Das in der Herbstsession 2020 verabschiedete neue Datenschutzgesetz ist ab dem 1. September 2023 in Kraft. Für Schweizer Unternehmen ist es daher zu empfehlen, sich spätestens jetzt mit dem neuen Gesetz und seinen Anforderungen auseinanderzusetzen und die erforderlichen Anpassungen vorzunehmen.
In diesem Blogbeitrag wurden die wichtigsten Punkte für eine datenschutzkonforme Website zusammengetragen. Für eine verbindliche Rechtsauskunft empfehlen wir Ihnen jedoch, sich eingehend mit dem neuen Gesetz auseinanderzusetzen.
Datenschutzerklärung
Die Datenschutzerklärung auf Ihrer Website muss neu folgende Angaben enthalten (Art. 19 Abs. 2 ff. nDSG):
Wer ist für die Website verantwortlich und wie kann der Kontakt erfolgen?
Für welche Zwecke werden die Personendaten bearbeitet?
Wer sind allfällige Empfänger der bearbeiteten Personendaten?
Wie wird ein allfälliger Daten-Export abgesichert?
Welche Rechte haben die betroffenen Personen im Zusammenhang mit dem Datenschutz?
Diese Informationen der Datenschutzerklärung müssen von jeder Seite und auch in der mobilen Ansicht jederzeit erreichbar sein. Die Platzierung in der Kopf- oder Fusszeile steht Ihnen jedoch frei. Nicht zulässig ist es, die Datenschutzerklärung innerhalb des Impressums oder der AGB zu verstecken.
Identitätsangaben
Nebst den Angaben zur Identität und den Kontaktdaten, wird zudem ein datenschutzrechtliches Impressum Pflicht.
Welche Prinzipien sollten weiterhin beibehalten werden?
SSL-verschlüsselte Websites
Websites, auf denen personenbezogene Daten erhoben werden, müssen grundsätzlich verschlüsselt sein. Ob eine Seite verschlüsselt ist, kann man an der URL erkennen, indem sie mit https beginnt. In vielen Browsern wird dann auch ein Schloss davor angezeigt oder das Wort «sicher». Ziel einer Verschlüsselung ist zu verhindern, dass Unbefugte Zugriff zu den übermittelten Daten Ihrer Besucher erhalten.
SSL steht für «Secure-Sockets-Layer». Mit dieser Technologie wird die Datenkommunikation von einem Computer zu einem Server Ende-zu-Ende-verschlüsselt. Insbesondere bei Websites mit Kontaktformularen (Kontakt-, Bestell-, Widerrufsformulare sowie Newsletteranmeldungen) ist es wichtig, dass eine SSL-Verbindung besteht.
Cookie-Banner
Auf die Verwendung von Cookies und die Möglichkeit zum Unterdrücken der Cookie-Funktion muss aktiv hingewiesen werden. Cookies dienen dem Benutzerkomfort beim Bedienen der Website. Daher arbeiten die meisten Websites mit Cookies. Ein entsprechender Hinweis kann in der Kopf- oder Fusszeile der Website integriert werden.
Unnütz oder gar illegal kann ein Cookie Hinweis werden, wenn die Voreinstellung eine grössere Datensammlung empfiehlt als für Ihre wirtschaftlichen Interessen nötig ist. Sprich: Sammeln Sie nur das, was Sie müssen und informieren Sie auch darüber.
Newsletter
Wenn Sie einen Werbe-Newsletter versenden möchten, benötigen Sie zwingend die Einwilligung des Empfängers. Jeder Empfänger soll davor geschützt werden, durch Werbe-Nachrichten belästigt zu werden. Am besten informieren Sie die Nutzer bereits beim Newsletter-Anmeldeformular über Inhalt, Regelmässigkeit, Absender, verarbeitete Daten sowie die jederzeitige Abbestellmöglichkeit. Erheben Sie ausserdem nur so viele Daten, wie unbedingt notwendig und reduzieren Sie die Pflichtangaben.
Social Media-Plug-ins
Auf der Website eingebaute Elemente von sozialen Netzwerken wie der «Gefällt mir»-Button von Facebook, der «Tweet»-Button von Twitter und ähnliche «Share»-Buttons werden als «Social Plug-Ins» bezeichnet. Sie ermöglichen den Website-Besuchern eine Verknüpfung von Website-Inhalten mit den Online-Profilen.
Bereits beim Besuch dieser Seiten sammelt das Plug-In automatisch Daten der Besucher und überträgt sie etwa an Facebook zu Werbezwecken. Der Nutzer bekommt von diesem Übertragungsvorgang in der Regel nichts mit. Nutzer müssen für die Datenweitergabe nicht einmal selbst bei Facebook registriert sein. In der Praxis können mit Hilfe der gesetzten Cookies einmal registrierte IP-Adressen wiedererkannt und so anonyme Surfprofile der Nutzer erstellt werden. Sind die Nutzer bei diesen Netzwerken sogar schon eingeloggt, so kann immer ganz genau nachvollzogen werden, welche Internetseiten von diesen Nutzern besucht worden sind.
Für Betreiber von Websites gibt es derzeit 3 sinnvolle Möglichkeiten, sich auch in diesem Punkt besser abzusichern:
Verzicht auf Social-Plug-ins:
Wenn Sie auf Nummer sicher gehen möchten, verzichten Sie auf die Nutzung von Social-Media-Buttons. Hier müssen Sie allerdings in Kauf nehmen, dass Ihre Website weniger Reichweite durch Direktverlinkung mit sozialen Netzwerken generiert.
2-Klick-Lösung:
Um wenigstens zu vermeiden, dass bereits vor dem ersten Klick auf Sharing-Buttons Nutzerdaten übertragen werden, sollten Sie auf die Original-Share-Buttons verzichten. Ersatzweise können Sie ein Plug-in zwischenschalten, bei dem Ihre Nutzer erst durch erneuten Klick die Zustimmung zum Sammeln ihrer Nutzerdaten geben. Diese Option ist jedoch nur eine Teilsicherheit, da sie die grundsätzliche Datensammlung nicht verhindert, sondern lediglich um einen Klick verzögert.
Sicherheits-Plug-in:
Je nach CMS-Tool, gibt es eine weitere Möglichkeit, falls Sie nicht gänzlich auf Social-Media-Buttons verzichten wollen: Mit einem zwischengeschaltetem Sicherheits-Plugin können Sie ein direktes und umfassendes Daten-Tracking durch Social Networks verhindern. So wird beispielsweise der Social-Media-Button unauffällig durch einen statischen Link ersetzt, der die Nutzerdaten erst dann freigibt, wenn der Button aktiv durch den Nutzer geklickt wird.
Mit welchen Bussen muss ein Unternehmen bei einem Verstoss gegen das nDSG im schlimmsten Fall rechnen?
Bei vorsätzlichen Verstössen gegen das nDSG wie Verletzung von Informations-, Auskunfts-, Mitwirkungs- oder Sorgfaltspflichten können Privatpersonen mit Bussen bis CHF 250'000 bestraft werden. Bei Widerhandlungen in Geschäftsbetrieben können die Unternehmen mit einer Busse bis CHF 50'000 bestraft werden, wenn die Ermittlung der fehlbaren Personen mit unverhältnismässigem Aufwand verbunden wäre – und eine Busse für diese von höchstens CHF 50'000 in Betracht fallen würde.
Hier liegt ein grosser Unterschied zur DSGVO vor, die nicht die natürlichen Personen, sondern die Unternehmen mit wesentlich höheren Bussen bestraft.