In diesem Artikel beschäftigen wir uns mit dem neuen Schweizer Datenschutzgesetz (DSG) und was das für Sie und Ihre (WordPress-)Website bedeutet. Wichtig: Ich bin kein Jurist und gebe lediglich mein Verständnis der Sachlage wieder. Dieser Artikel kann somit keine Rechtsberatung ersetzen. Für spezifische rechtliche Fragen empfehle ich Ihnen, professionelle Rechtsberatung einzuholen.
Inhaltsverzeichnis
tl;dr
- Das Schweizer Datenschutzgesetz, kurz DSG, gilt ab dem 1. September 2023.
- Verarbeitung von personenbezogenen Daten bleibt erlaubt, eine explizite Einwilligung muss nicht eingeholt werden. Update: Ausnahmen gelten aber für Unternehmen, mit nicht ausschliesslich Schweizer Kundschaft. Werden sensible Daten, wie zum Beispiel Gesundheitsdaten verwaltet, gelten erweiterte Pflichten. Fragen Sie in diesem Fall am besten bei Ihrem Verband nach.
- Auch sehr einfache Websites verarbeiten personenbezogene Daten, wie zum Beispiel die IP von Besucher*innen.
- Es empfiehlt sich auch für kleinere Firmen, ein Verzeichnis von der Verabeitung von personenbezogenen Daten zu erstellen.
- Mit externen Verarbeitern muss ein Auftragsverarbeitungsvertrag (AVV) abgeschlossen werden.
- Eine Datenschutzerklärung muss von jeder Seite Ihrer Website erreichbar sein. Am einfachsten erstellt man eine Datenschutzerklärung mit Datenschutz-Generatoren. Ich selbst verwende diesen Datenschutz-Generator (kostenpflichtig).
- Auf Anfragen bezüglich verarbeiteter Daten muss innerhalb 30 Tage reagiert werden.
- Im Zuge der Anpassungen empfiehlt es sich auch, die Korrektheit des Impressums zu überprüfen.
Was ist das DSG?
Das Schweizer Datenschutzgesetz, kurz DSG, ist ein Pendant zur Europäischen Datenschutz-Grundverordnung, die vielen als DSGVO geläufig ist. Ab dem 1. September 2023 greift eine überarbeitete Fassung dieses Gesetzes.
Da ich wie eingangs geschrieben selbst kein Anwalt bin und hier nur meine laienhafte Meinung wiedergeben kann, empfehle ich Ihnen, sich auch unbedingt die folgenden Artikel genau durchzulesen.
- Neues Datenschutzgesetz: Diese 5 Schritte müssen Website-Betreiber:innen umsetzen, um 2022 bereit zu sein. Rechtsanwalt Martin Steiger
- Was bedeutet das neue Datenschutzrecht für Agenturen und Webmaster:innen in der Schweiz? Rechtsanwalt Martin Steiger
- DSG-Faktencheck: Was ändert sich mit dem neuen Datenschutzgesetz? exali
- Merkblatt für Therapeut*innen zum revidierten Datenschutzrecht ab 1.9.2023 – von Organisation der Arbeitswelt Komplementär Therapie OdA KT
- FAQ für Therapeut*innen zum revidierten Datenschutzrecht ab 1.9.2023 – von Organisation der Arbeitswelt Komplementär Therapie OdA KT
Was unterscheidet das DSG von der DSGVO?
Das neue Schweizer Datenschutzgesetz (DSG) ist keine vereinfachte Version der Datenschutz-Grundverordnung (DSGVO) der Europäischen Union. Im Gegensatz zur DSGVO behält das DSG den Grundsatz bei, dass die Verarbeitung personenbezogener Daten in der Schweiz nur in Ausnahmefällen verboten ist. Wir müssen uns also zukünftig nicht, wie man es zum Beispiel beim Zahnarzt in Deutschland erleben kann, von jedem Kunden schriftlich geben lassen, dass wir Daten erfassen dürfen. Nach neuen Informationen müssen Praxen, die auch Kunden aus dem Ausland haben, hier wohl doch die Zustimmung zur Datenverarbeitung einholen. Bitte im Zweifel bei der Kammer oder dem Anwalt nachfragen. Für Therapeuten finden Sie zum Beispiel bei Organisation der Arbeitswelt Komplementär Therapie OdA KT einige Merkblätter.
Warum muss ich mich als Websitebetreiber überhaupt um die DSG oder die DSGVO kümmern?
