Datenschutzgesetz: Diese 5 Schritte müssen Website-Betreiber:innen umsetzen, um 2022 bereit zu sein

Heute hast du wenig zu befürchten, wenn du das geltende Bundesgesetz über den Datenschutz (DSG) nicht einhältst. Das ändert sich mit dem neuen Datenschutzgesetz (nDSG): Es drohen Bussen bis zu 250’000 Franken (Art. 60 ff. nDSG) und der EDÖB ist nicht mehr auf Abklärungen beschränkt, sondern kann Verfahren führen (Art. 49 ff. nDSG). Keine Sorge, du wirst nicht bei der ersten Datenschutzverletzung mit 250’000 Franken gebüsst. Aber allein schon ein Verfahren kann aufwendig und belastend für dich sein.

Der EDÖB, kurz für Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter, ist die Datenschutz-Aufsichtsbehörde für Private und Bundesbehörden in der Schweiz. Mit dem neuen DSG kann der EDÖB bei dir zum Beispiel Hausdurchsuchungen durchführen und dich als Zeugin oder Zeugen einvernehmen.

Eine erfreuliche Nachricht zum Start: Wenn du dich heute bereits um das Datenschutzrecht kümmerst und vielleicht sogar die europäische Datenschutz-Grundverordnung (DSGVO) umsetzen musst, wird es dir leicht fallen, das neue DSG umzusetzen. Was heute erlaubt ist, wird in den meisten Fällen auch in Zukunft erlaubt sein.

Wann genau das neue DSG in Kraft tritt, ist noch nicht bekannt. Fachkreise gehen von einem Inkrafttreten ab Mitte 2022, inzwischen aber eher Ende 2022 oder Anfang 2023 aus. Das neue DSG wird – anders als damals die DSGVO – ohne wesentliche Übergangsfristen in Kraft treten.

Inhalt

• Schritt 1: Welche Personendaten werden wofür, wie und wo bearbeitet
• Schritt 2: Ist mein Outsourcing abgesichert?
• Schritt 3: Ist mein Daten-Export abgesichert?
• Schritt 4: Ist meine Datenschutzerklärung aktuell und vollständig?
• Schritt 5: Wie reagiere ich auf Anfragen und bei Vorfällen?
• Gibt es weitere Schritte für Website-Betreiber:innen?
• Gibt es erfreuliche Nachrichten für Website-Betreiber:innen?

Schritt 1: Welche Personendaten werden wofür, wie und wo bearbeitet?

Personendaten sind «alle Angaben, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen» (Art. 5 lit. a nDSG). Bearbeiten ist «jeder Umgang mit Personendaten, unabhängig von den angewandten Mitteln und Verfahren, insbesondere das Beschaffen, Speichern, Aufbewahren, Verwenden, Verändern, Bekanntgeben, Archivieren, Löschen oder Vernichten von Daten» (Art. 5 lit. d nDSG).

«Personendaten» und «Bearbeiten» sind umfassend definiert. Als Faustregel ist es deshalb am einfachsten, davon auszugehen, dass alle Daten auch Personendaten sind.

Ein Beispiel sind die IP-Adressen von Website-Besucher:innen, wie sie bei fast jeder Website in Logdateien anfallen. IP-Adressen sind nicht in jedem Fall Personendaten. Aber es ist einfacher, IP-Adressen im Zweifelsfall als Personendaten zu behandeln, als mit viel Aufwand und ohne Rechtssicherheit zu argumentieren, es handle sich ausnahmsweise nicht um Personendaten.

Wenn du eine Website betreibst, weisst du normalerweise, welche Personendaten wofür, wie und wo bearbeitet werden. Ansonsten hilft dir die Frage: Welche Funktionen biete ich auf meiner Website an und wie setze ich diese Funktionen um?

