Datenschutz
Wieso wird das Datenschutzgesetz angepasst?
Das bisherige Datenschutzgesetz der Schweiz, welches seit 30 Jahren in Kraft ist, hat im Laufe der Zeit keine Anpassungen erfahren. In der Zwischenzeit haben sich sowohl die technologischen als auch die gesellschaftlichen Rahmenbedingungen kontinuierlich gewandelt. Darüber hinaus hat die EU durch die Einführung der Datenschutzgrundverordnung (DSGVO) die Datenschutznormen verschärft. Die gegenwärtige umfassende Revision des schweizerischen Datenschutzgesetzes verfolgt das Ziel, das Gesetz den veränderten Umständen anzupassen und eine Vereinbarkeit mit den Bestimmungen des EU-Rechts zu gewährleisten.
Datenschutz-Generator für Schweizer Websites
Unser Reseller LivingTech stellt einen Datenschutz-Generator zur Verfügung, der Schweizer Unternehmen, Vereinen und Privatpersonen die Möglichkeit bietet, mit minimalem Aufwand eine individuelle Datenschutzerklärung für ihre Website zu erstellen.
Hier können Sie mit wenigen Klicks von diesem Angebot gebrauch machen. Weitere Informationen zum Produkt finden sie in unserem INSIGHTS.
Was schützt das neue Datenschutzgesetz?
Das neue Datenschutzgesetz der Schweiz fokussiert den Schutz der Persönlichkeit und der Grundrechte von natürlichen Personen, insbesondere im Kontext der Datenverarbeitung durch private oder staatliche Stellen. Besondere Beachtung wird dabei der Art und Weise geschenkt, wie Daten verarbeitet werden, wie betroffene Personen darüber informiert werden und wie sie Einfluss darauf nehmen können. Durch diese Überarbeitung wird insbesondere die Transparenz der Datenverarbeitungen verbessert und die Selbstbestimmung der betroffenen Personen über ihre eigenen Daten gestärkt.
Wann tritt das neue Datenschutzgesetz in der Schweiz in Kraft?
Das künftige Datenschutzgesetz (DSG) wird ab dem 1. September 2023 wirksam. Es existieren keine rechtlichen Übergangsfristen, weshalb sämtliche Verpflichtungen und Rechte unmittelbar mit dem Inkrafttreten Gültigkeit erlangen.
Wer ist vom neuen Datenschutzgesetz betroffen?
Privatpersonen sind von der Einhaltung der datenschutzrechtlichen Vorgaben ausgenommen, solange sie Personendaten ausschliesslich zum persönlichen Gebrauch verarbeiten. Unter den «persönlichen Gebrauch» fallen nur Datenbearbeitungen im engeren Privat- und Familienleben. Daher sind in der Regel auch private Website-Betreiber genauso wie kommerzielle Betreiber von den neuen Bestimmungen betroffen, sobald sie persönliche Daten bearbeiten.
Unter «Personendaten» versteht man sämtliche Informationen, die sich auf eine spezifische oder identifizierbare natürliche Person beziehen. In der Praxis kann dies sehr weitreichend sein und sogar eine einfache IP-Adresse kann je nach Kontext als Personendaten gelten. Personendaten müssen gelöscht oder anonymisiert werden, sobald sie für den Zweck der Bearbeitung nicht mehr erforderlich sind.
Der Begriff «bearbeiten» umfasst nahezu alle in diesem Zusammenhang denkbaren Tätigkeiten wie das Beschaffen, Speichern, Aufbewahren, Verwenden, Verändern, Bekanntgeben, Archivieren, Löschen oder Vernichten von Daten.
Wie beginne ich mit der Umsetzung?
Es ist ratsam, eine Person im Unternehmen oder auch im Verein zu benennen, die für den Datenschutz verantwortlich ist. Diese Rolle entspricht einer internen Ansprechperson, die über grundlegendes Wissen im Datenschutz verfügt und bei entsprechenden Fragestellungen zur Verfügung steht. Die erforderlichen Grundkenntnisse kann diese Person durch die Nutzung öffentlicher Quellen oder durch Weiterbildungen erlangen und bei Bedarf auch externe Unterstützung hinzuziehen.
Einen Ausführlichen Beitrag zur Thematik finden sie ausserdem in unserem INSIGHTS.
Gibt es Tipps zum Erstellen der Datenschutzerklärung?
- Es ist ratsam, sämtliche Datenbearbeitungen zu kommunizieren und nicht nur diejenigen, die über die Website erfolgen.
