Die neue Datenschutzgrundverordnung, kurz DSGVO, der Europäischen Union hat für Verunsicherung gesorgt – auch bei Unternehmen in der Schweiz. Dabei fördert sie Klarheit und Vertrauen in Sachen Verbraucherschutz, wovon alle profitieren. Neben der technischen Web-Umsetzung bieten wir Ihnen ab sofort auch rechtlichem Beistand. In Zusammenarbeit mit der Anwaltskanzlei FRORIEP erstellen wir Ihnen eine rechtskonforme Datenschutzerklärung für Ihre Webseite. Je nach Komplexität bieten wir Ihnen drei preislich äusserst attraktive Pakete. Die Angebote finden Sie am Ende dieses Beitrages sowie im PDF zum Download.

Diesen DSGVO-Leitfaden mit unseren Angeboten können Sie sich auch als PDF herunterladen: Leitfaden zur Datenschutzgrundverordnung (PDF, 108 KB)

Was ist die DSVGO ?

Hintergründe zur DSGVO
Die Datenschutzgrundverordnung, kurz DSGVO, ist ein Gesetz der Europäischen Union. Sie ist am 25. Mai 2018 in Kraft getreten und ersetzt und vereinheitlicht alle bisherigen nationalen Datenschutzgesetze der 28 Mitgliedsstaaten. Sie schiebt vor allem der Praxis von grossen Internetkonzernen einen Riegel vor, die Daten ihrer Kunden vorzugsweise in EU-Ländern speicherten, wo besonders lockere Datenschutzgesetze herrschten. Schätzungen zufolge spart die Wirtschaft in Europa dank der Vereinheitlichung rund 2,3 Milliarden Euro pro Jahr.

Die DSGVO umfasst sechs Aspekte:
1. Rechtstreue, Transparenz und Fairness
2. Begrenzte Verwendung von Daten für bestimmten Zweck
3. Minimierung von Daten
4. Beschränkung der Speicherung
5. Geheimhaltung und Integrität
6. Haftung

Mehr Rechte für Bürger und Kunden
Die DSGVO verbessert den Datenschutz und stärkt die Rechte der Bürger und Kunden. Diese erhalten ein Recht zu erfahren, welche Daten ein Unternehmen oder eine Webseite erhebt und wofür diese verwendet werden. Hat der Konsument Zweifel an der Rechtmässigkeit im Umgang mit diesen Informationen, kann er Einsicht in diese Daten verlangen. Ausserdem hat er ein Recht auf Vergessen werden: Auf Wunsch muss das Unternehmen alle Informationen über eine Person löschen und auch dafür sorgen, dass diese bei Geschäftspartnern gelöscht werden, falls Informationen weitergegeben wurden.

Auswirkungen für Schweizer Firmen
Die Schweiz ist zwar nicht Mitglied der Europäischen Union, gleichwohl fallen Schweizer Unternehmen in den Geltungsbereich der DSGVO. Denn die Verordnung schützt in der EU niedergelassene Personen und ihre Daten, egal wo diese gespeichert werden. Das heisst, auch Internetkonzerne wie Google oder Facebook mit Sitz in den USA müssen diese Regeln beachten. Und natürlich alle Schweizer Firmen, die personenbezogene Daten von Personen aus der EU erheben und speichern. Das betrifft übrigens nicht nur Daten von Kunden, die zum Beispiel in einem Online-Shop etwas kaufen. Bewirbt sich eine in der EU-niedergelassene Person auf eine Stelle in der Schweiz, fallen auch ihre Bewerbungsunterlagen unter den Schutz der Verordnung.

Schweizern wird manches in der DSGVO bekannt vorkommen, etwa das Recht auf Auskunft. Mehr zu den nationalen Regelungen:
https://www.edoeb.admin.ch/edoeb/de/home/datenschutz/ueberblick/aufgaben-des-edoeb.html

 

Checkliste DSGVO

Folgende Schritte sind die Basis für eine Umsetzung der DSGVO im Unternehmen und auf deren Webseiten.