Ein Beispiel: «Website-Besucher:innen können mich kontaktieren. Der Zweck ist die Kontaktaufnahme, allenfalls auch mit potenziellen Kundinnen und Kunden. Dafür binde ich einen Formular-Dienst aus den USA ein. Wenn jemand das Formular ausfüllt, werden die Angaben bei diesem Formular-Dienst gespeichert und ich erhalte die Angaben ausserdem per E-Mail. Die Angaben umfassen Namen und E-Mail-Adressen sowie Mitteilungen. Dazu kommen Datum und Zeit sowie IP-Adressen als Metadaten.»

Ein zweites Beispiel: «Ich verschicke einen Newsletter. Personen, die den Newsletter abonnieren möchten, müssen sich anmelden und diese Anmeldung ausdrücklich bestätigen (Double-Opt-in). Zweck ist Information und Werbung. Um die Abonnent:innen verwalten und die Newsletter-E-Mails erstellen zu können, verwende ich eine Website-Erweiterung. Für den Versand verwende ich einen spezialisierten E-Mail-Dienstleister in Deutschland. Ich bearbeite die Namen und E-Mail-Adressen der Abonnent:innen, weiss aber auch, wann sich diese angemeldet haben und wie häufig sie auf Weblinks in Newsletter-E-Mails klicken.»

Ein solches Verzeichnis sieht Art. 12 Abs. 1–3 nDSG ausdrücklich vor, wenn auch mit Ausnahmen für Unternehmen mit weniger als 250 Mitarbeiter:innen (Abs. 5). Für ein solches Verzeichnis brauchst du vermutlich keine aufwendige Software, sondern eine Tabelle bei Google Sheets oder in Microsoft Excel genügt in vielen Fällen.

Das Bearbeitungsverzeichnis – manche sprechen von einem «Daten-Inventar» – orientiert sich am Verzeichnis der Bearbeitungstätigkeiten gemäss europäischer Datenschutz-Grundverordnung (DSGVO). Du kannst dich deshalb genauso an Beispielen von Datenschutz-Aufsichtsbehörden in Europa orientieren.

• Die Datenschutzstelle Fürstentum Liechtenstein hat je ein Muster und eine Vorlage für Unternehmen und Vereine veröffentlicht.
• Das Bayerische Landesamt für Datenschutzaufsicht hat Muster unter anderem für einen Online-Shop, einen Verein, ein Hotel, einen Handwerksbetrieb und einen Detailhändler veröffentlicht.

Aufmerksame Leser:innen werden feststellen, dass im Europäischen Wirtschaftsraum (EWR) die Rede von personenbezogenen Daten und deren Verarbeitung ist. Das soll nicht stören, denn die Begriffe entsprechen den Personendaten und deren Bearbeitung in der Schweiz.

Dein Bearbeitungsverzeichnis darf mehr Einzelheiten als gesetzlich vorgeschrieben enthalten. So kann es sinnvoll sein, nicht nur die Kategorien der Empfänger von Daten zu nennen, sondern die tatsächlichen Empfängerinnen. Ich halte es für praktisch, Angaben zu einzelnen Auftragsbearbeitern und zum Daten-Export zu erfassen. Mehr dazu folgt bei den Schritten 2 und 3.

Das Format – bei den genannten Beispielen jeweils eine Matrix bzw. Tabelle – ist nicht in Stein gemeisselt. Wichtig ist, dass die Angaben aktuell und vollständig vorhanden sind. Du könntest dein Bearbeitungsverzeichnis auch als Mindmap führen. So oder anders muss das Bearbeitungsverzeichnis regelmässig aktualisiert werden, zum Beispiel alle sechs Monate.

Schritt 2: Ist mein Outsourcing abgesichert?

Die Angaben aus Schritt 1 sind unter anderem wichtig, damit du weisst, wie und wo – bei wem und mit welchen Mitteln – die Bearbeitung von Personendaten erfolgt.

Wer eine Website betreibt, nutzt fast immer Dienste von Dritten. Die meisten Betreiber:innen hosten ihre Website nicht selbst, sondern nutzen einen Hosting-Provider wie cyon. Auch für viele Funktionen werden Dienste von Dritten eingesetzt, zum Beispiel für den E-Mail- und Newsletter-Versand, für die Erfolgs- und Reichweitenmessung oder für Video-Konferenzen.

