In den vergangenen Jahrzehnten hat der ganz allgemeine Begriff Datenschutz stark bis hin zu überproportional an Bedeutung gewonnen. Er ist in der heutigen Zeit ein Sammelbegriff für den Schutz
• vor Datenmissbrauch von der Verarbeitung über Diebstahl bis hin zum Hacking
• auf Selbstbestimmung über die eigenen personenbezogenen Daten
• der Persönlichkeitsrechte im Rahmen der Datenverarbeitung
• der Privatsphäre des einzelnen Bürgers
Das Gesetz zum Schutz von Daten wurde als Rechtsgrundlage von Grund auf überarbeitet. Das neue Datenschutzgesetz, nDSG oder DSG beinhaltet auch eine Anpassung an die DSGVO, die Datenschutz-Grundverordnung der Europäischen Union. Eine Überarbeitung des schweizerischen DSG tut Not auch vor dem Hintergrund, dass die bisherige Fassung aus Anfang der 1990er-Jahre stammt.
Die in der Schweiz landesweit zuständige Datenschutzbehörde wird durch den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten repräsentiert, den EDÖB. Mit dem Inkrafttreten der Datenschutzänderungen inklusive Neufassung des DSG wird im Laufe des Jahres 2022 fest gerechnet – spätestens jedoch Anfang/in 2023. Erwartet wird eine extrem kurze Übergangszeit vom bisherigen zum neuen Gesetz.
Genügend Zeit also, um sich als Betreiber einer Homepage ausgiebig und sorgfältig auf die zukünftige Rechtssituation rund das Datenschützen in der Schweiz vorzubereiten.
Dabei stehen die folgenden Themen im Fokus
• Bearbeitung von Personendaten
• Datenabsicherung beim Outsourcing
• Absicherung des Datenexports
• Rechtssicherheit der Datenschutzerklärung
• Reaktion auf Anfragen und Einzelvorgänge
Der Homepagebetreiber muss detailliert wissen, welche Personendaten er auf welche Weise, in welchem Umfang sowie an welchem Ort wie bearbeiten kann und darf. Dazu die Definition gemäss Artikel 5 DSG: „Personendaten sind alle Angaben, die sich auf eine bestimmte beziehungsweise bestimmbare Person beziehen. Das Bearbeiten ist jedweder Umgang mit Personendaten, und zwar unabhängig davon, welche Mittel und Verfahren angewendet werden.“
Nach Artikel 12 DSG ist von den Verantwortlichen und Auftragsbearbeitern je ein Verzeichnis über die Bearbeitungstätigkeiten zu führen. Zu den Mindestinhalten gehören die eigene Identität und der Bearbeitungszweck, Kategorien von Personen und von deren bearbeiteten Personendaten, Dauer von Aufbewahrung und Speichern der Daten sowie Beschreibung der Massnahmen zur Datensicherung. Dieses Bearbeitungsverzeichnis korrespondiert mit der europäischen DSGVO.
Das DSG lässt die Möglichkeit offen, entweder alle Bearbeitungstätigkeiten in einem selbst entworfenen Verzeichnis zu erfassen oder damit einen externen Dienstleister zu beauftragen. Entscheidend ist einzig und allein die Erfassung + Bearbeitung der infrage stehenden Personendaten gemäss DSG. Es dürfen durchaus mehr, also weitere Personendaten in das Bearbeitungsverzeichnis aufgenommen werden als im DSG vorgegeben.
Mit dem Betreiben und Unterhalten einer Homepage ist – nahezu zwangsläufig – die Inanspruchnahme von externen, das heisst von Dienstleistungen Dritter verbunden. Aus Datenschutzsicht ist eine solche Auftragsbearbeitung durch Auftragsbearbeitende möglich und zulässig. Die Voraussetzungen zum Outsourcen derartiger Dienstleistungen ist in Artikel 9 DSG geregelt.
Der Outsourcende als Auftraggeber ist in der Pflicht sich zu vergewissern, dass der Auftragsbearbeitende die erforderliche Datensicherheit auch tatsächlich gewährleisten kann. Einer Weitergabe durch den Auftragsbearbeitenden an Dritte wie beispielsweise an ein Subunternehmen muss der Auftraggeber vorher zustimmen.
Daraus folgt: Der Homepagebetreiber muss sich für jeden Einzelfall rechtlich und vertraglich absichern, und zwar mit einem Auftragsverarbeitungsvertrag, dem AV-Vertrag oder kurz AVV. Üblicherweise ist bei externen Dienstleistern der AVV ein Bestandteil der Allgemeinen Geschäftsbedingungen AGB. Bietet der potenzielle externe Dienstleister keinen AVV an, sollte das direkt stutzig machen.
