Wie viele von Ihnen sicher bereits gehört haben, tritt heute, am 25. Mai 2018, die neue Datenschutzgrundverordnung der EU (DSGVO) in Kraft. Da wir bereits vermehrt von Kunden darauf angesprochen wurden, haben wir uns entschieden, etwas mehr Zeit und Mühe in das Thema zu investieren, auch um Ihnen das Leben etwas einfacher zu machen. Deshalb hier unsere wichtigsten Erkenntnisse aus dieser Recherche in kompakter und hoffentlich möglichst verständlicher Form.

Bin ich von der DSGVO betroffen?

Schweizer Unternehmen müssen sich an die DSGVO halten, wenn sie personenbezogene Daten von natürlichen Personen verarbeiten, die sich in der EU befinden, falls das Schweizer Unternehmen:

diesen Personen in der EU Waren oder Dienstleistungen anbietet (gegen Bezahlung oder unentgeltlich),
oder
durch die Datenverarbeitung das Verhalten dieser Personen in der EU beobachten will.

Um zu bestimmen, ob die Aktivitäten eines Unternehmens, das seinen Sitz ausserhalb der EU hat, in den Anwendungsbereich der DSGVO fallen, muss analysiert werden, ob eine Absicht besteht, Waren oder Dienstleistungen in die EU zu verkaufen. Hierbei können verschiedene Hinweise geprüft werden (z. B. die Erwähnung von Kunden, die sich in den Mitgliedstaaten befinden, oder von einer in der EU gängigen Währung). Die Absicht, durch die Datenverarbeitung das Verhalten betroffener Personen in der EU zu beobachten, wird beispielsweise daran festgemacht, ob Internetaktivitäten dieser betroffenen Personen nachvollzogen (z.B. Google Analytics) und/oder Techniken zur Profilerstellung natürlicher Personen eingesetzt werden, welche beispielsweise die persönlichen Vorlieben, Verhaltensweisen oder Gepflogenheiten der Personen analysiert oder vorhergesagt werden.

Quelle: KMU Portal des Bundes

Wobei hier für Sie vermutlich vor allem auch das Thema Google Analytics im Vordergrund steht.

Ausserdem können Sie hier einen kurzen Check machen, ob Sie tendenziell betroffen sind.

Google Analytics und die DSGVO in der Schweiz

Leider fällt Google Analytics bereits auch schon unter den Punkt «Verarbeitung personenbezogener Daten». Dies, da die IP-Adresse in der EU in den meisten Fällen zu den eindeutig identifizierenden Merkmalen gezählt wird (wie der Vor- und Nachname einer Person). Ob dies sinnvoll ist oder nicht, überlassen wir an dieser Stelle Ihrer eigenen Beurteilung.

Wer also eine Webseite oder einen Onlineshop mit Google Analytics betreibt, auf welche/n auch Personen aus dem EU-Raum Zugriff haben, sollte einige Punkte beachten, da dann die DSGVO Anwendung findet.

Unsere 6 «schnellen» Tipps dazu sind:

  1. Fallen Sie nur aufgrund von Google Analytics (oder anderen Trackingtools) unter die DSGVO? Wenn Sie die Tools nicht gezwungenermassen benötigen, schalten Sie sie einfach aus. Das ist die unkomplizierteste Lösung.
  2. Hinweis in der Datenschutzerklärung, dass Google Analytics eingesetzt wird (sehen Sie dazu bei den Links die Mustervorlage).
  3. Dort sollte auch aufgelistet werden, welche Daten zu welchem Zweck verwendet werden.
  4. Es sollte eine Opt-Out Möglichkeit geben. Sprich, der User muss die Möglichkeit haben, diese Sammlung bzw. Bearbeitung seiner Daten zu verhindern.
  5. IP-Adressen sollten ausschliesslich anonymisiert aufgezeichnet werden, damit keine Identifikation stattfinden kann.
  6. Triff in Google Analytics die nötigen Einstellungen zur Datenaufbewahrung – siehe dazu auch den nächsten Punkt.