Ein solches Outsourcing ist datenschutzrechtlich erlaubt und häufig eine gute Idee: Die meisten Website-Betreiber:innen haben weder das Wissen noch die Zeit, um die Infrastruktur für ihre Website von A bis Z selbst zu betreiben.

Im Datenschutzrecht spricht man von einer Bearbeitung durch Auftragsbearbeiter bzw. von einer Auftragsbearbeitung. Gemäss Art. 9 Abs. 1–3 nDSG darf die Bearbeitung von Personendaten unter folgenden Voraussetzungen vertraglich einem Auftragsbearbeiter übertragen werden:

• Die Daten werden nur so bearbeitet, wie es die verantwortliche Website-Betreiberin oder der verantwortliche Website-Betreiber selbst tun dürfte
• Die Auftragsbearbeitung wird durch keine Geheimhaltungspflicht verboten
• Der Auftragsbearbeiter ist in der Lage, die Datensicherheit zu gewährleisten
• Die Unter-Auftragsbearbeitung darf nur mit vorgängiger Genehmigung erfolgen

Dienste von Dritten schleichen sich manchmal aufgrund der Verwendung von Erweiterungen in eine Website ein. Viele Erweiterungen binden ungefragt Dritt-Dienste für Schriftarten aus dem Internet ein. Solche trojanischen Pferde findest du mit einem Dienst wie webbkoll, der deine Website unter die Lupe nimmt.

Alle kompetenten Anbieter:innen von Internet-Diensten bieten einen AVV an. Wer schon länger im Geschäft ist, verwendet zum Teil noch die frühere Bezeichnung als Auftragsdatenverarbeitungsvertrag (ADV). Ob der AVV inhaltlich im jeweiligen Einzelfall genügt, muss im Zweifelsfall geprüft werden.

Je nach Anbieter:in ist der AVV bereits Teil der allgemeinen Geschäftsbedingungen (AGB) oder muss ausdrücklich abgeschlossen werden. Der Vertragsabschluss ist online möglich und muss nicht auf Papier erfolgen. Die Zeiten, als AVV von Hand unterzeichnet und per Briefpost oder Fax eingereicht werden mussten, sind vorbei.

Auf Englisch heisst der AVV üblicherweise Data Processing Agreement (DPA), zum Teil ist auch von einem Data Processing Addendum die Rede.

Als Website-Betreiber:in musst du prüfen, ob du für jede beanspruchte Auftragsbearbeitung einen AVV vorweisen kannst. Diese Information kann in einem ergänzten Bearbeitungsverzeichnis gemäss Schritt 1 vermerkt werden.

Ein Sonderfall ist die gemeinsame Verantwortlichkeit: Der Auftragsbearbeiter beschränkt sich nicht darauf, die Daten des Auftraggebers ausschliesslich in dessen Auftrag zu bearbeiten, sondern verwendet die Daten für eigene Zwecke. In diesem Fall ist eine zusätzliche Absicherung erforderlich. Ein gängiges Beispiel dafür ist die gemeinsame Verantwortlichkeit für Seiten-Insights bei Facebook.

Schritt 3: Ist mein Daten-Export abgesichert?

Aufgrund der Angaben aus Schritt 1 weisst du unter anderem, ob Personendaten im Ausland bearbeitet werden. Das ist üblicherweise durch die Nutzung von Auftragsbearbeitern gemäss Schritt 2 der Fall, denn diese sitzen in vielen Fällen im Ausland.

Grundsätzlich kein Problem ist die Absicherung beim Daten-Export in Staaten, deren Gesetzgebung einen angemessenen Datenschutz gewährleistet (Art. 16 Abs. 1 nDSG). Der Bundesrat wird eine Liste solcher «sicherer Drittstaaten» führen.

