Sind Sie vorbereitet
für die DSGVO?

Am 25. Mai 2018 tritt die DSGVO in Kraft und führt das sogenannte Marktortprinzip ein. Die DSGVO gilt nicht nur in der EU, sondern weltweit für jede Verarbeitung personenbezogener Daten von Personen in der EU, denen man Dienstleistungen oder Waren anbietet oder deren Verhalten man beobachtet. Das bedeutet, dass fast alle Schweizer Websites davon betroffen sind, weil sie ihre Nutzerinnen und Nutzer über Webtracking beobachten, Formulardaten sammeln oder E-Mail-Adressen für den Newsletterversand aufnehmen.

Grundsätzlich ist die Datennutzung auch nach dem 25. Mai 2018 erlaubt. Folgende Grundsätze müssen dabei erfüllt sein:

• es ist problemlos, wenn die Daten anonymisiert sind und keine datenschutzrechtliche Bedeutung haben
• bei pseudonymisierten Daten muss die Datenschutzerklärung leicht auffindbar sein und die Möglichkeit zur Abmeldung der Datennutzung beinhalten (Opt-in)
• Wenn Sie personenbezogene Daten nutzen, muss eine Einwilligung über das Opt-in-Verfahren eingeholt werden. Besser noch verwenden Sie das Double-opt-in-Verfahren.

Ein Webseitenbetreiber kann nicht garantieren, dass ein EU-Bürger nicht die eigene Website besucht. Daher sollten Schweizer Webseitenbetreiber jetzt nachstehende Sofortmassnahmen umsetzen. Nehmen Sie den Ist-Zustand auf. Checken Sie jede einzelne Webseite und überprüfen Sie, welche Funktionen und Tools personenbezogene Daten erfassen, speichern oder verarbeiten. Erstellen Sie eine Liste und arbeiten Sie die Seiten ab. Nehmen Sie bei diesen Arbeiten den Webentwickler hinzu.

Die DSGVO-Umsetzung auf der Webseite – so gehen Sie vor.

Nutzerinnen und Nutzer Ihrer Webseite müssen wissen, dass sie der Verarbeitung ihrer Daten jederzeit widersprechen können. Ausserdem gibt es für Webbesucher einen Rechtsanspruch auf Auskunft, Berichtigung und Löschung ihrer persönlichen Daten. Dies hat zur Folge, dass Nutzer gründlich und leicht verständlich informiert werden müssen.

Sichere Verbindung:

• Ihre Website sollte nur noch mit einer sicheren Verbindung betrieben werden. (Also mit https://www.website.ch statt nur http)

Korrektes Impressum:

• Eingetragener Name des Unternehmens und Angabe über den Unternehmenssitze. Telefonnumer, E-Mail sowie Name des Geschäftsführers

Link zum Datenschutztext:

• Platzieren Sie an gut ersichtlicher Stelle einen Link zum Datenschutztext. Entwickeln Sie eine Seite für die Datenschutzerklärung.

Erstellen Sie eine Seite für die Datenschutzerklärung:

• Achten Sie bitte darauf, dass die Datenschutzerklärung leicht lesbar ist und tatsächlich auch dem Inhalt Ihrer Website oder Ihres Shops entspricht.
• Sie finden im Internet einige gute Beispiele: https://www.wko.at/service/wirtschaftsrecht-gewerberecht/muster-informationspflichten-website-datenschutzerklaerung.html

Kontaktformulare, Anmeldungen, Kommentare:

• Stellen Sie sicher, dass dise Daten verschlüsselt übermittelt werden (https)
• Bedenken Sie, dass es nicht nur um Daten geht, welche Sie selber direkt sammeln (Kontaktformular, Newsletter usw.). Wenn Sie beispielsweise Daten an Google, Facebook oder an ein Newsletterprogramm übermitteln, stehen Sie ebenso in der Verantwortung.
• Das «Data Processing Agreement» (Datenverarbeitungsvereinbarung) müssen Sie daher mit jedem Anbieter vereinbaren, welcher von Ihrer Webseite Daten übermittelt bekommt. Internationale Unternehmen stellen dieses zur Verfügung, Sie müssen es lediglich bestätigen.

Checkboxen und Buttons:

• Vermeiden Sie vorangekreuzte Checkboxen (Bsp. bei Newsletter). Zudem dürfen Einwilligungen nicht an Bedingungen geknüpft werden. Überprüfen Sie die Texte in den Buttons; geht klar hervor, was der Nutzer bestellt oder auslöst? Sollten Daten an Dritte weitergeleitet werden (Bsp. E-Mail-Adresse an ein externes Newsletter-Tool), muss der Nutzer explizit darauf hingewiesen werden.

