Wichtige Änderungen für Webseiten-Betreiber ab Mai 2018

  1. Einführung der EU Datenschutzgrundverordnung DSGVO per 28. Mai 2018
  2. Google will ab Juli 2018 keine unverschlüsselten und unsicheren Webseiten mehr


Um was geht es bei der EU-DSGVO?

Die Europäische Datenschutzgrundverordnung DSGVO sorgt für eine EU-weite Vereinheitlichung des Datenschutzes bei der Verarbeitung personenbezogener Daten. Sie ist für alle Mitgliedsstaaten automatisch ab dem 25. Mai 2018 gültig. Die DSGVO stärkt die Rechte von EU-Bürgern im Hinblick auf ihre Daten.


Wieso sind Sie als Schweizer Unternehmen von der DSGVO betroffen?

Den Vorgaben des EU-Datenschutzrechts unterstellt sind auch Schweizer Unternehmen, die ihre Waren oder Dienstleistungen an Kunden in der EU anbieten und in diesem Zusammenhang personenbezogene Daten bearbeiten.


Was beinhaltet die DSGVO?

Mit der DSGVO soll bezweckt werden, dass Unternehmen bewusster mit Personendaten umgehen. Die DSGVO beinhaltet die Grundsätze für die Verarbeitung personenbezogener Daten. Dazu gehören: Rechtmäßigkeit der Angaben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit der Angaben, Speicherbegrenzung, Rechenschaftspflicht


Mögliche Konsequenzen bei Verstoss gegen die DSGVO

Auf Seiten der Datenschützer wurde die bisher geltende Rechtslage, ohne DSGVO, stark bemängelt, weil die Sanktionen für Datenschutzverletzungen zu wenig abschreckend waren. Mit dem Inkrafttreten der DSGVO wird sich dies grundlegend ändern. Es wird zu einer drastischen Verschärfung der Sanktionen bei Verstoss gegen Datenschutzvorschriften kommen. Es drohen künftig Verwaltungssanktionen in der Höhe von bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes. Der Bussgeldrahmen wurde damit EU-weit stark erhöht und vereinheitlicht. Inwieweit die zuständigen Aufsichtsbehörden von diesem „Strafrahmen“ Gebrauch machen werden und wie häufig überhaupt Sanktionen ausgesprochen werden, lässt sich derzeit nur schwer abschätzen.

Darüber hinaus bestehen auch für die von einer Datenbearbeitung betroffenen Personen verschiedene Möglichkeiten zur Durchsetzung ihrer Rechte auf zivilrechtlichem Weg. So können sie beispielsweise ein gerichtliches Verbot bestimmter Handlungen erwirken und unter Umständen Schadenersatz fordern. Die Gefahr geht dabei nicht etwa von klagenden Gästen aus, sondern von Anwaltsbüros im EU-Raum, die gewerbsmässig Abmahnungen an säumige Unternehmen verschicken könnten. Diese würden möglicherweise Schweizer Webseiten systematisch abgrasen, um «schwarze Schafe» ausfindig zu machen und abzukassieren.


Warum will Google keine unverschlüsselten und unsichere Webseiten?

In Zukunft sollen alle unverschlüsselten und unsicheren Webseiten die nicht mit HTTPS beziehungsweise ohne SSL Zertifikate ausgestattet sind, dem Kunden im Browser als unsicher markiert werden. Der Grund dafür liegt darin, dass bei unsicheren Seiten mit wenig Aufwand die Surfspuren überwacht und zurückgeführt werden können und dass die Übergabe von Formularen und Passwörter nicht verschlüsselt ist. Dies ist bei den HTTPS-Webseiten die mit einem SSL Zertifikat verschlüsselt sind anders. So werden persönliche Daten oder Passwörter ihrer Kunden besser geschützt und es wird sichergestellt, dass diese Angaben nicht genutzt oder entschlüsselt werden. Google will mit dieser neuen Einführung klarstellen, dass ihnen die Sicherheit von Besuchern und Surfern im Internet sehr wichtig ist.

