Dank der Drohung mit hohen Bussen hat die EU den Datenschutz zum Thema in den Chefetagen von Unternehmen und in den Medien gemacht. Zwar ist kaum damit zu rechnen, dass die EU-Datenschutzbehörden als Erstes Schweizer Unternehmen mit hohen Bussen belegen werden, aber es ist trotzdem mit Unannehmlichkeiten wie etwa mit Warnungen oder Aufforderungen von Behörden (z.B. Löschungsbegehren nachzukommen) zu rechnen, wenn man sich nicht auf die neuen Anforderungen einstellt. Abgesehen davon, befindet sich auch das Schweizer Datenschutzgesetz in Revision und dürfte in den nächsten zwei Jahren vergleichbare Regeln bringen.
Der verantwortungsvolle Umgang mit personenbezogenen Daten ist eine wichtige Voraussetzung für das Vertrauen der Nutzer. Unabhängig von der Anwendbarkeit der DSGVO im Einzelfall lohnt es sich daher, die Privatsphäre der Nutzer sowie die Datensicherheit ernst zu nehmen.
Bin ich betroffen?
Diese Frage muss jeder Betreiber einer Website selbst für sich beantworten. Wir können dir jedoch Indikatoren dafür nennen, um dich bei der Beantwortung dieser Frage zu unterstützen. Die Verordnung stützt sich auf das sogenannte Marktortprinzip. Entsprechend spielt es für die Frage nach der Betroffenheit keine Rolle, ob der Anbieter der Website seinen Sitz ausserhalb der EU hat oder nicht. Der Marktort im Internet ist dort, wo der Besucher sich das Angebot resp. die Website anschaut (mit dem Smartphone am Flughafen Frankfurt, auf dem Laptop im TGV von Paris nach Zürich etc.).
Die DSGVO kommt insbesondere dann zur Anwendung, wenn Angebote aus der Schweiz sich an Endkunden in der EU richten oder wenn Schweizer Anbieter das Nutzungsverhalten von Endkunden in der EU analysieren. Hingegen bewirkt die (passive) Abrufbarkeit eines Online-Angebots aus der EU noch nicht die Anwendbarkeit der DSGVO. Ein anderes weitverbreitetes Missverständnis besagt, dass die DSGVO bereits dann zur Anwendung kommt, wenn eine betroffene Person aus der EU stammt.
Mögliche Indikatoren für die Anwendbarkeit der DSGVO sind zum Beispiel die Angabe von Produktpreisen in verschiedenen Währungen (z. B. CHF und Euro), ein Anfahrtsplan aus dem Ausland, Hinweise auf Liefergebühren ins Ausland oder die Angabe einer Telefonnummer mit internationaler Vorwahl. Die Verordnung ist in diesem Fall relativ unspezifisch gehalten und es fehlen Präzedenzfälle, welche eine klare Linie zeigen würden.
Im Zweifelsfall empfehlen wir dir, bis auf Weiteres davon auszugehen, von der DSGVO betroffen zu sein und entsprechende Massnahmen zu ergreifen.
Was muss ich tun?
Kommt die DSGVO zur Anwendung, ist die Verarbeitung von personenbezogenen Daten nur dann gestattet, wenn ein Rechtfertigungsgrund vorliegt. Die DSGVO kennt insgesamt sechs verschiedene Rechtfertigungsgründe, wobei die Zustimmung des Nutzers den am meisten diskutierten und am häufigsten verwendeten Rechtfertigungsgrund darstellt.
Eine rechtsgültige Zustimmung gemäss den Regeln der DSGVO zu erlangen, ist aber nicht ganz einfach: Die Zustimmung ist nur dann gültig, wenn du nach angemessener Information freiwillig und explizit (in Bezug auf einen oder mehrere Zwecke) erteilt wurde und jederzeit widerrufbar ist. In vielen Fällen sind Nutzer mit den vielen Informationen überfordert und wollen davon gar nichts wissen. Häufig vergessen wird, dass auch das legitime Geschäftsinteresse als Rechtfertigungsgrund gilt. Dabei ist aber sorgfältig zwischen den eigenen Interessen und jenen der Nutzer abzuwägen. In den meisten Fällen gewerblicher Nutzung von personenbezogenen Daten dürfte dieser Rechtfertigungsgrund sich besser eignen als die Zustimmung. Auch die Vertragserfüllung gilt als Rechtfertigungsgrund, ebenso wie die gesetzliche Pflicht oder Abwehr eines Nachteils vom Betroffenen.
Unabhängig vom Rechtfertigungsgrund darfst du nur diejenigen personenbezogenen Daten erheben und verarbeiten, welche zum Erreichen des Ziels tatsächlich notwendig und deshalb gerechtfertigt sind. Bei einem Online-Shop kann dies zum Beispiel die Postadresse und das Geburtsdatum sein. Die Religionszugehörigkeit ist aber zum Beispiel für den Kauf einer Flasche Wein nicht massgebend. Diese Information zu verlangen oder zu speichern, wäre daher im Sinne der DSGVO als nicht gerechtfertigt anzusehen.
Sobald du eine Übersicht über die von dir verarbeiteten Daten und die Art der Verarbeitung hast, musst du diese dokumentieren (Datenverarbeitungsverzeichnis). Im Fall einer Untersuchung musst du dieses Dokument vorlegen können.
Zudem steht es jeder Person offen, bei dir Einsicht über die zu ihr verarbeiteten Daten sowie deren Verwendungszweck zu verlangen, soweit nicht eigene höhere Interessen einer Offenlegung entgegenstehen.
Sollten mehrere Personen auf diese Daten Zugriff haben (z. B. Webmaster, Mitarbeiter, externe Partner etc.), so müssen diese ebenfalls dokumentieren und belegen, dass diese Personen einen berechtigten Grund zur Arbeit mit diesen Daten haben.
Auch Schutzmassnahmen (Virenschutz, Lagerung von Daten, Schutz vor unbefugtem Zugriff etc.) müssen zweckmässig und dokumentiert sein.
Grundregel: Die Verantwortung für die Einhaltung der regulatorischen Anforderungen liegt immer bei demjenigen, der personenbezogene Daten erfasst und verarbeitet, sprich typischerweise beim Betreiber der Website, der von seinen Besuchern und Kunden Daten verarbeitet.
Der Auftragsdatenverarbeitungsvertrag
Fast jede Online-Plattform lässt gewisse Datenverarbeitungen durch Dritte vornehmen. So speichern wir als Hosting-Dienstleister die Daten (nicht nur personenbezogene Daten) unserer Kunden. Verantwortlich für die rechtmässige Erhebung und Verarbeitung der Personendaten bleibt der Kunde. Hostpoint ist ein sogenannter Auftragsverarbeiter. In dieser Funktion unterstützen wir unsere Kunden bei der Wahrnehmung ihrer Verantwortung. Die gegenseitigen Verantwortlichkeiten müssen nach der DSGVO schriftlich vereinbart werden. Wenn die DSGVO zur Anwendung kommt, ist daher zwischen Kunde und Hostpoint ein Auftragsdatenverabeitungsvertrag (ADV-Vertrag) abzuschliessen. Wir stellen einen solchen in unserem Control Panel zur Verfügung – unabhängig davon, ob eine gesetzliche Pflicht zum Abschluss eines solchen Vertrags besteht oder nicht. Du kannst diesen Vertrag zudem in deinem Control Panel unter Admin -> Verträge jederzeit einsehen.
Kann mich Hostpoint rechtlich unterstützen?
Hostpoint kann im Rahmen seiner Tätigkeit als Internet Service Provider keine verbindliche rechtliche Beratung anbieten. Wir versuchen unser Möglichstes, um dich als unseren Kunden nach bestem Wissen und Gewissen zu informieren und Hilfestellungen zu geben. Dies ersetzt jedoch nicht die Konsultation eines legitimierten Rechtsberaters.
Ich möchte mich im Detail informieren
Es gibt inzwischen unzählige Artikel im Internet, welche in jedem möglichen Umfang darüber berichten sowie viele verschiedene Einschätzungen und Interpretationen der DSGVO und deren Auswirkungen. Bedenke bei eigenen Recherchen jedoch, dass die Rechtslage von grosser Unsicherheit geprägt ist und es noch keine Hinweise zu der tatsächlichen Auslegung und Rechtsprechung durch die Gerichte gibt.
Einige relevante Links möchten wir dir dennoch nicht vorenthalten:
DSGVO im Originaltext: https://dsgvo-gesetz.de
Stellungnahme des EDÖB: https://www.edoeb.admin.ch/edoeb/de/home/dokumentation/datenschutz/Datenschutz%20-%20International/DSGVO.html
Haftungsausschluss
Dieser Beitrag wurde aufgrund aktueller Kenntnisse und Literatur zusammengestellt. Selbst die fachlichen Meinungen von Experten gehen teilweise noch weit auseinander. Die Fragen und Antworten sind somit noch nicht abschliessend geklärt und für die Schweiz zusätzlich das revidierte Datenschutzgesetz zählen wird. Für die Richtigkeit und dessen Vollständigkeit können wir keine Haftung übernehmen. Jeder Betreiber muss sich individuell mit dem Thema auseinandersetzen und vermutlich einen Rechtsexperten beiziehen.
