Seit Mai 2018 ist die DSGVO (Datenschutz-Grundverordnung) anzuwenden. Es ist somit wichtiger denn je, Datenschutz auf der Website ernst zu nehmen und korrekt umzusetzen.
Das neue Schweizer Datenschutzgesetz (revDSG) ist zudem ab dem 01.09.2023 gültig.
Aktualisiert am 11.05.2023.
Inhalt
1. Bin ich mit meinem Schweizer Unternehmen ebenfalls davon betroffen?2. Massnahmen für den Datenschutz auf der Website
2.1 Cookies auf der Website finden
2.2 Google Fonts
2.3 Google Analytics
2.4 Google Maps
2.5 Formulare
2.6 Verschlüsselung mittels HTTPS
2.7 Newsletter
2.8 Social Media
3. Weiterführende Links
4. Entwicklungen zum neuen Datenschutzgesetz (revDSG) ab dem 01.09.2023
Bin ich mit meinem Schweizer Unternehmen ebenfalls davon betroffen?
Ja, mit sehr grosser Wahrscheinlichkeit. Es zeigt sich leider immer wieder, dass Schweizer KMU Datenschutz und Datensicherheit zu wenig ernst nehmen.
Beispiel 1: Emil Frey (12.01.2022)
Beispiel 2: SBB, Swisspass-Daten (24.01.2022)
Beispiel 3: NZZ (28.03.2023)
Die Datenschutz-Grundverordnung stammt zwar von der Europäischen Union, betrifft aber auch die Schweiz.
Dies ist nämlich dann der Fall, wenn du beispielsweise mittels Webshop Produkte auch an Kunden in der EU verkaufst (oder anbietest). Ein weiterer Aspekt ist die Nutzung von Diensten Dritter (beispielsweise Google Analytics oder YouTube), welche das Verhalten der Besucher deiner Website analysieren. Die Verwendung solcher Tools muss dann explizit in der Datenschutzerklärung erwähnt werden.
Du bist in guter Gesellschaft
Massnahmen für den Datenschutz auf der Website
Bevor ich zu den Massnahmen komme, stellt sich zuerst eventuell folgende Frage für dich:
Ja, das wird bald der Fall sein. Aktuell wird dessen Nutzung stark empfohlen.
Mit dem neuen Datenschutzgesetz ab dem 1.9.2023 ist eine Datenschutzerklärung Pflicht. Da kann eine fehlende Datenschutzerklärung gebüsst werden (Art. 19 nDSG bzw. Art. 60 nDSG (Strafbestimmungen)).
Für den Datenschutz auf der Website empfehle ich (sofern auch Besucher aus dem EU-Raum darauf zugreifen) einen Cookie-Hinweis einzublenden. Diesen korrekt umzusetzen ist aber nicht ganz einfach und erfordert etwas Geschick. Es reicht nicht aus, einfach darüber zu informieren und von der Akzeptanz der Cookies durch den Besucher auszugehen. Es steckt viel mehr dahinter, denn ich muss als Website-Besucher auch die Möglichkeit haben, das Setzen von Cookies abzulehnen. Dies verhindert das Benutzen der Website im besten Fall nicht. Was die DSGVO für die Schweiz bedeutet, hat cyon aus Hoster-Sicht erklärt.
Ein Tool (Plugin), welches dies gemäss meinem heutigen Wissensstand spezifisch für WordPress sehr gut umsetzt, ist Borlabs Cookie. Das Unternehmen hat ihren Sitz in Hamburg und bietet seit geraumer Zeit dieses kostenpflichtige Datenschutz-Plugin für WordPress an.
Kostenlose Alternative für WordPress: Real Cookie Banner
Damit sind bereits zahlreiche Punkte abgedeckt. Weiter solltest du jedoch folgende Punkte beachten.
