Der Datenschutz kennt aufgrund der fortlaufenden Digitalisierung keine Ländergrenzen mehr. Am 25. Mai 2018 endet die Übergangsfrist für die neue europäische Datenschutzgrundverordnung (DSGVO).

Was tun Sie nun also als Schweizer Unternehmen? Es sind nunmehr lediglich wenige Tage bis zum Inkrafttreten der Verordnung. Daher wäre es nicht zielführend, sich zuerst mit den vielen Sonderbestimmungen und Details auseinanderzusetzen. Minimieren Sie zuerst das grösste Risiko: Ihre eigene Website. Sie steht jedem EU-Bürger offen und kann mit wenigen Klicks auf Verstösse untersucht werden.  

Wir empfehlen die folgenden 10 Punkte zu beachten.

1. Überblick über das Ganze verschaffen

Den ersten Schritt haben Sie mit dem Lesen dieses Beitrages eingeleitet. Auch wenn ein komplexes und eher trockenes Rechtsthema ist, sollten Sie trotzdem prüfen welche Bereiche Ihres Unternehmens von der neuen Verordnung betroffen sein könnten. Stellen Sie sich dazu folgende Fragen:

  • Haben Sie eine eigene Website, welche auch ausserhalb der Schweiz erreichbar ist? 
  • Verwenden Sie Cookies? Es ist sehr wahrscheinlich, dass Sie dies tun, wenn auch unbewusst. Denn bereits ein Spam-Schutz oder Trackingmethoden sprechen dafür. 
  • Verwernden Sie einen Trackingcode auf Ihrere Website wie Google Analytics, Adwords oder Facebook Pixel? 
  • Arbeiten Sie mit Kontaktformularen oder einem Login-Bereich? 
  • Rufen Sie deine Besucher mitel Kommentarfunktion oder einem Gästebuch auf, sich mitzuteilen? 
  • Haben Sie Ihre Sozialen Netzwerke wie Facebook, Twitter, Instragram oder Youtube verlinkt oder eingebettet? 
  • Können sich Ihre Websitebesucher für einen Newsletter anmelden? 
  • Wissen Sie mit welchem Tool Ihr Unternehmen Kunden- und Mitarbeiterdaten Beispiels für die Buchhaltung, Newsletter-Tool, Datencloud etc. sammelt? Hier empfehlen wir eine kurze Liste anzulegen, welche Daten Sie in welchem Tool und wozu sammeln. Dies hilft uns später beim «Aufräumen» und «Verträge» anpassen.  
  • Wissen Sie, wer in Ihrem Unternehmen auf welche Daten Zugriff hat? Gehen diese Personen mit den Daten sorgfältig und vertraulich um? Erstellen Sie auch hierfür eine Liste, welche danach Optimiert werden kann. 
  • Verarbeitet Ihr Unternehmen Daten von einem anderen Unternehmen?

2. Datenschutzerklärung erstellen, anpassen & einbinden

Sie haben die Liste unter Punkt 1 erstellt. Wir empfehlen Ihnen darauf Ihre Datenschutzrichtlinien zu erstellen oder überarbeiten.  

Auch die Platzierung der Datenschutzrichtlinie darf nicht mehr versteckt im Footer sein, sondern muss für jeden Besucher an prominenter Stelle angezeigt werden. Entweder in der Hauptnavigation oder auch über ein Pop-up Fenster, welches aktiv weggeklickt werden muss. 
Wir empfehlen Ihnen diese Richtlinien vom Anwalt Ihres Vertrauens prüfen zu lassen. 

3. Impressum

Im Impressum müssen zwingend Angaben zum Unternehmen (Betreiber der Webseite) mit Namen und Kontaktdaten enthalten sein. Wir empfehlen die Platzierung im Footer, weil das Impressum von allen Seiten aus aufrufbar sein muss. 

4. Cookie Pop-up installieren

Fast alle Webseiten verwenden Cookies. In Zukunft ist es Pflicht die Besucher aktiv darauf hinzuweisen und sie müssen die Möglichkeit haben sich davon «abzumelden». Am einfachsten lässt sich dies mit einem Pop-Up lösen, welcher auf die «Cookie Policy» in der Datenschutzerklärung verweist. Für den Abmelde-Dienst reicht es, wenn Sie zu einer Seite verlinken, in der beschrieben wird, wie man auf dem eigenen Computer Cookies unterbindet. 
Wir empfehlen: Ein einziges Pop-up einzubinden, auf welchem die Cookie-Geschichte wie auch die Datenschutzrichtlinien eingebunden sind. 

5. Machen Sie Ihre Tracking-Codes DSGVO-konform

Ohne Trackingcodes wären digitale Marketing-Massnhamen fast unmöglich. Die Datenschutzgrundverordnung stellt nun aber einige Anforderungen an die Verwendung solcher Codes: 

  • Die IP Adressen dürfen nur noch anonymisiert getrackt werden. 
  • Es muss die Nutzung der Tracking-Codes offengelegt werden. Wozu verwenden Sie die Daten? 
  • Es muss für den Besucher eine Möglichkeit geben, sich davon abzumelden.

6. Kontaktformulare und Interne Bereiche (Login-Seiten)

Neu dürfen nur noch die Daten als Pflichtfeld erfasst werden, welche Sie auch für die Bearbeitung des Zwecks, für welchen die Daten gesammelt werden auch benötigen. Beispielsweise braucht es für einen Newsletter nur eine Emailadresse, für einen Anruf nur eine Telefonnummer etc. 
Alle anderen Angaben dürfen nur noch als «freiwillige» Felder erfasst werden. Hier aber auch nur, wenn in den Datenschutzrichtlinien transparent offengelegt wird wozu die weiteren Angaben verwendet werden. 
Für jeden Zweck ist eine separate Einwilligung notwendig. Unter einem Kontaktformular oder auch Login-Formular muss ein Kästchen, welches der Besucher anklicken muss, platziert werden. 

