Inhaltsübersicht:
1. Was ist die EU DSGVO bzw. GDPR?
Es ist das neue Datenschutz Gesetz der EU. Dabei geht es vor allem darum die Verwendung sogenannter "personenbezogener Daten" zu regeln und strenger zu handhaben.
Ausgeschrieben heisst DSGVO Datenschutz-Grundverordnung.
Diese DSGVO ist eine Zusammenstellung von “digitalen Rechten” für EU-Bürger. Die neue Verordnung tritt am 25. Mai 2018 in Kraft.
Die DSGVO betrifft auch Firmen und Vereine in der Schweiz und auch die substantiellen Geldbussen können auf Schweizer Firmen und Vereine angewandt werden.
Auf Englisch nennt sich das Ganze: General Data Protection Regulation als GDPR.
Bitte beachten Sie, dass die Informationen nur zu Informationszwecken dienen und in keiner Weise eine Rechtsberatung darstellen. Jede Haftung wird abgelehnt. Gerne stehen wir für Fragen zur Verfügung.
2. Sind Schweizer Firmen und Vereine von der DSGVO betroffen?
Die DSGVO (GDPR) betrifft nicht nur europäische Unternehmen, sondern auch Schweizer Unternehmen und Vereine bzw. jede Person die mit personenbezogenen Daten zu tun hat die potentiell aus der EU kommen könnten. Also z.B. wenn sie Newsletter an EU-Bürger schicken.
"Wenn sich eine Einzelunternehmerin mit ihrer Website an Personen in der EU richtet und diesen zum Beispiel Freebies wie Newsletter oder Whitepaper anbietet, dann ist die DSGVO in dieser Hinsicht anwendbar." Rechtsanwalt Martin Steiger auf Watson
Die DSGVO gilt also für alle, die mit Daten von EU-Bürgern zu tun haben. Wahrscheinlich also auch für Sie.
Aktuell ist auch ein Schweizer Pendant zur DSGVO, ein neues Bundesgesetz über den Datenschutz, in Ausarbeitung. Als Online-Marketing-Agentur halten wir Sie hier über Neuerungen auf dem Laufenden.
3. Was sind "personenbezogene Daten"?
Personenbezogene Daten oder auf Englisch “Personally Identifiable Information - PII” können alle Informationen sein, die sich auf Personen beziehen, unabhängig davon, ob sie sich diese auf das private, öffentliche oder geschäftliche Leben beziehen.
Personenbezogene oder persönliche Daten sind konkret:
Namen,
Privatadressen,
Fotos,
E-Mail-Adressen,
Bankverbindung,
Social Media Beiträge,
medizinische Daten,
IP-Adressen
und alles dazwischen :)
Durch die DSGVO müssen die Unternehmen sicherstellen, dass die einzelnen Personen die Kontrolle über ihre personenbezogenen Daten besitzen.
Einem Nutzer muss neu die Möglichkeit gegeben werden, nicht nur auf die gespeicherten Daten zuzugreifen, sondern diese auch zu ändern, zu löschen oder einfach exportieren zu können (z.B. Spotify Playlists übertragen auf Deezer und umgekehrt).
4. Wie lange dürfen personenbezogene Daten gespeichert werden?
Sie dürfen personenbezogene Daten nur so lange speichern, wie sie für die Zwecke, für die Sie die Daten speichern, erforderlich sind [Art.5(1)(e)].
Versuchen Sie immer im Hinterkopf zu behalten, wofür Sie die Daten erhalten haben und beachten Sie die zeitliche Begrenzung.
BEISPIEL
Eine Person bewirbt sich mit Lebenslauf und weiteren personenbezogenen Daten. Wenn Sie als KMU eine spezifische Stelle ausgeschrieben hatten, sollten Sie die personenbezogenen Daten, nach einer Absage, baldmöglichst wieder löschen, da eine Speicherung nicht mehr weiter erforderlich ist.
