Die Überarbeitung bzw. die Totalrevision des Schweizer Datenschutzgesetzes hat lange gedauert, doch nun tritt sie am 1. September 2023 in Kraft. Datenschutz ist zweifellos eine wichtige Aufgabe für Unternehmen, die Transparenz über die Verwendung und Speicherung von Daten ein ebenso wichtiges Anliegen. Auch Websites können Daten von Benutzern verwenden und speichern, deshalb unterliegen sie korrekterweise auch dem Datenschutzgesetz — das tangiert Betreiber von Websites, also uns. Und Sie, sofern Sie auch eine Website betreiben.
Als Präambel möchte ich unterstreichen, dass ich kein Jurist bin. Gesetze sind das Gebiet von Juristen, nicht von Designern oder Kommunikationsfachleuten. Und das Bonmot «zwei Juristen, zwei Meinungen» gilt mutmasslich auch im Zusammenhang mit dem Datenschutzgesetz. Wir haben bereits 2021 eine erste Version einer Datenschutzerklärung für unsere Website zusammen mit unserem Hausjuristen erarbeitet und auf diesem Wege die eine oder andere Erkenntnis gewonnen, die ich hier nun mit Ihnen teilen möchte.
Im Anschluss an unsere Arbeiten 2021 haben wir eine Art generische Version unserer eigenen Datenschutzerklärung konzipieren lassen, die wir an einige unserer Kunden zur Erleichterung des Website-Vorhabens vererben konnten. Diese eignete sich für Websites ohne direkte kommerzielle Absichten, ohne weitreichendere Datenverarbeitung und mit explizitem Nutzerkreis im Inland — diese Spezifikation trifft auf unsere eigene und die meisten der von uns betreuten Websites zu. Wendet sich eine Website explizit auch an das europäische Ausland, gilt die europäische Datenschutzverordnung, die DSGVO.
Was wichtig zu verstehen ist: Datenschutz besteht nicht in der Präsentation einer Datenschutzerklärung — die Datenschutzerklärung ist die Repräsentation der Massnahmen, die für den Datenschutz ergriffen wurden. Das bedeutet, dass einer Datenschutzerklärung Massnahmen vorausgehen müssen und die Datenschutzerklärung immer auf die jeweilige Website massgeschneidert werden muss — oder mindestens auf die Typologie der jeweiligen Website. Websites also, die etwa keine Formulare zur Dateneingabe enthalten, keine Cookies schreiben, keine Analysetools zur Messung der Benutzerströme einsetzen und sich explizit an Schweizer Nutzer richtet, sind in einer Datenschutzerklärung anders zu behandeln als solche, die intensiv Daten speichern und sich ans Ausland richten. Das entspricht dem Common Sense, denn die Art und Menge verarbeiteter persönlicher Daten ist eben von Website zu Website sehr unterschiedlich, gleich wie die Gesetzgebung des Ziellandes.
Aber seien wir ehrlich: Die Publikation einer Datenschutzerklärung auf der Website war für viele Schweizer Betreiber kleinerer Websites eine Pflichtübung, die sich vermeintlich mit einer Copy/Paste-Massnahme erledigen liess. Das ändert sich nun aber definitiv. Nicht zuletzt, weil das Thema durch die Medienberichterstattung eine gewisse Aufmerksamkeit erhält.
Des Pudels Kern
Wir haben jetzt die Datenschutzerklärung auf unserer Website von 2021 hinsichtlich des definitiven Schweizer Datenschutzgesetzes erneut prüfen und überarbeiten lassen. Die wichtigste Erkenntnis: Ein besonderer Fokus liegt im neuen Datenschutzgesetz auf der Lieferung von Daten an Drittstaaten. Da dazu logischerweise auch die USA zählen, stehen kostenlose Dienste wie Google Analytics, Google Search Console, Google Tag Manager und andere Google-Dienste sowie Tools wie MailChimp für den Newsletterversand natürlich auf dem Prüfstand. Notabene: Diese Werkzeuge waren bisher Defacto-Standards, gerade Google bietet ein ganzes Universum ideal aufeinander abgestimmter Tools an — besonders auch für Werbetreibende, die Google Ads nutzen. Wenn nun gesetzeskonforme Datenschutzerklärungen neu etwa folgenden Abschnitt enthalten müssen, dann erahnt man schnell, welchen Einfluss die Revision hat:
«Wenn Betreiber einer Website Personendaten in ein Land ohne angemessenen gesetzlichen Datenschutz übermitteln, sorgen sie wie gesetzlich vorgesehen durch Abschluss von Datenschutzklauseln, die vom Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten genehmigt oder anerkannt wurden, mit den Empfängern der Daten für ein angemessenes Schutzniveau oder stützen sich auf die gesetzlichen Ausnahmetatbestände wie namentlich ihre Einwilligung, den Vertragsabschluss oder die Vertragsabwicklung, die Feststellung, Ausübung oder Durchsetzung von Rechtsansprüchen.»