Heute führt der EDÖB eine vergleichbare Staatenliste. Zu den Staaten mit einem angemessenen Datenschutz zählen insbesondere alle Mitgliedstaaten im Europäischen Wirtschaftsraum (EWR), Grossbritannien, Kanada, Israel und Neuseeland. Die USA hingegen sind der bekannteste «unsichere Drittstaat».

Siehe auch: Stirbt der freie Datenverkehr zwischen der EU und der Schweiz?

Die frühere Absicherung mittels Privacy Shield- bzw. Safe Harbor-Regelung ist nicht mehr möglich. Alle kompetenten Anbieter:innen von Internet-Diensten in den USA arbeiten mit Standardvertragsklauseln, häufig als Bestandteil der AGB oder des AVV.

Eine solche zusätzliche Absicherung muss auch beim Daten-Export in osteuropäische und südosteuropäische Staaten ausserhalb der EU, nach Indien und nach Südafrika erfolgen.

Der EDÖB anerkennt die neuen Standardvertragsklauseln der Europäischen Kommission, wie sie am 4. Juni 2021 beschlossen wurden. Je nach Einzelfall sind Anpassungen und Ergänzungen erforderlich, was im Zweifelsfall geprüft werden muss. Die früheren Standardvertragsklauseln, die teilweise noch in Gebrauch sind, müssen ersetzt werden. Wie immer gibt es Fälle, wo Ausnahmsweise keine Standardvertragsklauseln erforderlich sind (Art. 17 nDSG). Der EDÖB hat kürzlich eine ausführliche Anleitung gemäss dem geltenden DSG veröffentlicht.

Bei einigen amerikanischen Internet-Diensten kannst du inzwischen wählen, dass die Daten in Europa oder gar in der Schweiz gespeichert werden. Dadurch werden die datenschutzrechtlichen Risiken erheblich vermindert. Zum Teil bieten amerikanische Anbieter:innen ihre Leistungen für europäische Kundinnen und Kunden über Tochtergesellschaften in Irland oder anderswo in Europa an, so dass kein direkter Daten-Export erfolgt. Hilfreich, aber noch selten verfügbar ist die Möglichkeit, nur den Zugriff aus Europa zu erlauben («EU Access»).

Siehe auch: Nach dem Ende von Privacy Shield: Wie können amerikanische Internet-Dienste weiterhin genutzt werden?

Schritt 4: Ist meine Datenschutzerklärung aktuell und vollständig?

Nach der Absicherung von Auftragsbearbeitungen und Daten-Exporten kannst du aufgrund der Angaben aus Schritt 1 in einem weiteren Schritt die Informationspflicht gemäss dem neuen Datenschutzgesetz (nDSG) umsetzen.

Gemäss dem geltenden DSG genügt die Erkennbarkeit der Bearbeitung von Personendaten. Gemäss dem neuen DSG hingegen müssen die betroffenen Personen – bei einer Website in erster Linie die Besucherinnen und Nutzer – grundsätzlich bei der Beschaffung ihrer Personendaten informiert werden (Art. 19 Abs. 1 nDSG).

Die Information muss nicht mit einem Pop-up-Fenster aufgedrängt werden, sondern es genügt, wenn die betroffenen Personen die Möglichkeit haben, sich zu informieren. Dafür verlinkst du die Datenschutzerklärung im Footer der Website, sodass sie mit einem Klick oder Tap zugänglich ist. Die Seite kann auch einen Titel wie «Datenschutzinformation» oder schlicht «Datenschutz» tragen. Auf Englisch ist die Bezeichnung als «Privacy Policy» üblich. Die Datenschutzerklärung sollte in den Sprachen der Website veröffentlicht werden. Als Anfang genügt die Übersetzung mit einem Dienst wie DeepL.

Die Datenschutzerklärung auf deiner Website muss insbesondere folgende Angaben enthalten (Art. 19 Abs. 2 ff. nDSG):

• Wer ist für die Website verantwortlich und wie kann der Kontakt erfolgen?
• Für welchen Zweck oder für welche Zwecke werden die Personendaten bearbeitet?
• Wer sind allfällige Empfänger:innen der bearbeiteten Personendaten?
• Wie wird ein allfälliger Daten-Export abgesichert?
• Welche Rechte haben die betroffenen Personen im Zusammenhang mit dem Datenschutz?

