Die DSGVO ist da: Das sollten cyon-Kunden wissen
Inhaltsverzeichnis
- DSGVO: Eine gute Sache
- Ist meine Website von der DSGVO betroffen?
- Wie mache ich meine Website DSGVO-konform?
- ADV-Vereinbarung?
- Auftragsverarbeiter in die Datenschutzerklärung
- Cookies und die DSGVO?
- WHOIS-Privacy: Wie weiter?
- Schweizer Datenschutzrecht wird überarbeitet
- Weitere Hilfestellungen zum Thema DSGVO
Am 25. Mai 2018 ist es soweit: Die in den vergangenen Wochen im Netz viel diskutierte Datenschutzgrundverordnung der EU (DSGVO oder im Englischen GDPR) gilt nach einer zweijährigen Übergangsphase. Mit den neuen Bestimmungen erhalten Personen in der EU mehr Kontrolle über ihre Personendaten, Unternehmen werden stärker in die Verantwortung genommen und Datenschutzbehörden in ihrer Rolle gestärkt. Wir zeigen, was sich für Sie als cyon-Kunde oder Besucher unserer Website mit der DSGVO ändert.
DSGVO: Eine gute Sache
Datenschutz war uns schon immer wichtig. So verfolgen wir den Ansatz der Datensparsamkeit und geben Kundendaten nur in zwingend nötigen Ausnahmefällen an Dritte weiter. Deshalb begrüssen wir die Dynamiken, die die DSGVO ins Rollen gebracht hat, auch wenn zum Start noch ein paar Unsicherheiten bestehen und noch die Rechtssprechung der Gerichte abzuwarten ist.
Ist meine Website von der DSGVO betroffen?
Die kurze Antwort: Vermutlich ja. Wie so oft steckt der Teufel im Detail und Details gibt es in der 99 Artikel starken Verordnung einige. Rechtsanwalt Martin Steiger formuliert es in seinem Gastbeitrag in unserem Blog «Websites in der Schweiz: Rechtskonforme Cookies im Einklang mit der neuen EU-Datenschutz-Grundverordnung» so:
Im Zweifelsfall sollten sie daher davon ausgehen, dass Ihre Website von der DSGVO betroffen ist. Eine Beratung durch eine juristische Fachperson ist, wie immer bei rechtlichen Themen, empfohlen.
Wie mache ich meine Website DSGVO-konform?
Als erstes sollten Sie prüfen, ob Sie mit Ihrer Website in irgendwelcher Form personenbezogene Daten verarbeiten:
Haben Sie Plugins für Ihr Content-Management-System installiert, die mit externen Diensten kommunizieren? Nutzen Sie Social-Media-Plugins wie einen Facebook-Pixel? Erfassen Sie personenbezogene Daten mit einem Formular? Oder schicken Sie Ihren Kunden einen Newsletter? All das sind Fragen, die Sie sich stellen sollten.
Sobald klar ist, mit welchen Teilen Ihrer Website personenbezogene Daten verarbeitet werden, stellt sich die Frage, ob die Verarbeitung dieser Daten eine der 6 Bedingungen in Artikel 6 der DSGVO erfüllt. Ist auch diese Frage geklärt, sollten Sie Ihrer Website eine DSGVO-konforme Datenschutzerklärung spendieren. Eine praktische Vorlage bietet das Datenschutz Self Assessment Tool DSAT der beiden Schweizer Anwälte David Rosenthal und David Vasella. Hilfreich ist auch der Datenschutz-Generator.de, welcher von Privatpersonen und Kleinunternehmern kostenlos genutzt werden kann.
ADV-Vereinbarung?
Wenn die DSGVO bei Ihrer Website zur Anwendung kommt, können Sie mit uns eine Vereinbarung zur Auftragsdatenverarbeitung (ADV-Vereinbarung) abschliessen. Eine solche Vereinbarung ist in Artikel 28 der DSGVO geregelt und klärt die Zuständigkeiten zwischen uns als Auftragsverarbeiter und Ihnen als Verantwortlichen.
Der Abschluss dieser Vereinbarung ist mit einem Klick erledigt. Sie finden die ADV-Vereinbarung in Ihrem my.cyon-Konto im Menü «Meine Daten» im Abschnitt «Vereinbarung zur Auftragsdatenverarbeitung». In Ihrem my.cyon-Konto wird Ihnen nach erfolgtem Abschluss das Datum angezeigt.
