Neues Datenschutz Gesetz
Am 1. September 2023 tritt ein neues Datenschutzgesetz in Kraft. Es hat zum Ziel, persönliche Daten zu schützen. Weil bereits die Speicherung einer IP Adresse als eine Verarbeitung von persönlichen Daten gilt, ist jeder Betreiber einer Webseite betroffen.
Wenn wir schon über Gesetze sprechen, dann lasst uns mit einem Disclaimer beginnen. Beim Datenschutzgesetz handelt es sich um eine rechtliche Fragestellung. Wir sind keine Anwälte. Darum können wir für sämtliche nachfolgenden Informationen keine Gewähr geben! Die Anwendung erfolgt auf eigenes Risiko.
Ziel der Datenschutz-Gesetzgebung
Im Internet sind viele Dienste gratis. Niemand von uns hat je für die Nutzung von Google, Whatsapp oder Facebook bezahlt. Trotzdem sind diese Konzerne heute milliardenschwer. Es gibt für dieses Paradox einen sehr treffenden Spruch: "If the service is free, you are the product." Oder auf Deutsch: wenn eine Dienstleistung kostenlos ist, dann bist du wahrscheinlich das Produkt. Die meisten dieser Services finanzieren sich über Werbung. Sie wurden so erfolgreich, weil diese Unternehmen den Werbetreibenden viel bessere Zielpublika verkaufen konnten. Mit anderen Worten, je besser diese Softwareanbieter ihre Nutzer kennen, desto genauer können sie voraussagen, wer sich für welche Produkte und Dienstleistungen interessiert.
Unsere persönlichen Daten werden für Werbeverkäufer also zu purem Gold. Wenn sie wissen, dass eine Person grün wählt, dann wird dieser Person keine SUV-Werbung verkauft. Wenn jemand risikoavers ist, werden Werbebotschaften ausgespielt, die auf Sicherheit fokussieren. Wenn jemand homosexuell ist, wird dieser Person für die Werbung einer Partnerbörse ein Bild einer gleichgeschlechtlichen Person angezeigt. Übrigens braucht es für die Ermittlung der sexuellen Orientierung heute nicht einmal mehr diese Information. Künstliche Intelligenz kann aus wenigen Profilbildern die sexuelle Orientierung einer Person mit erschreckend hoher Genauigkeit voraussagen. So kann aus Profilbildern viel mehr abgeleitet werden, als wir uns auf den ersten Moment vorstellen können.
Je mehr Daten die Konzerne haben und zu nutzen wissen, desto höher wird die Wirksamkeit der Werbung. Die grossen Softwarekonzerne und speziallisierte Firmen haben also ein grosses Interesse an all unseren Daten: Welche Webseiten besuchen wir? Wo halten wir uns auf? Wie viel Geld geben wir aus? Und all diese Daten werden heute auch gehandelt. Meist mit dem Argument, dass solche Daten pseudonymisiert sind. Es ist leider nicht immer sehr schwierig, herauszufinden, wer hinter einem Pseudonym steckt. Und ganz ehrlich: wer von uns will, dass jederman wissen kann, wo wir im Internet surfen?
Langer Rede kurzer Sinn: der Gesetzgeber handelt durchaus vernünftig, wenn er den Umgang mit personengebundenen Daten regelt. Die Schweiz passt sich am 1. September 2023 an die europäischen Gesetze (Stichwort DSGVO) an. Weil wir so einen ähnlichen Datenschutzstandard erreichen wie die EU, ist die Zusammenarbeit mit der EU auch in Zukunft aus datenrechtlicher Sicht gewährleistet.
Wer ist vom neuen Gesetz betroffen?
Vom neuen Gesetz sind alle betroffen, welche Daten von Personen speichern und verarbeiten. Weil als Personendaten nicht nur Name, Vorname, Telefonnummer, E-Mail und Adresse, sondern auch IP Adressen gelten, ist fast jeder Betreiber einer Webseite in der Verantwrtung. Der Gesetzgeber geht davon aus, dass Personen anhand von IP Adressen identifiziert werden können. Weil praktisch jeder Webserver in der Standardkonfiguration Zugriff-Logs erstellt, bedeutet dies, dass eigentlich jede Webseite Personendaten sammelt.
