Die neue europäische Datenschutzverordnung betrifft auch die Schweiz
Am 25. Mai 2018 tritt die neue europäische Datenschutzverordnung (DSGVO) in Kraft. Bei Verstössen können Bussgelder erhoben werden. In diesem Artikel gehe ich auf mögliche Auswirkungen im Webseiten Bereich ein.
Ob man als Schweizer Unternehmen unter die DSGVO fällt hängt davon ab, ob man Waren oder Dienstleistungen an Kunden aus dem EU Raum anbietet oder Daten über das Verhalten von Personen aus dem EU Raum sammelt. Unter [1] findet man eine Abhandlung vom Bund zum Thema.
Beispiel A) Ich betreibe einen Webshop in dem Kunden aus dem EU Raum Waren von mir bestellen können. >> Ich falle unter die DSGVO.
Beispiel B) Ich verfolge das Verhalten von Personen auf meiner Webseite (z.B. via Google Analytics oder Matomo). >> Ich falle wahrscheinlich unter die DSGVO, da auch Personen aus dem EU Raum meine Webseite aufrufen können.
Wo sich Beispiel A) noch relativ einleuchtend anhört, ist vor allem Beispiel B) interessant. Es werden somit wahrscheinlich relativ viele Webseiten unter die DSGVO fallen, da viele auch ein Statistik Tool einsetzen.
Statistik Tools (Google Analytics/Matomo)
Grundsätzlich verbietet die DSGVO die Verarbeitung von personenbezogenen Daten, ausser sie sind ausdrücklich erlaubt. Ausnahmen sind unter anderem, wenn der Nutzer seine Einwilligung gibt, die Verarbeitung für gesetzliche Pflichten von Nöten oder die Datenverarbeitung zwecks berechtigten Interessen erforderlich sind und keine schutzwürdigen Interessen überwiegen.
Diese Informationen zum Thema habe ich hier gefunden [2]. Ein Statistik Tool scheint als «berechtigtes Interesse eines Webseiten Betreibers» zu gelten. Damit man das Statistik Tool jedoch rechtssicher einsetzen kann, müssen folgende Punkte erfüllt sein:
- IP Adresse anonymisiert sammeln (dies bedarf speziellen Einstellungen beim Statistik Tool oder dessen Einbindung).
- In der Datenschutzerklärung muss auf die Verwendung des Statistik Tools hingewiesen werden.
- Der Benutzer muss eine Opt-Out Funktion haben, damit er sich aus Aufzeichnung austragen kann.
- Der Webseiten Betreiber muss mit Google einen Vertrag zur Datenverarbeitung abschliessen.
Die Anonymisierung und Opt-Out Funktion ist mit Matomo relativ einfach umsetzbar. Die Opt-Out Funktion orientiert sich sogar an der Do-not-Track Funktion von Browsern. Will heissen, wenn ich im Browser die Do-not-Track Funktion aktiviert habe, sammelt Matomo auch keine Daten von mir. Auch mit Google Analytics sind die Punkte umsetzbar.
Personenbezogene Daten verschlüsselt übertragen (Kontaktformular)
Art. 32 der DSGVO definiert, dass personenbezogene Daten verschlüsselt übermittelt werden sollen [4]. Personenbezogene Daten sind z.B. Name und E-Mail-Adresse. An diversen Quellen ist zu lesen, dass deshalb auch Kontaktformulare verschlüsselt übertragen werden müssen, respektive die Webseite via SSL verschlüsselt sein muss. Ich stimme dem grundsätzlich zu. Damit wird jedoch nur der Weg zwischen Besucher und Webserver verschlüsselt. Danach wird das Kontaktformular via E-Mail unverschlüsselt an eine Empfängeradresse geschickt. Die Daten sind also nicht auf dem ganzen Weg geschützt. Nichts desto trotz macht es sowieso auch aus anderen Gründen Sinn die Webseite via SSL zu schützen.
Social Media Verknüpfungen
Die «Teilen», «Gefällt mir», «Anzahl Follower» oder ähnliche Buttons und Einbindungen sammeln automatisch Daten von Besuchern der Seite, sofern sie nicht in spezieller Art eingebunden sind [3]. Diese Daten werden dann an Facebook, Twitter und Co gesendet. Da ein Benutzer nicht vorher wählen kann, ob seine Daten an Drittseiten übertragen werden dürfen, sollten diese mit dem neuen DSGVO nicht mehr erlaubt sein. Man sollte solche Buttons also durch «normale» Verlinkungen ersetzen oder den Shariff Wrapper dazu einsetzen (was wir sowieso schon lange so empfahlen).