Sofern die Daten von Auftraggeber und Auftragsbearbeitendem gemeinsam genutzt werden, sollte respektive muss dieser Sonderfall in einem separaten Vertrag vereinbart werden – Stichwort: Seiten-Insight beim Sozialen Netzwerkbetreiber Facebook.
Datenexport ist ein – aus schweizerischer Sicht – Bearbeiten von Personendaten im Ausland. Das bedarf einer Absicherung nach dem DSG. Voraussetzung dazu ist die Feststellung des Bundesrates, „….. dass die Gesetzgebung des betreffenden Staates einen angemessenen Datenschutz gewährleistet …..“. Zurzeit wird eine vergleichbare Liste vom EDÖB geführt.
Dazu ein Novum: Datensichere Staaten sind alle Mitgliedsländer von EU und EWR, Grossbritannien, Kanada und Neuseeland oder auch Israel. Einer der aus Datenschutzsicht unsichersten Staaten sind die USA.
Gearbeitet wird beim Datenexport mit rechtssicheren Standard-Vertragsklauseln, den Standard Contractual Clausses SCC. Auch beim Datenexport in ost- und südosteuropäische Länder ausserhalb der EU, nach Indien oder nach Südafrika wird mit SCC gearbeitet. Seit Juni 2021 sind sie vom EDÖB anerkannt. Ausnahmen zum Datenexport gemäss Artikel 16 sind in Artikel 17 DSG näher beschrieben.
Alle bisher geltenden Standardvertragsklauseln wie beispielsweise Privacy Shield oder Safe Harbor verlieren ihre Gültigkeit – oder sie sind bereits ungültig.
Nach Artikel 19 Absatz 1 DSG / nDSG „….. informiert der Verantwortliche [Homepagebetreiber] die betroffene Person angemessen über die Beschaffung von Personendaten; diese Informationspflicht gilt auch, wenn die Daten nicht bei der betroffenen Person beschafft werden …..“. Bislang war die Erkennbarkeit der Datenbeschaffung ausreichend, jetzt muss aktiv informiert werden.
Der ebenso unaufwändige wie probate Weg ist eine Verlinkung der Datenschutzerklärung in der Fusszeile, dem Footer der Homepage, um sie so mit einem Klick zugänglich zu machen. Eine Alternative dazu ist die separate Seite mit der Bezeichnung Datenschutz, Datenschutzinformation oder Privacy Policy in der englischen Version. Die Sprache der Datenschutzerklärung sollte mit der/den Sprachen der Homepage korrespondieren.
Pflichtinhalte gemäss § 19 DSG sind Informationen zu
– wer verantwortet die Homepage
– wie ist ein Kontakt möglich
– was ist der Zweck für die Bearbeitung der Personaldaten
– wem werden die Personaldaten zugänglich gemacht
– wie ist der Datenexport gesichert
– welche Rechte haben Betroffene im Zusammenhang mit dem Datenschutz
Merke: Ein regelmässiges Update zur Erklärung über den Datenschutz ist unerlässlich – mindestens zweimal jährlich.
In Artikel 25 DSG ist das Auskunftsrecht derjenigen Personen geregelt, deren Personaldaten erhoben und bearbeitet werden. Auf deren Auskunftsbegehren muss binnen einem Monat umfänglich geantwortet werden.
Verletzungen der Datensicherheit sind nach Artikel 24 DSG neben den Betroffenen auch dem EDÖB zu melden. Zu den gängigen Beispielen gehört der Versand einer E-Mail an den falschen Adressaten.
Jede Reaktion – sei es auf eine Frage des Auskunftsberechtigten oder eine Meldung an den EDÖB – ist ein individueller Vorgang. Einzelfälle lassen sich nicht gesetzlich regeln. Insofern wird der Betroffene immer selbst entscheiden müssen, welche Verhaltensweise er situationsbezogen für richtig und angemessen hält.
Weitergehende Fragen rund um den Datenschutz nach nDSG sind
– einzuhaltende datenschutzrechtliche Grundsätze gemäss Artikel 6 nDSG
– Folgenabschätzung zum Datenschutz DSFA nach Artikel 22 nDSG
– Geeignete Massnahmen zur Gewährleistung der Datensicherheit nach Artikel 8 nDSG
– ….. und weitere
Quellen
https://dsg.ch
https://www.activemind.de/magazin/schweiz-datenschutz/
https://de.wikipedia.org/wiki/Datenschutz#Schweiz