1. Bewahren Sie Ruhe – aber werden Sie aktiv
Im Vorfeld der Einführung der DSGVO berichteten Medien vor allem über die horrenden Strafen von bis zu vier Prozent des weltweiten Jahresumsatzes, die Unternehmen bei Verstössen zahlen müssen. Panik ist kein guter Ratgeber, Nichtstun aber auch nicht. Wer noch nicht mit der Umsetzung der DSGVO begonnen hat, sollte nun aktiv werden.

2. Verschaffen Sie sich einen Überblick
Wer sammelt in Ihrem Unternehmen Daten wofür und wo liegen diese Daten? Viele Unternehmen wissen das selbst nicht, weil im Lauf der Jahre Softwareanwendungen, Datenbanken und Geschäftsprozesse hinzugekommen sind, die nebeneinander betrieben werden. Eine Bestandesaufnahme hilft, die Datenverwaltung zu konsolidieren, was langfristig Zeit und Geld spart und die DSGVO-Compliance vereinfacht.

3. Erstellen Sie eine leicht verständliche Datenschutzerklärung
Eine Datenschutzerklärung auf der Webseite ist Pflicht. Sie soll dem Besucher unter anderem leicht verständlich erklären, wer seine Daten zu welchem Zweck verarbeitet und ob eine Datenweitergabe an Dritte erfolgt (zum Beispiel an Facebook).

4. Melden Sie Lecks
Besonders rigoros sind die Strafen der DSGVO, wenn personenbezogene Daten in falsche Hände geraten und das verantwortliche Unternehmen dies nicht meldet. Die Aufsichtsbehörde ist innert 72 Stunden über den Vorfall zu informieren. In gewissen Fällen sind zudem die betroffenen Kunden zu informieren. Aus Sicht des Kommunikationsmanagements ist eine klare und umgehende Information regelmässig sinnvoll.

5. Seien Sie seriös und transparent
Kommunizieren Sie, welche Daten erfasst werden und wo. Falls Sie einen externen Dienstleister damit beauftragen, muss dieser einen Vertrag zur Auftragsdatenverarbeitung unterzeichnen, der ihn zur Einhaltung der DSGVO-Regeln verpflichtet.

6. Benennen Sie einen Datenschutzbeauftragten
Wenn Ihre Kerntätigkeit aus (i) der umfangreichen regelmässigen und systematischen Überwachung von Personen oder (ii) der umfangreichen Verarbeitung sensibler Daten oder strafrechtlich relevanter Daten besteht, brauchen Sie einen Datenschutzbeauftragten. In Anlehnung an die bisherige Praxis gilt auch, dass ab mehr als zehn Mitarbeitern, die personenbezogene Daten verarbeiten, ein Datenschutzbeauftragter bestellt werden sollte. Dieser muss auch im Impressum genannt werden. Er kümmert sich laufend um die Einhaltung und Verbesserung der Datenschutzrichtlinien, sollte also über die entsprechenden Kompetenzen verfügen.

Doch Vorsicht: Ein Datenschutz-Manager kann den Datenschutz nicht alleine sicherstellen, er braucht die Unterstützung der gesamten Belegschaft und der Geschäftsleitung. Aus Sicht der DSGVO ist es zum Beispiel nicht ratsam, Mails oder andere personenbezogene Infos lokal auf dem Notebook zu speichern. Mitarbeiter müssen hier umdenken.

7. Stellen Sie Mittel bereit
Die Umsetzung und das Aufrechterhalten der DSGVO-Compliance gibt es nicht zum Nulltarif. Ausreichende Mittel (z.B. Personal, Investitionen in Infrastruktur und neue Prozesse) für Datenschutz und Datensicherheit sind aber gut angelegtes Geld. Richtig teuer wird es erst bei einem Datenleck.

