Diesbezüglich bieten wir Ihnen ebenfalls ein FAQ an, welches die häufig gestellten Fragen rund um den Datenschutz beantwortet.
Datenverarbeitungsverzeichnis
Am besten stellen Sie sich als erstes die Frage, wofür Sie welche Daten von welchen Personen wo und wie bearbeiten.
Unter Personendaten versteht man sämtliche Informationen, die sich auf eine spezifische oder identifizierbare natürliche Person beziehen. In der Praxis kann dies sehr weitreichend sein und sogar eine einfache IP-Adresse kann je nach Kontext als Personendaten gelten. Personendaten müssen gelöscht oder anonymisiert werden, sobald sie für den Zweck der Bearbeitung nicht mehr erforderlich sind.
Der Begriff "bearbeiten" umfasst nahezu alle in diesem Zusammenhang denkbaren Tätigkeiten wie das Beschaffen, Speichern, Aufbewahren, Verwenden, Verändern, Bekanntgeben, Archivieren, Löschen oder Vernichten von Daten.
Privatpersonen sind von der Einhaltung der datenschutzrechtlichen Vorgaben ausgenommen, solange sie Personendaten ausschliesslich zum persönlichen Gebrauch verarbeiten. Unter den «persönlichen Gebrauch» fallen nur Datenbearbeitungen im engeren Privat- und Familienleben. Daher sind in der Regel auch private Website-Betreiber genauso wie kommerzielle Betreiber von den neuen Bestimmungen betroffen.
Das Einhalten des neuen Datenschutzrechts gestaltet sich ohne ein Datenbearbeitungsverzeichnis nahezu unmöglich. Für Unternehmen und Organisationen mit weniger als 250 Mitarbeitenden gilt das sogenannte Verzeichnis der Bearbeitungstätigkeiten normalerweise als freiwillig. Dennoch ist es von grosser Bedeutung, ein solches zu führen, sei es in Form einer Excel-Tabelle, von Notizen oder mithilfe eines Online-Tools.
Jeder Person steht es frei, bei Ihnen Einsicht über die sie betreffenden verarbeiteten Daten sowie deren Verwendungszwecke zu verlangen. Sollten mehrere Personen Zugriff auf diese Daten haben, wie zum Beispiel Webmaster, Mitarbeiter oder externe Partner, so sind Sie ebenfalls verpflichtet, zu dokumentieren und nachzuweisen, dass diese Personen einen berechtigten Grund für den Umgang mit diesen Daten haben. Des weiteren müssen zweckmässige Schutzmassnahmen, wie Virenschutz, sichere Datenspeicherung und Schutz vor unbefugtem Zugriff, dokumentiert sein.
Zusammenarbeit mit Dritten
Bei der Betreibung einer Website wird meist auf Dienste von Dritten zurückgegriffen. Die meisten Website-Betreiber/innen hosten ihre Website nicht selbst, sondern greifen dafür auf einen Hosting-Provider wie Hostfactory zurück. Zudem werden für viele Funktionen Dienste von Dritten genutzt, wie beispielsweise für den E-Mail- und Newsletter-Versand sowie für die Erfolgs- und Reichweitenmessung. In jedem individuellen Fall müssen Sie die Auftragsbearbeitung vertraglich absichern. Üblicherweise erfolgt diese Absicherung mithilfe eines standardisierten Auftragsdatenverarbeitungsvertrags (ADV).
Bei der Bearbeitung durch Auftragsbearbeiter gilt es vor allem folgende Voraussetzungen zu beachten:
- Die Daten werden ausschliesslich gemäss dem erlaubten Handlungsrahmen der verantwortlichen Website-Betreiberin oder des verantwortlichen Website-Betreibers bearbeitet.
- Die Auftragsbearbeitung wird durch keine Geheimhaltungspflicht untersagt.
- Der Auftragsbearbeiter verfügt über die Fähigkeiten, um die Datensicherheit zu gewährleisten.
- Eine Unter-Auftragsbearbeitung ist nur nach vorheriger Genehmigung zulässig.
Sollten sich Dienstleister und Anbieter im Zusammenhang mit Ihrer Website im Ausland befinden, vergewissern Sie sich, dass das jeweilige Land über einen angemessenen Datenschutz verfügt, und falls nicht, dass Sie die notwendigen zusätzlichen Massnahmen ergriffen haben. Zu den Massnahmen, die gegebenenfalls ergriffen werden müssen, gehören unter anderem der Abschluss von Standardvertragsklauseln sowie die für die Schweiz notwendigen Ergänzungen.
Ihren ADV mit Hostfactory können Sie ab dem 20. August direkt in Ihrem my.hostfactory Kundenportal abschliessen.
Informationspflicht und Datenschutzerklärung
Bei der Bearbeitung von Personendaten ist es erforderlich, die betroffenen Personen über den Umfang und den Zweck der Datenverarbeitung zu informieren. Mit dem neuen DSG führt für Websites kein Weg an einer aktuellen und vollständigen Datenschutzerklärung vorbei.
Hierbei empfiehlt es sich, die folgenden Tipps zu befolgen:
- Es ist ratsam, sämtliche Datenbearbeitungen zu kommunizieren und nicht nur diejenigen, die über die Website erfolgen.