Die meisten unserer Kunden bieten Produkte oder Dienstleistungen an. Im Geschäftsverkehr ist es üblich, dass Personendaten ausgetauscht werden. Dies beginnt mit der Visitenkarte. Eine Bestellung eines Produkts oder eines Services ist meist gar nicht möglich, wenn nicht persönliche Daten der Kunden erfasst und verarbeitet werden.
Was muss ich als GeschäftsinhaberIn tun?
Im Grundsatz verlangt das Datenschutzgesetz, dass nur die Daten von Kunden verarbeitet werden, mit welchen der Kunde grundsätzlich einverstanden ist. Dafür muss er auch wissen, respektive herausfinden können, welche Daten von ihm für welchen Zweck bearbeitet werden. Wenn ich persönliche Daten verarbeite, habe ich also eine Informationspflicht. Ich muss den Kunden transparent informieren, welche Daten ich zu welchem Zweck sammle und verarbeite. Zur Informationspflicht gehört auch, dass ich betroffene Personen und offizielle Stellen benachrichtigen muss, wenn mir Daten verloren gehen oder gestohlen werden.
Weiter besteht eine Sorgfaltspflicht. Ich bin verpflichtet, die Daten, welche ich verarbeite, sicher zu speichern und zu transportieren. Das bedeutet, dass ich Personendaten ähnlich wie Bargeld behandeln muss. Bargeld lasse ich auch nicht unbeaufsichtig liegen. Ich verschicke es nicht in einem normalfrankierten Couvert, wo jeder, der es in die Hände kriegt, gleich merkt, dass Geld drinnen ist. Für Daten bedeutet dies, dass ich verantwortlich bin, dass die Server, auf welchen ich Personendaten speichere, abgesichert sind. Bei der Übermittlung bin ich verantwortlich, dass die Personendaten nicht unverschlüsselt und einsehbar verschickt werden. Dies bedeutet zum Beispiel, dass ein Arzt niemals eine Patientenakte über eine normale E-Mail verschicken darf. Ebenso gehört dazu, dass ich meine Mitarbeitenden korrekt informiere und schule, wie sie Personendaten handhaben müssen. Eine weitere Pflicht ist, jederzeit zu wissen, welche Daten ich wo speichere. Dies kann beispielsweise mit einem Datenverzeichnis geschehen.
Sämtliche betroffenen Personen haben ein Auskunftsrecht. Ich muss also meinen Kunden jederzeit sagen können, welche Daten ich speichere. Zu diesem Zweck muss ich eine Ansprechsstelle definieren, wo sich Kunden für solche Anliegen melden können. Wer mit vielen solcher Anliegen konfrontiert ist, automatisiert diesen Prozess am besten. Sämtliche Personen haben grundsätzlich ein Recht auf Löschung ihrer Daten. Dieses Recht kann allerdings eingeschränkt sein, wenn andere, höher gewichtete Interessen vorliegen. Ein Kunde kann also nicht verlangen, dass wir seine Kreditkartennummer löschen, solange er noch in einer aktiven Kundenbeziehung ist. Sobald wir aber keine Rechtfertigung für die Speicherung von Personendaten haben, müssen diese auf Wunsch des Kunden gelöscht werden.
