Revision des Schweizer Datenschutzes
Anpassung des Schweizer Datenschutzgesetzes an die EU-DSGVO, Februar 2020
Doch nun steht eine Revision des Schweizer Datenschutzgesetzes unmittelbar bevor – mit weitreichenden Änderungen insbesondere für kleine Webseiten-Betreiber. Schon seit September 2017 steht der Entwurf für ein umfassend erneuertes Datenschutzgesetz auf der Tagesordnung von Bundesrat und Parlament.
Bild: Webhosting Expert unter Nutzung des Icon Handschütteln
Bislang können kleine Webseiten-Betreiber die Anwendung der EU-DSGVO dadurch vermeiden, dass sie
1. keine Niederlassung in der Europäischen Union und dem EWR-Raum betreiben,
2. keine Dienstleistungen oder Produkte in der Europäischen Union und in dem EWR-Raum verkaufen,
3. die Kundenakquise ausschließlich auf den Schweizer Mark beschränken,
4. kein Verhaltenstracking von Personen mit Wohnsitz in der Europäischen Union und dem EWR-Raum betreiben.
Vermeidung der Anwendbarkeit der EU-DSGVO für kleine Webseiten-Betreiber
Dafür müssen kleine Webseiten-Betreiber in der Schweiz unter anderem darauf achten, dass auf der Webseite nur Versand in der Schweiz angeboten wird. Die Dienstleistungen und Produkte dürfen nur in Schweizer Währung und in Schweizer Landessprachen angeboten werden. Kleine Webseiten-Betreiber dürfen zudem keine Newsletter oder Massenwerbung an Personen mit Wohnsitz in der Europäischen Union oder dem EWR-Raum versenden. Zur Vermeidung einer Anwendung der EU-DSGVO dürfen kleine Webseiten-Betreiber selbstverständlich auf keinen Fall die Toplevel-Domain eines EU-Staates nutzen.
Unter diesen Voraussetzungen unterliegen die kleinen Webseitenbetreiber, laut Schätzungen ca. 20 % der Schweizer Wirtschaft, nicht der EU-DSGVO, sondern nur dem Schweizer Datenschutzgesetz mit vergleichsweise laschen Anforderungen an den Datenschutz.
Revision des Schweizer Datenschutz-Gesetzes bis Mai 2020
Doch nun steht eine Revision des Schweizer Datenschutzgesetzes unmittelbar bevor – mit weitreichenden Änderungen insbesondere für kleine Webseiten-Betreiber. Schon seit September 2017 steht der Entwurf für ein umfassend erneuertes Datenschutzgesetz auf der Tagesordnung von Bundesrat und Parlament. Der Entwurf passt die Datenschutz-Regelungen an die EU-DSGVO an. Denn spätestens im Mai 2020 wird die Europäische Union die Gleichwertigkeit des Schweizer Datenschutzes mit der EU-DSGVO überprüfen. Wenn die Schweiz bis dahin kein angemessen Datenschutz-Niveau vorweisen kann, könnten Daten aus der Europäischen Union oder dem EWR-Raum nur noch dann in die Schweiz übertragen werden, wenn Schweizer Unternehmen andere Maßnahmen zur Gewährleistung eines angemessenen Datenschutzes vorweisen. Bundesrat und Parlament stehen daher unter gehörigem Druck, das revidierte Datenschutzgesetz innert der nächsten Monate zu verabschieden.
Vor allem kleine Webseitenbetreiber müssen dem Thema Datenschutz in den nächsten Monaten erhöhte Aufmerksamkeit schenken, denn nach der Revision des Datenschutz-Gesetze müssen sie sich auf strengeren Regelungen im Hinblick auf den Schutz personenbezogener Daten einstellen – und zwar unabhängig davon, ob sie geschäftliche Aktivitäten in der Europäischen Union oder dem EWR-Raum betreiben. Das Schweizer Datenschutz-Gesetz trifft alle kleine Webseiten-Betreiber, sofern sie personenbezogene Daten, seien es Mitarbeiter oder Kunden, erfassen oder verarbeiten. Bei Verstößen gegen die verschärften Datenschutz-Regelungen müssen kleine Webseiten-Betreiber mit hohen Bussen rechnen.
Was müssen kleine Webseiten-Betreiber nun auf jeden Fall tun?