- Die Datenschutzerklärung sollte leicht auffindbar sein und idealerweise auf jeder Seite im Footer platziert werden.
- In der Regel ist es nicht erforderlich, dass der Benutzer die Datenschutzerklärung aktiv akzeptiert. Stattdessen kann darauf hingewiesen werden, wo die Datenschutzerklärung zu finden ist.
- Geben Sie an, wer für die Website verantwortlich ist und wie der Kontakt erfolgen kann.
- Bitte beachten Sie, dass aufgrund der erweiterten Informationspflichten möglicherweise Anpassungen Ihrer bestehenden Datenschutzerklärungen erforderlich sind.
Datensicherheit
Eine vorbildliche Datenschutzerklärung und ein ausgezeichneter Auftragsverarbeitungsvertrag sind nutzlos, wenn Ihre Daten oder noch schlimmer, die Daten Ihrer Kund/innen, unerlaubten Dritten zugänglich werden. Der Zugriff auf Personendaten sollte nur denjenigen Personen (z.B. Mitarbeitern, Vereinsmitgliedern) gestattet werden, die ihn tatsächlich für die Erfüllung ihrer Arbeit benötigen. Um dies zu gewährleisten, sind technische und organisatorische Massnahmen (TOMs) erforderlich. Technische Masnahmen könnten beispielsweise eingeschränkte Zugriffsrechte oder Firewalls sein, während organisatorische Massnahmen Weisungen und Schulungen umfassen könnten. Websites und andere IT-Systeme sollten stets auf dem neuesten Stand gehalten werden, um Sicherheitslücken zu vermeiden, die potenziell verheerende Auswirkungen haben könnten. Die Datensicherheit muss auch bei der Nutzung von Social Media-Plattformen und Drittdiensten sichergestellt werden.
Anfragen und Vorfälle bezüglich Betroffenenrecht
Die betroffenen Personen, beispielsweise die Besucher/innen einer Website, haben das Recht, Auskunft über ihre eigenen Daten zu erhalten. In der Regel sollte diese Auskunft innerhalb von 30 Tagen und ohne Kostenfolge für die Betroffenen erfolgen. Des Weiteren besteht für die Personen das Recht, fehlerhafte Daten korrigieren zu lassen oder die Löschung von Daten zu verlangen. Unumgänglich ist, dass jede einzelne Anfrage individuell und sorgfältig geprüft wird. Die anfragende Person muss identifiziert werden. Wie genau reagiert wird, hängt vom Einzelfall ab. So gilt das Recht auf Auskunft, das Recht auf Löschung und alle weiteren Rechte nie absolut.
Im Falle von Datenpannen und ähnlichen Vorfällen ist in vielen Situationen eine Meldung an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) oder auch an die betroffenen Personen erforderlich. Eine solche Meldung kann beispielsweise notwendig sein, wenn E-Mails an falsche Personen gesendet oder Daten versehentlich gelöscht wurden.
Strafbarkeit
Ab dem 1. September 2023 gilt ebenfalls zu beachten, dass die Verletzung bestimmter Pflichten zu einer Strafbarkeit der verantwortlichen, natürlichen Person führen kann. Diese verantwortlichen Personen können Mitglieder der Geschäftsleitung sein, aber auch andere Personen, die eine Pflichtverletzung begangen haben, beispielsweise durch Verletzung der Geheimhaltung. Im schweizerischen Recht ist jedoch nur die vorsätzliche Begehung strafbar.
Insbesondere die Verletzung von Informationspflichten, wie das Fehlen oder unzureichende Bereitstellung einer Datenschutzerklärung, fehlende Auftragsverarbeitungsverträge, Verletzungen der Datensicherheit, Bekanntgabe von Personendaten in Länder mit unzulänglichem Datenschutzniveau (ohne zusätzliche Sicherheitsmassnahmen), oder die Verletzung von Auskunftspflichten können mit einer Busse von bis zu CHF 250'000 bestraft werden.
Umsetzung
Es ist ratsam, eine Person im Unternehmen oder auch im Verein zu benennen, die für den Datenschutz verantwortlich ist. Diese Rolle entspricht einer internen Ansprechperson, die über grundlegendes Wissen im Datenschutz verfügt und bei entsprechenden Fragestellungen zur Verfügung steht. Die erforderlichen Grundkenntnisse kann diese Person durch die Nutzung öffentlicher Quellen oder durch Weiterbildungen erlangen und bei Bedarf auch externe Unterstützung hinzuziehen.
Es wird Ihnen wohl kaum gelingen das neue Datenschutzrecht zu 100 Prozent zu erfüllen, da sie an dem enormen Aufwand und den daraus resultierenden Widersprüchen scheitern würden. Durch eine pragmatische Herangehensweise können Sie jedoch Konflikte mit Behörden, betroffenen Personen und Vertragspartnern vermeiden und unnötige Schwierigkeiten verhindern.
Unser Beitrag bietet lediglich allgemeine Hilfestellungen als Einstieg in die Thematik und keine Garantie. Im Zweifelsfall oder bei Unklarheiten empfehlen wir Ihnen eine gezielte Beratung durch eine qualifizierte Fachperson.