Ein weiterer, ganz wichtiger Punkt ist, dass jeder, der Personendaten verarbeitet, sich bewusst sein muss, dass er die Verantwortung für diese Daten trägt. Entsprechend ist es erforderlich, dass ich mich gegenüber Dritten absichere, welche ich in die Verarbeitung der Personendaten einbeziehe. Was ist darunter zu verstehen? Wenn ich Daten von Kunden und anderen verwalte, ist die Wahrscheinlichkeit sehr hoch, dass ich dazu die Leistungen von weiteren Parteien einbeziehe, welchen ich Zugriff auf die Daten gebe, oder welche aus der Natur der Dienstleistung heraus automatisch Zugriff auf die Daten haben. Als Betreiber einer Webseite benötige ich einen Webserver. Die Firma, welche mir diesen zur Verfügung stellt, hat automatisch Zugriff auf meine Daten. Wenn ich zur Versendung eine E-Mail-Newsletters einen entsprechenden Dienst nutze, muss ich diesem Dienst die Adressen all meiner Kunden übermitteln, die ich anschreiben will. Entsprechend gebe ich Dritten aktiv oder auch ohne mein explizites Zutun Zugriff auf Daten, welche ich von meinen Kunden entgegennehme. All diesen Dritten gegenüber muss ich mich absichern. Dies kann ich mittels einem Auftrag zur Datenverarbeitung (ADV) tun. Dabei handelt es sich um einen Vertrag zwischen meiner Organisation und Drittparteien. Darin wird prinzipiell geregelt, dass die Drittpartei die gleich strengen Massstäbe betreffend der Datenverarbeitung einhält. Über jeden Dienst, den ich einsetze, muss ich die betroffenen Personen informieren. Dies kann ich über ein Verzeichnis der Unterauftragsverarbeiter lösen.
Ist es möglich, alle Anforderungen einzuhalten?
Das Datenschutzgesetz geht sehr weit. Die grosse Mehrheit der Firmen wird überfordert sein, alle Anforderungen einzuhalten. Um diese Aussage zu hinterlegen, nur ein Beispiel: Ein Kunde kann aus berechtigten Gründen die Löschung seiner Daten verlangen. Wir entsprechen diesem Wunsch und löschen in unserem System seine Daten. Von diesem System gibt es in der Regel aber mehrere Backups. Meistens sogar eines pro Tag. Damit wir die Personendaten dieses Kunden nicht mehr haben, müssten wir jetzt diese Daten auch aus sämtlichen Backups entfernen. Das einzelne Entfernen von Daten aus Backups ist aber praktisch unmöglich. Denn Daten sind meistens mit anderen Datensätzen verknüpft. Der Aufwand wäre entsprechend immens.
Trotzdem ist es keine gute Idee, die Datenschutzgesetze zu ignorieren.
Was ist zu tun, wenn ich den Aufwand beschränkt halten will?
- Sensibilisierung: Es ist wichtig, dass wir für das Thema sensibilisiert sind. Es ist wichtig, zu wissen, dass mit Personendaten verantwortungsvoll umgegangen werden muss.
- Verzicht: Auf alles, was wir nicht unbedingt brauchen, sollten wir verzichten. Oder anders gesagt: wenn ich keine Auswertungen der Google Analytics-Daten mache, sollte ich den Dienst lieber deaktivieren.
- Transparenz: Den Kunden offen kommunizieren, welche Daten ich zu welchem Zweck speichere und wer neben mir auch noch Zugriff hat.
- Sorgfalt: Daten so sorgfältig wie möglich behandeln.
- Keine Tricks: Daten dürfen nicht verkauft oder weitergegeben werden.
Nachfolgend zeigen wir einige Dinge auf, welche von jedem Website-Betreiber gemacht werden sollten. Diese Liste hat keinen Anspruch auf Vollständigkeit.
1. Inventar der Dienste
Als erstes muss ich wissen, welche Dienste ich für meine Webseite nutze. Stelle dir darum folgende Fragen (Liste unvollständig):
- Wer macht das Hosting meiner Webseite?
- Benutze ich einen Dienst für die Versendung von Newslettern?
- Nutze ich Dienste zur Analyse meiner Webseite (Google Analytics, Google Tag Manager...)?
- Habe ich Widgets von sozialen Medien eingebunden?
- Binde ich Videos von externen Servern ein (Youtube, Vimeo...)?
- Binde ich Schriften von extern ein (Google Fonts oder Schriften von kommerziellen Anbietern)?
- Welche Zahlungsanbieter nutze ich?
- Binde ich externe Karten ein (Google Maps, Open Street Map...)?