Cookies mit personenbezogenen Daten

Auch Cookies fallen in aller Regel unter die DSGVO, da diese oftmals Daten über den Webseitenbesucher aufzeichnen, mit welchen der User identifiziert (auch hier wieder meistens mittels IP-Adresse) werden könnte.

Sprich für Cookies muss neu (falls die DSGVO anwendbar ist) auch bei uns, wie dies im Ausland teils schon der Fall ist, die Einwilligung des Users eingeholt werden, dass Cookies benutzt werden dürfen. Dies passiert der Einfachheit halber meistens mittels eines Banners mit dem Hinweis, dass Cookies verwendet werden sowie einem Button, mit dem der User seine Einwilligung geben kann. Idealerweise haben Sie auch gleich einen zweiten Button, mit dem der User die Zustimmung ausdrücklich verweigern kann.

Einstellungen für die Datenaufbewahrung in Google Analytics

In Google Analytics können Sie nun neu Einstellungen für die Dauer der Datenaufbewahrung hinterlegen. Um dies zu machen, navigieren Sie zu Verwaltung/Ihre Property à In der Spalte Property dann Tracking Informationen à Datenaufbewahrung.

Eine detaillierte Anleitung von Google Analytics finden Sie hier.

DSGVO-konforme Datenschutzerklärung für die Homepage oder den Shop

Einer der wohl wichtigsten Punkte ist, dass Sie eine komplette Datenschutzerklärung auf Ihrer Homepage oder Ihrem Shop bereitstellen. Dazu haben wir hier ein gutes kostenloses Muster gefunden: Muster (Word) einer Datenschutzerklärung

Wichtigste Punkte zur Umsetzung der DSGVO für KMU in der Schweiz

Aus unserer Sicht gilt es als Fazit zu allererst folgende Dinge umzusetzen, damit man schnell möglichst DSGVO konform unterwegs ist (natürlich nur, falls die DSGVO für Ihren Fall überhaupt Anwendung findet):

  1. Hinterlegen Sie Ihre ausführliche Datenschutzerklärung auf Ihrer Homepage auf einer eigenen Seite. Falls Sie das bisher in den AGBs abgehandelt haben, erstellen Sie eine eigene Seite zu dem Thema.
  2. Schreiben Sie dort insbesondere, wofür welche Daten verwendet werden.
  3. Prüfen Sie, dass Ihr User die Einwilligung oder Ablehnung für die Sammlung von Daten freiwillig geben, verweigern und auch widerrufen kann.
  4. Sie müssen direkt oder indirekt Zugriff auf die gespeicherten Daten haben, damit Sie diese, falls der Kunde das wünscht, innert 30 Tagen an den Kunden herausgeben oder sie löschen können (sofern diese nicht notwendig sind).
  5. Die Hard- uns Software muss den Anforderungen entsprechen. Auf Hardware-Seite ist dies der Server, was bei unseren Hosting Kunden automatisch der Fall ist. Auf Software-Seite ist es wichtig, dass die Grundeinstellung so gesetzt sind, dass der User ausdrücklich seine Zustimmung geben muss (Opt-In und nicht Opt-Out).
  6. Im zweiten Schritt: Prüfung und nötigenfalls Umsetzung aller weiteren Anforderungen der DSGVO (z.B. Verzeichnis Datenbearbeitungen, Vertreter in der EU, Dokumentation, Meldung von Datenschutzverstössen etc.)

Die DSGVO und unser Server / Kundenhosting

Unser Hosting Partner, welcher unseren Server betreut, ist bereits seit einiger Zeit an den Vorbereitungen. Hier macht es sich (unter anderem) wieder bezahlt, dass wir auf einen qualitativ hochwertigen Partner setzen. So liegen sämtliche Daten unserer Kunden ausschliesslich in der Schweiz auf sehr sicheren Servern. Entsprechend waren die Massnahmen hier eher dokumentarischer Natur, da bereits zuvor sehr viel Wert auf Datenschutz und Datensicherheit gelegt wurde.

