Ab dem 1. September 2023 wird in der Schweiz ein verschärftes Datenschutzgesetz gelten. Jede:r Website-Betreiber:in sollte sich daher über die neuen Regelungen informieren.

Zusammenfassung des Artikels, welcher bei Cyon als Gastbeitrag von Martin Steiger und Datenschutzpartner erschien.

Nutzung der Daten

Du solltest eine stets aktuelle Liste aller Orte führen, an welchen du Daten speicherst, verwenden, verändern, bekanntgeben, archivieren oder löschen. Dies kann zum Beispiel in einem Kontaktformular sein, einem Newsletter den du verschickst, Fotos die du veröffentlichst, aber auch Softwares, die du neben deiner Website benutzt, um Rechnungen zu erstellen oder deine Arbeitszeit zu erfassen. Bei der Datenschutzstelle von Liechtenstein gibt es Musterverzeichnisse für Unternehmen und Vereine und beim Bayrischen Landesamt für Datenschutzaufsicht welche für Online-Shops und weitere.

Dienste von Dritten

Als Website-Betreiber:in musst du für jeden externen Dienst einen Auftragsverarbeitungsvertrag (AVV) bzw. Data Processing Agreement (DPA) vorweisen. Je nach Anbieter:in ist dies bereits Teil der allgemeinen Geschäftsbedingungen (AGB) oder muss ausdrücklich abgeschlossen werden. Falls der externe Dienst die Daten deiner Website zusätzlich für eigene Zwecke benutzt, wie das bspw. Beispiel Facebook macht, ist eine zusätzliche Absicherung erforderlich. 

Dienste von Dritten für eine Website können zum Beispiel Plugins, Hosting, Email-und Newsletterversand, Analytics, Performancemessung und Video-Konferenzentools sein. Auf der Website webbkoll kannst du kontrollieren, welche Dienste bei deiner Website eingebunden sind (Punkt Third Party).

Ausländische Dienste (Daten-Export)

Wenn du einen Dienst benutzt, der aus dem Ausland – zum Beispiel der USA – kommt und somit die Daten dort verarbeitet werden, nennt man dies Daten-Export und in diesem Fall braucht es ein Standard Contractual Clauses (SCC). Der kann Teil des AVV oder der AGB sein.

Datenschutzerklärung

Die Datenschutzerklärungsseite kann im Footer verlinkt werden. Sie muss in allen Sprachen der Website verfügbar sein.

Die Datenschutzerklärung auf deiner Website muss folgende Informationen enthalten:

• Besitzer:in und Kontaktangaben
• Zwecke der Sammlung von Daten
• Allfällige Empfänger:innen der bearbeiteten Personendaten
• Absicherung des Daten-Exports durch Verträge
• Rechte, die die betroffenen Personen im Zusammenhang mit dem Datenschutz haben

Reaktion bei Auskunftsanfragen von Betroffenen

Wenn sich eine Benutzer:in deiner Webseite betreffend Datenschutz bei Ihnen meldet, musst du innert 30 Tagen reagieren. Die anfragende Person muss vorher identifiziert und die Anfrage sorgfältig geprüft werden.

Bei Datenpannen wie zum Beispiel dem Versand von E-Mails an falsche Empfänger:innen, gelöschten Daten oder einem Ransomware-Angriff, muss oft die Datenschutz-Aufsichtsbehörde für Private und Bundesbehörden in der Schweiz (EDÖB) oder auch die betroffenen Personen notifiziert werden.

Fazit

Es ist eine gute Idee, sich einen Überblick über die gesammelten Daten zu verschaffen. Grundsätzlich ist es weiterhin erlaubt, Personendaten im Zusammenhang mit einer Website zu bearbeiten und man muss fast nie eine Einwilligung der Benutzer:innen einholen. Es besteht zudem in der Schweiz keine Pflicht, Cookie-Banner zu benutzen. Wer sich nicht an die Regeln hält und mit Vorsatz handelt, kann mit Bussen bis zu 250’000 CHF bestraft werden.