Die Angaben zur Identität und den Kontaktdaten stellen eine datenschutzrechtliche Impressumspflicht dar.

Nicht empfehlenswert ist die Vermischung von Datenschutzerklärung und Impressum oder die Verbindung von AGB und Datenschutzerklärung. Datenschutzerklärung und Impressum dienen jeweils unterschiedlichen Informationszwecken, die AGB stellen einen Vertrag dar.

In einem früheren Gastbeitrag bei cyon erklärte ich ausführlich, wie man die perfekte Datenschutzerklärung für eine Website erstellt. Meine damaligen Tipps sind weiterhin hilfreich. Eine Datenschutzerklärung muss regelmässig aktualisiert werden, zum Beispiel alle sechs Monate.

Schritt 5: Wie reagiere ich auf Anfragen und bei Vorfällen?

Betroffene Personen, bei einer Website zum Beispiel die Besucher:innen, haben zahlreiche Rechte im Zusammenhang mit der Bearbeitung ihrer Daten. Wenn du Anfragen von betroffenen Personen erhältst, in einem ersten Schritt meist ein Auskunftsbegehren, musst du innert 30 Tagen reagieren (Art. 25 ff. nDSG). Grundlage für die Reaktion bilden deine Angaben aus Schritt 1.

Wichtig ist, dass jede einzelne Anfrage sorgfältig geprüft wird. Die anfragende Person muss identifiziert werden. Wie genau reagiert wird, hängt vom Einzelfall ab. So gelten das Recht auf Auskunft, das Recht auf Löschung und alle weiteren Rechte nie absolut. Wer voreilig reagiert, kann sich genauso falsch verhalten wie jemand, der gar nicht auf Anfragen reagiert.

Das Gleiche gilt für Anfragen von Behörden wie insbesondere dem EDÖB. Auch solche Anfragen sollte man nicht verpassen. Wie schnell darauf reagiert werden muss, ergibt sich normalerweise aus der gesetzten Frist.

Wie Auskunftsbegehren aus Sicht der betroffenen Personen funktionieren, habe ich am Winterkongress 2021 der Digitalen Gesellschaft unter dem Titel «Daten bei Staat und Unternehmen: Ich will Auskunft!» erklärt.

Ein schnelles und sorgfältiges Vorgehen ist auch bei Verletzungen der Datensicherheit erforderlich:

Bei Datenpannen und vergleichbaren Vorfällen ist in vielen Fällen eine Meldung an den EDÖB oder auch an die betroffenen Personen erforderlich (Art. 24 nDSG). Eine Meldung kann beispielsweise erforderlich sein, wenn E-Mails an die falschen Empfänger:innen verschickt werden, Daten aus Versehen gelöscht wurden oder ein Ransomware-Angriff erfolgreich war. Auf Englisch spricht man von «Data Breach Notifications».

Die Meldung an den EDÖB muss «so rasch wie möglich» erfolgen. Ob du einen Vorfall melden musst, hängt vom Risiko ab, das mit der Verletzung der Datensicherheit für die betroffenen Personen verbunden ist. Das Risiko muss hoch und konkret sein. Die betroffenen Personen musst du direkt informieren, wenn es für ihren Schutz erforderlich ist. Eine gängige Information ist die Aufforderung, das Passwort zu ändern.

Im Einzelfall wirst du als Verantwortliche:r entscheiden müssen, ob eine Meldung erforderlich ist. Das Verfahren durch den EDÖB sowie der mögliche Reputationsschaden aufgrund einer Meldung können erhebliche Folgen haben. Häufig wird eine Meldung freiwillig erfolgen, um den Inhalt und den Zeitpunkt der Kommunikation selbst bestimmen zu können.

Gibt es weitere Schritte für Website-Betreiber:innen?

