Auf den letzten Drücker zur DSGVO-Konformität

10 Dinge, die Schweizer Unternehmer in Bezug auf den Datenschutz bis zum 25. Mai 2018 überprüfen sollten

 

 

Seit zwei Monaten mehren sich die Informationen und neuen „Schreckensmeldungen“ in den Nachrichten, per Email und über die sozialen Medien. Am 25. Mai endet die Übergangsfrist für die neue europäische Datenschutzgrundverordnung (DSGVO).

Na und? Ich bin ein Schweizer Unternehmen. Was geht mich die EU an?

Gemäss Schätzung spezialisierter Anwälte unterstehen 95-99% der Schweizer Unternehmen zumindest in Teilbereichen der DSGVO. Denn aufgrund der zunehmenden Digitalisierung kennt der Datenschutz keine Ländergrenzen mehr.

Kaum ein Unternehmen in der Schweiz kann sicherstellen, dass sich kein Deutscher Staatsbürger auch auf seine Webseite „verirrt“ (dazu bräuchte es einen Geo IP Block).

 

Viele erwidern darauf: Ja und? ich erfasse ja keine personenbezogenen Daten dieser EU Bürger. Doch, denn was viele Besitzer von Webseiten oft nicht bedenken – oder schlicht auch einfach nicht wissen, weil ihr Webmaster das alles für sie so eingerichtet hat:

Das heisst: Selbst, wenn man die Daten nicht explizit sammelt, passiert dies bei jedem Besuch. Entsprechend müssen Schweizer Unternehmen mindestens die Webseiten und deren Funktionen DSGVO-konform machen. Für alle weiteren Aspekte der Datenschutzgrundverordnung empfiehlt es sich wenigstens das eigene Risiko zu beurteilen.

 

Kleiner Tipp wie man sich am besten selbst einen Überblick verschafft:

Da aktuell sehr viele verschiedene und unterschiedlich extreme Aussagen zu den Verpflichtungen rund um die Datenschutzgrundverordnung kursieren, empfehle ich all meinen Kunden sich eine oder zwei Quellen zu suchen, denen man vertraut und deren Empfehlungen zu folgen. Ansonsten droht man schnell sich in den vielen Informationen zu verlieren und entnervt den Bettel wieder hinzuschmeissen. Wir haben uns für unsere Recherchen und die Empfehlungen an unsere Kunden auf die Inputs/Empfehlungen der Anwaltskanzlei Niederer Kraft Frey (www.nkf.ch), der deutschen Anwaltskanzlei Lawlikes (www.lawlikes.de) und des WordPress Hosters Raidboxes (https://raidboxes.ch/dsgvo-wordpress-technische-massnahmen/) gestützt. Auch die Ausführungen der offiziellen Datenschutzbehörden Deutschlands und Englands können sehr hilfreich sein.

 

 

Doch zuerst: Worum geht es denn nun eigentlich

Es geht um den Schutz personenbezogener Daten (Name, Adresse, Geburtsdatum, Email-Adresse, IP-Adresse, Lichtbild, Zahlungsinformationen,…). Und:„Es ist grundsätzlich verboten personenbezogene Daten zu verarbeiten.“ Bei der Verordnung handelt es sich daher quasi um das Regelwerk für alle Ausnahmen (es ist ein Verbot mit Erlaubnisvorbehalt). Überdies stützt sich die Verordnung auf folgende Grundsätze:

 

  • Rechtmässigkeit –> gibt es einen Erlaubnisvorbehalt in meinem spezifischen Fall?

  • Transparenz –> habe ich das Datensubjekt (die Person, der die Daten gehören) ausreichend transparent über meine Datensammlung informiert?

  • Interessenabwägung –> gibt es höhere Interessen, die die DSGVO übersteigen (öffentliche Sicherheit, Geldwäschereigesetz,…)

  • Zweckbindung –> habe ich für jeden Zweck, für den ich Daten sammle eine separate Einwilligung eingeholt?

  • Datenminimierung –> sammle ich effektiv nur die Daten, die für die Bearbeitung des Zwecks notwendig sind? (z.B. braucht es für einen Newsletter lediglich eine Email-Adresse)

  • Integrität und Vertraulichkeit –> sind meine Mitarbeitenden und Drittanbieter von mir informiert und zu Vertraulichkeit verpflichtet worden? Habe ich die entsprechenden Prozesse definiert?

  • Privacy by Design –> sind meine Produkte, Angebote und Dienstleistungen so gestaltet, dass sie die personenbezogenen Daten der Nutzer bestmöglich schützen?