Allerdings: Der Abschluss eines solchen Agreements allein genügt nicht mehr für Datentransfers in die USA. Daher meine persönliche und zugegebenermassen lapidare Einschätzung: Tools aus USA, die personenbezogene Daten verarbeiten, sind für Schweizer Websites faktisch tabu.
Was also tun?
Vor allem anderen zwingt einen das neue Datenschutzgesetz dazu, sich zu überlegen, welche personenbezogenen Daten man wirklich braucht. Je nach dem, wie man diese Frage beantwortet, muss man sich entscheiden, welche Tools man zu deren Verarbeitung einsetzt. Die Empfehlung der Juristen ist, auf Lösungen zu setzen, die Daten in der Schweiz oder mindestens in Europa speichern und diese in der Datenschutzerklärung zu deklarieren. In der Open-Source-Welt von WordPress mit abertausenden verfügbaren Plugins muss genau hingeschaut werden, welche Daten sie verarbeiten — das macht Webprojekte, etwa Online-Shops, die auf viele Plugins angewiesen sind, unter Umständen aufwändiger.
Die Google-Analyse-Tools lassen sich durch europäische Produkte ersetzen (je nach Anspruch kostenpflichtig). Nach unserem aktuellen Wissensstand bietet das WordPress-Plugin «Matomo» eine hervorragende Lösung, zumal es keinerlei Daten irgendwo anders hinliefert als auf den eigenen Server. Bitter ist aber ein Umstieg für alle, die auf Analysen mit historischen Daten (eben meist aus Google Analytics) angewiesen sind.
Für Newsletter-Tools gibt es ebenfalls Alternativen zu MailChimp, sogar aus Schweizer Provenienz, etwa Mailxpert oder Swissnewsletter (ebenfalls je nach Anspruch kostenpflichtig). Der Umstieg ist aber mit Aufwand und damit mit Kosten verbunden.
Apropos Kosten: Das grösste Risiko bei einer Datenschutzverletzung ist laut unserem Hausjuristen eine Busse bis CHF 250000 (für die verantwortliche Person, nicht das Unternehmen, notabene).
Vom Standard zur Option
Unser Modus Operandi war in der Vergangenheit, Benutzerströme auf Websites standardmässig mit Google Analytics zu erheben. Selbst wenn unsere Kunden dies nicht aktiv verlangten — kam doch erfahrungsgemäss immer irgendwann die Frage auf, wie viele Nutzer die Website denn nun eigentlich besuchten oder was sie am meisten interessierte. Als Agentur dann sagen zu müssen, man wisse es nicht, weil das nicht gemessen werde, ist kein schöner Moment, das kann ich Ihnen versichern. Denn eigentlich gehen alle davon aus, dass eine Messung sozusagen «automatisch» geschieht. Diesen Modus Operandi werden wir künftig anpassen und Analysetools nur noch abgestimmt auf die klar deklarierten Bedürfnisse des Auftraggebers und im Einklang mit der Datenschutzerklärung einsetzen.
Für unsere eigene Website nutzen wir «Matomo Analytics – Ethische Statistiken. Nachhaltige Erkenntnisse.» — ein WordPress-Plugin, das uns nach längerer Recherche am meisten überzeugt hat – und sammeln nun die Erfahrungen. Die Analysesoftware versendet keine Daten an Dritte sondern speichert die Analysedaten in der Website-eigenen MySQL-Datenbank, welche bei unserem Hostingpartner Hostpoint auf Servern in der Schweiz liegt. Zudem lässt es sich auf fast alle Bedürfnisse ausbauen, sei es mit einer selbstgehosteten Maximalvariante, sei es durch kostenpflichtige Erweiterungen des WordPress-Plugins.
Was empfehlen wir?
