Neues Schweizer Daten­schutz­gesetz kommt ab 1. September 2023

Die Überarbeitung bzw. die Totalrevision des Schweizer Datenschutzgesetzes hat lange gedauert, doch nun tritt sie am 1. September 2023 in Kraft. Datenschutz ist zweifellos eine wichtige Aufgabe für Unternehmen, die Transparenz über die Verwendung und Speicherung von Daten ein ebenso wichtiges Anliegen. Auch Websites können Daten von Benutzern verwenden und speichern, deshalb unterliegen sie korrekterweise auch dem Datenschutzgesetz — das tangiert Betreiber von Websites, also uns. Und Sie, sofern Sie auch eine Website betreiben. (Zuletzt bearbeitet am 29. August 2023)

Als Präambel möchte ich unterstreichen, dass ich kein Jurist bin. Gesetze sind das Gebiet von Juristen, nicht von Designern oder Kommunikationsfachleuten. Und das Bonmot «zwei Juristen, zwei Meinungen» gilt mutmasslich auch im Zusammenhang mit dem Datenschutzgesetz. Wir haben bereits 2021 eine erste Version einer Datenschutzerklärung für unsere Website zusammen mit unserem Hausjuristen erarbeitet und auf diesem Wege die eine oder andere Erkenntnis gewonnen, die ich hier nun mit Ihnen teilen möchte.

Im Anschluss an unsere Arbeiten 2021 haben wir eine Art generische Version unserer eigenen Datenschutzerklärung konzipieren lassen, die wir an einige unserer Kunden zur Erleichterung des Website-Vorhabens vererben konnten. Diese eignete sich für Websites ohne direkte kommerzielle Absichten, ohne weitreichendere Datenverarbeitung und mit explizitem Nutzerkreis in der Schweiz — diese Spezifikation trifft auf unsere eigene und die meisten der von uns betreuten Websites zu. Wendet sich eine Website explizit auch an das europäische Ausland, gilt die europäische Datenschutzverordnung, die DSGVO.

Was wichtig zu verstehen ist: Datenschutz besteht nicht in der Präsentation einer Datenschutzerklärung — die Datenschutzerklärung ist die Repräsentation der Massnahmen, die für den Datenschutz ergriffen wurden. Das bedeutet, dass einer Datenschutzerklärung Massnahmen vorausgehen müssen und die Datenschutzerklärung immer auf die jeweilige Website massgeschneidert werden muss — oder mindestens auf die Typologie der jeweiligen Website. Websites also, die etwa keine Formulare zur Dateneingabe enthalten, keine Cookies schreiben, keine Analysetools zur Messung der Benutzerströme einsetzen und sich explizit an Schweizer Nutzer richtet, sind in einer Datenschutzerklärung anders zu behandeln als solche, die intensiv Daten speichern und sich ans Ausland richten. Das entspricht dem Common Sense, denn die Art und Menge verarbeiteter persönlicher Daten ist eben von Website zu Website sehr unterschiedlich, gleich wie die Gesetzgebung des Ziellandes.

Aber seien wir ehrlich: Die Publikation einer Datenschutzerklärung auf der Website war für viele Schweizer Betreiber kleinerer Websites eine Pflichtübung, die sich vermeintlich mit einer Copy/Paste-Massnahme erledigen liess. Das ändert sich nun aber definitiv. Nicht zuletzt, weil das Thema durch die Medienberichterstattung eine gewisse Aufmerksamkeit erhält.

Des Pudels Kern

Wir haben jetzt die Datenschutzerklärung von 2021 auf unserer Website hinsichtlich des definitiven Schweizer Datenschutzgesetzes erneut durch unseren Datenschutzspezialisten juristisch prüfen und überarbeiten lassen. Die wichtigste Erkenntnis: Ein besonderer Fokus liegt im neuen Datenschutzgesetz auf der Lieferung von Daten an Drittstaaten. Da dazu logischerweise auch die USA zählen, stehen kostenlose Dienste wie Google Analytics, Google Fonts, Google Search Console, Google Tag Manager, Google Maps, Google reCaptcha, Adobe Font Kit und Fontawesome sowie Tools wie MailChimp für den Newsletterversand natürlich auf dem Prüfstand. Notabene: Diese Werkzeuge waren bisher Defacto-Standards, gerade Google bietet ein ganzes Universum ideal aufeinander abgestimmter Tools an — besonders auch für Werbetreibende, die Google Ads nutzen.

Das Brisante daran: Der Abschluss einer Datenschutzvereinbarung, die online etwa mit Google abgeschlossen werden kann, genügt nicht mehr für Datentransfers in die USA. Daher meine persönliche und zugegebenermassen lapidare Einschätzung: Tools aus USA, die personenbezogene Daten in den USA speichern und/oder verarbeiten, sind für Schweizer Websites faktisch tabu¹.