- Die Datenschutzerklärung sollte leicht auffindbar sein und idealerweise auf jeder Seite im Footer platziert werden.
- In der Regel ist es nicht erforderlich, dass der Benutzer die Datenschutzerklärung aktiv akzeptiert. Stattdessen kann darauf hingewiesen werden, wo die Datenschutzerklärung zu finden ist.
- Geben Sie an, wer für die Website verantwortlich ist und wie der Kontakt erfolgen kann.
- Dateinamen sollten idealerweise keine Sonderzeichen enthalten, daher speichern sie ihre Datenschutzerklärung besser unter "datenschutzerklaerung.html".
- Bitte beachten Sie, dass aufgrund der erweiterten Informationspflichten möglicherweise Anpassungen Ihrer bestehenden Datenschutzerklärungen erforderlich sind
Was gibt es bei der Zusammenarbeit mit Dritten zu beachten?
In jedem individuellen Fall müssen Sie die Auftragsbearbeitung vertraglich absichern. Üblicherweise erfolgt diese Absicherung mithilfe eines standardisierten Auftragsdatenverarbeitungsvertrags (ADV).
Bei der Bearbeitung durch Auftragsbearbeiter gilt es vor allem folgende Voraussetzungen zu beachten:
- Die Daten werden ausschliesslich gemäss dem erlaubten Handlungsrahmen der verantwortlichen Website-Betreiberin oder des verantwortlichen Website-Betreibers bearbeitet.
- Die Auftragsbearbeitung wird durch keine Geheimhaltungspflicht untersagt.
- Der Auftragsbearbeiter verfügt über die Fähigkeiten, um die Datensicherheit zu gewährleisten.
- Eine Unter-Auftragsbearbeitung ist nur nach vorheriger Genehmigung zulässig.
Sollten sich Dienstleister und Anbieter im Zusammenhang mit Ihrer Website im Ausland befinden, vergewissern Sie sich, dass das jeweilige Land über einen angemessenen Datenschutz verfügt, und falls nicht, dass Sie die notwendigen zusätzlichen Massnahmen ergriffen haben. Zu den Massnahmen, die gegebenenfalls ergriffen werden müssen, gehören unter anderem der Abschluss von Standardvertragsklauseln sowie die für die Schweiz notwendigen Ergänzungen.
Ihren ADV mit Hostfactory können Sie ab dem 20. August direkt in Ihrem my.hostfactory Kundenportal abschliessen.
Was muss betreffend Datensicherheit beachtet werden?
Der Zugriff auf Personendaten sollte nur denjenigen Personen (z.B. Mitarbeitern, Vereinsmitgliedern) gestattet werden, die ihn tatsächlich für die Erfüllung ihrer Arbeit benötigen. Um dies zu gewährleisten, sind technische und organisatorische Massnahmen (TOMs) erforderlich. Technische Masnahmen könnten beispielsweise eingeschränkte Zugriffsrechte oder Firewalls sein, während organisatorische Massnahmen Weisungen und Schulungen umfassen könnten. Websites und andere IT-Systeme sollten stets auf dem neuesten Stand gehalten werden, um Sicherheitslücken zu vermeiden, die potenziell verheerende Auswirkungen haben könnten. Die Datensicherheit muss auch bei der Nutzung von Social Media-Plattformen und Drittdiensten sichergestellt werden.
Welche Betroffenenrechte gibt es?
Die betroffenen Personen, beispielsweise die Besucher/innen einer Website, haben das Recht, Auskunft über ihre eigenen Daten zu erhalten. In der Regel sollte diese Auskunft innerhalb von 30 Tagen und ohne Kostenfolge für die Betroffenen erfolgen. Des Weiteren besteht für die Personen das Recht, fehlerhafte Daten korrigieren zu lassen oder die Löschung von Daten zu verlangen. Unumgänglich ist, dass jede einzelne Anfrage individuell und sorgfältig geprüft wird. Die anfragende Person muss identifiziert werden. Wie genau reagiert wird, hängt vom Einzelfall ab. So gilt das Recht auf Auskunft, das Recht auf Löschung und alle weiteren Rechte nie absolut.
Im Falle von Datenpannen und ähnlichen Vorfällen ist in vielen Situationen eine Meldung an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) oder auch an die betroffenen Personen erforderlich. Eine solche Meldung kann beispielsweise notwendig sein, wenn E-Mails an falsche Personen gesendet oder Daten versehentlich gelöscht wurden.
Was passiert, wenn Sie nichts unternehmen?