Aufgrund unserer Erfahrung in der Zusammenarbeit mit unserem Hausjuristen bin ich überzeugt, dass Angebote von Web-Agenturen, die versprechen, Datenschutzerklärungen gegen einen geringen Obolus einfach auf die Anforderungen des neuen Datenschutzgesetzes anzupassen, mit Vorsicht zu geniessen sind. Da Datenschutz eine Handlung voraussetzt und nicht eine rein publizistische Tätigkeit ist, müssen zuerst Massnahmen zum Datenschutz getroffen werden, um anschliessend eine dementsprechende Datenschutzerklärung zu verfassen und zu publizieren. Und wie eingangs erwähnt, Gesetze sind die Sache von Juristen. Betreiber von Websites, die Datenschutz ernst nehmen und personenbezogene Daten auf ihrer Website erheben, kommen nicht darum herum, sich mit dem Datenschutzgesetz zu beschäftigen und gegebenenfalls Juristen zu beauftragen — das war unser Learning und so sind wir vorgegangen. Die Alternative ist meiner Meinung nach nur, automatisiert gar keine personenbezogenen Daten auf der Website mehr zu erheben, was irgendwie auch keine Lösung ist. Für Betreiber von Newslettern wird die Sache etwas komplizierter: Einerseits muss der Newsletter in einem alternativen Werkzeug neu aufgesetzt werden und die Audience (die Empfängerliste) übernommen werden — dazu ist gemäss der Einschätzung unserer Juristen keine neuerliche Zustimmung durch die Newsletter-Empfänger einzuholen. Wenigstens das.
Zusammengefasst sind mindestens folgende Massnahmen für Betreiber von Websites nötig:
- Entscheiden, welche personenbezogenen Daten wirklich auf der eigenen Website gesammelt werden müssen.
- Prüfen, welche personenbezogenen Daten auf der Website verarbeitet werden.
- Google Analytics entfernen und bei Bedarf durch eine passende Alternative ersetzen.
- MailChimp durch eine Alternative ersetzen.
- Eine eigene E-Mail-Adresse einrichten, die Anfragen zum Datenschutz entgegennimmt (in unserem Falle privacy@dezemberundjuli.ch), die an mehrere verantwortliche Personen weitergeleitet werden kann, da gewisse Anfragen mit Antwortfristen belegt sind.
- Die Datenschutzrichtlinie verfassen oder ändern und publizieren.
- Cookie- bzw. Datenschutzrichtlinien-Banner auf der Website integrieren (zumindest nach der gegenwärtigen Rechtslage nicht notwendig, schadet aber nicht, denn wer Gutes tut, soll das auch zeigen).
Was bieten wir als Agentur, was nicht?
Wir bieten die Evaluation und Implementierung passender Schweizer oder europäischer Lösungen als Alternativen zu den bisherigen aus den USA oder anderen Ländern, wo dies möglich ist. Natürlich bieten wir an, Google Analytics zu deaktivieren. Wir bieten weiterhin unseren Kunden eine juristisch fundierte generische Datenschutzerklärungsvorlage, die wir eigens erarbeiten liessen. Diese kann zur Erstellung der eigenen Datenschutzerklärung als Vorlage dienen. Und wir machen unsere Kunden bei jedem Projekt auf die Wichtigkeit des Themas Datenschutz und Datenschutzerklärung aufmerksam. Was wir aber nicht bieten ist juristische Beratung in Datenschutzfragen — der Datenschutz und damit die Datenschutzerklärung liegen in der Verantwortung eines jeden Unternehmens bzw. Betreibers einer Website. Selbstverständlich können wir gute Juristen aus unserem Netzwerk empfehlen.
Mein Fazit: Auch wenn es Betreiber von Websites mit Zielland Schweiz punkto Vorschriften nicht ganz so hart trifft wie solche aus der EU, so bringt die Totalrevision des Schweizer Datenschutzgesetzes doch Verschärfungen, die man nicht einfach an sich vorüberziehen lassen sollte. Es ist ein weiteres juristisches Gebiet, mit dem sich kleine und grosse Unternehmen gleichermassen beschäftigen müssen — zum Vorteil der Internetnutzer und Konsumenten.
Patrick Jauch, das sind 20 Jahre Frontdienst in der Kommunikationsberatung und im Key Account Management, Dozententätigkeit als Semiotiker in der höheren Berufsbildung, Innovator starker Brands nationaler und regionaler KMU. Typographic und Graphic Designer, Fotograf, Textarbeiter, Creative/Art Director. Konzepter konziser Erscheinungsbilder und Kampagnen. Immer und alles für Online- und Printmedien seit jeher. Genussgetriebener Lebemann und Digital Junkie. Kurzum: 20 Jahre im Dienst der Unternehmenskommunikation, am Puls sozialer, technischer und unternehmerischer Trends. Gründer, Inhaber und Geschäftsführer von #dezemberundjuli.