Stellen Sie sich vor, Sie sind der Besitzer eines Ladens. Um Ihren Laden erfolgreich zu führen, können Sie Informationen über Ihre Kunden sammeln, wie zum Beispiel, welche Produkte sie kaufen, wann sie am häufigsten einkaufen und ob sie wiederkommen, um mehr zu kaufen. Dies kann Ihnen helfen, Ihren Laden besser zu führen, Ihren Kunden besseren Service zu bieten und Ihr Geschäft zu erweitern.
Ähnlich funktioniert es auch mit einer Webseite. Sie, als Betreiber einer Webseite, sammeln und verarbeiten personenbezogene Daten. Jedes Mal, wenn jemand Ihre Webseite besucht, hinterlässt diese Person digitale Spuren. Diese Spuren sind zum Beispiel die IP-Adresse, die der Besucher verwendet. Sie könnten aber auch das Verhalten von Besucher*innen auf Ihrer Webseite analysieren und zum Beispiel aufzeichnen, welche Seiten besucht werden, wie lange die Verweildauer ist, etc. Diese Daten können für Sie von unschätzbarem Wert sein, da Sie Ihnen helfen können, Ihre Webseite zu verbessern, Ihren Besuchern bessere Inhalte und Dienstleistungen anzubieten und Ihre Online-Präsenz zu vergrössern.
Aber auch wenn Sie nichts in dieser Richtung unternehmen und einfach nur eine Website haben, sammelt der Webserver Ihres Providers, bei dem Sie die Website hosten, aus technischen Gründen verschiedene Daten in seinem Server-Protokoll. In der Regel sind das:
- IP-Adresse des Besuchers
- Datum und Uhrzeit
- Aufgerufene Adresse
- Zugriffsstatus/HTTP-Statuscode
- Verweisende Seite
- Übertragene Datenmenge
- Browseridentifikation
Über diese Daten lassen sich im Zweifel die Besucher identifizieren, auch wenn das meist nur im Rahmen eines amtlichen Verfahrens und über den Internet-Provider des Besuchers möglich ist. Somit verarbeiten Sie aber mit Ihrer Website personenbezogene Daten.
Denken Sie auch etwas weiter. Benutzerinnen können wahrscheinlich auch kommentieren und dabei Name und E-Mail und noch andere persönliche Daten hinterlassen.
Vorsicht bei Plugins
Plugins sind toll, denn Sie erweitern die Funktionalität Ihrer Website. Häufig weiss man aber gar nicht, wie Plugins Ihre Arbeit verrichten. Es gibt Plugins, die laden Daten von externen Servern nach und damit werden auch die IP und möglicherweise andere Daten, die als persönliche Daten Ihre Websitebesucher*innen gelten, auf diese externen Server geschickt.
In Deutschland gab es eine Abmahnwelle, bei der Benutzer von Google-Fonts abgemahnt wurden. Dabei wird lediglich eine externe Schriftart eingebunden. Allerdings von den Servern bei Google.
Abmahnungen sind auch in der Schweiz möglich. Mir sind bis jetzt aber keine Anwälte wie in Deutschland bekannt, deren Geschäftsstrategie daraus besteht, in grossem Stil Abmahnungen zu versenden. Die Nutzung von externen Diensten gehört aber in jedem Fall in die Datenschutzerklärung (siehe weiter unten).
Wie kann ich feststellen, ob ich externe Dienste nutze?
Es gibt verschiedene Online-Tools, mit denen Sie überprüfen können, ob von Ihrer Website externe Dienste aufgerufen werden, zum Beispiel:
- Google Fonts Checker: Prüft nicht nur auf Google-Fonts, sondern zeigt auch die Schriftarten Ihrer Website samt Quelle an, so dass Sie überprüfen können, ob diese von extern kommen oder nicht.
- Überprüfe deine Webseite! Dieses Tool überprüft Ihre Website auf zahlreiche Sicherheitsaspekte, die auch von grossen Websites nicht erfüllt werden. Es ist also „normal“, dass einiges Rot gekennzeichnet wird. Wichtige Rubriken sind hier „Anfragen an Drittanbieter“ und „Cookies“. Idealerweise haben Sie hier nur sogenannte „First-Party-Cookies“ und hiervon auch sowenig wie möglich.
Falls Sie mit der Interpretation der Ausgabe dieses Tools Schwierigkeiten haben, wenden Sie sich an den Ersteller Ihrer Website oder Sie kontaktieren mich (kostenpflichtig).
Grundsätzlich macht es Sinn, eine Liste mit allen Plugins auf der eigenen Website zu führen und zu jedem zu notieren, ob dieses externe Daten nutzt. Diese Liste können Sie, zusammen mit der Information, welche weiteren Daten Sie auswerten, in Ihr Verzeichnis (siehe nächster Abschnitt) mit aufnehmen.
Was müssen Sie tun?
Auf dem Laufenden bezüglich des neuen DSG bleiben
Lesen Sie sich hierzu bitte mindestens die eingangs genannten Links durch.
Überblick über die Bearbeitung von Personendaten verschaffen
Verschaffen Sie sich einen Überblick darüber, welche Personendaten auf Ihrer Website bearbeitet werden, wie sie verwendet werden und wo sie gespeichert sind. Eventuell kann Ihnen hierzu Ihr Website-Provider oder Ihr Website-Entwickler weiterhelfen.
Diese Informationen können Sie in einem Verzeichnis der Bearbeitungstätigkeiten dokumentieren. Darin sollten Sie die verschiedenen Funktionen Ihrer Website und die damit verbundenen Datenverarbeitungen auflisten. Es ist empfehlenswert, das Verzeichnis regelmässig zu aktualisieren.
Das DSG kennt für die Erstellung des Verzeichnisses Ausnahmen für Unternehmen mit weniger als 250 Mitarbeiter. Ein Verzeichnis ist aber durchaus auch für kleinere Unternehmen und auch Einzelunternehmer sinnvoll, nicht zuletzt, um den Umfang der Datenschutzerklärung überprüfen zu können und um auf Anfragen vorbereitet zu sein. Das Verzeichnis kann zum Beispiel mit einer herkömmlichen Tabellenkalkulation erstellt werden.
Externe Datenverarbeitung absichern
Sie nutzen auf Ihrer Website sehr wahrscheinlich Dienste von Dritten, wie zum Beispiel ein Webhosting oder Dienste für E-Mail-Versand, Newsletter, etc. … Dieses Outsourcing ist erlaubt, erfordert jedoch eine vertragliche Absicherung der Auftragsbearbeitung.
Es ist wichtig, für jede Auftragsbearbeitung einen standardisierten Auftragsverarbeitungsvertrag (AVV) abzuschliessen, den jeder seriöse Dienst anbieten sollte.
Datenexport überprüfen
Wenn Sie ein entsprechendes Verzeichnis führen, wissen Sie, ob Personendaten im Ausland bearbeitet werden. Dies geschieht in der Regel durch die Nutzung von Auftragsbearbeiter*innen. Ein solcher Datenexport muss abgesichert werden.
Grundsätzlich ist die Absicherung beim Datenexport in Länder, deren Gesetzgebung einen angemessenen Datenschutz gewährleistet, unproblematisch. Beim Datenexport in die USA, kann ein angemessener Datenschutz mithilfe von Standardvertragsklauseln (Standard Contractual Clauses, SCC) gewährleistet werden. Die frühere Absicherung über Privacy Shield- oder Safe Harbor-Regelungen ist nicht mehr möglich.
Datenschutzerklärung vorhanden und aktuell?
Gemäss dem neuen DSG müssen betroffene Personen, insbesondere Website-Besucher*innen, grundsätzlich bei der Erhebung ihrer Personendaten informiert werden. Eine aktuelle und vollständige Datenschutzerklärung auf der Website ist daher unerlässlich.
Die Datenschutzerklärung kann zum Beispiel im Footer einer Website verlinkt werden, damit sie mit einem Klick zugänglich ist. Wichtig ist, dass Sie von jeder Seite Ihrer Website aus erreichbar sein muss.
In der Datenschutzerklärung müssen insbesondere folgende Informationen enthalten sein: Verantwortliche Person oder Organisation, Kontaktdaten, Zweck(e) der Datenverarbeitung, mögliche Empfänger*innen der Daten, Absicherung von Daten-Exporten und Rechte der betroffenen Personen gemäss dem Datenschutz.