Insbesondere die Verletzung von Informationspflichten, wie das Fehlen oder unzureichende Bereitstellung einer Datenschutzerklärung, fehlende Auftragsverarbeitungsverträge, Verletzungen der Datensicherheit, Bekanntgabe von Personendaten in Länder mit unzulänglichem Datenschutzniveau (ohne zusätzliche Sicherheitsmassnahmen), oder die Verletzung von Auskunftspflichten können mit einer Busse von bis zu CHF 250'000 bestraft werden.
Wie unterstützt Sie Hostfactory?
Durch die Speicherung der von Ihnen verarbeiteten Daten auf der Infrastruktur von Hostfactory geben Sie Hostfactory (durch Abschluss eines Vertrages über Hosting- und/oder Domain-Dienstleistungen) den Auftrag zur Datenverarbeitung.
Dementsprechend benötigen Sie, einen Auftragsdatenverarbeitungs-Vertrag (ADV-Vertrag) mit Hostfactory.
Dieser Vertrag ist in Ihrem Control Panel unter Kundendaten einsehbar. Da es sich dabei um einen separaten Vertrag zwischen Ihnen und Hostfactory handelt, muss dieser (um rechtliche Gültigkeit zu erlangen) von Ihnen akzeptiert werden.
Einen Ausführlichen Beitrag zur Thematik finden sie ausserdem in unserem INSIGHTS.
Gibt es Rechtsberatung durch Hostfactory?
Hostfactory kann im Rahmen ihrer Tätigkeit als Internet Service Provider keine verbindliche rechtliche Beratung anbieten. Wir versuchen unsere Kunden jederzeit nach bestem Wissen und Gewissen zu informieren und Hilfestellungen zu geben. Dies ersetzt jedoch nicht die Konsultation eines legitimierten Rechtsberaters.
Wie kann ich einen Cookie-Banner im Sitebuilder verwenden?
Wir empfehlen ihnen das kostenlose "Starter" Angebot von CookieHub zu verwenden. Nach der Bestellung und Erstellung des Accounts gehen sie wie folgt vor:
Den Code aus dem letzten Bild kopieren Sie und fügen diesen im Editor ein:
Nun müssen Sie nur neu publizieren und anschliessend sollte der Cookie-Banner angezeigt werden.
Sie können nun bei Bedarf hier noch die Sprache des Banners anpassen:
Eine Anleitung seitens Weebly finden Sie hier.
Ist der Cookie-Banner Pflicht?
Auch mit dem neuen Gesetz (revDSG) gibt es für Websites, die auf Besucherinnen und Besucher in der Schweiz ausgerichtet sind, keine Cookie-/Tracking-Banner-Pflicht
Obwohl es keine Pflicht gibt empfiehlt es sich, einen Cookie-Banner zu verwenden, um sich rechtlich abzusichern. Welche Optionen Sie dazu haben zeigen wir ihnen in einem separaten FAQ auf.
Einen Ausführlichen Beitrag zur Thematik finden sie in unserem INSIGHTS.
Welche Cookie-Banner Option eignet sich für meine Website?
Direkte Zustimmung oder Ablehnung (Hard Opt-in)
Erst wenn der Benutzer zustimmt, werden Cookies gespeichert. Wenn er ablehnt, dürfen keine Cookies gespeichert werden – dies bedeutet einen hohen technischen Aufwand. Cookies müssen zurückgehalten und erst nach der Zustimmung geliefert werden.
Diese ist die einzige rechtssichere Variante und empfiehlt sich daher für internationale Websites um das EU-Recht einzuhalten.
Information (Opt-out)
Im Cookie-Banner wird über die Verwendung von Cookies/Tracking informiert, ohne aber eine Einwilligung zu thematisieren. Im Banner wird auf die Datenschutzerklärung verwiesen (link), wo die Besucher sich über die Richtlinien und «Opt-out»-Möglichkeiten informieren können.
Da diese Option einfach zu implementieren ist und dem Schweizer Bundesgesetz entspricht, eignet sie sich für für Schweizer Websites ohne Europäisches Publikum.
Welche Cookie-Richtlinien müssen in der Datenschutzerklärung erwähnt werden?
Um die Richtlinien des schweizerischen Rechts zu erfüllen, gilt es folgende Aspekte zu erwähnen:
- Welche Dienste speichern Cookies auf dem Computer des Benutzers und was ist der Zweck?
- Welche Dienste übermitteln personenbezogene Daten des Nutzers und zu welchem Zweck?
- Eine Anleitung, wie der Benutzer diese Cookies und Dienste in seinem Browser blockieren kann.
Einen Ausführlichen Beitrag zur Thematik finden sie in unserem INSIGHTS.