07.05.2018

Datenschutzerklärung: Die DSGVO 2018 in der IT – was müssen Schweizer beachten?

Dass die europäische Datenschutzgrundverordnung, die DSGVO am 25. Mai 2018 in der gesamten Europäischen Union wirksam wird, sollte sich inzwischen herumgesprochen haben. Die DSGVO ist eine einheitliche Verordnung für EU-Länder und Länder, in denen Daten von EU-Bürgern gesammelt und verarbeitet werden. Die DSGVO regelt die Handhabung dieser personenbezogenen Daten in der EU. Ab dem 25. Mai 2018 gilt diese Verordnung unmittelbar für alle EU-Länder. Was müssen Sie in der Schweiz beachten, vor allem, wenn Sie eine eigene Webseite betreiben?

Von: Lars Behrens   Drucken Teilen   Kommentieren  

Lars Behrens, Dipl.-Paed

Lars Behrens ist Geschäftsführer der Firma MaLiWi IT. Staatlich geprüfter Netzwerkadministrator, Microsoft MCP/Linux LCP. Er hat langjährige Erfahrung in der Beratung bei Planung und Einrichtung von IT-Systemen und Netzwerken und dem Support heterogener Systeme (Apple Macintosh, Microsoft Windows, Linux). Universitätsstudium der Pädagogik, mehrere Jahre Tätigkeit im Ausland. Seminar- und Kursleiter, Referent und Fachbuchautor. Weiterhin ist er Herausgeber von dem Online-Fachportal «InformatikPraxis» bei der WEKA Business Media AG.

MaLiWi IT

 zum Portrait

Zu diesem Artikel wurden noch keine Kommentare geschrieben. Wir freuen uns, wenn Sie den ersten Kommentar zu diesem Artikel verfassen.
 
Kommentar schreiben

Bitte Wert angeben!

Bitte Wert angeben!

Bitte Wert angeben! Bitte geben Sie eine gültige E-Mail-Adresse ein!

Bitte Wert angeben!

Bitte Wert angeben!

Bitte Wert angeben!

Bitte alle fett beschrifteten Pflichtfelder ausfüllen.
Zurücksetzen
 

Die DSGVO ist bereits vor zwei Jahren in Kraft getreten

Übrigens ist die DSGVO bereits vor zwei Jahren in Kraft getreten, es galt aber eine zweijährige Übergangsfrist, die jetzt verstrichen ist. Dennoch treffen die Umsetzung und die sich daraus möglicherweise ergebenden Folgen viele Betriebe, Unternehmer und IT-Verantwortliche unvorbereitet. Das wirft spätestens jetzt die Frage auf, ob wir in der Schweiz uns überhaupt an die DSGVO halten müssen - und welche praktischen Auswirkungen die neue Datenschutzverordnung im Bereich der IT haben könnte.

Der erste Teil der Frage kann recht einfach beantwortet werden - die DSGVO gilt immer dann, wenn ein Schweizer Unternehmen einen Standort im Bereich der Europäischen Union hat oder wenn innerhalb dieses Wirtschafts- und Rechtsraums personenbezogene Daten im Auftrag verarbeitet werden (Auftragsdatenverarbeitung). Lagert oder bearbeitet also beispielsweise ein Schweizer Unternehmen Daten im Auftrag eines Unternehmens aus der EU, gilt die DSGVO unbedingt. Ein anderes Beispiel wäre ein Unternehmen mit Sitz in der Schweiz, das einen Newsletter über seine Website anbietet, den Personen in der EU abonnieren können. Im konkreten Fall würde dies bedeuten, das beispielsweise über diesen Online-Shop Daten von Kunden aus der EU im Sinne der DSGVO erfasst oder bearbeitet würden. Verständlicherweise lässt sich eine Einschränkung des Zugriffs auf einen Online-Shop anhand von Landesgrenzen technisch nur sehr schwer bis gar nicht realisieren. Somit würde hier die DSGVO auch für den eigentlich «schweizerischen» Webshop gelten, die sich daraus ergebenden Regelungen und Massnahmen zum Schutz persönlicher Daten wären zu beachten und umzusetzen. Aber welche Massnahmen sind denn das konkret?

Schutz der personenbezogenen Daten

Kern der aktuellen DSGVO ist der Schutz der personenbezogenen Daten. Diese sind zu schützen und es ist sparsam mit ihnen umzugehen: so wenig Datenerhebung wie möglich, nur so viel wie nötig. Welche Daten sind aber personenbezogen? Das sind Vor- und Zuname, die E-Mail-Adresse, der Wohnort, Telefonnummern, weitere Information wie Zugehörigkeit zu einer Religion, Gesundheitsdaten, Zahlungsdaten und vor allem die IP-Adresse - also die je nach eingesetzter Technik unter Umständen eindeutig identifizierbare weltweit einmalige Identifikationsnummer des mit dem Internet verbundenen Systems. Da fast alle am Internet teilhabenden PCs, Laptops, Smartphones und Tablets heutzutage über so genannte Router ans weltweite Netz angeschlossen sind, wird es sich in der Regel nicht um die IP-Adresse des einzelnen internetfähigen Gerätes handeln, sondern um diejenige des davor geschalteten Routers. Dennoch kann darüber u.U. eine Rückverfolgung des Nutzers erfolgen.