  • Privacy by Default –> habe ich darauf geachtet, dass als Standard immer der höchstmögliche Schutz der personenbezogenen Daten gesetzt ist? (z.B. keine vorangekreuzten „Ja, ich stimme zu“-Felder

 

Diese Grundsätze im Hinterkopf zu behalten, hilft bei der pragmatischen Risikominimierung im „DSGVO-Dschungel“. Denn schliesslich geht es für die meisten Unternehmen ausschliesslich darum das Risiko für Bussen und Strafen zu vermeiden.

Und obwohl die meisten Anbieter und Dienstleister rund um den Datenschutz hauptsächlich die exorbitanten Maximalstrafen hervorheben (20 Millionen Euro oder 4% vom weltweiten Jahresumsatzes), ist es wichtig zu verstehen, dass sich die Kooperation und der Nachweis einer Umsetzung der Verordnung nach bestem Wissen und Gewissen stark strafmildernd auswirkend werden. Fachanwälte gehen daher davon aus, dass Bussen eher der Ausnahmefall sein werden und viel häufiger Verfügungen zur Behebung des Missstandes erlassen werden sollen.

 

Was ist nun also als Schweizer Unternehmen zu tun?

Mit nunmehr lediglich wenigen Tagen Zeit wird es nicht zielführend sein, sich zuerst mit den vielen Sonderbestimmungen und Details auseinanderzusetzen, sondern den Fokus auf das grösste Risiko zu legen: Die eigene Webseite. Sie steht jedem EU Bürger offen und kann heute mit ein paar gekonnten Klicks ganz einfach auf Verstösse untersucht werden. Und dazu sind nicht mal Menschen notwendig, theoretisch können das kurze Programme erledigen, die in einer Stunde tausende von Webseiten crawlen, um zu sehen, wer ein dankbares Abmahnopfer sein könnte.

Daher nachfolgend eine Liste mit 10 Punkten, die wir auch unseren eigenen Kunden für einen risikobasierten Ansatz empfehlen. Sind dann alle „Hausaufgaben“ gemacht, ist ein abschliessender Check beim Anwalt empfehlenswert. Dieser kann Fragen klären und das gewählte Vorgehen sowie verfasste Texte auf ihre Konformität mit der DSGVO und dem Schweizer DSG überprüfen. Die Kosten für eine Anwaltskonsultation lassen sich jedoch massiv reduzieren, wenn man sich anhand der nachfolgenden 10 Schritte bereits einen umfassenden Überblick verschafft und nötige Anpassungen in die Wege geleitet hat.

 

Übersicht verschaffen

Auch wenn es sich um ein komplexes, trockenes Rechtsthema handelt: Jeder und jede sollte mindestens für sich prüfen, in welchen Bereichen das eigene Unternehmen von der neuen Verordnung betroffen sein könnte. Dazu können folgende Fragen hilfreich sein:

  1. Hast du eine Webseite, die auch ausserhalb der Schweiz erreichbar ist?
  2. Werden auf deiner Webseite Cookies verwendet? (sehr wahrscheinlich, wenn du einen Spam-Schutz oder einen Webshop hast, aber auch, wenn du gewisse Trackingmethoden auf der Seite eingebaut hast)
  3. Verwendest du einen Trackingcode auf deiner Webseite (Google Analytics, Facebook Pixel oder AdWords,…)
  4. Hast du ein Kontaktformular oder gar eine Login-Seite auf deiner Webseite eingebunden?
  5. Kann man auf deiner Webseite irgendwo Gastbucheinträge oder Kommentare hinterlassen?
  6. Hast du ein Facebook-, Instagram- oder Pinterest-Widget/Plugin eingebunden oder YouTube Videos eingebettet? (diese Darstellungen, die zum Beispiel zeigen, wer alles deine FB Seite geliked hat)
  7. Weisst du, wo/in welchen Tools/auf welchen Plattformen dein Unternehmen Kunden- und Mitarbeiterdaten sammelt (CRM, Buchhaltungstool, Newsletter-Tool, Datencloud, Terminbuchungstool,…)? Hier empfiehlt es sich kurz eine Liste zu erstellen und auch zu notieren, welche Daten man in den jeweiligen Tools wozu sammelt. Dies hilft nachher beim „Aufräumen“ und Verträge anpassen.
  8. Weisst du, wer in deinem Unternehmen auf welche Daten Zugriff hat und ob diese Personen die Daten sorgfältig/vertraulich behandeln? Auch hierfür würde ich kurz eine Liste erstellen, um mögliche Anpassungen in Angriff nehmen zu können.
  9. Verarbeitet dein Unternehmen Daten von anderen Unternehmen?

