Per 01. September 2023 traten das revidierte Schweizer Datenschutzgesetz (DSG) und die neue Datenschutzverordnung (DSV) in Kraft. Details zum gesamten Prozess zur Stärkung des Datenschutzes und eine Übersicht der Änderungen findest du auf der Website des Bundesamtes für Justiz. Mit dem neuen Gesetz sollen zukünftig die persönlichen Daten besser geschützt werden – absolut notwendig, wenn man bedenkt, dass das aktuelle Datenschutzgesetz noch aus dem Jahr 1992 stammt, als die Online-Datenverarbeitung noch ganz leise Zukunftsmusik war.
So sinnvoll und notwendig das neue Gesetz auch ist, es wirft auch viele Fragen auf: Bin ich von diesem neuen Gesetz betroffen und falls ja, was muss ich tun? Wir beantworten die wichtigsten Fragen und haben natürlich auch Lösungen für allfällige Probleme parat.
Wer ist vom neuen Datenschutzgesetz betroffen?
Alle, die Personendaten bearbeiten. Damit sind Unternehmen, Vereine und auch Privatpersonen betroffen, sobald die Datenbearbeitung über den persönlichen Gebrauch (Familie, Freundeskreis) hinausgeht. Da eine Website grundsätzlich für die Öffentlichkeit zugänglich ist, bearbeitest du als Websitebetreiber potenziell immer Personendaten und bist somit in jedem Fall betroffen.
Was sind Personendaten?
Personendaten sind alle Informationen, die sich auf eine bestimmte natürliche Person beziehen – neben dem Namen und Adressdaten kann dies auch eine IP-Adresse sein. Sobald diese Daten beschafft, gespeichert, verwendet, aufbewahrt, verändert oder auch gelöscht werden, gilt dies als Bearbeitung und das neue DSG greift.
Wann darf ich Personendaten bearbeiten?
Grundsätzlich sind bisher zulässige Datenbearbeitungen auch weiterhin in Ordnung. Wichtig ist, dass Personendaten nur zu dem Zweck bearbeitet werden dürfen, zu dem sie erhoben worden sind. Zu einem anderen als dem ursprünglichen Zweck dürfen die Daten nur dann verwendet werden, wenn entweder ein überwiegendes privates oder öffentliches Interesse besteht (zur Vertragserfüllung) oder wenn die betroffene Person aktiv einwilligt.
Sobald die Daten für den Zweck nicht mehr erforderlich sind, müssen diese umgehend gelöscht oder anonymisiert werden.
Was gehört in die Datenschutzerklärung?
Irgendwie musst du deine Website-Besucher informieren, welche Daten du erhebst und wozu diese verwendet werden. In der Regel ist dies mit einer Datenschutzerklärung am einfachsten. Diese sollte in jedem Fall einfach auffindbar sein und wird normalerweise auf jeder Seite im Footer platziert.
Wichtig ist, dass du die Besucher über alle von dir getätigten Datenbearbeitungen informierst. Dabei sind auch externe Dienste, auf welche deine Seite zugreift, zu berücksichtigen.
Wenn du Daten ins Ausland bekannt gibst (z.B. an eine in deiner Webseite eingebaute Software), musst du sicherstellen, dass das Land über ein angemessenes Datenschutzniveau verfügt. Sofern dies nicht gegeben ist, müssen zusätzliche Massnahmen (z.B. die Verpflichtung zur Einhaltung der Standardvertragsklauseln) ergriffen werden.
Weiter solltest du mit allen Dienstleistern, welche Zugriff auf die Daten deiner Nutzer haben, einen Auftragsbearbeitungsvertrag abschliessen. Dies betrifft natürlich auch uns als deinen Webhoster: Deinen persönlichen Auftragsbearbeitungsvertrag kannst du in deinem myhosttech Kundencenter herunterladen.
Deine Aufgabe ist es, die Datensicherheit deiner Besucher zu gewährleisten. Stelle beispielsweise sicher, dass innerhalb deiner Organisation nur Personen Zugriff auf die Personendaten haben, die diesen wirklich benötigen und sorgfältig damit umgehen. Weiter gibt es eine ganze Reihe technischer Massnahmen, die du einfach umsetzen kannst (z.B. ein SSL Zertifikat und die Nutzung von DNSSEC). Setze diese Massnahmen um und beschreibe sie in der Datenschutzerklärung.
Deine Website Besucher haben das Recht, jederzeit Auskunft über ihre bei dir gespeicherten personenbezogenen Daten zu erhalten. Weiter können Sie die Daten auch jederzeit durch dich korrigieren oder löschen lassen (ausser natürlich es gibt Gründe, die gegen eine Datenlöschung sprechen). Informiere die Besucher über ihre Rechte und teile ihnen mit, wer für diese Auskünfte zuständig ist.
Was muss ich sonst noch beachten?
Jede Webseite verwendet Cookies. Diese dienen ganz unterschiedlichen Zwecken, sind aber teilweise elementar für die Nutzbarkeit der Webseite.
Wichtig ist, dass du deinen Besuchern erklärst, weshalb die Seite Cookies setzt.
Neu müssen sämtliche Voreinstellungen (z.B. im Cookie Banner) möglichst datenschutzfreundlich gewählt werden. Standardmässig sollten also nur technisch wirklich notwendige Cookies gespeichert werden. Diese Regel gilt noch für viele weitere Bereiche deiner Webseite – stelle dir hier immer die Frage, ob du noch mehr Daten für deine Kunden anonymisieren kannst.
Muss ich auf meiner Website Creator Seite etwas ändern?
Unsere Entwickler haben für den Website Creator ein Cookie-Banner programmiert, welches die neusten Anforderungen erfüllt. Wenn du bisher bereits einen Datenschutzhinweis auf deiner Website Creator Seite aktiviert hast, wird dieser inhaltlich übernommen und durch die neu vorgeschriebenen Einstellungsmöglichkeiten für Website-Besucher ergänzt. Nach dem nächsten Veröffentlichen erscheint das neue Cookie-Banner auf deiner Seite. Willst du es sofort aktivieren, musst du also einfach deine Seite einmal neu veröffentlichen. Du kannst dein Cookie-Banner in den Einstellungen auch weiterhin individuell anpassen.
Hast du bisher noch keinen Hinweis aktiviert, musst du diesen in den Einstellungen deiner Website Creator Seite noch aktivieren. Eine Erklärung dazu findest du in unseren FAQ.
Bitte beachte, dass dieser Blogbeitrag einen kleinen, uns relevant erscheinenden Auszug aus dem neuen DSG beschreibt. Dieser ist weder vollständig noch ersetzt er den Rat eines Anwalts. Im Zweifelsfall empfehlen wir dir, deinen ganz speziellen Anwendungsfall rechtlich prüfen zu lassen, damit du auf der sicheren Seite bist.