Wasserdichte Datenschutzerklärung

Dies gilt vor allem für die Visitenkarte praktisch jeden Unternehmens, seine Webseite. Ein Klassiker mangelnder Transparenz, der aber in erster Linie gar nichts mit dem Datenschutz an sich zu tun hat, war und ist ein fehlendes, an nicht genügend prominenter Stelle stehendes oder mit lückenhaften Angaben versehenes Impressum - gerne wurde ein solches auch von Abmahnanwälten für ihr mehr oder weniger sinniges Tun herangezogen. Was aber dem Thema verwandt ist und auf jeden Fall hinsichtlich des Datenschutzes beachtet werden sollte ist das Vorhanden sein einer wasserdichten Datenschutzerklärung. Weshalb sollte eine solche Erklärung aber notwendig sein, wenn Installateur Maier eine rein statische Webseite mit ein wenig Text und einem Bild, seiner Firmenanschrift sowie dem Portfolio des Betriebs betreibt? Ganz ohne ein Kontaktformular, bei dem ja noch verständlich ist, dass durch die Eingabe der Daten des Nutzers der Datenschutz berührt sein könnte?

Ganz einfach - der Server, auf dem die Seite liegt, erfasst mit an Sicherheit grenzender Wahrscheinlichkeit die soeben erwähnten Daten der Besucher. Dies dient zum Teil den Administratoren des Webservers (Apache, Nginx, IIS usw.) beziehungsweise des darunter liegenden Servers zur Kontrolle der Funktionalitäten und zur Fehlersuche bei etwaigen Störungen. Da hierdurch aber auch die Daten des Besuchers einer Webseite, die an sich vielleicht gar keine Daten erfasst und sammelt, mitgeschnitten werden (zumindest die IP-Adresse und der verwendete Browser), muss ein Besucher darauf hingewiesen werden. Dass man in dem Moment, in dem man einen Datenschutzhinweis auf einer Webseite überhaupt zu Gesicht bekommt, diese bereits besucht und genau diese Daten preisgegeben hat, steht auf einem anderen Blatt. Vielleicht kommt ja mit der zukünftigen Verschärfung der DSGVO noch der Zwang zu einer Vorschaltseite, die man bestätigen muss, bevor man die eigentliche Seite aufrufen kann - schöne goldene Zeiten des Datenschutzes, der nicht immer Quell reiner Freude und Bedienungsfreundlichkeit ist.

Verwendung von Cookies

Das bringt uns zum nächsten Punkt, den Sie beachten sollten, wenn Sie eine Webseite DSGVO-konform betreiben wollen - die berüchtigten Cookies. Schon heute trifft man auf kaum noch eine Webseite, die nicht beim ersten Aufruf einen Hinweis auf deren Verwendung einblendet: «Diese Website benutzt Cookies. Wenn Sie die Website weiter nutzen, stimmen Sie der Verwendung von Cookies zu», heisst es in der Regel, wobei es nicht üblich zu sein scheint, dass man eine Wahlmöglichkeit bekommt. Entweder die Webseite ansehen und die Nutzung von Cookies erlauben - oder den Besuch abbrechen, falls man keine digitalen Kekse auf seinem PC sammeln möchte. Mit den lokal abgelegten Cookies (kleinen Textdateien, die auf dem PC, Laptop, Smartphone des Besuchers gespeichert werden) können bestimmte Einstellungen und Daten zum Aufruf einer Webseite im Browser gespeichert werden. Einige Cookies werden nach Schliessen des Browsers wieder gelöscht, andere verbleiben auf dem System des Besuchers und ermöglichen es den besuchten Webseiten, den Browser des Nutzers beim nächsten Besuch wiederzuerkennen.

Cookies fallen in den Anwendungsbereich der DSGVO. Es gilt prinzipiell ein Verbot, allerdings mit Erlaubnisvorbehalt. Die Nutzung ist grundsätzlich zulässig, wenn der Betroffene eingewilligt hat - damit haben wir aber wieder das oben bereits angesprochene Henne-Ei-Problem. Wird zuerst die Webseite aufgerufen oder zuerst der Cookie eingespielt? Da im Zuge der Novellierung der DSGVO weitere Aspekte beachtet werden müssen wie die Interessen und Grundfreiheiten der betroffenen Person und diejenigen des Betreibers der Webseite, wird abzuwarten sein, wie sich die praktische Handhabung von Cookies auf Webseiten entwickeln wird.