 

Was ist für mich als Webseiten-Betreiber relevant?


Verschlüsselungen der Webseite durch SSL-Zertifikat

Durch die Aktivierung eines SSL Zertifikats für Ihre Webseite stellen sie sicher, dass Ihre Webseite im Browser als sicher dargestellt wird. Ohne SSL Zertifikat wird mit roter Schrift signalisiert, dass die Seite unverschlüsselt ist und sie wird als unsicher markiert. Die Markierung wird direkt vor der URL stattfinden, indem die Seite sofort mit einem „Unsicher“ versehen wird. Wenn die Webseite jedoch mit HTTPS verschlüsselt ist, wird die Kennzeichnung grün und mit einem geschlossenen Schloss erscheinen.


Impressum

Es besteht eine Informationspflicht, wer der Betreiber einer Webseite ist. Diese Informationspflicht besteht in der Schweiz bereits seit dem 1. April 2012 und trat mit der Revision des Bundesgesetzes gegen den unlauteren Wettbewerb (UWG) in Kraft. Im Impressum müssen zwingend Angaben zum Unternehmen (Betreiber der Webseite) mit Namen und Kontaktdaten enthalten sein.


Datenschutzerklärung

In der Datenschutzerklärung müssen zwingend Angaben zu den verwendeten Statistik-Tools, Social Media-Plugins, Newsletter-Tools, Umfragetools, etc. enthalten sein: Welche Tools werden verwendet und an welche Standorte werden die Daten übermittelt. Auch alle Dienste (Cloud-Anwendungen), in welchen Daten gespeichert oder verarbeitet werden, müssen darin aufgeführt werden. Zusätzlich müssen die Besucher auf das Auskunftsrecht, Beschwerderecht und Widerrufungsrecht hingewiesen werden.

Auch auf Social Media-Profilen muss das Impressum und die Datenschutzerklärung aufgeführt oder verlinkt werden.


Cookie-Erlaubnis / -Hinweis

Je nachdem, wie die Konfiguration der verwendeten Analyse-Tools (z. B. Google Analytics) ist, reicht ein Hinweis im Sinne von: „Diese Webseite verwendet Cookies zu Werbezwecken und zur Optimierung der Benutzererfahrung. Bei der weiteren Verwendung dieser Webseite willigen Sie in die Datenbearbeitung ein.“ In diesem Hinweis muss die Datenschutzerklärung verlinkt sein. Falls die IP-Adressen der Besucher registriert oder automatisch Benutzerprofile angelegt werden, bedingt dies ein Opt-in. Dies bedeutet, die Benutzer müssen dieser Handlung zustimmen. Das hat jedoch unter Umständen eine extrem negative Auswirkung auf die Benutzererfahrung.

 

Wenn vorhanden


Newsletter-Anmeldung

Zur Anmeldung an einen Newsletter oder Massenversand genügt es nicht mehr, nur eine Geschäftsbeziehung zu haben. Auch automatisch angekreuzte Check-Boxen sind nicht mehr erlaubt. Die Anmeldung muss klar ersichtlich sein und bewusst verlangt werden.


Formulardaten

Auf der Webseite muss ein Nutzer um Erlaubnis gefragt werden, ob seine persönlichen Daten (im Formular ausgefüllt) für einen bestimmten Zweck verarbeitet werden dürfen. Dies gilt, sobald diese in einem Dateisystem gespeichert werden, sei es auch nur per E-Mail.

PDF – 2018__DSGVO_Kurz_erklaert

 

Quellen

– Verordnung

– Die DSGVO der EU und ihre Auswirkungen auf die Schweiz

– htr.ch / Datenschutz: Die Zeit läuft ab

– Whitepaper: Datenschutz und Tourismus Schweiz / Tourismus gemeinsam mit Meyerlustenberger Lachenal AG (MLL)