Datenschutz 2023 - 5 Tipps für mehr Transparenz und Sicherheit

Wer sich nun denkt, das sei kein Problem für Anbieter in der Schweiz, der irrt sich. Denn neben der Tatsache, dass man auch als Unternehmen aus der Schweiz DSGVO‑pflichtig wird, sobald man Daten von EU-Bürgern erhebt, wird sich auch das Datenschutzgesetz der Schweiz bald massgeblich verändern. Das neue DSG - kurz nDSG - wird zusammen mit der noch zu erlassenden Datenschutzverordnung VDSG, zum 1. September 2023 in Kraft treten.

Zu den 5 Tipps

» Änderungen im Datenschutzrecht
» Tipp 1 – Eigenes Datenschutz-Niveau
» Tipp 2 – Schwachstellen-Analyse
» Tipp 3 – Alternativen suchen
» Tipp 4 – Cookie Consent
» Tipp 5 – Datenschutzerklärung & Co.
» Fazit

Was ändert sich, was bleibt, welche Bereiche sind betroffen

Grundlegend ist das nDSG eine Annäherung dann die DSGVO, viele Zielsetzungen werden von dort übernommen. Dennoch bestehen auch Unterschiede - einer der wesentlichsten dürfte die Art und Weise der Verarbeitung von Personendaten sein. Während die DSGVO von Unternehmen grundsätzlich die Erlaubnis einer Person verlangt, deren Daten verarbeitet werden dürfen - so folgt das nDSG dem bisherigen Grundsatz, dass Personendaten ohne besondere Einwilligung verarbeitet werden dürfen, solange die Verarbeitung «verhältnismässig» ist, kein aktiver Widerspruch gegen die Verarbeitung vorliegt und auch keine schützenswerten Informationen an Dritte weitergegeben werden.

Dies dürfte Marketing-Aktivitäten wie z.B. dem E-Mail-Marketing entgegenkommen, da wohl davon auszugehen ist, dass auch zukünftig nicht zwingend ein Double OptIn vorliegen muss, um einer Person einen Newsletter zuzustellen. Eine Ausnahme stellt jedoch das sogenannte «Profiling mit hohem Risiko» dar. Hier wiederum sind eCommerce-Betreiber betroffen, wie auch Unternehmen, die Lösungen im Bereich der Marketing-Automation und dem Contextual Advertising/Targeting Advertising im Einsatz haben. Da hier teilweise sehr umfassende Benutzerprofile angelegt werden, dürfte eine Einwilligung der Benutzer über die Datenerhebung verpflichtend sein. 

5 Tips für mehr Datenschutz, mehr Transparenz für Ihre Kunden, mehr Sicherheit für Ihr Unternehmen

Tipp 1 – Ermitteln des eigenen Datenschutz-Niveaus
Sollte ihr Unternehmen mit Einführung der DSGVO in der EU bereits Massnahmen ergriffen haben, um (weitestgehend) DSGVO-konform zu sein, so dürfte der Aufwand zur Erfüllung des nDSG nicht allzu gross sein. Insgesamt dürfte die DSGVO etwas strenger ausgelegt sein als das nDSG.

Falls Sie bislang keine besonderen Massnahmen zur Erfüllung der DSGVO ergriffen haben, empfehlen wir dringend v.a. Ihr Online-Angebot diesbezüglich zu ergänzen. Sei es mit einem vollständigen Impressum, einer ausführlichen Datenschutzerklärung, Einwilligung der Nutzer zur Cookie-Nutzung, oder der Abklärung ob von Ihnen genutzte Dienste wie z.B. Google Analytics überhaupt konform eingesetzt werden können. Für diesen Prozess stehen Anwaltskanzleien, Rechtsschutzversicherer und natürlich auch Digitalagenturen wie Adicto zur Verfügung.

