Diverse Datenpannen und die Datenschutzgrundverordnung der EU (DSGVO) führten zu einer erhöhten Aufmerksamkeit bezüglich dem Umgang mit persönlichen Daten im Internet. Ob Sie als Unternehmen oder Organisation von der DSGVO betroffen sind oder nicht – Webseiten müssen auch nach Schweizerischem Recht datenschutzkonform sein. Wir zeigen Ihnen, welche Tools Sie auf Ihrer Website im Einsatz haben sollten.
Es ist allgemein bekannt, dass die DSGVO auch für Schweizer Unternehmen und Organisationen dann rechtlich bindend ist, wenn sie Daten von Kunden, Lieferanten oder Mitarbeitenden aus EU-Ländern für ihre Waren- und Dienstleistungsangebote in der EU bearbeiten.
Betroffene Unternehmen sind zu jedem Zeitpunkt auf Anfrage zu Transparenz über ihre Daten-Policy verpflichtet. Hier können intelligente CRM-Systeme enorme Erleichterung und Rechtssicherheit schaffen. Diese können problemlos in die bestehende Webseite implementiert werden. Ein Datenimport aus bereits genutzten Systemen ist ebenfalls möglich. Gerne beraten wir Sie dazu persönlich. Wichtige Informationen zur DSGVO mit Bezug auf die Schweiz erteilt der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB).
Wie aber sieht die Rechtslage in der Schweiz aus? Wirtschaften Sie nicht in Eu-Ländern, sind Sie aktuell zu keinerlei Massnahmen die DSGVO betreffend verpflichtet. Welche Auswirkungen die neue Regelung der Europäischen Union allerdings auf die Revision des Schweizerischen Datenschutzrechts haben wird, ist noch unklar. Das neue Datenschutzgesetz wurde für Ende 2019 angekündigt (Quelle: netzwoche.ch).
Aber auch in der Schweiz muss man heute Webseiten datenschutzkonform ausrüsten. Dies bedeutet in aller Regel, dass Ihre Webseite 1. ein Impressum enthalten muss und 2. eine Datenschutzerklärung empfehlenswert ist. Es besteht zwar keine Pflicht zur Datenschutzerklärung auf Webseiten. Allerdings treffen Händler und Dienstleister auch in der Schweiz gewisse Informationspflichten, die darin gut eingebettet werden können. Eine Datenschutzerklärung lässt sich ziemlich einfach als Standardtext generieren und als eigenständige Page – beispielsweise in den Footer der Webseite – integrieren.
Zu den Informationspflichten zählt die Offenlegung der Cookie-Policy eines Unternehmens. In der Schweiz reicht es derzeit aus, anzuführen, wofür man Cookies verwendet und darauf hinzuweisen, dass diese über den Browser des Users deaktiviert werden können. Dies geht auf die Schweizerische Cookie-Regelung zurück. Nach dieser ist das «Bearbeiten von Daten auf fremden Geräten durch fernmeldetechnische Übertragung […] nur erlaubt, […] wenn die Benutzerinnen und Benutzer über die Bearbeitung und ihren Zweck informiert sowie darauf hingewiesen werden, dass sie die Bearbeitung ablehnen können» (Art. 45c lit. b FMG).
Cookies, die personenbezogene Daten speichern, müssen zudem explizit ausgewiesen werden. Dazu gehören allen voran Google Analytics oder auch Facebook und andere Social Media-Plattformen. Bei diesen Cookies wird die IP-Adresse gespeichert und – z.B. an Google Analytics – zur weiteren Auswertung weitergegeben. IP-Adressen gelten als personenbezogene Daten und fallen damit unter den Datenschutz.
Das beschriebene Prinzip der Deaktivierung von Cookies durch den User selbst nennt sich «Opt-Out» und ist in der Schweiz gängige Praxis. In der EU-Cookie-Richtlinie wird die «Opt-In»-Praxis vorausgesetzt. Dabei bestätigt der User aktiv sein Einverständnis zur Verwendung von Cookies. Als EU-Recht ist die Cookie-Richtlinie für Website-Betreibende in der Schweiz nicht unmittelbar verpflichtend. Da die meisten hiesigen Websites aber auch Usern aus EU-Ländern offen stehen, ist es empfehlenswert, entsprechende Massnahmen umzusetzen.
Das gängige Tool dafür ist der Cookie-Banner, der Webseiten-Nutzer darüber informiert, dass sie sich auf einer Webseite befinden, die Cookies verwendet. Der User kann akzeptieren oder gibt stillschweigend seine Einwilligung durch den Verbleib auf der Website. Manche Websites weisen zusätzlich darauf hin, dass ohne Cookies die Funktionalität eingeschränkt und die User Experience dadurch gemindert wird. Andere wiederum gehen noch einen Schritt weiter und integrieren einen Link im Banner, unter dem die User ihre Datenschutzeinstellungen verwalten können. Dabei können bestimmte Dienste, die auf der Website genutzt werden (z.B. Youtube, Vimeo), von den Webseitenbesuchern deaktiviert werden.
Zugegebenermassen ist die Verwendung von Cookie-Bannern umstritten und wird von entsprechenden Fach-Blogs ambivalent diskutiert. Die Entscheidung liegt bei den jeweiligen Webseiten-Betreibenden. Sollten Sie noch keine Datenschutzerklärung haben oder sich einen Cookie-Banner wünschen, können beide Elemente unkompliziert von uns implementiert werden. Kontaktieren Sie uns. Bei rechtlichen Unklarheiten und für einzelne Abklärungen empfehlen wir die Beratung durch einen Rechtsanwalt.