Newsletter
Newsletter sind auch unter der DSGVO noch erlaubt, es gelten jedoch einige Regeln (welche teilweise vorher schon galten). So ist für Newsletter ein Double Opt-In erforderlich, das heisst eintragen und Bestätigungslink per Mail. Es gilt ausserdem die Regel der Datensparsamkeit. Es dürfen nur solche Daten abgefragt werden, welche zwingend für den Zweck benötigt werden. Im Falle eines Newsletters dürfte dies nur die E-Mail-Adresse sein. Der Name für die direkte Anschrift des Empfängers ist zwar schön, darf aber nicht als zwingende Angabe hinterlegt werden. Weiter gilt zu beachten, dass bei der Abonnierung des Newsletters der Zweck definiert ist (also für was man sich genau einträgt) und es muss auch klar ausgewiesen sein, wer (inklusive verantwortliche Person) diesen Newsletter betreibt.
Falls man den Newsletter nicht auf dem eigenen Server betreibt benötigt es ausserdem eine Datenverarbeitungserklärung des Anbieters.
Weitere Plugins/Tools
Gedanken machen muss man sich auch über alle eingesetzten Plugins oder Tools. Sobald diese Daten speichern, muss man dies in der Datenschutzerklärung aufführen, respektive je nachdem ein Opt-Out dafür anbieten. Werden die Daten auf externe Server gespeichert benötigt es ausserdem noch ein Vertrag, in welchem der Anbieter zusichert, dass er die Daten gemäss DGSVO verarbeitet und schützt.
Was muss ich nun umsetzen?
Das lässt sich nicht so einfach beantworten. In der Schweiz sind wir (noch) nicht an die DSGVO gebunden. Die Schweiz ist jedoch daran, auch unser Datenschutzgesetz zu verschärfen und wahrscheinlich wird entweder ganz oder teilweise die DSGVO übernommen.
Per 25. Mai 2018 jedoch ist es nur relevant, wenn man entweder Waren oder Dienstleitungen an EU Kunden anbietet oder Daten sammelt (wie in Statistik Tools oder mit Social Media Verknüpfungen). Bei Newsletter oder weiteren Plugins kann es durchaus möglich sein, dass man keine EU Kunden adressiert und dort in dem Sinne noch nicht an die DSGVO gebunden ist. Aber es ist sicher besser, sich auch dort gleich an der DSGVO zu orientieren.
Gesetzliche Logs
Gemäss Artikel 6, Absatz 1, Punkt c [6] sind Daten welche ich zum Erfüllen gesetzlicher Pflichten benötige zur Verarbeitung erlaubt. Das heisst habe ich gesetzliche Vorgaben diese Daten zu sammeln, dann darf ich das, und es benötigt auch keine Einwilligung Seitens Besucher.
WordPress
Auch das WordPress Team ist zurzeit daran Erweiterungen und Funktionen einzubauen, um die DSGVO zu unterstützen. Es ist geplant, dass diese Funktionen mit der nächsten Version zur Verfügung stehen.
Update 17.05.2018:
Google Fonts und YouTube
Wenn Google Fonts (oder auch allfällig andere Schrift-Hosting-Anbieter) auf der Webseite eingebunden sind, könnte dies ebenfalls kritisch sein. Beim Aufruf der Seite wird die Schrift von Google Servern heruntergeladen. Bei diesem Task werden vom Client bestimmte Informationen (IP, Browser, Betriebssystem) an Googles Server geschickt. Google sagt zwar, dass keine Cookies übertragen werden, aber dass die Zugriffe geloggt werden. Die Meinungen ob dies mit der DSGVO noch erlaubt ist gehen da auseinander. Eine Alternative um dem vorzubeugen ist die Schrift auf dem eigenen Server zu Hosten. Lizenztechnisch dürfte dies mit den meisten Google Schriften möglich sein. Dies hat übrigens auch Performance-technisch einen Vorteil, da dann keine Verbindung mehr mit Googles Servern herstellt werden muss, sondern alles von einem Server lädt.
Wenn YouTube Videos in die eigene Seite eingebunden sind, dürfte dies ebenfalls kritisch sein. Bei eingebundene Videos werden bereits Daten an YouTube übertragen, bevor das Video angeschaut wird. Da es sich dabei anscheinend auch um Cookies handelt, sollte man mit YouTube Videos ebenfalls mit einer Technik verhindern, dass vor dem Anschauen bereits Daten übertragen werden.
Disclaimer
Wir sind keine Anwälte und haben die Informationen für diesen Artikel aus diversen Quellen zusammengetragen. Wir übernehmen keinerlei Haftung für deren Inhalt.
Links
[2] https://www.kloos.at/blog/google-analytics-die-eu-datenschutzgrundverordnung/
[3] https://wp-bistro.de/datenschutz-grundverordnung-dsgvo-plugins-teil-2/