8. Verwalten Sie Daten zentral
Ob auf eigenen NAS-Speichern oder in der Cloud: Kundendaten können an vielen Orten liegen. Wichtig ist allerdings, dass Sie diese Daten zentral verwalten. Andernfalls kann es passieren, dass Sie bei der Auskunftsanfrage eines Kunden die Informationen umständlich zusammensuchen müssen und nicht zügig reagieren können. Oder Sie vergessen einen Teil der Informationen, wenn ein Kunde um das Löschen seines Accounts bittet.

9. Setzen Sie auf Privacy by Design
Datenschutz im Sinne der DSGVO ist kein Projekt, das einmal durchgeführt wird und damit für immer erledigt ist. Der Schutz persönlicher Daten ist vielmehr Teil aller Innovationen, Produkte, Prozesse, Verträge und vielem mehr. Die DSGVO fordert «Privacy by Design» – überlegen Sie sich bei neuen Projekten schon im Vorfeld, wie Sie diese DSGVO-konform aufsetzen beziehungsweise wie diese in Ihre bisherige (DSGVO-konforme) Datenschutz-Strategie passen. Datenschutz beziehungsweise Schutz der Privatsphäre ist nicht länger eine lästige Pflicht, mit dem Unternehmen mal mehr mal weniger freigiebig sein können. Noch wichtig zu wissen ist: Nach der DSGVO ist vor der E-Privacy-Verordnung! Diese durchläuft derzeit den Gesetzgebungsprozess. Sie soll Vorgaben der DSGVO für bestimmte Bereiche konkretisieren, etwa strenge Regeln zum Usertracking. Eine finale Version der E-Privacy-VO wird es frühestens 2019 geben.

Fazit
Die DSGVO ist eine Herausforderung, aber kein Hexenwerk. Die Umsetzung sollte zügig angegangen werden. Diese Checkliste soll Ihnen einen Anhaltspunkt über die wichtigsten Schritte geben. Wichtig ist, sich einen Überblick zu verschaffen, insbesondere wo überall Daten von Kunden liegen. Denken Sie um: Richtig umgesetzt, ist die DSGVO kein notwendiges Übel, sondern macht ihr Unternehmen effizienter im Umgang mit Daten.

Die Liste erhebt keinen Anspruch auf Vollständigkeit. Bestehen Zweifel, sollten Sie einen Rechtsbeistand hinzuziehen.

 

Die DSGVO-konforme Webseite

Einfache Webseiten erstellen Sie schon mit geringem Aufwand DSGVO-konform. Beachten Sie, dass Sie neben den technischen Anpassungen auch Ihre Datenschutzerklärung entsprechend aktualisieren.

1. Cookie Banner
Werden beim Besuch einer Webseite Cookies gesetzt, muss dies in einem Banner angekündigt werden, das auch einen Link zur Datenschutzerklärung enthält.

2. Website Tracking
Überprüfen Sie, ob Ihr Website-Analyse-Tool anonymisiert arbeitet. Eine zusätzliche Code-Zeile im Google Analytics Code erledigt dies. Akzeptieren Sie in Google Analytics die aktualisierten Datenschutzbestimmungen in den Kontoeinstellungen. Bieten Sie den Besuchern an, dass Sie das User-Tracking unterbinden können (z.B. Opt-out von Google Analytics).

3. Sichere Übertragung
SLL bei Webformularen und Shops ist Pflicht sowie TLS bei Mails. Eigentlich sollte heute jede Webseite unter https laufen. Darüber hinaus sollten Sie keine Dateien unverschlüsselt in der Cloud ablegen.

4. Kontaktformulare
Weisen Sie bei allen Kontakt- und Anmeldeformularen per Link auf die Datenschutzerklärung hin und erläutern Sie dort, zu welchem Zweck Sie die Daten erheben und verarbeiten. Ganz wichtig ist dies bei Formularen für Bewerber. Weisen Sie auch darauf hin, ab welchem Zeitpunkt Sie die Daten gegebenenfalls automatisch löschen.