Tipp 2 – Schwachstellen-Analyse
Vor allem Dienste des Internet-Giganten Google stehen in den letzten Monaten wieder vermehrt in der Kritik. Während Google zur Einführung der DSGVO aktiv versucht hat die Anforderungen zu erfüllen, so häufen sich mittlerweile die Urteile gegen Google. Auf das Urteil des Europäischen Gerichtshofs (EuGH), das den sogenannten «EU-US-Privacy Shield»  im Sommer 2020 für ungültig erklärt hat, folgte im Januar 2022 eine Entscheidung der österreichischen Datenschutzbehörde, dass der Einsatz von Google Analytics rechtswidrig ist. 

Dicht gefolgt von einem Urteil des Landgerichts München, das die Einbindung von Google Fonts ab Google-Servern ebenfalls als rechtswidrig ansieht. 
In der Vergangenheit wurde auch öfter Kritik an der Einbettung von Google-Diensten wie Google Maps oder auch Youtube geübt. Primär geht es bei all diesen Entscheiden darum, dass es grundsätzlich umstritten ist, dass personenbezogene Daten in die USA übermittelt werden.

Es ist ratsam alle Dienste und Anbieter aufzulisten, welche im Kontext Ihrer Marketing-Aktivitäten eingesetzt werden. Dazu zählen Applikationen aus dem «Google-Universum», Newsletter- und CRM-Tools, Marketing-Automation oder Profiling-Tools, sowie weitere vergleichbare Dienste. Nur mittels einer vollständigen Übersicht ist es möglich Alternativen zu suchen, oder bestehende Nutzungen rechtskonform einzusetzen - soweit dies technisch und geografisch (Stichwort Datenübermittlung in die USA) möglich ist. 

Tipp 3 – Alternativen suchen und implementieren

Google Fonts
Der Wechsel von Google Fonts ab Google-Servern zu einer Version, bei der die gewünschten Google Schriften ab dem eigenen Server geladen werden, ist technisch in den meisten Fällen machbar und verhältnismässig einfach. Zudem hat dies keine sichtbaren Folgen.

Google Analytics
Eine Alternative zu Google Analytics oder gar Google Maps zu finden, welche dann auch DSGVO-konform ist, ist da schon schwerer. Für WordPress-User kann hier ein Plugin wie z.B. WP Statistics Abhilfe schaffen, erfasst es doch die wesentlichen Benutzerdaten lokal und legt die Resultate auf dem Webserver des Website-Betreibers ab - dieser sollte natürlich bevorzugt in der Schweiz oder zumindest der EU sein. Manche Hoster bieten auch selfhosted Lösungen an, wie z.B. Hostpoint mit dem Statistik-Tool «Logaholic», welches ebenfalls keine Daten ins Ausland weitergibt und auch für Hostings anderer Anbieter verfügbar ist. 

Mehr Leistung und dennoch in Einklang mit der DSGVO sind auch Cloud-Lösungen wie Friendly Analytics des Schweizer StartUps «Friendly». Dieses Unternehmen hat mit «Friendly Automate» übrigens auch eine Datenschutz-konforme Marketing Automation Lösung im Portfolio.

Eine Abkehr von Google Analytics kann für Nutzer von Google Ads jedoch zu Beeinträchtigungen beim Conversion-Tracking führen, weshalb sich die oben genannten Alternativen primär an Anbieter richten, die kein SEA betreiben.

Google Maps
Für Google Maps bieten Anbieter wie  Maps.Me, Here WeGo oder auch OpenStreetMap laut eigenen Angaben DSGVO-konforme Alternativen an. Ob diese in Bezug auf die gewünschten Funktionen, das Design oder auch das Handling ebenbürtig sind, muss individuell entschieden werden. Ein detaillierterer Vergleich über Google Maps Alternativen findet sich im Blog von NordVPN.

