DSGVO und Einfluss auf die Schweiz

von

Seit 25. Mai 2018 ist die neue Datenschutz-Grundverordnung (DSGVO) der Europäischen Union (EU) in Kraft. Ziel dieser Verordnung ist, dass die Nutzer mehr Kontrolle über ihre Personendaten erhalten. Zu diesem Zweck nimmt die DSGVO die Unternehmen mehr in die Verantwortung. Inwiefern auch Schweizer Unternehmen betroffen sind, erklärt dieser Blogpost.

Die Datenschutz-Grundverordnung der EU, kurz DSGVO, steht vor der Tür und löst gerade in der Schweiz Irritationen aus, inwiefern sie einen Einfluss auf die hiesigen Gesetze und Gegebenheiten hat. Für Schweizer Unternehmen besteht nur dann unmittelbarer Handlungsbedarf, wenn sie Dienstleistungen oder Waren an EU-Personen anbieten oder deren Daten beobachten, analysieren oder bearbeiten. Konvertigo empfiehlt jedoch allen Schweizer KMUs schon jetzt die DSGVO umzusetzen, da einerseits fast jede Website mit Google Analytics auch Personendaten aus der EU aufzeichnet und andererseits das schweizerische Datenschutzgesetz in den nächsten Jahren viele Punkte der DSGVO nachvollziehen wird.

Für grössere KMUs empfiehlt Konvertigo das Vorgehen und die Leitfäden des BITKOM, für kleine KMUs den Leitfaden des Deutschen Händlerbundes abzuarbeiten und eine Datenschutzverordnung eines renommierten Schweizer Anbieters auf die Bedürfnisse des Unternehmens anzupassen.

DSGVO in der Schweiz

Gemäss Art. 3 DSGVO gilt die Verordnung für die Schweiz, wenn ein Schweizer Unternehmen Daten von natürlichen Personen mit einem der beiden Ziele verarbeitet:

  • Anbieten von Waren oder Dienstleistungen an EU-Personen.
  • Beobachten und analysieren von EU-Personen.

Die wichtigsten Auswirkungen sind wie folgt:

  • Einwilligung: Datenverarbeitung ist verboten, ausser die Person hat eingewilligt.
  • Freie Entscheidung: Die Einwilligung muss durch eine Wahl der Person erfolgen. Der Abschluss des Vertrags darf nicht von der Verarbeitung weiterer Daten abhängig gemacht werden.
  • Ausführliche, erkennbare und bestimmte Information: Die Person muss über den Zweck der Beschaffung und Verarbeitung informiert werden.
  • Form und aktive Handlung: Keine Form vorgeschrieben (mündlich oder schriftlich). Eine eindeutige aktive Handlung zur Einwilligung ist nötig.
  • Widerruf: Widerruf der Einwilligung jederzeit sicherstellen. Widerruf muss so einfach wie die Einwilligung sein.
  • Privacy by Design und Privacy by Default:
    • Design: Datenschutz durch Technikgestaltung, z.B. regelmässige Löschung oder Anonymisierung der Daten sicherstellen.
    • Default: Datenschutz durch entsprechende Voreinstellungen. Nur Daten erheben, welche für den jeweiligen Zweck nötig sind. Beispiel: Einkäufe im E-Shop sollen auch ohne Erstellung eines Benutzerprofils möglich sein.
  • Ernennung eines Vertreters in der EU: Diese Pflicht des Vertreters in der EU entfällt nur, wenn die Verarbeitung der Daten nur gelegentlich erfolgt, keine besonderen Datenkategorien verarbeitet werden und die Verarbeitung nicht zu einem Risiko für die Rechte und Freiheiten der natürlichen Person führt.
  • Verzeichnis von Verarbeitungstätigkeiten: Dokumentation aller personenbezogenen Verarbeitungsprozesse, Datenkategorien, Zweck, Datenempfänger.
  • Meldepflicht bei Verletzungen des Datenschutzes: Verletzungen des Schutzes personenbezogener Daten müssen innert 72 Stunden den Behörden und häufig auch der betroffenen Person gemeldet werden.
  • Datenschutz-Folgenabschätzung: Falls neue Verarbeitungstechnologien mit hohem Risiko der Gefährdung der Rechte und Freiheiten Kunden eingeführt werden, muss die Aufsichtsbehörde informiert werden.
  • Bussen: Geldbussen bis zu EUR 20 Mio. oder 4 % des gesamten Jahresumsatzes.

Checklisten

Verschiedene Checklisten helfen Ihnen bei der DSGVO-Umsetzung.

Organisatorische Checkliste

  • Informieren: Die Einwilligung der Person einholen, deren Daten verarbeitet werden.
  • Garantieren: "Privacy by design" und "Privacy by default".
    • Datenschutzrichtlinie erstellen.
    • Datenschutzbeauftragten ernennen und Pflichtenheft erstellen.
    • Mitarbeitende schulen.
    • Umsetzung und laufende Optimierung kontrollieren.
  • Bestimmen: Einen Vertreter in der EU benennen
  • Dokumentieren: Ein Verzeichnis der Verarbeitungsprozesse erstellen und die Umsetzung der EU-DSGVO dokumentieren.
  • Prüfen: Anforderungen für Datenschutz-Folgenabschätzung abklären.
  • Melden: Verletzungen des Datenschutzes an die Aufsichtsbehörde melden.
  • Zahlen: bei Verstössen gegen die DSGVO Bussgelder zahlen.

Checkliste für Webshops

  • Aktualisieren Sie Ihr Verzeichnis von Verarbeitungstätigkeiten.
    Online-Händler müssen den Behörden das Verzeichnis mit aktuellen Daten auf Nachfrage zur Verfügung stellen können. Die EU-DSGVO stärkt die Rechte von "Betroffenen", also Ihren Kunden, deren Daten Sie als Händler verarbeiten. So können Kunden beispielsweise eine Bestellhistorie in einem maschinenlesbaren Format einfordern. Das mag in der Praxis nicht oft vorkommen, dennoch sollten Sie sich auf derartige Anfragen technisch und organisatorisch vorbereiten.
  • Überprüfen Sie, ob eine Datenschutz-Folgenabschätzung erforderlich ist, und führen Sie diese gegebenenfalls durch.
    Die Abschätzung ist vor der Datenverarbeitung nur notwendig, wenn ein potenzielles Risiko für Rechte und Freiheiten Ihrer Kunden besteht. Das trifft auf die meisten Online-Händler nicht zu, doch um auf Nummer sicher zu gehen, sollten Sie den Punkt für Ihr Unternehmen abklären.
  • Ergänzen Sie Ihre Datenschutzerklärung.
    Für die meisten Online Shops wird die Datenschutzerklärung durch die neuen Regelungen umfangreicher, da die EU-DSGVO die Transparenz zum Umgang mit Daten für Seitenbesucher erhöht.
  • Führen Sie einen Reaktionsplan für Datenpannen ein.
    Ein Reaktionsplan hilft Ihnen, im Fall der Fälle, Datenpannen wie vorgeschrieben innerhalb von 72 Stunden den zuständigen Aufsichtsbehörden zu melden.
  • Prüfen Sie Ihre Verträge mit Dienstleistern.
    Ob Serverhosting, Newsletter oder Tracking, als Online-Händler arbeiten Sie zumeist mit Dienstleistern zusammen, die personenbezogene Daten erheben. Dafür bedarf es Verträge zur Auftragsdatenverarbeitung, die den Anforderungen der DSGVO genügen.
  • Erstellen Sie ein Formular für Auskunftsersuchen.
    Da Sie als Händler Ihren Kunden grundsätzlich alle gespeicherten Daten auf Anfrage zur Verfügung stellen müssen, empfiehlt es sich, ein Formular dafür bereitzustellen, das Kunden bei Ihnen einreichen können, wenn sie zum Beispiel Daten löschen lassen möchten oder eine Auskunft wünschen, welche Daten gespeichert worden sind.

Checkliste für Newsletter und E-Mail-Marketing

  • Einwilligen: Die Einwilligung muss durch eine ausdrückliche Handlung des Adressaten (bewusst und eindeutig, ohne vorausgewählte Häkchen, sog. Opt-out) erfolgen. Es bleibt das bisher übliche Double-Opt-in-Verfahren empfehlenswert. Das in der DSGVO hervorgehobene Kriterium der Freiwilligkeit der Einwilligung besagt, dass eine Einwilligung aus eigenem Antrieb und ohne jeden Zwang abgegeben werden muss. Die Einwilligung gilt nicht als freiwillig erteilt, wenn die Erfüllung eines Vertrags (z.B. die Bestellaufgabe und Warenlieferung) von der Einwilligung in den Newsletter abhängig ist.
  • Informieren: Es ist eine genaue Information (= Klausel in der Datenschutzerklärung) erforderlich, worin der E-Mail-Empfänger einwilligt (z. B. genaue Angaben zum Absender des Newsletters, zum Intervall des Newsletters, zum Inhalt der Newsletter, z. B. „Neues im Shop“).
  • Dokumentieren: Der für den Newsletter-Versand Verantwortliche muss die Einwilligung belegen können.
  • Widerrufen: Die betroffene Person hat auch weiterhin das Recht, ihre Einwilligung jederzeit zu widerrufen. Der Adressat muss auf diese Abbestellmöglichkeit hingewiesen werden, und zwar sowohl beim Bestellen des Newsletters als auch in jedem Newsletter durch Abbestellmöglichkeit sowie in der Datenschutzerklärung auf der Webseite. Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein.

Checkliste für Analytics-Daten

  • Einen Vertrag zur Auftragsdatenverarbeitung mit Google schließen: Für Schweizer KMUs sollte die Möglichkeit im Google Analytics-Konto dem Vertrag über die Auftragsverarbeitung als „Zusatz zur Datenverarbeitung“ zuzustimmen ausreichen, ohne einen schriftlichen Vertrag abzuschliessen.
  • Die IP-Adressen manuell anonymisieren mit der Anonymisierungsfunktion für analytics.js und gtag.js
  • Die Anonymisierungsfunktion mit Hilfe eines Plugins aktivieren
  • Ein Widerspruchsrecht einräumen
  • Nutzern von mobilen Geräten ein Widerspruchsrecht einräumen

Weiterführende Links:

Checkliste für Cookies (Social Media etc.)

  • Verständliche Klausel in der Datenschutzerklärung über Funktionsweise und Zweck der/des Cookie(s)
  • Hinweis auf die Opt-out-Möglichkeit in den Browsereinstellungen, wahlweise mit Anleitung
  • allgemeine Informationspflichten zu Cookies (neu ist insbesondere die Rechtsgrundlage und der Zweck der Datenverarbeitung, s.o. zum Punkt „Informationspflichten“)
  • Respekt vor den „DoNotTrack“-Einstellungen

Checkliste bei Datenpannen

  • Falls die Datenpanne mit Risiken für die Betroffenen verbunden sind (z. B. wenn Bankdaten offengelegt wurden), sollen folgende Punkte geklärt werden:
  • Der Datenschutzbeauftragte oder -verantwortliche ist hinzuzuziehen.
  • Es erfolgt eine Dokumentation des Vorfalls, einschließlich aller damit in Zusammenhang stehender Fakten, deren Auswirkungen und die ergriffenen Maßnahmen.
  • Der Verantwortliche meldet den Vorfall innerhalb von 72 Stunden an die Behörde.
  • Diese Meldung enthält folgende Informationen, die ggf. nachgereicht werden können:
  • eine Beschreibung der Art der Verletzung, soweit möglich mit Angabe der Kategorie der Daten und der ungefähren Zahl der betroffenen Datensätze,
  • den Namen und die Kontaktanschriften des Datenschutzbeauftragten,
  • eine Beschreibung der wahrscheinlichen Folgen,
  • eine Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung des Datenschutzverstoßes und ggf. Maßnahmen zur Milderung der möglichen Auswirkungen.
  • Es muss eine Benachrichtigung der Betroffenen erfolgen, wenn die Datenpanne ein voraussichtlich hohes Risiko für die betroffene Person hat.
  • Führen Sie eine Schwachstellenanalyse durch, um künftige Vorfälle zu vermeiden.

Quellen

Newsletter von Kellerhals Carrad, 2/2017, Schweizer Anwaltskanzlei. Online (16.05.2018):
https://www.kellerhals-carrard.ch/de/unser-aktueller-newsletter-2-2017-_content---1--8--353.html

FAQ: Verband des Schweizerischen Versandhandels. Online (16.05.2018):
https://www.vsv-versandhandel.ch/dsgvo/

Interpellation Fiala zur Umsetzung EU-DSGVO

Leitfäden BITKOM, Berlin

Leitfaden DSGVO, Händlerbund, Leipzig und Berlin. Online (16.05.2018):
https://www.haendlerbund.de/de/downloads/ebook-dsgvo.pdf

Plugins und Checklisten Deutscher Händlerbund, Leipzig und Berlin. Online (16.05.2018):
https://www.haendlerbund.de/de/suchergebnisse?suchwort=dsgvo

FAQ: BITKOM, Berlin, 2016. Online (16.05.2018):
https://www.bitkom.org/NP-Themen/NP-Vertrauen-Sicherheit/Datenschutz/161109-EU-DS-GVO-FAQ-03.pdf

FAQ: Wirtschaftskammer Österreich, Wien. Online (16.05.2018):
https://www.wko.at/service/unternehmensfuehrung-finanzierung-foerderungen/datenschutz-grundverordnung-fragen-und-antworten.html

Datenschutzerklärung, SIX, Zürich, 2018. Online (16.05.2018):
https://www.six-payment-services.com/de/services/legal/privacy-statement.html

Datenschutz-Folgenabschätzung Whitepaper vom Fraunhofer-Institut für System- und Innovationsforschung ISI, Karlsruhe, 2017. Online (16.05.2018):
https://www.forum-privatheit.de/wp-content/uploads/Forum-Privatheit-WP-DSFA-3-Auflage-2017-11-29.pdf

Berufsverband der Rechtsjournalisten, Berlin. Online (16.05.2018):
https://www.datenschutz.org