Was also tun?

Vor allem anderen zwingt einen das neue Datenschutzgesetz dazu, sich zu überlegen, welche personenbezogenen Daten man wirklich braucht oder im Hintergrund verwendet werden. Je nach dem, wie man diese Frage beantwortet, muss man sich entscheiden, welche Tools man zu deren Verarbeitung einsetzt. Die Empfehlung der Datenschutzjuristen ist, auf Lösungen zu setzen, die Daten in der Schweiz oder mindestens in Europa speichern und diese in der Datenschutzerklärung zu deklarieren. In der Open-Source-Welt von WordPress mit abertausenden verfügbaren Plugins muss genau hingeschaut werden, welche Daten sie verarbeiten — das macht Webprojekte, etwa Online-Shops, die auf viele Plugins angewiesen sind, unter Umständen aufwändiger.

Die Google-Analyse-Tools lassen sich durch europäische Produkte ersetzen (je nach Anspruch kostenpflichtig). Nach unserem aktuellen Wissensstand bietet das WordPress-Plugin «Matomo» eine hervorragende Lösung, zumal es keinerlei Daten irgendwo anders hinliefert als auf den eigenen Server. Bitter ist aber ein Umstieg für alle, die auf Analysen mit historischen Daten (eben meist aus Google Analytics) angewiesen sind.

Google Fonts können lokal installiert werden, bei Adobe Font Kit ist dies leider nicht so einfach möglich, diese Schriften müssen als Webfonts eingekauft werden. Statt Google reCaptcha setzen wir auf FriendlyCaptcha, eine kostenpflichte Lösung, die keine Daten in die USA liefert. Für Google Maps gibt es leider keine wirkliche Alternative. Wir haben uns deshalb entschieden, Google Maps nicht mehr auf unserer Seite einzubinden, stattdessen verlinken wir auf Google Maps.

Für Newsletter-Tools gibt es ebenfalls Alternativen zu MailChimp, sogar aus Schweizer Provenienz, etwa Mailxpert oder Swissnewsletter (ebenfalls je nach Anspruch kostenpflichtig). Der Umstieg ist aber mit Aufwand und damit mit Kosten verbunden.

Apropos Kosten: Das grösste Risiko bei einer Datenschutzverletzung ist laut unserem Datenschutzjuristen eine Busse bis CHF 250000 (für die verantwortliche Person, nicht das Unternehmen, notabene).

Vom Standard zur Option

Unser Modus Operandi war in der Vergangenheit, Benutzerströme auf Websites standardmässig mit Google Analytics zu erheben. Selbst wenn unsere Kunden dies nicht aktiv verlangten — kam doch erfahrungsgemäss immer irgendwann die Frage auf, wie viele Nutzer die Website denn nun eigentlich besuchten oder was sie am meisten interessierte. Als Agentur dann sagen zu müssen, man wisse es nicht, weil das nicht gemessen werde, ist kein schöner Moment, das kann ich Ihnen versichern. Denn eigentlich gehen alle davon aus, dass eine Messung sozusagen «automatisch» geschieht. Diesen Modus Operandi werden wir künftig anpassen und Analysetools nur noch abgestimmt auf die klar deklarierten Bedürfnisse des Auftraggebers und im Einklang mit der Datenschutzerklärung einsetzen.

Für unsere eigene Website nutzen wir «Matomo Analytics – Ethische Statistiken. Nachhaltige Erkenntnisse.» — ein WordPress-Plugin, das uns nach längerer Recherche am meisten überzeugt hat – und sammeln nun die Erfahrungen. Die Analysesoftware versendet keine Daten an Dritte sondern speichert die Analysedaten in der Website-eigenen MySQL-Datenbank, welche bei unserem Hostingpartner Hostpoint auf Servern in der Schweiz liegt. Zudem lässt es sich auf fast alle Bedürfnisse ausbauen, sei es mit einer selbstgehosteten Maximalvariante, sei es durch kostenpflichtige Erweiterungen des WordPress-Plugins.

Was empfehlen wir?