7. Kommentarfunktion und Gästebücher

Bei vielen Blogs und Newsbereichen ist es standartmässig hinterlegt, dass wir den Besucher um seine Meinung bitten. Dies ist mittels eine Kommentarfunktion gelöst. Neu muss in der Datenschutzrichtlinie zwingen darauf hingewiesen werden, dass bei der Nurzung dieser Funktion Daten abgespeichert werden. 

8. Geheimes Tracking über die sozialen Netzwerke

Über Standart-Plugins, mit welchen auf Webseiten verlinkungen auf die sozialen Netzwerke gemacht werden, werden von den Netzwerken unrechtmässig Daten gesammelt. Daher sind all diese Social Media Plugins kaum meh empfehlenswert. Am besten werden Sie durch einfache Links auf die Netzwerke ersetzt. Können Sie aber nicht auf ein solches Plugin verzichten, ist es zwingend eine Deklaration in der Datenschutzrichtlinie zu verfassen. 

Eine vergessene Quelle für «geheimes Tracking» sind YouTube Videos, welche Sie auf Ihrer Seite eingebaut haben. Überprüfen Sie unbedingt all diese eingebetteten Videos, es müsst bei jedem iframge snippet ein Haken bei «erweiterte Datenschutzbestimmungen» gesetzt werden. 

 

9. Wo sammeln Sie überall Kundendaten?

Viele von Ihnen verwendeten Plattformen, Softwares und Tools sammeln Kunden daten, was uns im Alltag nicht bewusst ist. Teils haben sich Ihr Kunden selbst dafür eingetragen wir für einen Newsletter registriert und teils haben Sie die Daten dort selbst hinterlegt wie in einem CRM oder in der Buchhaltung. 

Dabei prüfen Sie bitte nicht nur Ihre Kunden sondern auch die Daten Ihrer Mitarbeitenden werden geschützt.
Aufgrund des Zeitdruckes empfehlen wir den Fokuss vorerst auf die Plattformen/Tools zu setzen, welche in irgendeiner Weise mit der Webseite verknüpft sind. 

Mit all diesen Anbietern sind sogenannte Auftragsdatenverarbeitungsvereinbarungen oder «Data Processor Agreements/Addendums» zu schliessen. Die meisten Standarttools wie Google, Mailchimp oder Dropbox bitente solche Vereinbarungen standartmässig an. Unterzeichnen Sie die Vereinbarungen und legen sie sauber ab. Damit Sie im Fall einer Prüfung, alle notwendigen Dokumente nachweisen können. 

10. Viel Verantwortung für Sie: Information und Schulung der Mitarbeitenden, Einhaltung der Datensicherheits-Pflicht

Die DSGVO steigert die Eigenverantwortung gegenüber der personenbezogenen Daten massiv an. Als Unternehmer sind Sie nichz nur selbst aktiv  verantwortlich für die Einhaltung der Verordnung, sondern müssen auch Ihre Mitarbeitenden und Dienstleister informieren und schulen.  
Auch hier legen wir den Fokus auf die Website. Welche Mitarbeitende haben Zugriff auf sensible Kundendaten? Benötigen all diese Mitarbeitenden vollen Zugriff oder liesse sich dieser ohne weiteres einschränken?

Sind dann alle «Hausaufgaben» gemacht, ist ein abschliessender Check beim Anwalt empfehlenswert. Dieser kann Fragen klären und das gewählte Vorgehen sowie verfasste Texte auf ihre Konformität mit der DSGVO und dem Schweizer DSG überprüfen. Die Kosten für eine Anwaltskonsultation lassen sich jedoch massiv reduzieren, wenn man sich anhand der nachfolgenden 10 Schritte bereits einen umfassenden Überblick verschafft und nötige Anpassungen in die Wege geleitet hat. 

Legal Disclaimer 
Dieses Mail stellt trotz sorgfältiger Recherche KEINE Rechtsberatung dar. Mit diesen 10 Schritten erreichen Sie noch keine 100% Compliance und sind auch nur teilweise auf die bevorstehende Änderung des Schweizer Datenschutzgesetztes vorbereitet. Trotz sorgfältiger Recherche stellt dies KEINE Rechtsberatung dar.netfang übernimmt keine Gewähr oder Haftung hinsichtlich der inhaltlichen Richtigkeit, Genauigkeit, Aktualität, Zuverlässigkeit und Vollständigkeit dieser Informationen sowie allfälligen Rechtsfolgen. 

Wir empfehlen Ihnen eine Konsultation des Anwaltes Ihres Vertauens, da unsere Ausführungen nicht auf einer juristischen Ausbildung basieren. 

In der nächsten Zeit wird sich noch einiges bezüglich dem Schutz der personenbezogenen Daten in der Schweiz tun. Halten Sie die Augen und Ohren offen, damit Sie rechtzeitig Anpassungen vornehmen können. 

Quellen

  • https://www.onlinepc.ch/internet/sicherheit/79-prozent-aller-webseiten-tracken-besucher-1445795.html 
  • https://www.datenschutz.org/verbot-mit-erlaubnisvorbehalt/ 
Lastminute: In 10 Schritten zum sicheren Datenschutz