Die DSGVO kommt. Was muss ich machen?

Betrifft die DSGVO auch Schweizer Unternehmen?

Kurz gesagt: Ja. Am 25. Mai 2018 tritt die neue DatenSchutz GrundVerOrdnung - kurz DSGVO - in Kraft. Die DSGVO verlangt von Unternehmen, dass sie Daten von natürlichen Personen aus der EU schützen. Dieses Gesetz betrifft auch Schweizer Unternehmen, sobald sie Daten von natürlichen Personen aus der EU verarbeiten. Doch was heisst "Daten verarbeiten" eigentlich? Grundsätzlich heisst das nichts anderes, als dass das Unternehmen die Daten dieser natürlichen Personen kennt, bzw. mit ihnen in Berührung kommt. Unsere Heartbeat Plattformen zum Beispiel sind auch aus der EU erreichbar, weshalb auch wir (und wohl auch 99,9% der in der Schweiz betriebenen Webseiten) die Datenverarbeitung an die Anforderungen der DSGVO anpassen müssen. Andernfalls müssten wir Besucher aus der EU als solche identifizieren und vom Tracking ausschliessen. Da wir aber davon ausgehen, dass die neuen Regelungen in Zukunft auch in der Schweiz gelten werden, lohnt sich dieser Ansatz in unseren Augen nicht. Fakt ist aber auch: Im Moment gibt es bezüglich der DSGVO keine Rechtssicherheit, weil es für die praktische Umsetzung vor dem Inkrafttreten natürlich noch keine Gerichtsurteile gibt.

Deshalb haben wir im folgenden Artikel versucht aufzuschlüsseln, was die neue Verordnung für uns als Schweizer Startup bedeutet und haben eine Checkliste zusammengestellt. Da wir keine ausgewiesenen Juristen sind, geben wir keine Garantie für die Richtigkeit und/oder Vollständigkeit der Inhalte ab.

Checkliste: In 6 Schritten zur DSGVO-Konformität

#1 Informieren & Einwilligung einholen (Thema "Cookies")

Das ist der Kern der DSGVO und in unseren Augen auch der relevanteste Punkt für die Anpassungen: Welchen Daten dürfen erfasst und weitergegeben werden und wie müssen die Besucher dabei informiert und geschützt werden? Hier geht es in erster Linie um das Thema "Cookies". Deshalb muss mit Sicherheit die bestehende Datenschutzerklärung angepasst und gegebenenfalls ergänzt werden. Als Grundlage für die Ergänzungen haben wir diesen Generator benutzt.

Wir setzen zur Verbesserung unserer Produkte unter anderem Google Analytics ein. Deshalb stellten wir uns die Frage, ob Google Analytics überhaupt mit der DSGVO in Einklang zu bringen ist oder nicht. Die Verordnung ist nach dem Prinzip aufgebaut, dass jede Verarbeitung personenbezogener Daten grundsätzlich verboten ist, ausser sie ist gemäss DSGVO ausdrücklich erlaubt. Gemäss Artikel 6f, DSGVO beispielsweise ist die Verarbeitung dann erlaubt, wenn eine Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist und keine schutzwürdigen Interessen des Betroffenen überwiegen. Wir gehen davon aus, dass ein normales Besuchertracking mittels Google Analytics durch Artikel 6f, DSGVO legitimiert ist (Unser berechtigtes Interesse wäre in diesem Fall die Analyse des Nutzerverhaltens zwecks Optimierung unseres Webangebotes und der Werbemassnahmen). Um Google Analytics möglichst konform einsetzen zu können, haben wir folgende Massnahmen ergriffen:

  1. Anonymisierung der IP-Adresse: Dabei werden die letzten Stellen der IP gelöscht, bevor die Daten auf Google-Server gespeichert werden, sodass eine eindeutige Zuordnung zu einem Gerät nicht mehr möglich ist.
  2. Wir weisen in der Datenschutzerklärung auf die Verwendung von Google Analytics und dem damit verbundenen berechtigten Interesse hin.
  3. Wir bieten unseren Besuchern die Möglichkeit des Opt-Out an. Zum Beispiel anhand dieses Browser Plugins.
  4. Wir haben einen Vertrag zur Auftragsdatenverarbeitung mit Google abgeschlossen.

Vom Prinzip her gilt das oben beschriebene Vorgehen nicht nur für Google Analytics, sondern auch für andere Cookies wie beispielsweise den Facebook Pixel (Facebook stellt aber aktuell KEINE eigene Opt-Out Möglichkeit zur Verfügung). In unseren Augen ist auch dieser grundsätzlich weiterhin erlaubt (Quelle), sofern man eine eigens programmierte Lösung für ein Opt-Out anbieten kann und in der Datenschutzerklärung darauf hingewiesen wird. Ob für das Facebook Pixel ebenfalls ein Vertrag zur Auftragsverarbeitung nötig ist oder nicht, scheint noch nicht ganz klar.

Die Aussagen zu Google Analytics und dem Facebook Pixel bedeuten generalisiert: Obschon Cookies nicht als solche in der DSGVO genannt werden, sind sie doch das zentrale Element der Verordnung. „Für Cookies gilt deshalb – wie für jede Datenverarbeitung gemäss DSGVO – ein Verbot mit Erlaubnisvorbehalt“ (Quelle), eben diesem besagten Artikel 6f, DSGVO. Das berechtigte Interesse alleine genügt aber noch nicht. Wir müssen zwingend:

  1. Unsere Besucher über den Einsatz von Cookies in der Datenschutzerklärung informieren.
  2. Unsere Besucher über die Möglichkeit zum Widerspruch bzw. zur Deaktivierung der Erfassung informieren (Opt-Out).
  3. Mit dem Drittanbieter einen Vertrag zur Auftragsverarbeitung abschliessen.

#2 „Privacy by design“ und „Privacy by default“ gewährleisten

Diese Vorgabe lässt sich relativ einfach einhalten. Wir sammeln keine Daten, die wir nicht benötigen. Wir gehen verantwortungsvoll mit den Daten um und wir verkaufen sie nicht an Dritte.

#3 Einen Datenschutzbeauftragten / Vertreter in der EU ernennen

„Wenn weniger als 10 Personen ständig mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt sind, muss kein Datenschutzbeauftragter benannt werden.“ Aufgrund dieser Vorgabe können wir glücklicherweise auf einen Datenschutzbeauftragten in der EU verzichten :-).

#4 Ein Verzeichnis der Verarbeitungstätigkeiten erstellen

Hier sind wir aktuell noch ziemlich ratlos, wie dies zufriedenstellend umgesetzt werden könnte. Update folgt!

Was grundsätzlich in einem ersten Schritt zu tun ist: Alle Anwendungen & Tools (z.B. CRM System) aufzulisten, in denen personenbezogene Daten gespeichert werden. Diese Auflistung kann im Anschluss als Grundlage für das Verzeichnis dienen.

#5 Verstösse an die Aufsichtsbehörde melden

Dieser Punkt ist rasch abgehandelt. Sollten wir merken, dass personenbezogene Daten gestohlen wurden (weil z.B. weil unsere Plattformen gehackt wurden), sind wir verpflichtet, dies innert 72 Stunden zu melden. Aber an wen muss/kann man sich als Schweizer Unternehmen wenden? In Sachen Schweizer Datenschutzgesetz wendet man sich am besten an den EDÖB (Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter). In Sachen DSGVO ist die zuständige ausländische Aufsichtsbehörde zu informieren.

#6 Eine Datenschutz-Folgenabschätzung durchführen

Dieser Vorgabe gilt nur für Unternehmen, bei welchen die Datenverarbeitung ein hohes Risiko mit sich bringt, dass Rechte und Freiheiten verletzt werden könnten. Beispielsweise ist dies bei medizinischen Daten von Kunden relevant, betrifft unsere Heartbeat PaaS-Plattformen aktuell aber ebenfalls nicht.

Bei Verstössen gegen die DSGVO droht eine Geldbusse

Soweit kommt es mit Einhaltung der fünf oben genannten Punkten hoffentlich nicht :-).

Ein Tipp: Wir empfehlen, auch als Schweizer Unternehmen das Thema DSGVO nicht zu unterschätzen. Wie in anderen Bereichen des Internets gibt es auch bei diesem Thema spezialisierte Anwälte, die mit kostenpflichtigen Abmahnungen ihren Umsatz steigern wollen.

Weitere Informationen

Der EDÖB hat ein 11-Seitiges Dokument verfasst, welches die Auswirkungen der DSGVO auf die Schweiz beleuchtet.

Stand der Informationen: Mai 2018


Aktualisiert am 14.05.2018 um 10:39 Uhr