Für jeden dieser Dienste gilt:
- Ich muss in den Datenschutzbestimmungen darüber informieren
- Der Dienst muss in meinem Verzeichnis der Unterauftragsverarbeiter aufgeführt werden
- Von jedem Dienst brauche ich ein ADV (sofern dies nicht in den AGBs enthalten ist)
Grundsätzlich gilt, dass Unterauftragsverarbeiter aus Staaten, die nicht aus Europa (Schweiz und EU) kommen, heikel sind. Als besonders umstritten gelten Dienste aus den USA. Die EU und die USA verhandeln aktuell. Aber eine offizielle Lösung gibt es momentan noch nicht. Wer ganz sicher sein will, verzichtet auf sämtliche Dienste, die nicht dem Schweizer- oder dem Europäischen Datenschutzrecht unterstehen. Problematisch ist allerdings, dass die besten Lösungen aus einigen Gebieten aus den USA kommen.
2. Eine Datenschutzerklärung erstellen
Wenn man es einfach halten will, dann führt kein Weg um Generatoren herum. Welche wie gut sind, können wir nicht sagen. Wichtig erscheint uns, ein Schweizer Angebot zu nutzen, damit das Resultat auf die nationale Gesetzgebung abgestimmt ist.
Die Datenschutz-Generatoren werden abfragen, welche Dienste eure Webseite nutzt. Hier gilt es, im Zweifelsfall lieber einen Dienst zu viel in die Datenschutzerklärung einzubinden, als einen zu vergessen.
3. Technische und Organisatorische Massnahmen (TOM)
Wie bereits vorgängig erwähnt: dem Datenschutzgesetz ist nicht genüge getan, indem ein Cookie Banner auf der Webseite angezeigt wird und eine Datenschutz-Richtlinie publiziert wird. Wichtig am Datenschutz ist, dass sämtliche Prozesse und die ganze Infrastruktur sicher und die Mitarbeiter entsprechend geschult sind.
Das Dokument "Technische und Organisatorische Massnahmen" listet alle Massnahmen auf, welche für den Schutz von Daten getroffen wurden. Auch hier gibt es im Netz viele Vorlagen zu finden. Bei diesem Dokument ist es aber viel wichtiger, dass sämtliche Massnahmen nicht nur aufgeschrieben sind, sondern auch wirklich existieren und gelebt werden.
Es lohnt sich, eine solche Vorlage - oder sogar mehrere - gut zu studieren und mit den Zuständen vor Ort zu vergleichen. Es wird wohl kaum jemand geben, der beim Studium von TOM-Vorlagen nicht noch das eine oder andere Verbesserungspotential feststellt. Gerade im Zeitalter der boomenden Cyberkriminalität ist der Schutz der eigenen Infrastruktur auch von grossem eigenen Interesse!
4. Mitarbeiterverträge überprüfen
Gerade für Organisationen, in welchen Mitarbeitende Personendaten verarbeiten oder darauf Zugriff haben, ist es ratsam, sich auch hier abzusichern. Ähnlich wie das ADV für vertragliche Sicherheit gegenüber Drittparteien sorgt, macht es Sinn, in die Verträge der Mitarbeitenden ähnliche Klauseln zu integrieren. Diese müssen zum Ziel haben, dass die Mitarbeitenden einerseits informiert sind, welche Massnahmen sie im Zusammenhang mit Personendaten treffen müssen und sich andererseits verpflichten, die Massnahmen entsprechend einzuhalten.
Fazit: Das Datenschutzgesetz als Chance sehen
Die neuen Datenschutzgesetze sind so umfassend, dass sie kaum eine Organisation wortgetreu bis ins letzte Detail umsetzen und jederzeit einhalten kann. Es gilt also, das richtige Augenmass zu finden. Um sich das Leben zu vereinfachen, lohnt es sich, die eigene Infrastruktur nur auf genutzte Dienste zu beschränken. Alles, was nicht wirklich gebraucht wird, sollte weggelassen werden. Lieber weniger nutzen, das dafür richtig! Als zweites hilft die Erkenntnis, dass es sich lohnt, die eigene IT-Infrastruktur auf allen Ebenen (technisch, organisatorisch, räumlich...) gut abzusichern. Dies hilft nicht nur den Personendaten, welche ich verarbeite, sondern allen meinen relevanten Geschäftsdaten.
Lesenswert
Datenschutz in der Schweiz: Diese fünf populären Irrtümer solltest du vermeiden!
Weitere spannende Artikel zum Thema: