Das neue Datenschutzgesetz ist da

Ist Deine Webseite parat für das neue Gesetz?

⏰In der Schweiz tritt am 01. September 2023 das neue Schweizer Datenschutzgesetz (DSG; auch nDSG oder revDSG genannt) in Kraft. Dieses regelt die Verarbeitung von Personendaten (in der EU “personenbezogene Daten” genannt) neu.

💡 Von Rechtsanwalt Thomas Schwenke, der uns damals auch die speziellen AGB für unser Pferdeportal begutachtet hat, gibt es ein übersichtliches Whitepaper mit einer kompakten FAQ, in welchem Du alles erfährst, was Du über das neue Gesetz wissen musst. Und falls Du lieber mehr Details erfahren möchtest, dann empfehle ich Dir diese FAQ.

Handlungsbedarf

Als Deine Webdesignerin mache ich Dich darauf aufmerksam, dass es ratsam wäre, die folgenden Punkte auf Deiner Webseite zu prüfen und gegebenenfalls anzupassen!

  1. Impressum
  2. Datenschutzerklärung
  3. Cookie-Banner

Da ich keine juristische Ausbildung habe und nicht mit Bestimmtheit sagen kann, was in welcher Form zwingend umgesetzt werden muss, kann ich Dir nur erläutern, was ich auf meinen Firmenwebseiten selbst umgesetzt habe, in der Annahme, damit auf der guten Seite zu sein.

Wie ich Dich unterstützen kann

Auf meiner Firmenwebseite siehst Du, wie ich alles bei fourelse umgesetzt habe:

Bitte beachte, dass ich keine Verantwortung für Inhalte auf Deiner Webseite übernehme und Du für die Einhaltung rechtlicher Vorgaben selber verantwortlich bist!

Wenn Du Deine Webseite up-to-Date bekommen möchtest, unterstütze ich Dich jedoch gerne.

Änderungen im neuen Schweizer Datenschutzgesetz 2023

Die Hauptmotivation hinter den Aktualisierungen des DSG in der Schweiz ist der bessere Schutz der persönlichen Daten und der Selbstbestimmung im Lichte der neusten technologischen Entwicklungen, sowie die erhöhte Transparenz bei der Beschaffung von Personendaten. Das DSG hat viele angleichende Veränderungen an die Europäische Datenschutz-Grundverordnung (DSGVO) erhalten.

Dies scheinen die wichtigsten Neuerungen zu sein (Quelle):

  • Das DSG schützt nur noch natürliche Personen und keine juristischen Personen mehr. (Art.1, 2 DSG)
  • Technologische Lösungen müssen von Beginn an datenschutzrechtliche Aspekte berücksichtigen. Datenschutz soll also durch Technik und datenschutzfreundliche Voreinstellungen gewährleistet werden. (Art. 7 DSG)
  • Unternehmen müssen konkrete technische und organisatorische Maßnahmen ergreifen, um den Schutz personenbezogener Daten sicherzustellen. (Art. 8 DSG)
  • Ein transparentes Verzeichnis aller Bearbeitungstätigkeiten wird zur Pflicht. (Art. 12 DSG)
  • In bestimmten Fällen müssen Risikobewertungen im Rahmen von sogenannten Datenschutz-Folgenabschätzungen vorgenommen und ggf. muss die zuständige Behörde konsultiert werden. (Art. 22, 23 DSG)
  • Die angepassten Betroffenenrechte gewährleisten einen verbesserten Schutz für die Personendaten der betroffenen Personen. (Art. 25 bis 29 DSG)
  • Anforderungen an ein Cookie Banner nach dem neuen DSG
  • Um im Einklang mit dem neuen DSG zu sein, musst du weiterhin klar und transparent über die Verwendung und den Zweck von Cookies und der Bearbeitung von Personendaten informieren. Du kannst Personendaten von deinen Website-Besuchern nach dem neuen DSG grundsätzlich ohne eine Einwilligung bearbeiten, wenn du sie gemäß Art. 6 DSG rechtmäßig, nach Treu und Glauben, verhältnismäßig und nur zu einem bestimmten und für die betroffene Person erkennbaren Zweck bearbeitest. Das ist z. B. bei dem Einsatz von einem Kalender-Tool oder einem Chatbot auf deiner Website der Fall, die keine Personendaten in ein unsicheres Drittland übermitteln.
  • Wenn allerdings sensible personenbezogene Daten, also besonders schützenswerten Personendaten gemäß Art. 5 lit. c DSG, bearbeitet werden oder Daten ohne angemessenen Schutz in ein unsicheres Drittland übermittelt werden, ist die ausdrückliche Einwilligung des Website-Besuchers erforderlich. Dass eine Unterscheidung nicht so einfach ist, ob man eine Einwilligung benötigt oder einfach nur ein Interesse an der Bearbeitung von Daten hat, zeigt dieser Beitrag des EDÖB zum Thema Tracking auf Websites. Die Drittländer, die von der Schweiz als sicher bezeichnet werden, findest du im Anhang der neuen Schweizer Datenschutzverordnung (DSV), die neben dem DSG veröffentlicht wurde.
  • Für einige Schweizer Websites würde also eine einfache Information über die Datenbearbeitung genügen. Praktisch ist dies jedoch nicht ratsam, wie im folgenden Abschnitt erkläret wird.

Warum auch Schweizer Website-Betreiber die DSGVO und die ePrivacy-Richtlinie erfüllen sollten

Die Vorgaben des DSG unterscheiden sich grundsätzlich von dem Umgang mit Personendaten, wie es in der DSGVO beschrieben wird. Dort muss zur Verarbeitung von personenbezogenen Daten zuallererst eine sogenannte Rechtsgrundlage nach Art. 6 DSGVO, also meist eine Einwilligung, vorliegen, bevor du solche Daten verarbeiten darfst oder Cookies überhaupt gesetzt werden dürfen. Obwohl das DSG extra für die Schweiz entwickelt wurde, sollten Schweizer Betreiber dennoch die Anforderungen der DSGVO und der ePrivacy-Richtlinie erfüllen. Der Grund: das Marktortprinzip. Wenn sich deine Website mit Waren oder Dienstleistungen auch an EU-Bürger richtet, dann unterliegt sie zusätzlich der DSGVO. Das Gleiche gilt übrigens auch für EU-Unternehmen, die Waren oder Dienstleistungen in der Schweiz anbieten, die dann auch das DSG einhalten müssen.

Was auch «kleine» Webseiten bedenken müssen:

Viele Dienste, welche genutzt werden, um eine Webseite funktionell, schön und praktisch zu machen, verarbeiten irgendwo Daten . Das kann z.B. sein:

  • Google Fonts (Schriftarten), wenn nicht direkt auf der Webseite eingebunden (Google Fonts können hier heruntergeladen werden und hier gibt es eine Anleitung für die technische Umsetzung.
  • Kartendienste (z.B. Google Maps)
  • Kontaktformulare (Empfehlung: auf Kontaktformulare verzichten und Emailadressen verlinken, allenfalls in einem Button)
  • Newsletter-Tools (Empfehlung: selbstgehostete Email-Tools wie Mailmint)
  • Onlineshop, z.B. WooCommerce (Empfehlung: für die Zahlungsabwicklung 4else.one nutzen, da ALLE Zahlungsanbieter aus einer Hand kommen)
  • Analytics (Empfehlung: Plugin Koko-Analytics, da selbst gehostet und datenschutzfreundlich)
  • Youtube-Videos (Empfehlung: Beim Kopieren des Youtube-Codes «Erweiterten Datenschutzmodus aktivieren» auswählen)
  • Facebook- & Instagram (Empfehlung: nur eine Verlinkung setzen, statt Feed platzieren)

Es lohnt sich daher, solche Datenabgreifer sparsam einzusetzen und – falls man sie anwendet – mit der Cookie-Box abwählbar zu machen.

Massnahmen

Bitte entscheide selbst, welche Massnahmen Du umsetzen möchtest. Vielleicht reicht es aus, nur Impressum und Datenschutz-Erklärung zu überarbeiten. Auf der besseren Seite bist Du aber sicher, wenn Du eine sogenannte «Cookie-Box» auf der Webseite integrierst.

Ich empfehle diese Schritte:

  1. Impressum generieren, z.B. hier: https://datenschutz-generator.de/impressum/
  2. Datenschutzerklärung erstellen, z.B. hier: https://datenschutz-generator.de/schweiz-dsg oder hier: https://datenschutz-generator.de/ (wenn Du auch Webseitenbesucher aus der EU ansprichst)
  3. Einrichten eines Cookie-Plugins, z.B. Borlabs https://de.borlabs.io/borlabs-cookie/ Du brauchst nicht die Einzellizenz für €39 zu kaufen, sondern kannst bei mir eine vergünstigte Lizenz beziehen. Selbstverständlich kannst Du auch ein anderes Plugin nutzen, welches Dir ebenfalls angemessen erscheint.

Umsetzung

Nimm Dir die Zeit, Impressum und Datenschutzerklärung sorgfältig auszufüllen. Als Deine Webdesignerin kann ich Dir hier nur eingeschränkt helfen, da Du teilweise unternehmensbezogene Angaben ausfüllen musst.

Bei der Installation des Plugins bin ich gerne Deine Umsetzungspartnerin. (Kontakiere mich)

Und zum Schluss:

Sogar die Entwickler des Datenschutzplugins bei Borlabs haben eine Meinung zu den neuen Gesetzen. Ich bin mit einem Schmunzeln darüber gestolpert, als ich eine Supportanfrage gestellt hatte: