Ich muss zugeben, als ich vor rund einem Jahr von der DSGVO hörte war mein erster Gedanke «bin ich froh, dass ich in der Schweiz lebe», so muss ich mich um solchen Schwachsinn nicht kümmern.

Als mir dieses Jahr bewusst wurde, dass die EU-DSGVO sehr wohl auch mich als Schweizer Unternehmerin betrifft, wurde ich zuerst mal panisch. Mir kamen wirklich die merkwürdigsten Gedanken von Geoblocking bis hin zur Aufgabe meiner Tätigkeit als Webdesignerin in den Sinn.

Heute gute 2 Monate später sehe ich dies ruhiger und klarer. Ich informierte mich über die DSGVO und ja ich kann sagen, ich als Schweizer Unternehmerin finde den Grundgedanken der DSGVO gut.

Klar die Umsetzung wird nicht einfach sein und ja es fehlen durchaus viele Informationen. Es sind widersprüchliche Informationen zu finden usw usw. Dies verunsichert und macht unter Umständen auch Angst.

Aber der Grundgedanke personenbezogene Daten zu schützen ist gut. Konkret brachte mich die ganze DSGVO Diskussion dazu, mir mal echte Gedanken über meine Daten/Kundendaten zu machen und musste feststellen das durchaus Handlungsbedarf besteht.

Oft sagt, liest und hört man: «Wir geben keine Daten an Dritte weiter!»

Ganz ehrlich im Prinzip machen wir dies alle und dies auch ständig. Hier ein paar (😉) Daten an Google, dort einige an Facebook, Daten zum Newsletteranbieter, WhatsApp usw usw. Die Liste ist noch viel länger, als man auf den ersten Blick erkennt.

Den heute bedeutet einfach Daten = Macht = Geld

Oder wieso denkst Du, dass immer öfters bei grossen Konzernen wie «jüngst» bei Swisscom Daten geklaut werden?

Sich diesen Datenfluss mal wirklich bewusst zu machen und machbare Schritte einzuleiten, um diese Datenflut einzudämmen, ist doch eine sehr gute Überlegung.

Was ist die DSGVO überhaupt und was ändert sich?

DSGVO oder EU-DSGVO heisst nichts anderes als Datenschutzgrundverordnung. Oft liest man in diesem Zusammenhang auch GDPR, also General Data Protection Regulation.

Egal wie man es nennt, es regelt den Datenschutz. Also es geht um nichts anderes als personenbezogene Daten zu schützen. So gut wie dies halt in unserer Internet lastigen Zeit überhaupt noch möglich ist.

Übrigends tritt die EU-DSGVO am 25. Mai 2018 in Kraft.

Was sind personenbezogene Daten?

Personenbezogene Daten sind z.B.

  • Name, Vorname
  • E-Mail-Adresse
  • Adresse
  • Lokalisierung
  • Online-Kennungen
  • Gesundheitsdaten
  • Einkommen
  • usw.

Gerade auch Online-Kennungen wie z.B. IP-Adressen, Klickverhalten usw. gehören hier dazu. Also etwas was fast jede Website speichert, egal ob direkt bei der Webstatistik vom Webhoster oder z.B. bei externen Anbietern wie Google Analytics.

Dies wirklich zu 100% zu unterbinden ist in meinen Augen mit der heutigen Technik als Websitenbetreiber gar nicht umsetzbar. Denn sobald Du eine Website öffnest, werden solche Daten gesammelt – bevor Du überhaupt die Chance hattest eine Datenschutzerklärung oder einen Cookie Hinweis zu lesen.

Totzdem ist es gut sich mit diesem Thema zu beschäftigen und mindestens alle anderen Personendaten zu schützen und die „Online Kennungen“ so gut wie möglich zu unterbinden. Denn es gibt hier durchaus einige Möglichkeiten und einige Dienste kann man einfach auch ohne schlechtes Gewissen ausschalten.

Was verlangt die DSGVO?

Laut dem schweizerischen KMU Portal für kleine und mittlere Unternehmen «nur» folgende 7 Schritte. Es ist aber nicht so, dass diese Schritte jeweils mit einem Klick erledigt sind. Da kommt einiges an Arbeit auf einem zu. Ich versuche kurz diese Schritte zu erläutern.

1. Informieren und die Einwilligung der betroffenen Person einholen

Wenn Daten gesammelt, gespeichert und verarbeitet werden, dann sollen die betroffenen Personen informiert werden. Eine Einwilligung ist zudem notwendig.

Dies Umzusetzen ist im Übrigen technisch wie oben beschrieben gar nicht so einfach. Informieren geht z.B. auf einer Website mithilfe einer Datenschutzerklärung. Einwilligungen einzuholen sind komplizierter. Vor allem sind hier Juristen sich nicht einig, wie eine solche Einwilligung aussehen sollte. Zur Zeit wird empfohlen bei jedem «Formular» egal ob Newsletter oder Kontaktformular eine Checkbox hinzuzufügen. Zudem die Verwendung von den oft gesehenen „Cookie Hinweisen“.
Ich bin hier ziemlich skeptisch und gespannt wie dies in Zukunft gehandhabt wird.

2. „Privacy by design“ und „Privacy by default“ gewährleisten

Übersetzt heisst Privacy by Design „Datenschutz durch Technikgestaltung“ und Privacy by Default heisst übersetzt „Datenschutz durch datenschutzfreundliche Voreinstellungen“.

Um dies ganz kurz zu machen. Nach meinem Verständnis bedeutet dies nichts anderes als technisch das Mögliche umzusetzen um Daten zu schützen und keine unnötigen Daten abzufragen.

Also z.B. bei einer Newsletter-Anmeldung ist die Abfrage z.B. der Telefonnummer nötig? Wenn nicht raus damit.
Aber auch technische Massnahmen für den Schutz. Dies fängt z.B. bei der Verschlüsselung der Website an und geht weiter zu regelmässigen Updates der Software usw.

3. Einen Vertreter in der EU ernennen

[Update 30.04.2018] Ich verwechselte den Vertreter in der EU immer mit dem Datenschutzbeauftragten. Demzufolge wird dies wie im untenstehenden Angebot „Datenschutzpartner“ wichtig für fast alle CH-Unternehmer sein.

Dies ist ein heikles Thema, welches ich selber noch nicht ganz klar begreife. In der Schweiz lese ich oft, dass jeder einen Datenschutzbeauftragten mit Sitz in der EU braucht.

Aber wenn man die DSGVO liest, dann sieht dies wieder ein wenig anders aus.

„Der Verantwortliche und der Auftragsverarbeiter benennen auf jeden Fall einen Datenschutzbeauftragten, wenn

  1. die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, mit Ausnahme von Gerichten, die im Rahmen ihrer justiziellen Tätigkeit handeln,
  2. die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder
  3. die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht.

Quelle: https://dsgvo-gesetz.de/art-37-dsgvo/“

Also ob ein Vertreter in der EU nun nötig ist, bin ich absolut noch unschlüssig. Ein Punkt, welcher vor allem für sehr kleine Unternehmer schwierig sein wird.

Auch wenn es hier bereits Angebote gibt: https://www.datenschutzpartner.ch/

4. Ein Verzeichnis der Verarbeitungstätigkeiten erstellen

Also es muss ein Verzeichnis geführt werden wo Daten gespeichert und verarbeitet werden. Bei externen Anbietern muss zusätzlich meistens ein Auftragsdatenverarbeitung abgeschlossen werden.

Dies unabhängig ob es sich um Daten von der Website oder interne Daten handelt.

5. Verstösse gegen den Datenschutz an die Aufsichtsbehörde melden

Beispielsweise wenn Daten geklaut werden z.B. über einen «Hackangriff» muss dies der Aufsichtsbehörde innerhalb von 72 Stunden mitgeteilt werden.

6. Eine Datenschutz-Folgenabschätzung durchführen

Wird oft mit dem Verarbeitungsverzeichnis zusammengeführt. Was passiert z.B. wenn Deine Kundendaten gestohlen werden? Was kannst Du dann tun? Wer muss alles informiert werden? Und was sind die Folgen?

7. Bei Verstössen gegen die DSGVO Geldbussen zahlen

Hoffen wir mal nicht, dass dies ein Thema sein wird 😊 Aber es sind Geldbussen bis zu 20 Millionen Euro oder 4% des gesamten weltweit erzielten Jahresumsatzes möglich.

Dies ist genau der Grund weshalb so viele Unternehmen am schwitzen sind.

Quelle dieser 7 Schritte:
https://www.kmu.admin.ch/kmu/de/home/aktuell/monatsthema/2018/datenschutz-in-europa-die-neuen-pflichten-der-unternehmen.html

Betrifft die EU-DSGVO auch Schweizer Unternehmer?

JA, im Prinzip betrifft es jeden Websitenbetreiber!

Die Admin Seite schreibt hierzu folgendes:

„Schweizer Unternehmen müssen sich an die DSGVO halten, wenn sie personenbezogene Daten von natürlichen Personen verarbeiten, die sich in der EU befinden, und falls die Verarbeitung dazu dient:
1. diesen Personen Waren oder Dienstleistungen anzubieten (gegen Bezahlung oder unentgeltlich), oder
2. das Verhalten dieser Personen zu verfolgen, sofern dieses Verhalten in den Mitgliedstaaten der EU erfolgt (Art. 3 Abs. 2 Buchst. a und b DSGVO).“

Der 2. Punkt ist für Websitenbetreiber entscheidend. Den wenn eine Website nicht durch Geoblocking gesperrt ist, ist sie auch automatisch von EU-Personen erreichbar. Werden dann z.B. IP-Adresse und Klickverhalten mit Google Analytics oder der Websitenstatistik via Webhoster gesamelt, dann trifft die DSGVO einen CH-Unternehmer. Ich würde mal behaupten, dies trifft eigentlich auf alle Unternehmer mit einer Website zu.

Aber auch der erste Punkt ist für viele Interessant. Z.B. Newsletter-Marketing mit gratis E-Books. Auch hier können sich Personen aus der EU Eintragen – und zack betrifft Dich die DSGVO schon wieder.

Wir können hier lange diskutieren ob nun ein CH-Unternehmer wirklich unter die DSGVO fällt.
Fakt ist aber, dass gerade eine „Schweizer Version“ zur DSGVO bzw. ein neues Bundesgesetz über den Datenschutz, ausgearbeitet wird und voraussichtlich 2018/2019 in Kraft tritt.

Also was reden wir hier über die EU-DSGVO? Lasst uns einfach in Zukunft personenbezogene Daten besser schützen und bereit sein, sobald die «schweizer Version» der DSGVO eintrifft.

Quelle: https://www.kmu.admin.ch/kmu/de/home/praktisches-wissen/kmu-betreiben/e-commerce/eu-regelung-zum-datenschutz.html

Bringt die DSGVO etwas? Schütz diese die Daten wirklich besser?

Ich bin mir sicher, dass viele Unternehmen so gezwungen werden den Datenfluss zu überdenken. Dies sehe ich als sehr positiv an.
Aber ob Datenschutzerklärungen und Cookie Hinweise wirklich die Daten besser schützen? Entschuldigt bitte dies bezweifle ich ein wenig.

Ohne jetzt abschätzig zu werden, aber in meinen Augen klickt hier ein Durchschnitts-Internet-Benutzer einfach auf den Cookie Hinweis, dass dieser weg ist und gibt 5 Sekunden später seine persönlichen Daten munter auf Facebook bei dubiosen Wettbewerben weiter.

Trotzdem denke ich, dass wir Unternehmer mindestens das Nötige und Mögliche unternehmen sollten um solche Daten zu schützen.

Die Risiken

Die möglichen Bussgelder habe ich oben bereits erwähnt. Das Risiko ist aber hier eher, dass es vor allem in Deutschland sehr lukrativ ist als Abmahnanwalt zu arbeiten. Deine Konkurrenz kann Dich zudem auch abmahnen.

Dies sind in meinen Augen eher die Risiken. Ob es Ende Mai zu einer Abmahnwelle kommt oder nicht, kann ich nicht einschätzen.

Tatsächlich sind einige Dinge gar nicht so einfach umzusetzen. Wie bereits erwähnt sind sich hier auch Juristen unsicher und geben z.T. widersprüchliche Aussagen weiter. Daher denke ich nicht, dass eine 100% datenschutzkonforme Website inkl. interne Prozesse per 25. Mai 2018 möglich ist.

Ich empfehle Dir alles so gut wie möglich umzusetzen und Dich weiterhin und regelmässig zu informieren.
Es hört sich blöd an, aber sobald rechtskräftige Urteile gesprochen werden, werden die Datenschutzverordnungen auch klarer.

In meinen Augen gibt es keinen Grund zur Panik, aber ein Umdenken und ein Handlungsbedarf besteht auf jeden Fall!

Im Bezug der Umsetzung der DSGVO empfehle ich Dir meinen nächsten Artikel „Schritt 1 – mach Dir Deinen Datenfluss bewusst!“

Ich werde hier in den nächsten Wochen und Monaten versuchen mehr über die DSGVO zu schreiben und mich vor allem um Anleitungen für die technische Umsetzung kümmern. Wenn Du bei neuen Artikeln informiert werden willst, dann trage Dich hier in meinem  Newsletter ein.

Newsletter

Mit der Anmeldung bist Du einverstanden, dass ich Dir Newsletter zu den Themen WordPress, AdWords und Online Marketing zusende. Du kannst Dich jederzeit von meinem Newsletter abmelden. Weitere Informationen findest Du in der Datenschutzerklärung.

Ich danke Dir und bleib natürlich und in diesem Fall auch gelassen 😊

Lieber Gruss
Karin

Disclaimer:
Als Webdesignerin darf und kann ich keine Rechtsauskunft geben! Ich schildere in diesem Artikel lediglich mein Verständnis zu diesem Thema.
Ich möchte mit diesem und den folgenden Artikeln meine Sicht der DSGVO weitergeben um Dich zu unterstützen, auch weiterhin eine rechtssichere Website zu betreiben. Wenn Du wirklich 100% rechtssichere Antworten erhalten möchtest, musst Du aber einen Rechtsanwalt kontaktieren.