Wir empfehlen: Drucken Sie die Vereinbarung und die Seite «Meine Daten» aus und legen Sie die Dokumente zu Ihren Akten.
Auftragsverarbeiter in die Datenschutzerklärung
Die verwendeten Auftragsverarbeiter sollten in der oben erwähnten Datenschutzerklärung Ihrer Website aufgeführt werden. Damit gehört auch ein Hinweis auf die beim Webhosting-Provider verarbeiteten Daten in die Erklärung. Vielfach geht nämlich vergessen, dass auch ohne Zutun des Website-Betreibers Daten protokolliert werden. Während wir zwar keine Cookies oder direkt andere Daten von Website-Besuchern sammeln, loggen unsere Webserver bei jedem Zugriff bestimmte technische Daten.
Den folgenden Textabschnitt können Sie als cyon-Kunde in Ihrer Datenschutzerklärung verwenden. Der Abschnitt beschreibt Informationen, die von unseren Webservern protokolliert werden und gibt DSGVO-konform darüber Auskunft.
Cookies und die DSGVO?
Cookies, also die kleinen Textdateien, die überall im Web für die Speicherung von Einstellungen oder das Tracking von Besuchern verwendet werden, sind ebenfalls von der DSGVO betroffen. Rechtsanwalt Martin Steiger hat dazu einen ausführlichen Gastbeitrag in unserem Blog verfasst: Websites in der Schweiz: Rechtskonforme Cookies im Einklang mit der neuen EU-Datenschutz-Grundverordnung
Stellen Sie sich für die verwendeten Cookies die folgenden Fragen:
- Gibt es ein berechtiges Interesse an der Cookie-Verwendung?
- Ist die Cookie-Verwendung erforderlich um das berechtigte Interesse zu wahren?
- Überwiegen die Interessen der Website-Anbieter die Interessen der betroffenen Personen am Schutz ihrer Daten?
Martin Steiger schreibt dazu:
WHOIS-Privacy: Wie weiter?
Zu einem Hosting gehört eine Domain, ohne Adresse geht schliesslich nichts. Auch auf die Verwaltung von Domains hat die DSGVO Einfluss. Insbesondere auf das «Telefonbuch» von Domainnamen, den sogenannten WHOIS-Datenbanken. In den WHOIS-Datenbanken sind Kontaktdaten zu einem Domainnamen erfasst und öffentlich einsehbar. Während bis anhin das Ausmass der einsehbaren Daten je nach Domainendung stark variiert hat und bei einzelnen Domainendungen ein kostenpflichtiger WHOIS-Privacy-Dienst nötig war, um Angaben wie die E-Mail-Adresse oder Telefonnummer vor Spammern zu schützen, bringt die DSGVO hier automatisch Linderung. Die Registerbetreiber sind dazu übergangen nur noch ganz wenige Informationen in der WHOIS-Datenbank uneingeschränkt einsehbar zu machen. Damit wird Spammern erfolgreich ein Riegel geschoben, die bis anhin verbotenerweise die WHOIS-Datenbanken automatisiert nach E-Mail-Adressen abgegrast hatten.
Übrigens: Für .ch-Domains waren und sind E-Mail-Adressen und Telefonnummern nie in den WHOIS-Daten sichtbar.
Schweizer Datenschutzrecht wird überarbeitet
Auch das Schweizer Datenschutzgesetz (DSG) befindet sich zurzeit in Revision. Ein Entwurf wurde im Herbst 2017 präsentiert. Geplant war, das neue Gesetz bis August 2018 einzuführen, zurzeit wird die neue Version aber noch im Parlament behandelt. Das neue DSG wird sich nach Expertenmeinungen in vielen Teilen an die DSGVO anlehnen. Wer jetzt seine Website DSGVO-konform betreibt, dürfte für das neue Schweizer Datenschutzgesetz damit wertvolle Vorarbeit geleistet haben.