1. Verschlüsselung personenbezogener Daten
Kleine Webseiten-Betreiber müssen nun unbedingt ein SSL-Zertifikat für ihre Webseite aktivieren, damit personenbezogene Daten nicht während der Datenübertragung zwischen PC und Server von unberechtigten Dritten abgegriffen werden können. Im Adressfeld des Browser wird dann https: angezeigt. Bei der Konfiguration der email-Programme sollten kleine Webseiten-Betreiber unbedingt die TSL/SSL-Verschlüsselung aktivieren.
2. Erweiterter Cookie-Banner
Die Webseite muss einen Cookie-Banner für die Nutzung von für den Betrieb notwendigen Cookies sowie für zusätzliche für das Verhaltenstracking der Besucher geeignete Cookies aufweisen. Kleine Webseiten-Betreiber müssen zudem eine umfassende gesetzeskonforme Datenschutzerklärung in die Webseite integrieren, die dem Webseiten-Besucher eine detaillierte Aufschlüsselung der Nutzung personenbezogener Daten enthält. Die Webseiten müssen selbstverständlich auch ein Impressum enthalten. Im Impressum müssen zwingend Angaben zum Betreiber der Webseite mit Namen, Postanschrift und email-Adresse enthalten sein. Die Pflicht zur Angabe des Impressums besteht in der Schweiz im übrigen schon seit 2012.
3. Einverständniserklärung für Newsletter und Massenwerbung
Eine Aufnahme in die Verteilerliste für Newsletter oder Massenwerbung ist nur mit Einwilligung des Betroffenen in die Erfassung und Verarbeitung personenbezogener Daten zulässig. Zudem muss der Newsletter oder Massenwerbung eine für den Webseiten-Besucher gut erkennbare Abmeldeoption, aber auch ein vollständiges Impressum und ein Hinweis auf die Datenschutzerklärung enthalten. In der Datenschutzerklärung müssen zwingend Angaben zu den Datenanalyse-Tools, Social Media Plugins, Newsletter-Tools, Cloud-Dienstleister, usw. enthalten sein. Die Datenschutzerklärung muss zudem einen eindeutigen Hinweis auf die gesetzlich vorgeschriebene Auskunfts-, Beschwerde- und Widerrufsrechte der Webseiten-Besucher enthalten.
4. Regelung der Auftragsdatenverarbeitung
Kleine Webseiten-Betreiber müssen mit allen Dienstleistern, die im Zusammenhang mit der Webseite personenbezogene Daten erfassen oder verarbeiten, einen Vertrag über die Auftragsdatenverarbeitung abschließen. In diesem Vertrag müssen Rechte und Pflichten des Datenverarbeiters im Rahmen der Datenverarbeitung aufgeführt sein. Zu diesen Dienstleistern gehören unter anderem Google-Analytics und vergleichbare Datenanalyse-Tools, aber auch Newsletter-Dienstleister, wie Newsletter2Go oder SendInBlue sowie Cloud-Anbieter, wie Microsoft Office 365 oder Google Docs. In aller Regel bieten die grösseren Dienstleister bereits entsprechende Vorlagen auf ihren Plattformen an. Weitere Vorlagen finden Sie auf folgender Webseite.
Daneben bestehen, laut dem vorliegendem Entwurf für die Revision des Schweizer Datenschutzgesetzes, unter anderem Informations- und Auskunftspflichten gegenüber den Webseiten-Besuchern, detaillierte Dokumentationspflichten über die Verarbeitung von personenbezogenen Daten, Geheimhaltungspflichten des Webseitenbetreibers und ihren Dienstleistern für die Auftragsdatenvereinbarung. Bei Verstößen gegen diese Regelungen drohen, auch kleine Webseitenbetreibern, Bussen bis zu 250.000 CHF.
Aus diesem Grund empfiehlt es sich dringend für kleine Webseiten-Betreiber, ihre Webseite rechtzeitig auf die kurz bevorstehende Revision der Datenschutz-Regelungen vorzubereiten.
Weitere Informationen zur umfassenden Neugestaltung des Schweizer Datenschutzgesetzes finden Sie unter den folgenden Seiten:
- Gesetzgebungsverfahren der Schweizer Bundesversammlung zur Revision des Datenschutzgesetzes (DE, FR, IT): Revision des Schweizer Datenschutzgesetzes
- Blog von Sylvain Métille, Schweizer Anwalt mit Schwerpunkt Datenschutz (FR): Artikel zum Gesetzentwurf des Nationalrates
- Blog von François Charlet, Schweizer Jurist, Dataprotection Officer (FR): Artikel zu den Anforderungen der EU-DSGVO
Schreiben Sie einen Kommentar
Die E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.