Hier finden Sie bei Bedarf weitere Informationen dazu.

Hier noch ein Textmuster, welches Cyon für seine Datensammlung empfiehlt für Ihre Datenschutzerklärung:

«Wie bei jeder Verbindung mit einem Webserver protokolliert und speichert der Server unseres Webhosting-Anbieters cyon in Basel, Schweiz, bestimmte technische Daten. Zu diesen Daten gehören die IP-Adresse und das Betriebssystem Ihres Geräts, die Daten, die Zugriffszeit, die Art des Browsers sowie die Browser-Anfrage inklusive der Herkunft der Anfrage (Referrer). Dies ist aus technischen Gründen erforderlich, um Ihnen unsere Website zur Verfügung zu stellen. cyon schützt diese Daten mit technischen und organisatorischen Massnahmen vor unerlaubten Zugriffen und gibt sie nicht an Dritte weiter. Soweit wir dabei personenbezogene Daten verarbeiten, tun wir dies aufgrund unseres Interesses, Ihnen die bestmögliche Nutzererfahrung zu bieten und die Sicherheit und Stabilität unserer Systeme zu gewährleisten.»

Unsere neuen Datenschutzbestimmungen

Auch wir sind von der DSGVO betroffen – deshalb aktualisieren wir unsere Datenschutzbestimmungen. Sie finden diese hier zum Nachlesen.

Wir sind gerade noch dabei, eine Mustervereinbarung für die Auftragsdatenverarbeitung zu erstellen. Kunden, welche diese mit uns abschliessen möchten können sich gerne bei uns melden, dann stellen wir Ihnen diese zu.

Die DSGVO und PrestaShop

Für die Umsetzung der oben erwähnten Punkte helfen Ihnen Module, so zum Beispiel dieses hier. Kontaktieren Sie uns, damit wir Ihnen bei der Integration helfen können.

Die DSGVO und WordPress

Für die Umsetzung der oben erwähnten Punkte helfen Ihnen Module, so zum Beispiel dieses hier. Kontaktieren Sie uns, damit wir Ihnen bei der Integration helfen können.

Quellen und weitere Informationen

Die DSGVO in voller Länge
http://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX%3A32016R0679&from=de

Offizielle Seite vom Bund
https://www.kmu.admin.ch/kmu/de/home/praktisches-wissen/kmu-betreiben/e-commerce/eu-regelung-zum-datenschutz.html

Mustervorlage für eine Datenschutzerklärung
https://datenrecht.us7.list-manage.com/track/click?u=419e2e0a20a63a42357dff0ee&id=d330c9c703&e=88b32a28b8

Online-Check zum Datenschutz
https://www.economiesuisse.ch/de/datenschutz-online-check

Datenschutz Self Assessment Tool
http://dsat.ch/

Newsletter von der Anwaltskanzlei Kellerhals Carrard zu dem Thema
https://www.kmu.admin.ch/dam/kmu/de/dokumente/savoir-pratique/e-commerce/newsletter-kellerhals-carrard-02-2017.pdf.download.pdf/KuB_2.2017de.pdf

 

Abschliessend gilt zu sagen, dass wir diese Informationen zwar in Rücksprache mit unserer Anwältin publizieren, diese jedoch keinesfalls verbindlich oder vollständig sind. Wir empfehlen in jedem Fall, sich mit einem Anwalt den konkreten Fall anzuschauen.

Wenn Sie noch Fragen haben, stehen wir Ihnen gerne zur Verfügung. Ansonsten empfehlen wir Ihnen auch gerne Frau Cornelia Stengel von der Anwaltskanzlei Kellerhals Carrard in Zürich. Sie können sie wie folgt kontaktieren:

Tel. +41 58 200 39 00

E-Mail: cornelia.stengel@kellerhals-carrard.ch