Aufgrund unserer Erfahrung in der Zusammenarbeit mit unserem Datenschutzjuristen bin ich überzeugt, dass Angebote von Web-Agenturen, die versprechen, Datenschutzerklärungen gegen einen geringen Obolus einfach auf die Anforderungen des neuen Datenschutzgesetzes anzupassen, mit Vorsicht zu geniessen sind. Da Datenschutz eine Handlung voraussetzt und nicht eine rein publizistische Tätigkeit ist, müssen zuerst Massnahmen zum Datenschutz getroffen werden, um anschliessend eine dementsprechende Datenschutzerklärung zu verfassen und zu publizieren. Und wie eingangs erwähnt, Gesetze sind die Sache von Juristen. Betreiber von Websites, die Datenschutz ernst nehmen und personenbezogene Daten auf ihrer Website erheben, kommen nicht darum herum, sich mit dem Datenschutzgesetz zu beschäftigen und gegebenenfalls Datenschutzjuristen zu beauftragen — das war unser Learning und so sind wir vorgegangen. Die Alternative ist meiner Meinung nach nur, automatisiert gar keine personenbezogenen Daten auf der Website mehr zu erheben, was irgendwie auch keine Lösung ist. Für Betreiber von Newslettern wird die Sache etwas komplizierter: Einerseits muss der Newsletter in einem alternativen Werkzeug neu aufgesetzt werden und die Audience (die Empfängerliste) übernommen werden — dazu ist gemäss der Einschätzung unserer Datenschutzjuristen keine neuerliche Zustimmung durch die Newsletter-Empfänger einzuholen. Wenigstens das.

Zusammengefasst sind mindestens folgende Massnahmen für Betreiber von Websites nötig:

• Entscheiden, welche personenbezogenen Daten wirklich auf der eigenen Website gesammelt werden müssen.
• Prüfen, welche personenbezogenen Daten auf der Website verarbeitet werden.
• Google Analytics entfernen und bei Bedarf durch eine passende Alternative ersetzen.
• Google Fonts entfernen, bei Bedarf sogar via Plugin blocken und Schriften lokal einbinden.
• Aus Adobe Font Kit bezogene Schriften einkaufen und lokal einbinden.
• Google reCaptcha durch eine Alternative ersetzen.
• MailChimp durch eine Alternative ersetzen.
• Eine eigene E-Mail-Adresse einrichten, die Anfragen zum Datenschutz entgegennimmt (in unserem Falle privacy@dezemberundjuli.ch), die an mehrere verantwortliche Personen weitergeleitet werden kann, da gewisse Anfragen mit Antwortfristen belegt sind.
• Die Datenschutzrichtlinie verfassen oder ändern und publizieren.
• Cookie- bzw. Datenschutzrichtlinien-Banner auf der Website integrieren (zumindest nach der gegenwärtigen Rechtslage nicht notwendig, schadet aber nicht, denn wer Gutes tut, soll das auch zeigen).

Was bieten wir als Agentur, was nicht?

Wir bieten die Evaluation und Implementierung passender Schweizer oder europäischer Lösungen als Alternativen zu den bisherigen aus den USA oder anderen Ländern, wo dies möglich ist. Natürlich bieten wir an, Google Analytics zu deaktivieren. Wir bieten weiterhin unseren Kunden eine juristisch fundierte generische Datenschutzerklärungsvorlage, die wir eigens erarbeiten liessen. Diese kann zur Erstellung der eigenen Datenschutzerklärung als Vorlage dienen. Und wir machen unsere Kunden bei jedem Projekt auf die Wichtigkeit des Themas Datenschutz und Datenschutzerklärung aufmerksam. Was wir aber nicht bieten ist juristische Beratung in Datenschutzfragen — der Datenschutz und damit die Datenschutzerklärung liegen in der Verantwortung eines jeden Unternehmens bzw. Betreibers einer Website. Selbstverständlich können wir gute Datenschutzjuristen aus unserem Netzwerk empfehlen.

Mein Fazit: Auch wenn es Betreiber von Websites mit Zielland Schweiz punkto Vorschriften nicht ganz so hart trifft wie solche aus der EU, so bringt die Totalrevision des Schweizer Datenschutzgesetzes doch Verschärfungen, die man nicht einfach an sich vorüberziehen lassen sollte. Es ist ein weiteres juristisches Gebiet, mit dem sich kleine und grosse Unternehmen gleichermassen beschäftigen müssen — zum Vorteil der Internetnutzer und Konsumenten.

 

_________

¹  Mir ist klar, dass diese Aussage das Potential hat, hohe Wellen zu schlagen, weshalb wir diese Aussage juristisch doppelt haben absichern lassen. Sie stützt sich einerseits auf die Erläuterungen des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) im Dokument «Datenbekanntgabe ins Ausland» andererseits auf das PDF-Dokument des gleichen Herausgebers «Anleitung für die Prüfung der Zulässigkeit von Datenübermittlungen mit Auslandbezug (nach Art. 16 Abs. 2 lit. b und d DSG)», das ein Prüfschema enthält (S. 3). Bei einer Übermittlung von Personendaten, in die USA etwa an Google, wird das Resultat einer seriös nach diesen Anforderungen durchgeführten Prüfung mit hoher Wahrscheinlichkeit sein, dass Betreiber von Websites bei Schritt [N10] landen und den Datentransfer aussetzen/beenden müssen.