Ihrer Seite, sollten Sie die Finger davon lassen - oder sich juristischen Rat dazu holen. Das Gesetz ist über die DSGVO-Website aufrufbar: dsgvo-gesetz.de