Youtube/Vimeo
Youtube- und Vimeo-Alternativen sind deutlich schwerer zu finden, bislang sind uns keine Anbieter bekannt, denen man eine völlige Unbedenklichkeit in Bezug auf die DSGVO zuschreiben darf. Mit D.tube existiert jedoch ein neuer Ansatz für Video-Plattformen, welcher Inhalte nicht zentral auf dem Server eines Anbieters lagert, sondern Blockchain-basiert dezentral ablegt. Dies schafft eine werbefreie Umgebung und schützt vor Zensur. Ob es sich für den Datenschutz-konformen Einsatz eignet, können wir nicht abschätzen. Ein anderer Anbieter namens Wistia hat sich früh um das Thema Datenschutz gekümmert und bietet Usern aus der EU und der Schweiz, welche Videos über die Plattform ansehen, die Möglichkeit eines OptIn oder OptOut in Bezug auf die Nutzung ihrer Daten. Da aber auch Wistia ein US-Anbieter ist, muss die Gültigkeit der DSGVO-Konformität durch das Scheitern des EU-US-Privacy Shield als eingeschränkt betrachtet werden. Somit bleibt aktuell nur das Speicher- und Performance-hungrige sichern der Videos auf dem eigenen Server.

Tipp 4 – Cookie Consent
War es zu Anfang der DSGVO noch üblich und zulässig, den User über die Nutzung von Cookies zu informieren und um seine Zustimmung zu bitten, so ist es mittlerweile zur Erfüllung der DSGVO zwingend, dass der Nutzer auswählt, welche Cookies er akzeptieren möchte. Also beispielsweise «Essenzielle», die das CMS- oder Shop-System voraussetzt, oder zusätzlich auch die Cookies zu Marketing-Zwecken. Werden Cookies explizit vom Nutzer ausgeschlossen, so muss technisch auch verhindert werden, dass diese Cookies verwendet werden. Ein Laden ohne Zustimmung wäre ein direkter Verstoss gegen die DSGVO. Auch für diesen Fall gibt es diverse Lösungen - jedoch ist die Implementierung nicht so einfach. Grund dafür ist, dass man die Cookie-setzenden Java-Scripts bei einfachen Consent-Plugins selbst eintragen muss, und erst kostenpflichtige Lösungen bereits die wichtigsten Cookie-Scripte kennen, oder über einen Scanner herausfinden können. Der Einbau in eine Website oder einen Shop erfordert also einiges an Aufwand, um zuverlässige Ergebnisse zu erzielen. Gerne beraten wir Sie diesbezüglich individuell.

Tipp 5 – Datenschutzerklärung & Co.
Neben vieler technischer Hürden ergänzen Anforderungen an rechtliche Hinweise das Massnahmenpaket zum Datenschutz. Hierfür gibt es zahlreiche Online-Generatoren und Vorlagen. Beim Erstellen der Texte sollte man jedoch genau wissen, welche Dienste man auf der Website/dem Shop einsetzt, damit kein Dienst vergessen wird. Wir empfehlen, sich bei der Erstellung der notwendigen Rechts-Texte durch eine Agentur oder gar einen Anwalt beraten zu lassen. Nur so lassen sich Lücken und Ungereimtheiten zuverlässig vermeiden. Wer es sich selbst zutraut, der ist mit dem kostenpflichtigen Angebot von eRecht24 gut beraten.
 

Fazit

Durch das neue Datenschutzgesetz steigen die Anforderungen an alle Unternehmen in der Schweiz die online vertreten sind. Waren bislang nur Unternehmen mit einer potenziellen oder gezielten Ausrichtung auf EU-Kunden betroffen, müssen mit der Einführung der nDSG alle Schweizer Unternehmen stärkere Datenschutzmassnahmen ergreifen. Mit der Einführung werden die Massnahmen in der Schweiz bindend, eine Übergangsfrist ist nicht vorgesehen. Wer bereits 2018 auf die Vorgaben der DSGVO reagiert hat - und diese ggf. sogar konsequent aktualisiert hat - der hat nichts zu befürchten. Unternehmen, die seit 2018 keine massgeblichen Änderungen vorgenommen haben, oder noch gar nicht auf die erweiterten Datenschutzvorgaben reagiert haben, tun gut daran, sich nun diesem Thema anzunehmen.

Gerne beraten wir Sie zu Fragen rund um das Thema Datenschutz und können auf Wunsch auch einen Rechtsbeistand aus unserem Netzwerk beiziehen. Kontaktieren Sie uns unverbindlich. 
 

Adicto Angebotspaket «nDSG»