5. Double-Opt-In
Bitte jubeln Sie Neukunden nicht durch ein bereits gesetztes Häkchen einen Newsletter oder eine Software unter. Privacy by Default ist Pflicht! Bauen Sie Ihre Prozesse so, dass der Nutzer dem Erhalt von Marketing-Informationen bewusst zustimmen muss und dies auch jederzeit widerrufen kann (z.B. per Mail, Telefon oder in einem eigenen Login-Bereich).
Die Zustimmung sollten Sie sich per Double-Opt-In einholen. Dabei setzt der Kunde aktiv ein Häkchen und bestätigt dann seine Wahl noch einmal, etwa indem er auf einen Link in einer zusätzlichen Registrierungsmail klickt. Die Information, wann und über welchen Kanal ein User sein Opt-in gegeben hat, sollten Sie auf jeden Fall dokumentieren.

6. Dienste von Dritten
Vergessen Sie auch nicht die Einbindung von Zusatzdiensten wie Youtube, Facebook oder auch Google-Maps und Google-Fonts in Ihrer Datenschutzerklärung aufzuführen.

 

Unser Service: Einführungsangebot Datenschutzerklärung – rechtlich und technisch aus einer Hand!

Neben der technischen Umsetzung begleitet Sie tnt-graphics ab sofort auch mit rechtlichem Beistand. In Zusammenarbeit mit der Anwaltskanzlei FRORIEP erstellen wir Ihnen eine rechtskonforme Datenschutzerklärung für Ihre Webseite. Je nach Komplexität bieten wir Ihnen drei preislich äusserst attraktive Pakete.

Datenschutzrichtlinie «Basic»: CHF 590.–
Informationswebseiten: Einfache Webseiten, die ausser mittels Tracking Tools (Google Analytics, Facebook, ein einfaches Kontaktformular) keine Personendaten an Dritte übermitteln.

Datenschutzrichtlinie «Standard»: CHF 890.–
Informationswebseiten mit Kontaktformular/Newsletter: Zusätzlich zu den Tracking Tools und dem Kontaktformular gibt es einen Newsletter (z.B. Mailchimp) oder eine einfache Online-Reservierung.

Datenschutzrichtlinie «Professional»: Kosten nach Aufwand
Informationswebseite mit Mitgliederverzeichnis oder Online Shop: Zusätzlich zu den Tracking Tools, Kontaktformular und/oder ein Newsletter sowie z.B. ein Mitgliederverzeichnis, Job-Portal, Online Shop oder andere Dienste bei den personenbezogene Daten an Dritte gehen oder für weitere Zwecke verwendet werden. Nach Sichtung der Anforderungen erstellen wir eine dedizierte Offerte.


Haben wir Ihr Interesse geweckt? Dann kontaktieren Sie uns
Wir prüfen Ihre Webseite zur Ermittlung des entsprechenden Pakets, erfassen Ihre Daten, erstellen mit FRORIEP eine entsprechende Datenschutzerklärung und kümmern uns um die technische Umsetzung (Cookie-Banner-Hinweis, Auffüllen von Hinweistexten, Einbau der Datenschutzerklärung). Ausgenommen sind grössere technische Anpassungen wenn z.B. bei einer Anmeldung oder einem Newsletter ein Double-Opt-In-Prozess eingebaut werden muss. Je nach Aufwand fallen hierbei zusätzliche Kosten an. Alle Preise exkl. MwSt.

Ihre Ansprechpartner:
Frank Klinkenberg
Hansjörg Honegger

In Zusammenarbeit mit:

FRORIEP Legal AG
Bellerivestrasse 201, 8034 Zürich
froriep.com

 

 

Photo by Lanty on Unsplash