 

Datenschutzrichtlinie/-erklärung erstellen und einbinden

Minimalanforderung an jeden, der eine Webseite betreibt, auf die auch EU Bürger zugreifen können. Ich empfehle meinen Kunden sich mit den unter Punkt 1 erstellten Listen bei einem Anwalt zu melden und professionell eine Datenschutzrichtlinie erstellen zu lassen. Für ganz einfache Webseiten (ohne weiteres Tracking oder Kundeninteraktion) können auch im Netz verfügbare Generatoren als Basis verwendet werden (z.B. https://www.wbs-law.de/it-recht/datenschutzrecht/datenschutzerklaerung-generator/).

Die Datenschutzrichtlinie darf nicht mehr nur unten rechts in der Fusszeile eingebunden sein, sondern muss jedem Webseitenbesucher an prominenter Stelle beim ersten Besuch angezeigt werden. Sprich: Entweder in der Hauptnavigation als separater Punkt oder als Pop-up Fenster, welches aktiv weggeklickt werden muss.

 

Cookie Pop-up installieren

Die meisten Webseiten verwenden mindestens ein Cookie. Es benötigt daher in Zukunft auf all diesen Seiten ein Cookie Pop-up, welches mindestens einen Link auf den Abschnitt mit der Cookie Policy innerhalb der Datenschutzrichtlinie und einen Link zu einer Opt-out („sich abmelden“-Dienst) Möglichkeit umfasst. Für den Opt-out reicht es, wenn man auf die Erklärungseite im Browser verlinkt, die sagt, wie man auf dem eigenen Computer Cookies unterbindet. Sehr viele Anbieter kombinieren das Cookie Pop-up gleich mit dem Pop-up für die Datenschutzrichtlinie. Sprich: Es gibt ein einziges Pop-up mit mehreren Links und etwas mehr Text anstatt zwei Pop-ups.

 

Tracking-Codes DSGVO-konform verwenden

Für die meisten digitalen Marketing-Massnahmen sind Tracking-Codes unerlässlich. Die Datenschutzgrundverordnung stellt einige Anforderungen an die Verwendung dieser Codes:

  • Die IP Adressen dürfen nur noch anonymisiert getrackt werden (bei den Google Tracking Codes lässt sich dies relativ einfach über ein Plugin oder eine einfache Ergänzung im Code anpassen)
  • Die Nutzung der Tracking-Codes muss mit Angabe wozu getrackt wird in den Datenschutzrichtlinien offengelegt werden
  • Es muss eine Opt-out Möglichkeit geschaffen werden (für Google gibt es hier entsprechende Tools, bei Facebook werden entsprechende Codeanpassungen notwendig)

 

Kontaktfomulare und Login-Seiten anpassen

Es dürfen gemäss dem Grundsatz der Datenminimierung nur noch die Daten als Pflichtfeld erfasst werden, die man für die Bearbeitung des Zwecks, für welchen die Daten gesammelt werden auch benötigt. Sprich: Für einen Newsletter braucht es nur eine Emailadresse, für einen Anruf nur eine Telefon-Nummer, usw. Weitere Angaben dürfen noch als freiwillige Felder erfasst werden – allerdings nur, wenn in den Datenschutzrichtlinien auch transparent offengelegt wird wozu die weiteren Angaben verwendet werden. Da für jeden Zweck eine separate Einwilligung notwendig ist, benötigt es zwingend unter Kontakt- und Loginformularen ein Kästchen, welches man anklicken muss „ich akzeptiere die Datenschutzrichtlinie“ (mit Link zur Richtlinie). Zudem gibt es ein Kopplungsverbot: Es darf keine Zwang-Registrierung für einen Kauf geben (es benötigt also die Möglichkeit einer Bestellung als Gast).

 

Klare Deklaration bei Gästebucheinträgen und Kommentarfunktion

Gibt es auf der Webseite die Möglichkeit, dass Nutzer Einträge oder Kommentare hinterlassen (auf vielen Blogs standardmässig hinterlegt), sollte in den Datenschutzrichtlinien zwingend darauf hingewiesen werden, dass bei der Nutzung dieser Funktion Daten abgespeichert werden, um rechtlich bedenkliche Inhalte und Spam ausschliessen zu können.Und, wenn der letzte Gästebucheintrag von 2012 stammt, könnte man sich durchaus auch überlegen, ob man diese Funktion nicht gleich entfernt…

 