Daten von Patienten oder Klienten

Was an diesem Beispiel sehr gut zu erkennen ist: bei der DSGVO geht es vor allem um den Grundsatz der Datensparsamkeit, nach dem Daten nur erhoben werden dürfen, wenn sie zur Erfüllung eines bestimmten Zwecks auch tatsächlich erforderlich sind, und um Interessensabwägung. Überwiegen die Interessen der Betroffenen, dass ihre Daten geschützt werden, oder das Interesse des Webseitenbetreibers, der andernfalls seine Inhalte gar nicht sinnvoll darstellen könnte? Ähnlich verhält es sich beim Betrieb eines EDV-Systems, in dem beispielsweise die Daten von Patienten oder Klienten verarbeitet werden. Ohne Kontrolle und Wartung des Systems (etwa eines Servers) würde dieser früher oder später selber ein Sicherheitsrisiko darstellen - gerade durch die Administration des Systems entstehen aber auch Einfallswinkel für den Missbrauch der Daten. Hier ist es immens wichtig, dass Sie sich - ganz gleich ob als Dienstanbieter oder jemand, der EDV-Dienste in Anspruch nimmt - durch eine anwaltlich begleitete Vereinbarung zur so genannten Auftragsdatenverarbeitung absichern.

Datenminimierung

Neben der erwähnten Datenminimierung stehen vor allem auch die Pseudonymisierung der Daten, die Datentrennung und die erweiterten Rechte Betroffener auf ihre Daten im Mittelpunkt der DSGVO. Daten, die über ein Kontaktformular auf Ihrer Webseite gesammelt wurden, dürfen nicht ohne besonderen Grund lange aufgehoben - und vor allem dürfen sie dem Betroffenen nicht vorenthalten werden. Fordert jemand, der Ihnen seine Kontaktdaten zur Verfügung gestellt hat, Einsicht in die Daten auf Ihrem System oder verlangt gar die Löschung, ist diesem Verlangen anstandslos nachzukommen! Ganz wichtig ist auch die vertrauliche Behandlung solcher Daten.

Da wir gerade beim Thema «Kontaktformular» sind: eine Übertragung vom System des Users zu Ihrem muss selbstverständlich dem aktuellen Stand der Technik entsprechend abgesichert werden. Es ist zwar nicht ausdrücklich erwähnt, stellt anhand dieser Vorgabe jedoch eine Selbstverständlichkeit dar, dass Sie Ihre Kontaktformulare nur über eine per HTTPS abgesicherte Seite ins Web stellen. Und wenn Sie schon dabei sind, sollten Sie gleich den gesamten Internetauftritt per HTTPS absichern - mit modernen Methoden wie dem auf weka.ch mehrfach erklärten Lets Encrypt ist dieses einfach und mit geringen Kosten möglich.

DSGVO-konforme Datenschutzerklärungen

Das führt uns zu den drei letzten Punkten unserer kleinen Checkliste, die Sie beachten sollten, sofern Sie die DSGVO beachten müssen: Social-Media-Links (also die bunten Button, die einen zu Facebook, Twitter, Google+ und so weiter führen), ReCaptchas und Google Analytics. Haben Sie diese Tools auf Ihrer Webseite eingebunden, werden Daten von Besuchern Ihrer Seite an Facebook, Google und Co. übermittelt - und wenn Sie das nach dem 25. 5. 2018 so belassen, ohne die Besucher Ihres Internetauftritts darauf hinzuweisen und um Zustimmung zu bitten, bewegen Sie sich datenschutzrechtlich auf ziemlich dünnem Eis. Auch hier gilt wie bei den meisten Fragen zur DSGVO, dass die Praxis in Gestalt rechtskräftiger Urteile dazu grösstenteils noch fehlt. Sollten Sie aber im Zweifel sein, ob es bei einem bestimmten Dienst zu einer Übermittlung personenbezogener Daten an Dritte kommt und/oder zur zustimmungspflichtigen Verarbeitung auf Ihrer Seite, sollten Sie die Finger davon lassen - oder sich juristischen Rat dazu holen. Das Gesetz ist über die DSGVO-Website aufrufbar: https://dsgvo-gesetz.de/

Produkt-Empfehlungen

  • InformatikPraxis

    InformatikPraxis

    DIE ultimative Praxislösung für IT-Entscheider!

    ab CHF 168.00

  • WEKA Musterverträge

    WEKA Musterverträge

    Die in der Praxis am häufigsten eingesetzten Musterverträge.

    Mehr Infos

  • Rechtssicher

    Rechtssicher

    Sicherheit bei Rechtsfragen im Geschäftsalltag

    Mehr Infos

Seminar-Empfehlungen

  • Praxis-Seminar, 1 Tag, ZWB, Zürich

    Workshop Datenschutz in der Praxis

    Die neue DSGVO und deren Folgen für Schweizer Unternehmen

    Nächster Termin: 13. Juni 2018

    mehr Infos

  • Praxis-Seminar, 1 Tag, ZWB, Zürich

    IT-Verträge entwerfen und verhandeln

    Rechtssicherheit bei IT-Projekten, Outsourcing und Cloud Computing

    Nächster Termin: 19. Juni 2018

    mehr Infos

  • Praxis-Seminar, ½ Tag, ZWB, Zürich

    Update Datenschutz

    Neuerungen in der EU und der Schweiz

    Nächster Termin: 06. September 2018

    mehr Infos

Um unsere Website laufend zu verbessern, verwenden wir Cookies. Durch die Nutzung dieser Website stimmen Sie der Verwendung von Cookies zu. Mehr Infos