Die DSGVO und die Schweiz
In Schritt 4 für eine datenschutzkonforme Schweizer Website guckst du etwas über den Tellerrand. Die Datenschutzgrundverordnung (DSGVO) der EU / des EWR geistert immer noch mit viel Drama durchs Internet. Klar, die Sachlage ist sehr komplex. Trotzdem wage ich den Versuch, dir das Thema so einfach wie möglich schmackhaft zu machen.
Wann unterliegt eine Schweizer Website der DSGVO?
Grundsätzlich unterliegt eine Schweizer Website dem Schweizerischen Datenschutzgesetz. Trifft aber jedoch nur einer der folgenden Punkte zu, kommt auch die DSGVO zum Zug:
- Sprichst du mit deinem Angebot Personen aus der EU / dem EWR an? Das kann durch einen kostenlosen simplen Blog geschehen oder einen Online-Shop mit Produkten oder Dienstleistungen. Es zählt die Absicht, nicht der Erfolg. Schreibst du einen Blog-Beitrag, den du auch noch fleissig in den sozialen Medien teilst, kann davon ausgegangen werden, dass möglichst viele Menschen von überall her auf deine Website kommen sollen.
- Beobachtest du das Verhalten von Menschen, die sich in der EU / im EWR aufhalten? Das geschieht beispielsweise mit einem Tracking-Tool auf deiner Website.
Wichtig und oft missverstanden: Die DSGVO gilt nur für die bearbeiteten Daten von Personen, die sich in der EU / im EWR befinden. Für die Bearbeitung von Personendaten von Schweizerinnen und Schweizer gilt weiterhin nur das Schweizer Datenschutzgesetz.
Hilfe, ich muss die DSGVO einhalten - was tun?
Zum besseren Verständnis, möchte ich hier kurz die beiden Rechtsauffassungen vorstellen:
Schweiz: Alles ist erlaubt, was nicht verboten ist. Punkto Datenschutz genügt die Information, wie und warum die Daten bearbeitet werden.
EU / EWR: Alles ist verboten, nur bestimmte Ausnahmen geben die Erlaubnis. Die Informationspflicht kommt natürlich auch noch dazu.
Unterliegt deine Seite der DSGVO, tust du gut daran, den Einsatz von Plugins, Tools und Dienstleistungen noch genauer unter die Lupe zu nehmen, inklusive AVV und Standardvertragsklauseln.
Ein paar konkrete Beispiele:
- Vermeide oder blockiere eingebettete Inhalte wie Google Maps, YouTube, NewsFeeds aus den sozialen Medien.
- Vorsicht bei Plugins von Google, Facebooks & Co.
- Speichere die Schriftarten lokal.
- Verhindere wenn immer möglich das Setzen von Cookies.
- Verhindere die Speicherung der IP-Adresse ausserhalb der CH, EU / EWR.
- Datenschutzerklärung mit Bezug auf die DSGVO, aber ohne vollständige Unterstellung.
- Möglicherweise brauchst du eine EU-Datenschutzvertretung
- ...
Brauche ich einen Cookie-Banner?
Jetzt wird es so richtig kompliziert. Der Cookie-Banner hat nämlich nichts mit der DSGVO zu tun, sondern mit der ePrivacy-Richtlinie, die langer vor der DSGVO in Kraft war.
Zudem geht es nicht um alle Cookies, sondern nur um diejenigen, welche das Verhalten der Besucherinnen und Besucher der Website tracken, zum Beispiel Google Analytics, Facebook Pixel, Hotjar etc.
Mit einem Cookie-Banner holst du dir die Einwilligung für das Tracking, vorausgesetzt der Banner ist korrekt eingerichtet und trackt wirklich erst nach der Einwilligung. Aus rechtlicher Sicht gibt es noch ein paar Fragezeichen beim Einsatz eines Cookie-Banners. Doch vielfach wird nach der Devise entschieden, besser ein Banner als keiner.
Unterliegt deine Website also der DSGVO, ist ein Cookie-Banner angebracht, sofern du Tracking-Cookies, so genannte Third Party Cookies, verwendest. Informiere zudem ebenfalls in der Datenschutzerklärung über die Verwendung von Cookies.
Unterliegt die Website nicht der DSGVO, ist das Tracking grundsätzlich ohne Einwilligung erlaubt, wenn darüber in der Datenschutzerklärung informiert wird (nachzulesen im Fernmeldegesetz). Auch mit dem neuen Datenschutzgesetz gibt es für die Schweiz keine Cookie-Banner-Pflicht.
Noch einfacher geht's damit
Mehr Infos? Guckst du hier:
Schritt 2: Auftragsverarbeitungsverträge AVV
Schritt 3: Standardvertragsklauseln
> Schritt 4: DSGVO und die Schweiz
Hey, ich bin die Datenschützerin
... und heisse Tanja Bischofberger. Ich helfe dir, deine Website datenschutzrechtlich in Ordnung zu bringen oder zu halten. Auch wenn das vielleicht seltsam klingt, ich mag das, wie eine Detektivin nach geheimen Cookies oder schwatzhaften Tools und Plugins zu suchen und sie dingfest zu machen.