Wenn du die ersten 5 Schritte umgesetzt hast, bist du vermutlich besser auf das neue Datenschutzgesetz (nDSG) vorbereitet als die meisten anderen Website-Betreiber:innen in der Schweiz. Du wirst damit das Datenschutzrecht gut genug einhalten können, um Bussen und Verfahren mit hoher Wahrscheinlichkeit zu vermeiden.

Wenn du an diesem Punkt stehst, lohnt es sich, die datenschutzrechtliche Kür in Angriff zu nehmen und sich mit weiteren Themen zu befassen. Einige Beispiele:

• Welche datenschutzrechtlichen Grundsätze muss ich immer einhalten (insbesondere Art. 6 Abs. 1–5 nDSG)?
• Was ist eine Datenschutz-Folgenabschätzung (DSFA) und wann muss ich eine solche Abschätzung durchführen (Art. 22 nDSG)?
• Was gilt bei «automatisierten Einzelentscheiden» (Art. 21 nDSG) und beim «Profiling» (Art. 5 lit. f u. g nDSG)?
• Was bedeuten «Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen» (Art. 7 nDSG)?
• Was sind für mich angemessene bzw. «geeignete technische und organisatorische Massnahmen» zur Gewährleistung der Datensicherheit (Art. 8 nDSG)?

Gibt es erfreuliche Nachrichten für Website-Betreiber:innen?

Ja, es gibt erfreuliche Nachrichten, denn die Schweiz übernimmt nicht die europäische Datenschutz-Grundverordnung (DSGVO). Vieles ändert sich deshalb im Anwendungsbereich des schweizerischen Datenschutzrechtes nicht.

Wenn du nur das neue Datenschutzgesetz (nDSG) einhalten musst, bedeutet das für dich unter anderem:

• Erlaubt ist weiterhin, was nicht verboten ist: Du darfst grundsätzlich Personendaten im Zusammenhang mit deiner Website bearbeiten. Die Bearbeitung ist nicht wie in Europa nur ausnahmsweise erlaubt.
• Du musst betroffene Personen weiterhin fast nie um eine Einwilligung ersuchen. Die Erforderlichkeit einer Einwilligung ist und bleibt eine grosse Ausnahme.
• Du benötigst weiterhin keine Datenschutzbeauftragte und auch keinen Datenschutzbeauftragten, wobei das neue DSG diese Rolle übrigens als Datenschutzberater:in bezeichnet (Art. 10 nDSG).
• Die neuen Strafbestimmungen greifen nur bei Vorsatz, nicht aber bei Fahrlässigkeit. Allerdings: Du wirst es vermutlich nicht auf ein Strafverfahren ankommen lassen!

Siehe auch: Cookie-Richtlinie, DSGVO und ePrivacy-Verordnung: Welche Websites benötigen ein Cookie-Banner?

Beim Newsletter-Versand geht die erforderliche Einwilligung auf das Bundesgesetz gegen den unlauteren Wettbewerb (Art. 3 Abs. 1 lit. o UWG) zurück. Erforderlich ist und bleibt die Information der Newsletter-Empfänger:innen, zum Beispiel über die Messung von angeklickten Weblinks in Newsletter-E-Mails.

Siehe auch: Newsletter: So verschickt man digitale Massenwerbung, ohne für Spam bestraft zu werden

Dennoch lohnt es sich, wenn du versuchst, das Datenschutzrecht einzuhalten. Vielleicht ist es für dich schlicht eine Erleichterung, wenn du weisst, dass du dein Bestes tust. In jedem Fall trägt die Umsetzung des neuen DSG zur Datensicherheit bei und du vermeidest Ärger mit Behörden, betroffenen Personen und Vertragspartnern.

Hinweis: Der vorliegende Beitrag kann nur allgemeine Hinweise zu einem Einstieg in die Thematik geben. Für Abklärungen im Einzelfall, bei Unklarheiten und im Zweifelsfall empfiehlt sich die gezielte Beratung durch eine erfahrene und qualifizierte Fachperson wie beispielsweise einen Rechtsanwalt.

Titelbild: Andreas Fischinger/Unsplash