Weitere Hilfestellungen zum Thema DSGVO
Die Anzahl Inhalte zum Thema DSGVO ist in den vergangenen Wochen förmlich explodiert. Korrekte Informationen zur neuen Verordnung zu finden, das ist dadurch sicher nicht einfacher geworden. Gute Anlaufstellen für Informationen rund um die DSGVO sind, wie wir finden, die Themenseite des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB), der Blog der Kanzlei Vischer oder der Blog der Kanzlei Dr. Schwenke. Kennen Sie weitere gute Links? Oder haben Sie Fragen zur DSGVO? Hinterlassen Sie uns einen Kommentar.
Hinweis: Für Abklärungen im Einzelfall, bei Unklarheiten und im Zweifelsfall empfiehlt sich die Beratung durch eine Fachperson wie beispielsweise einen Rechtsanwalt.
Bereit für den Wechsel?
Wechsle jetzt zu cyon für ein souveräneres und nachhaltigeres Internet.
Beteilige dich an der Diskussion
42 Kommentare
Hallo zusammen
Ich habe den DSVGO Generator von hier verwendet: https://www.swissanwalt.ch/datenschutz-generator.aspx
Ich bin aber verunsichert ob dieser ok ist? Kennt diesen jemanden und deckt dieser die DSVGO auch in guter Qualität ab?
Gibt es schon französische Vorlagen oder Generatoren für eine Datenschutzerklärung – möglichst korrespondierend mit dem deutschen Pendant? Italienisch wäre auch nicht verkehrt – viersprachige Websites sind in der Schweiz ja keine Seltenheit mehr.
Mir sind aktuell keine Vorlagen oder Generatoren für Datenschutzerklärungen in französischer oder italienischer Sprache bekannt. Das Datenschutz Self Assessment Tool bietet neben einer deutschsprachigen auch eine englischsprachige Vorlage an: http://dsat.ch/download/
Noch eine Frage zur ADV: als Web-Agentur verwalten wir über unseren my.cyon Konto zig Websites. Somit habe ich aber unter «Meine Daten» nur die Möglichkeit, die ADV zwischen uns und Cyon zu erstellen, aber eigentlich müsste diese Vereinbarung ja zwischen unseren Kunden (die Vertragspartner von Cyon) und Cyon abgeschlossen werden?
Danke für die Frage, Lukas. Die im my.cyon abgeschlossene ADV-Vereinbarung gilt jeweils für alle Hosting-Produkte, für die der entsprechende Kontakt als Halter eingetragen ist. Haben Eure Kunden ein eigenes my.cyon-Konto und sind damit als Halter für das entsprechende Webhosting eingetragen, können sie direkt die Vereinbarung mit uns abschliessen. Falls Ihr als Web-Agentur als Halter fungiert (was übrigens bei einem Agencyserver automatisch der Fall ist) könnt Ihr Euren Kunden eine eigene Vereinbarung anbieten. Da könnt Ihr Euch gerne bei unserer Vereinbarung inspirieren lassen. Wie immer gilt: Für Abklärungen im Einzelfall, bei Unklarheiten und im Zweifelsfall empfiehlt sich die Beratung durch eine Fachperson wie beispielsweise einen Rechtsanwalt.
Guten Tag zusammen,
Ich bin total verunsichert über die DSGVO. Wir haben einen kleinen Bauernhof (Familienbetrieb) und eine Webseite wo wir auch einen Newsletter anbieten. Unser Angebot ist eigentlich nur für Leute die in der Schweiz wohnhaft sind, interessant, da unser Produkt (Lebensmittel) aufgrund seiner Beschaffenheit in wenigen Stunden beim Kunden sein muss. Daher können wir auch nur regional, maximal schweizweit liefern/versenden.
Trotzdem kann die Webseite natürlich aus der ganzen Welt aufgerufen werden. Bestellt werden kann über ein Bestellformular, per Email oder Telefon. Betrieben wird das ganze mit Contao 2.11.
Ich habe schlicht und einfach keine Zeit mich mit dem «Monstrum» DSGVO auseinanderzusetzen, da ich bereits mit der eigentlichen Arbeit als Landwirt vollständig ausgelastet bin. Die Webseite ist für uns auch nicht unbedingt lebensnotwendig. Der verschwindend kleine Umsatz den wir pro Jahr mit der Webseite generieren (dürfte maximal dem Monatslohn einer Putzfrau entsprechen), rechtfertigt den Betrieb einer Webseite eigentlich kaum. Ich betreibe die Webseite als Hobby und aus Freude am Webdesignen. Daher steht natürlich auch kein Budget für einen Rechtsanwalt zur Verfügung.