Als Arbeitsvermittlungsagentur dürften Sie vermutlich Lebensläufe länger speichern als ein "normaler" KMU, da Sie die Unterlagen für mehrere Stellen nutzen können. Allerdings ist es auch hier kaum gerechtfertigt, die Personalunterlagen über mehrere Jahre zu speichern, da die Lebensläufe ohnehin nach einiger Zeit veraltet sind.
5. DSGVO Checkliste Schweiz
Sie müssen die Möglichkeit für Opt-out Cookies auf der Website anbieten bzw. erklären wie sich dies umsetzen lässt.
Sie dürfen Cookies (ausser jenen die für die Verwendung der Seite für einen User unverzichtbar sind) erst einsetzen, nachdem der Nutzer die Einstimmung gegeben hat.
Sie benötigen eine genaue/korrekte Datenschutzerklärung auf Ihrer Website. Hier finden Sie Datenschutzerklärung-Generatoren die Ihnen vielleicht helfen können:
Sie sollten für Google Analytics die IP-Adressen Anonymisierung einsetzen. Google Info zur IP-Anonymisierung
Übermitteln Sie keine persönlichen Daten (z.B. via Kontaktformulare) an Google Analytics (GA) oder andere Analyse Tools und Website Tracker. Das wäre entgegen der DSGVO aber könnte auch bei Google Analytics zur Löschung des Accounts führen (da es auch gegen die Google Richtlinien ist). Anleitung zum Überprüfen ob personenbezogene Daten in GA gespeichert werden und und was dagegen getan werden kann.
Limitieren Sie Kontaktformulare auf jene personenbezogenen Daten, die auch wirklich für die Dienstleistung notwendig sind.
Weisen Sie beim Kontaktformular auf Ihre Datenschutzrichtlinien hin. Eine Checkbox ist unseres Erachtens nicht notwendig, wäre aber natürlich aus DSGVO Sicht nicht nachteilig.
Persönliche Daten müssen verschlüsselt und sicher gespeichert und übermittelt werden.
Halten Sie fest, wer Zugriff auch welche Daten hat.
SSL-Websiten sind ein Muss.
Sie benötigen die aktive Einwilligung der Nutzer, um ihnen Newsletter zu senden (passive Einwilligung reicht nicht mehr).
Sie müssen zeigen können, wann und wo jemand für einen Newsletter zugestimmt hat.
Ernennen sie einen Datenschutzbeauftragten (DPO) (nur für Organisationen Pflicht, die mit grösseren Datenvolumen arbeiten, aber auch für kleinere Firmen empfohlen).
Halten Sie Ihren Datenverarbeitungsprozess fest.
Versenden Sie beim Versenden und Empfangen von Mails immer das Verschlüsselungsprotokoll TLS (oder SSL).
Fragen oder Inputs? Schreiben Sie unten in die Kommentare.
6. DSGVO Beurteilung und Vermeidung von Geldbussen
Um die Haftung für Verstösse und Bussgelder zu beurteilen, nehmen Sie eine Bestandsaufnahme aller von Ihnen angefallenen personenbezogenen Daten vor und prüfen Sie diese unter den folgenden 6 Fragen:
Zu welchem Zweck halten Sie diese Daten?
Wie haben Sie die Daten bekommen?
Was war der ursprüngliche Zweck der Beschaffung?
Wie lange wollen Sie diese Daten behalten?
Sind sie sowohl hinsichtlich der Verschlüsselung als auch der Zugänglichkeit sicher?
Teilen Sie die Daten mit Dritten und wenn ja, wofür?
Denken Sie daran, dass Firmen nicht dazu verpflichtet sind, ihre Konformität zu beweisen, aber die GDPR das Recht besitzt, Audits und Inspektionen durchzuführen.
7. Deshalb braucht es die DSGVO
Die DSGVO ist eine gute Nachricht für alle Internetnutzer.
Nutzer beschäftigen sich zunehmend mit der Art und Weise, wie die personenbezogenen Daten verwendet werden - und das zu Recht.
In einer Zeit, in der es immer wieder Nachrichten über unkontrollierte Datenverstösse gibt, geht diese neue Richtlinie auf die Bedenken der Benutzer ein und gibt ihnen Rechte und Pflichten für die Datenverarbeitung. Eine dringend notwendige Verbesserung, nicht nur nach dem jüngsten Facebook-Datenskandal.
Die DSGVO soll den Internetnutzern mehr Schutz und Sicherheit bieten und das Surfen im Internet vereinfachen, was auch für Webseitenbetreiber eine gute Nachricht ist, da so das Vertrauen gestärkt werden kann.
8. Wesentliche Rechte und Pflichten des neuen Datenschutzgesetzes 2018
1. Zugriffsrecht
Das Zugriffsrecht ist ein Recht des Betroffenen. Dies gibt den EU-Bürgern das Recht auf Zugang zu den gespeicherten personenbezogenen Daten und Zugang zu Informationen über die Verarbeitung personenbezogener Daten.
2. Recht auf Löschung
Ein Recht auf Löschung bedeutet, dass die betroffene Person das Recht hat, die Löschung ihrer personenbezogenen Daten aufgrund von einem von mehreren Gründen zu verlangen, einschliesslich der Nichteinhaltung von Artikel 6.1 (Rechtmässigkeit).
3. Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
Jeder hat das Recht, seine personenbezogenen Daten von einem elektronischen Verarbeitungssystem in ein anderes zu übertragen, ohne von den für die Verarbeitung Verantwortlichen behindert zu werden. Ausnahme sind Daten, die ausreichend anonymisiert sind. DGSVO Art. 20 https://dsgvo-gesetz.de/art-20-dsgvo/
4. Pflicht: Datenschutz durch Technikgestaltung - Strenge Datenschutzeinstellungen bei jedem Schritt (Art. 25 DGSVO)
Privatsphäre Einstellungen auf jedem Teil einer Website, sei es durch Formulare, Analysen oder überall dort, wo Benutzerdaten verwaltet oder gespeichert werden, müssen standardmässig auf ein hohes Niveau gesetzt werden. Dies bedeutet, dass der Benutzer keine zusätzlichen Schritte unternehmen muss, um sicherzustellen, dass seine Daten standardmässig privat bleiben.
Der für die Verarbeitung Verantwortliche trifft technische und verfahrenstechnische Massnahmen, um sicherzustellen, dass der gesamte Lebenszyklus der Verarbeitung mit der Verordnung übereinstimmt. Die Verschlüsselung kann personenbezogene Daten aus dem Geltungsbereich der DSGVO herausnehmen. Das bedeutet, dass Daten, wenn sie vollständig verschlüsselt sind, nicht mehr identifizierbar sind und somit nicht mehr in den Anwendungsbereich von DSGVO fallen.
Ver- und Entschlüsselungsvorgänge müssen lokal durchgeführt werden, um sicherzustellen, dass sowohl die Schlüssel als auch die Daten in der Macht des Dateneigentümers liegen, damit die Privatsphäre gewahrt bleibt.
Einige Verschlüsselungstechniken reichen möglicherweise nicht aus, um die personenbezogenen Daten aus dem Geltungsbereich des DSGVO zu entfernen. Die Verantwortlichen sollten die verschlüsselten Daten sorgfältig prüfen und beurteilen, ob die Daten Gefahr laufen, entschlüsselt zu werden, und dabei mögliche zukünftige Technologien berücksichtigen.
5. Pflicht zur Führung von Aufzeichnungen über Aktivitäten
Dies bedeutet, dass Aufzeichnungen über die Datenverarbeitungstätigkeiten geführt werden müssen, die den Zweck der Verarbeitung, die betroffenen Kategorien und die voraussichtlichen zeitlichen Begrenzungen sehr genau beschreiben.
6. Meldepflicht bei Verstössen innerhalb von 72h
Die DSGVO schreibt eine neue Anforderung vor: Verantwortliche müssen der Aufsichtsbehörde ihres Landes jeden Verstoss gegen personenbezogene Daten innerhalb von 72 Stunden nach Kenntnisnahme melden, es sei denn, die Daten wurden anonymisiert oder verschlüsselt. Verstösse, die für eine Person gefährlich sind (Identitätsdiebstahl, Verletzung der Vertraulichkeit usw.), müssen ebenfalls direkt an die betroffenen Personen gemeldet werden.
9. Wer ist Ihr Datenschutzbeauftragter?
Die DSGVO fordert die obligatorische Bestellung eines DPO (Data Processing Officer, dt. Datenschutzbeauftragter) für jedes Unternehmen oder jede Organisation, die grosse Mengen an personenbezogenen Daten speichert oder verarbeitet, sei es für Mitarbeiter, Personen ausserhalb der Organisation oder beides.
Die Datenverarbeitung wird von einem für die Verarbeitungsverantwortlichen geleitet, dessen Haupttätigkeiten die Verarbeitung von Daten ist. Der DPO fordert einen regelmässigen und systematischen Überblick über die betroffenen Daten. Der DPO ist eine fachkundige Person welche die Datenschutzbestimmungen und -praktiken kennen sollte und die Verarbeitungsverantwortlichen unterstützen und überwachen kann, um sicherzustellen, dass sie die DSGVO einhalten.
Der Datenschutzbeauftragte muss in der Lage sein, eine "Einwilligung" (Opt-in) nachzuweisen und sicherzustellen, dass die Einwilligung widerrufen werden kann. Die Identität und Kontaktdaten des für die Verarbeitungsverantwortlichen in Ihrem Unternehmen müssen angegeben werden.
Auch wenn nicht für jede Organisation obligatorisch, so wird ein Datenschutzbeauftragter in den meisten Firmen empfohlen.
10. DSGVO: Höhe der möglichen Geldbussen
Die Geldbussen wurden erhöht. Je nach Vergehen gibt es zwei Stufen von Geldbussen.
Die Höchststrafe für die Nichteinhaltung der DSGVO beträgt 20.000.000 Euro oder bis zu 4% Ihres weltweiten Jahresumsatzes (basierend auf den Zahlen des vorangegangenen Geschäftsjahres), je nachdem, welcher Betrag höher ist.
11. Aktuelles EuGH-Urteil September 2019
Der EuGH hat sich zu 4 sehr wichtigen Fragen geäußert:
Webseitenbetreiber sind neben Facebook immer mit verantwortlich für Datenschutzverstöße.
Die ungefragte Übertragung von Nutzerdaten durch den Facebook Like-Button auf Webseiten verstößt gegen Datenschutzrecht.
Wettbewerbsverbände können Webseiten, die Facebooks Like-Button ohne Einwilligungsmöglichkeit eingebunden haben, kostenpflichtig abmahnen.
Für Cookies, die zu Tracking- oder Werbezwecken gesetzt werden, ist eine echte Einwilligung der Webseitenbesucher nötig. Ein Cookie-Hinweis-Banner reich nicht aus.
12. Fazit
Die DSGVO ist eine gute Nachricht für Privatpersonen und die Öffentlichkeit. Es ist ein weiterer Schritt um die Sicherheit des Internets zu stärken und vor allem die Fairness und den Respekt bei der Verwendung personenbezogener Daten zu fördern.
Für Sie als Schweizer Firma oder Verein, ist es wichtig, dass Sie sich der Pflichten bewusst sind und diese einhalten. Sie können sich einen Anwalt zuziehen um auf Nummer sicher zu gehen und sie können vorgängig die obige DSGVO-Schweiz Checkliste ausdrucken und genau durchgehen.
Fragen und Feedback?
Schreiben Sie Ihre Fragen in die Kommentare und wir werden diese gerne beantworten.
*Indem Sie das Formular absenden, erklären Sie sich damit einverstanden, dass onlineKarma die oben angegebenen persönlichen Daten speichert und verarbeitet, um Ihnen den gewünschten Inhalt zur Verfügung zu stellen: Datenschutzerklärung.