Social Media Widgets/Plugins und eingebettete Videos dsgvo-konform machen

Auch die Sozialen Netzwerke sammeln über ihre Standard-Plugins/Widgets (dort, wo man sieht, wer einem folgt oder die letzten Bildchen angezeigt werden) unrechtmässig Daten der Webseiten-Besucher. Aus diesem Grund sind sogenannte Social Media Plugins kaum mehr empfehlenswert und sollten am besten durch einfache Links auf die jeweiligen Sozialen Profile ersetzt werden.Kann man nicht auf die Plugins verzichten, benötigt es zwingend eine Deklaration in der Datenschutzrichtlinie, dass über die Plugins Daten an Facebook und Co. weitergeleitet werden. Und eine vielfach völlig vergessene Quelle von „geheimem Tracking“ sind YouTube Videos, welche über iframe in die eigene Seite eingebettet werden. Unbedingt beim Erstellen der iframe snippets den Haken bei „erweiterte Datenschutzbestimmungen“ setzen und erst dann in die Seite einbetten. Bestehende Videos müssen zwingend überprüft werden.

 

Alle Plattformen, Softwares und Tools prüfen, auf denen Kundendaten landen

Viele Leute sind sich gar nicht bewusst, wo sie überall Kundendaten haben (entweder vom Kunden eingetragen – z.B. im Newsletter-Tool – oder selbst hinterlegt im CRM oder in der Buchhaltung). Aber nicht nur Kunden-, sondern auch Mitarbeiterdaten müssen unter DSGVO-Aspekten auf ihre Compliance überprüft werden.Aufgrund des Zeitdrucks empfiehlt es sich aktuell all jene Plattformen/Tools anzuschauen, welche in irgendeiner Form mit der Webseite verknüpft sind. Sei es über ein Anmeldeformular des Newsletters oder über den Tracking Code bei Google Analytics,…

Mit all diesen Anbietern sind sogenannte Auftragsdatenverarbeiterungsvereinbarungen oder Data Processor Agreements/Addendums zu schliessen. Die meisten Standardtools (Google, Mailchimp, Dropbox,…) bieten solche Vereinbarungen standardmässig an. Die unterzeichneten Vereinbarungen sollten danach in einem Ordner abgelegt werden – sollte es mal zu einem Audit in der eigenen Firma kommen.

 

Verantwortung zur Information und Schulung der Mitarbeitenden, Einhaltung der Datensicherheits-Pflicht

Unter der DSGVO steigt die Eigenverantwortung bei Unternehmen massiv an. Als Unternehmer ist man nun nicht nur selbst aktiv für die Einhaltung der Verordnung verantwortlich, sondern muss auch seine Mitarbeitenden und Dienstleister informieren und schulen.Mit Fokus auf die Webseite ist es hier vor allem wichtig zu überprüfen, welche Mitarbeitenden Zugriff auf sensible Kundendaten haben (als Webseiten-Admin oder als Ersteller von Newslettern,…). Benötigen alle diese Mitarbeitenden den vollen Zugriff oder liesse sich dieser ohne weiteres einschränken? Und, sind die Mitarbeitenden darüber informiert wie sie ihre Daten und die der Kunden mit guten Passwörtern und 2-Weg-Authenthifizierung schützen können?

 

Als Agentur, Webdesigner, Druckerei, Graphiker,… gehört man zu einer zusätzlich gefährdeten Spezies

Immer dann, wenn die eigene Firma im Auftrag Daten für Kunden verarbeitet (sei dies für die Erstellung eine Webseite oder aber auch für den personalisierten Versand eines Papier-Mailings), wird man selbst zum Data Processor (wie in Punkt 8 dies Google,… für uns sind). Entsprechend benötigt man mit seinen Kunden eine Auftragsdatenverarbeitungsvereinbarung über den erteilten Auftrag.

 

Mit diesen 10 Schritten erreicht man zwar noch keine 100% Compliance und ist auch nur teilweise auf die bevorstehende Änderung des Schweizer Datenschutzgesetzes vorbereitet. Aber man verringert deutlich sein Risiko gegenüber EU-Bürgern bis zum 25. Mai.

 

Wir danken Chantal Schmelz herzlich für ihren Gastbeitrag zum Thema DSGVO. Sie weist darauf hin, dass die Expertise rund um das Thema Datenschutzgrundverordnung auf Anwendererfahrung und Weiterbildung und nicht auf einer juristischen Ausbildung basiert. Die genannten Punkte versprechen daher auch keinen 100% Schutz vor jeglicher Abmahnung. Eine Konsultation beim Anwalt wird jedem Unternehmer und jeder Unternehmerin in Bezug auf die DSGVO empfohlen.

Beitrag von Chantal Schmelz 

Inhaberin & Interims Marketeer, ansprechend GmbH