Einleitung
Ab dem 1. September 2023 ist es für Unternehmen Pflicht, die Bearbeitung von Personendaten zu dokumentieren und das datenschutzrechtliche Risiko zu bewerten. Weiter müssen Unternehmen technische und organisatorische Mindestanforderungen erfüllen, um die Datensicherheit zu gewährleisten.
Was sind die wichtigsten Punkte?
Transparenz
Erfüllen Sie die Informationspflichten so sorgfältig und genau wie möglich. Erfassen Sie, wo Sie welche Personendaten erheben, speichern und zu welchem Zweck Sie dies tun.
Link zur Datenschutzerklärung
Auf jeder Website (Privatperson, Verein, Firma etc.) muss eine Datenschutzerklärung vorhanden sein. Ein entsprechender Link auf diese Seite muss gut sichtbar von jeder Seite und Unterseite erreichbar sein. (z.B. im Footer)
Externe Datenverarbeiter
Wenn die Website keine Besucher oder Kunden aus dem EU-Raum anspricht, kein Google Analytics und weitere US-Dienste verwendet, muss weder ein Cookie Hinweis noch ein Cookie-Popup-Banner vorhanden sein. In der Schweiz ist es nicht nötig, eine Einwilligung einzuholen. (Ausnahme: Besonders schützenswerte Personendaten)
Datenverarbeitungsverzeichnis
Ein Datenverarbeitungsverzeichnis oder Inventar hilft auch bereits schon Firmen unter 250 Mitarbeiter, Ordnung und Transparenz über die Daten zusammenzufassen.
Verantwortung
Die Verantwortung liegt beim Betreiber der Website, also dem Besitzer.
Aktualität
Eine Datenschutzerklärung muss grundsätzlich jederzeit aktuell und gültig sein. Deshlab empfiehlt es sich, diese regelmässig zu prüfen und bei Bedarf anzupassen.
Datensicherheit
Implementieren und dokumentieren Sie die technischen und organisatorischen Sicherheitsmassnahmen (TOM), die Sie zum Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von Personendaten einsetzen.
Vorbereitung auf Fragen und Situationen
Planen Sie das Vorgehen, damit rasch auf Fragen und spezielle Situationen – wie beispielsweise auf Datensicherheitsvorfälle oder wenn ein Kunde seine Daten löschen möchte – reagiert werden kann. Im Falle einer Datenpanne muss das EDÖB informiert werden.
[Diese Liste ist nicht abschliessend]
Häufig gestellte Fragen
Wo finde ich das Bundesgesetz über den Datenschutz?
Das Bundesgesetz über den Datenschutz mit all seinen Artikel finden Sie unter folgendem Link:
Wo finde ich passende Informationen von meinem Hoster?
https://www.hostpoint.ch/hostpoint/kontakt-agb.html#datenschutz
Hoststar:
https://www.hoststar.ch/de/datenschutz
Infomaniak:
https://www.infomaniak.com/de/agb/datenschutzrichtlinien
Cyon:
https://www.cyon.ch/ueber-cyon/datenschutz
https://www.cyon.ch/blog/neues-datenschutzgesetz-schweiz
Metanet:
https://www.metanet.ch/de/ueber-metanet/datenschutzerklaerung
Was ist ein Auftragsverarbeitungsvertrag AVV?
Bei der Weitergabe von personenbezogen Daten an einen Auftragsverarbeiter muss die Verarbeitung auf Grundlage eines Vertrags zwischen dem Verantwortlichen und dem Auftragsverarbeiter erfolgen. Der Auftragsverarbeitungsvertrag (AVV) oder auf englisch Data Processing Agreement (DPA) regelt die Rechte und Pflichten von Auftraggeber und Auftragnehmer und nach Bedarf Subdienstleister.
Was gehört in die Datenschutzerklärung?
Typischerweise müssen in einer Datenschutzerklärung für eine Website folgende Punkte deklariert werden, wenn sie verwendet werden:
Kontaktformular
Sofern ein Kontaktformular oder eine ähnliche Kontaktmöglichkeit eingebunden ist, muss der Nutzer darüber informiert werden, was mit seinen Daten, die er darüber bekanntgibt, genau gemacht wird (wahrscheinlich die Bearbeitung seiner Anfrage und die Kontaktaufnahme seitens Ihres Unternehmens).
Newsletter
Oft ist es möglich, sich über eine Maske auf der Website für einen Newsletter oder ähnliche Marketingkommunikation anzumelden, wobei der Abonnent mindestens seinen Namen und seine E-Mail-Adresse bekanntgibt. Hier muss beachtet werden, dass der Abonnent auch noch über eine Abmeldemöglichkeit informiert werden muss (dies ist keine Vorgabe des Datenschutzes, sondern von Art. 3 Abs. 1 lit. o des Bundesgesetzes über den unlauteren Wettbewerb).
Cookies
Auch wenn Ihre Website nur informativen Charakter hat, werden in der Praxis meist Cookies oder ähnliche Tracking-Technologien eingesetzt, mittels derer zumindest IP-Adressen oder ähnliche «Identifier» erhoben werden, welche Personendaten enthalten könnten.
Drittdienste
Werden Drittdienste eingebunden, z. B. Trackingtools wie Google Analytics oder Social-Media-Pixel, muss darüber informiert werden, welche Personendaten an Dritte übermittelt werden und für welche Zwecke. Fliessen dabei Daten ins Ausland (was eigentlich immer der Fall sein dürfte), muss darüber auch informiert werden. In der Schweiz ist dies zukünftig sogar ausdrücklich über das Empfängerland erforderlich. Für gängige Drittdienstleister wie Google, Facebook, Twitter etc. findet man im Internet Standardformulierungen. Diese können zwar genutzt werden, prüfen Sie diese aber dennoch kritisch und nehmen Sie notwendige Anpassungen vor.
[Diese Liste ist nicht abschliessend]
Welche typischen Fehler sollte ich in der Datenschutzerklärung vermeiden?
Datum
Ein Datum sollte nicht angegeben werden. Denn die Datenschutzerklärung muss jederzeit up-to-date sein, deshalb ist es kontraproduktiv, wenn man ein Datum erfasst.
Falschinformation
Was deklariert wird, gilt. So ist es nicht ratsam, möglichst viel Informationen reinzupacken. Es ist strafbar wenn man vorsätzlich die Informationenpflicht nicht einhält oder etwas verspricht was man gar nicht einhalten kann. Wenn zum Beispiel die Datenschutzerklärung erwähnt, man berufe sich auf die DSGVO, dann unterstellt man sich dieser Verordnung automatisch.
Cookie-Hinweis oder Cookie-Banner?
Sofern man nach Europäischem Recht Kunden ansprechen will (weil man Produkte/Dienstleistungen auch Personen aus der EU anbietet), muss auf jeden Fall ein Cookie Banner zur Einwilligung eingeblendet werden, um der DSGVO nachzukommen. Cookies dürfen erst gespeichert werden, nachdem der Benutzer zustimmt. Der benutzer muss jederzeit die Einstellung anpassen/widerrufen können.
Cookie Hinweis
Ein Hinweis als Information, meist am unteren Bildrand, welcher über die Notwendigkeit von Cookies informiert und auch Direktlinks zu Impressum & Datenschutzerklärung trägt.
Cookie-Banner Plugin
Ein unübersehbares Fenster, welches dem Besucher die Gelegenheit gibt, sämtliche Cookies und Technologien zu akzeptieren oder auch abzulehnen. Ebenfalls sind Direktlinks zum Impressum & Datenschutzerklärung gegeben.
Wo bekomme ich den Cookie-Banner?
Kontaktieren Sie uns oder erwerben Sie das WordPress Plugin direkt über diesen Link.