Generatoren für Datenschutzerklärung Schweiz
Ein Datenschutz-Generator kann die Erstellung und Pflege einer Datenschutzerklärung erleichtern. Es gibt kostenfreie und kostenpflichtige Generatoren für die Datenschutzerklärung auf der eigenen Website. Ich selbst verwende das kostenpflichtige Angebot von Datenschutz-Generator für meine Websites, da hier unter anderem Rechtsanwalt Steiger mit wirkt und neue Dienste sehr schnell mit aufgenommen werden.
Folgende Datenschutz-Generatoren habe ich bei meiner Recherche für diesen Artikel gefunden:
- Datenschutzerklärung erstellen ( kostenlos – scheint nicht allzu aktuell)
- Datenschutz-Generator (kostenpflichtig – verwende ich selbst)
- PrivacyBee – die sichere Datenschutzerklärung für deine Website (kostenpflichtig)
Datenschutzverantwortliche*r
Es scheint hier tatsächlich auch für Betriebe mit Einzelpersonen zu gelten: Jeder Betrieb muss eine konkrete Person als Datenschutzverantwortliche*r definiert haben.
Reaktion auf Anfragen und Vorfälle
Website-Besucher*innen haben verschiedene Rechte im Zusammenhang mit der Bearbeitung ihrer Daten. Wenn Sie Anfragen von betroffenen Personen erhalten, müssen Sie innerhalb von 30 Tagen reagieren. Als Grundlage für die Reaktion können Sie die Informationen aus Ihrem Verzeichnis nehmen.
Jede Anfrage muss sorgfältig geprüft werden.
Was ist mit Cookies in der Schweiz?
Nach derzeitigem Verständnis ist ein Cookie-Banner für Websites, die sich an Schweizer Besucher richten, nicht nötig. Wenn sich das Angebot Ihrer Website aber auch an Besucher*innen aus der EU richtet, wird hier ein Cookie-Banner notwendig sein.
Ich selbst verfolge die Strategie, Cookies und externe Zugriffe auf ein absolutes Mindestmass zu reduzieren, damit ich um Cookie-Banner mit komplexen Auswahlmöglichkeiten herumkomme.
Auch zu diesem Thema ein aufschlussreicher Artikel von Rechtsanwalt Steiger, der allerdings schon etwas älter ist: Cookie-Richtlinie, DSGVO und ePrivacy-Verordnung: Welche Websites benötigen ein Cookie-Banner?
Was ist mit dem Impressum?
Das Impressum hat zwar streng genommen nichts mit dem Datenschutzgesetz zu tun, jedoch lohnt es sich, sich das Thema im Zuge der Anpassungen zum neuen Datenschutzgesetz auch anzuschauen.
Lesen Sie zum Thema auch diesen Artikel: Websites: Wer benötigt ein Impressum und was muss darin stehen?
Das wichtigste daraus:
- Es gibt eine Impressumspflicht für E-Commerce-Websites (nicht nur Shops, sondern „Wer Waren, Werke oder Leistungen im elektronischen Geschäftsverkehr anbietet….“).
- Die Impressumspflicht gilt auch für werbefinanzierte Websites, die sonst keine Gewinnabsicht haben.
- „Massgeblich ist eine gewerbliche oder professionelle Tätigkeit.“
- Es gibt keine Pflicht für Websites, „die ausschliesslich ideell, privat oder wissenschaftlich sind.“
- Das Impressum muss wie die Datenschutzerklärung auch, von jeder Website aus aufrufbar sein.
- Vollständige Angaben sind im Impressum nötig, auf Telefon kann aber verzichtet werden.
Impressumsgeneratoren
Auch für die Erstellung des Impressums gibt es Generatoren. Bei meiner Recherche habe ich diese zwei gefunden:
Weitere Informationen zum Thema
Datenschutz in der Schweiz: Diese fünf populären Irrtümer solltest du vermeiden!
Hinweis
Ein Teil der Artikel enthält Affiliate-Links. Wenn Sie auf einen dieser Links klicken und darüber einkaufen, erhalte ich von Ihrem Einkauf eine kleine Provision. Für Sie verändert sich der Preis nicht. Besten Dank. Sie unterstützen damit die Arbeit an dieser Website.Hier schreibt: Dipl-Ing. Ingenieurinformatik (FH). Seit über 40 Jahren in der IT tätig. Ihr PC-Supporter, EDV Profi, Computer Servicetechniker für den Grossraum Basel mit fairen Preisen. Auch für Privat. Ausserdem Fachmann für Ihre WordPress-Website und Gründer des bekannten Computer-YouTube-Kanals it-zeugs.de.