Ich hatte ursprünglich die Idee, Webseiten aus EU-Ländern per htaccess zu blockieren, aber auf die Schnelle habe ich keine gute Lösung gefunden.
Jetzt bin ich drauf und dran, die Webseite ganz abzuschalten weil ich es mir unmöglich leisten kann, irgendwelche Forderungen/Bussen zu riskieren.
Vielleicht hat jemand hierzu irgendeine Idee was ich machen könnte, bzw. wie vorgehen, damit ich möglichst keine Probleme bekomme?
@Daniel:
So wie Du Eure Website beschreibst, seid Ihr von der DSGVO vermutlich nicht betroffen. Wenn Du auf Nummer sicher gehen möchtest, verzichtest Du auf die Bearbeitung von Personendaten ohne direkten Zusammenhang mit Eurem Angebot. Man kann Websites zum Beispiel auch ohne Google Analytics betreiben.
Die Abrufbarkeit auch aus Mitgliedstaaten der EU allein genügt nicht, damit Eure Website unter die DSGVO fällt. Solltet Ihr hingegen an Personen in der EU verkaufen, dann gilt die DSGVO diesbezüglich für Euch, aber dann hättet Ihr auch schon ohne DSGVO das Recht der betreffenden EU-Mitgliedstaaten einhalten müssen …
Gleichzeitig finde ich Deine Argumente, Du hättest weder Budget noch Zeit, nicht überzeugend. Klar, das stimmt in der Sache, aber man sollte eine Aktivität nicht zum «Hobby» erklären und dann den Anspruch haben, sich nicht um die rechtlichen Voraussetzungen kümmern zu müssen. Ich habe zum Beispiel keine Zeit, mich um die rechtlichen Voraussetzungen für die Tierhaltung zu kümmern und ergo verzichte ich auf dieses «Hobby». Und dort, wo ich zu wenig von der Sache verstehe oder eben zu wenig Zeit habe, muss ich halt Geld in die Hand nehmen und Fachkompetenz einkaufen, zum Beispiel für das Hosting bei Cyon.
Hi Daniel, merci für Deinen Kommentar. Ich kann Deine Verunsicherung nachvollziehen, Du bist damit nicht alleine. Nach meinem Verständnis herrscht auch bei Fachpersonen noch grosse Unsicherheit, wie sich das mit der DSGVO einpendeln wird. Entsprechende Gerichtsentscheide fehlen da schlichtweg noch. Soweit ich das beurteilen kann, weisst Du aber schon sehr genau, wo Du mit der Website möglicherweise personenbezogene Daten verarbeitest. Das ist ein wichtiger Schritt. Besucher aus EU-Ländern zu blockieren, halte ich persönlich (und als juristischer Laie) für übertrieben. Gerade dann, wenn Du Dich mit Deiner Website sowieso klar an Schweizer Kunden wendest und keine heiklen Tools wie Google Analytics oder Facebook Pixel nutzt, bei denen ungefragt Cookies gespeichert und Daten gesammelt bzw. verarbeitet werden. Schau Dir auf jeden Fall einmal http://dsat.ch/anleitung/ an und gehe die PDF-Formulare dort durch. Spätestens mit dem neuen Bundesgesetz über den Datenschutz (DSG) wird das Thema auch für Unternehmen wichtig, die ausschliesslich eine Schweizer Kundschaft ansprechen.
Wann wird eine konsequente WHOIS-Privacy bei euch umgesetzt? ?
Im Zuge der DSGVO ist unser Domain-Partner dazu übergangen, einen Grossteil der im Whois sichtbaren Informationen zu verschleiern. Mehr dazu in Kürze hier im Blog.
Viel Verunsicherung und Verärgerung für nichts: Die Schweiz macht bei der DSGVO nicht mit.
In einem Interview mit dem «Blick» erklärte Adrian Lobsiger, der obesrste Datenschützer der Schweiz:
«[…] meine Behörde wird nicht fremdes Recht durchsetzen.»
Und:
«[…] wir können nicht dulden, dass irgendwelche EU-Behörden auf Schweizer Boden hoheitliche Handlungen durchführen! Sollte jemand Post von einer EU-Datenschutzbehörde erhalten, kann er sich an uns wenden und wir werden mit unseren europäischen Kollegen Kontakt aufnehmen. Wir müssen jetzt nicht auf Panik machen.»
