Neues Schweizer Datenschutzgesetz
Ab dem 1. September 2023 wird in der Schweiz ein verschärftes Datenschutzgesetz gelten. Jede:r Website-Betreiber:in sollte sich daher über die neuen Regelungen informieren.
Zusammenfassung des Artikels, welcher bei Cyon als Gastbeitrag von Martin Steiger und Datenschutzpartner erschien.
Nutzung der Daten
Sie sollten eine stets aktuelle Liste aller Orte führen, an welchen Sie Daten speichern, verwenden, verändern, bekanntgeben, archivieren oder löschen. Dies kann zum Beispiel in einem Kontaktformular sein, einem Newsletter den Sie verschicken, Fotos die Sie veröffentlichen aber auch Softwares, die Sie neben Ihrer Website benutzen, um Rechnungen zu erstellen oder ihre Arbeitszeit zu erfassen. Bei der Datenschutzstelle von Liechtenstein gibt es Musterverzeichnisse für Unternehmen und Vereine und beim Bayrischen Landesamt für Datenschutzaufsicht welche für Online-Shops und weitere.
Dienste von Dritten
Als Website-Betreiber:in müssen Sie für jeden externen Dienst einen Auftragsverarbeitungsvertrag (AVV) bzw. Data Processing Agreement (DPA) vorweisen. Je nach Anbieter:in ist dies bereits Teil der allgemeinen Geschäftsbedingungen (AGB) oder muss ausdrücklich abgeschlossen werden. Falls der externe Dienst die Daten ihrer Website zusätzlich für eigene Zwecke benutzt, wie das bspw. Beispiel Facebook macht, ist eine zusätzliche Absicherung erforderlich.
Dienste von Dritten für eine Website können zum Beispiel Plugins, Hosting, Email-und Newsletterversand, Analytics, Performancemessung und Video-Konferenzentools sein. Auf der Website webbkoll können Sie kontrollieren, welche Dienste bei Ihrer Website eingebunden sind (Punkt Third Party).
Ausländische Dienste (Daten-Export)
Wenn Sie ein Dienst benutzen, der aus dem Ausland – zum Beispiel der USA – kommt und somit die Daten dort verarbeitet werden, nennt man dies Daten-Export und in diesem Fall braucht es ein Standard Contractual Clauses (SCC). Der kann Teil des AVV oder der AGB sein.
Datenschutzerklärung
Die Datenschutzerklärungsseite kann im Footer verlinkt werden. Sie muss in allen Sprachen der Website verfügbar sein.
Die Datenschutzerklärung auf Ihrer Website muss folgende Informationen enthalten:
- Besitzer:in und Kontaktangaben
- Zwecke der Sammlung von Daten
- Allfällige Empfänger:innen der bearbeiteten Personendaten
- Absicherung des Daten-Exports durch Verträge
- Rechte, die die betroffenen Personen im Zusammenhang mit dem Datenschutz haben
Reaktion bei Auskunftsanfragen von Betroffenen
Wenn sich eine Benutzer:in Ihrer Webseite betreffend Datenschutz bei Ihnen meldet, müssen Sie innert 30 Tagen reagieren. Die anfragende Person muss vorher identifiziert und die Anfrage sorgfältig geprüft werden.
Bei Datenpannen wie zum Beispiel dem Versand von E-Mails an falsche Empfänger:innen, gelöschten Daten oder einem Ransomware-Angriff, muss oft die Datenschutz-Aufsichtsbehörde für Private und Bundesbehörden in der Schweiz (EDÖB) oder auch die betroffenen Personen notifiziert werden.
Fazit
Es ist eine gute Idee, sich einen Überblick über die gesammelten Daten zu verschaffen. Grundsätzlich ist es weiterhin erlaubt, Personendaten im Zusammenhang mit einer Website zu bearbeiten und man muss fast nie eine Einwilligung der Benutzer:innen einholen. Es besteht zudem in der Schweiz keine Pflicht, Cookie-Banner zu benutzen. Wer sich nicht an die Regeln hält und mit Vorsatz handelt, kann mit Bussen bis zu 250’000 CHF bestraft werden.