Soziale Medien – Share- und Like-Buttons:

Personenbezogener Übertragung müssen Nutzer explizit zustimmen. Daten dürfen also nicht schon beim Aufruf der Seiten von Facebook, Instagram & Co. übertragen werden.

• Vor dem Sharen oder Liken muss der Nutzer mit einem Klick sein Einverständnis erteilen, bevor die effektive Datenübertragung möglich ist. Das Tool c't Shariff eignet sich dazu gut

Up- und Downloads:

Das Herunter- oder Hochladen obliegt der selben datenschutzrechtlichen Bedingungen.

• Der Nutzer ist vor dem Herunter- oder Hochladen von Daten zu informieren. Er muss diesem Vorgang ausdrücklich zustimmen.

Tracking-Tools wie Google Analytics:

Tracking-Tools zeichnen das Nutzerverhalten sehr genau auf. Sie haben daher Informationspflicht über Umfang, Zweck und Art der Datensammlung. Zudem hat der Nutzer das Widerspruchsrecht.

• Damit der Nutzer Widerspruch einlegen kann, lässt sich ein Link zu einem Deaktivierungs-Add-On oder einem Opt-out einpflegen.
• Dabei ist dafür zu sorgen, dass die IP-Adressen via Anonymisierungsfunktion den Programmcode des Trackingprogrammes die IP-Adresse gekürzt erfasst.
• Dies entbindet Sie nicht vom «Data Processing Agreement» Vertrag mit dem Drittanbieter.

Live-Chats oder Support-Tools:

Hier sind die selben Informationspflichten einzuhalten. Diese Tools erfassen IP-Adressen. Teilweise werden Namen oder andere persönliche Daten zu cloudbasierten Tools übermittelt.

• Der Nutzer ist wiederum umfassend zu informieren, bevor er eines dieser Tools nutzt.
• Sichern Sie sich auch hier ab, indem der Webseitenbesucher die Nutzung via Klick bestätigt

Cookies:

Cookies sind kleine Textdateien, welche im Browser des Nutzers abgelegt werden. Diese speichern Einstellung wie bsp. den Warenkorb im Onlineshop.

• Installieren Sie einen Cookie-Banner, welcher klar darauf hinweist, dass Cookies eingesetzt werden. Auf dem Banner muss er der Nutzung zustimmen.
• Beachten Sie, dass das Banner den Link zum Impressum nicht verdeckt. Fügen Sie daher am besten die Links zum Impressum und der Datenschutzerklärung in den Banner ein.

Weitere Marketing- und Werbemassnahmen:

Die DSGVO ist eine dynamische Angelegenheit

• Prüfen Sie allfällige Massnahmen Ihrer Informationspflicht und dem Widerspruchsrecht des Nutzers erneut, wenn Sie weitere Online-Marketingsmassnahmen vornehmen

Fazit:

Wie erwähnt, regeln diese Informationen ausschliesslich den Internetauftritt und stellen die Basis dar. Prüfen Sie Ihre Website oder Online-Shop. Speziell bei exportorientierten Unternehmen (Marktort EU) sollten Sie sehr genau hinschauen und ggf. juristischen Rat beiziehen. Wir empfehlen, die Website umgehend DSGVO-fit zu machen. Im unmittelbaren Anschluss sollten Sie die DSGVO im gesamten Unternehmen umsetzen.

Nehmen Sie bitte zur Kenntnis, dass wir für diese Hinweise und Empfehlungen keine Gewähr für Vollständigkeit und Richtigkeit bieten. Die Haftung für eine unvollständige oder fehlerhafte Datenschutzerklärung können wir nicht übernehmen.

Wir analysieren Ihre Website, erledigen alle technischen Anforderungen und arbeiten Ihnen die Datenschutzerklärung aus.

Unsere Leistungen in der Übersicht

• Analyse Ihrer Website
• telefonische oder persönliche Beratung
• Integration Cookie-Banner
• Integration Deaktivierungs-Add-on für Tracking-Tools
• Einpflegen von Hinweistexten und Checkboxes bei Formularen
• Einpflegen Tool c't Shariff bei Share- und Like-Buttons
• Einpflegen einer Standard-Datenschutzerklärung mit individueller Anpassung

Text zum DSGVO: https://dsgvo-gesetz.de/

Datenschutz Self Assessment Tool: http://dsat.ch/

Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB): https://www.edoeb.admin.ch/edoeb/de/home.html