Das vollständige interview kann aufgerufen werden unter
@Edi:
Die Schweiz macht bei der DSGVO nicht mit, aber das hilft Ihnen nicht, wenn Sie trotzdem von der DSGVO betroffen sind …
Es handelt sich nicht um das erste Rechtsgebiet, wo ausländisches Recht auch für Websites in der Schweiz gelten kann. In Bezug auf Deutschland galt bislang schon in Teilen das deutsche Bundesdatenschutzgesetz (BDSG) und für Onlineshops mit Kunden in Deutschland ist es alltäglich, deutsches Recht einhalten zu müssen.
Wenn Sie eine Abmahnung aus Deutschland erhalten, wenn Sie in Deutschland eingeklagt werden oder wenn Sie Post von einer deutschen Behörde erhalten, wird Ihnen der EDÖB voraussichtlich nicht weiterhelfen können. Angesichts von weniger als 30 Vollzeitstellen beim EDÖB müssen Sie froh sein, wenn Sie innert nützlicher Frist überhaupt eine abschlägige Antwort erhalten.
Allerdings sehe ich das grösste Risiko nicht bei ausländischen Aufsichtsbehörden, sondern bei betroffenen Personen. Ein weiteres Risiko sind vertragliche Verpflichtungen, denn in vielen Fällen muss man sich ausdrücklich verpflichten (oder hat sich schon dazu verpflichtet), das Datenschutzrecht einschliesslich DSGVO einzuhalten.
Hallo Zusammen! Spannend… und wie steht es mit Mail, die in meiner Mailbox landet. Enthält diese nicht IP Adressen, welche als sensitive Daten deklariert sind. Wie steht es da mit dem Recht auf Vergessen, Auskunft, …
Danke für die Frage, Mer. In den Header-Zeilen einer E-Mail sind jeweils eine Menge Meta-Informationen gespeichert, das ist richtig. Die IP-Adresse des Absenders ist in der Regel jedoch nicht sichtbar, da die E-Mail von über einen Mailserver verschickt wird (dessen IP-Adresse aber natürlich protokolliert wird bzw. in den Header-Zeilen sichtbar ist). Bei gespeicherten E-Mails dürften die Interessen des Empfängers jeweils überwiegen, da er z.B. im Unternehmensumfeld gesetzliche Aufbewahrungspflichten hat. Wie immer, müsste das aber eine juristische Fachperson im konkreten Fall beurteilen.
Danke für die wertvollen Infos!
Ich finde den (angeblich) ebenfalls DSGVO-konformen Datenschutzerklärungs-Generator der activeMind AG noch toll:
https://www.activemind.de/datenschutz/datenschutzhinweis-generator/
Vielen Dank für den Link, Pat.
Danke für Euren Service.
Gibt es das Muster zur Erfüllung der datenschutzrechtlichen Informationsplichten auch in französischer und italienischer Sprache?
Das Muster ist zurzeit nur in deutscher Sprache verfügbar. Wir nehmen den Wunsch aber gerne auf unsere Feature-Request-Liste.
Vielen Dank für die Erläuterungen zur DSGVO und der ADV-Vereinbarung, welche amtsschimmligen Vorstellungen von notwendigen Verträgen hoffentlich gerecht wird.
Apropos amtsschimmlig: was ich geradezu atemberaubend an der DSGVO finde (abgesehen davon, dass sie ihren Zweck der Zurückbindung der «Grossen» wie Google und Facebook wohl schon jetzt verloren hat) ist die Bandbreite der daraus erfolgten Datenschutzerklärungstexte.
So klaffen zwischen dem ohne anhaltende Kopfschmerzen kaum lesbaren Resultat des https://datenschutz-generator.de und dem Resultat aus https://www.activemind.de/datenschutz/datenschutzhinweis-generator/ meines Erachtens Welten, vom locker-flockigen Text aus der WordPress-eigenen Datenschutz-Leitfaden ganz zu schweigen.
Faszinierend, wie ein gewisses Spitzohr sagen würde.
Merci für Deinen Kommentar, Phil. Es bleibt auf jeden Fall spannend, wie sich das Thema DSGVO weiterentwickeln wird :)