Cookies auf der Website finden
Um Cookies auf deiner Website bzw. deinem Webshop finden zu können, musst du dich nicht durch den Quellcode wühlen. Es gibt dazu mindestens ein cooles Tool, welches dir sehr rasch die vorhandenen Cookies anzeigt:
Google Fonts
Google-Schriften solltest du lokal einbinden, sprich auf dem Webserver, auf dem auch deine Website betrieben wird. Standardmässig ist dies nicht der Fall, da die Schrift direkt via Google-Server geladen wird. Die Einbindung funktioniert beispielsweise mit dem webfonts helper für die Schriftart «Roboto» einwandfrei und das Ergebnis ist identisch im Vergleich zur vorherigen Lösung via fremdem Server.
Google Analytics
Google Analytics kannst du einsetzen, solltest dann aber für alle Anfragen die IP-Adresse anonymisieren. Ansonsten ist die Verwendung nicht datenschutzkonform. Tolle Plugins, welche allerdings weniger Funktionen bieten, aber dafür mit dem Datenschutz keine Herausforderungen mit sich bringen, sind:
Wenn du jedoch nicht auf umfassende Auswertungsmöglichkeiten verzichten möchtest, empfehle ich Matomo. Wie du Matomo nutzen kannst, zeigt diese Anleitung detailliert auf.
Google Maps
Ein weiterer Dienst des Suchmaschinen-Konzerns: Google Maps. In diesem Fall fliessen die Daten im Normalfall nach Übersee.
Formulare
Bei Formularen auf der Website solltest du vor dem Abschicken-Button einen Hinweis (Checkbox) zur Datenschutzerklärung einbauen, damit bestätigt werden kann, dass diese gelesen worden ist. Diese Checkbox muss einem Pflichtfeld entsprechen. Ohne dessen Aktivierung darf das Abschicken des Formulars nicht möglich sein. Beispiel:
«Deine Daten werden ausschliesslich zur Beantwortung deiner Anfrage genutzt. Details findest du in der Datenschutzerklärung.»
Verschlüsselung mittels HTTPS
Stelle sicher, dass du HTTPS bzw. SSL aktiviert hast. Du erkennst dies am Schloss oben im Browser.
Newsletter
Beim Newsletter-Dienst (z.B. Mailchimp oder auch MailPoet) muss ebenfalls geprüft werden, wo die Daten gespeichert werden.
Social Media
Wenn du Facebook, Twitter oder auch Instagram in deine Website einbindest, ist ebenfalls Vorsicht geboten, was den Datenschutz betrifft.
Falls du also besorgt bist, was mit deinen Daten geschieht, wenn du zum Beispiel mein Formular für Offertanfragen ausfüllst, schicke mir bitte direkt ein E-Mail an die Adresse, die ich dort verlinkt habe. Voraussetzung dafür ist natürlich, dass du ebenfalls einen Schweizer E-Mail-Anbieter nutzt. So ist sichergestellt, dass unsere Kommunikation auf Schweizer Servern verbleibt, da ich erstens ProtonMail benutze und zweitens immer einen VPN-Dienst verwende, wenn ich unterwegs bin.
Weiterführende Links
Da ich wie erwähnt nicht vom Fach bin, was digitales Recht betrifft, hier meine Links mit den wichtigsten weiteren Informationen.
Entwicklungen zum neuen Datenschutzgesetz (revDSG) ab dem 01.09.2023
National- und Ständerat debattieren im Parlament seit Mitte Juni 2018 ziemlich intensiv über das neue Datenschutzgesetz.
Am 24. September, ziemlich genau 1 Jahr nach den Schlussbestimmungen des Ständerates, hat der Nationalrat sein Geschäft dazu wieder aufgenommen.
Inzwischen ist es entschieden: Das neue Datenschutzgesetz (revDSG) wird am 01.09.2023 eingeführt, ohne Übergangsfrist.
Auf dem KMU-Portal des SECO findet sich dazu eine gute Checkliste für KMU.
Weitere Artikel zum Datenschutz
Browser ohne Tracking: Brave 01.05.2018 – aktualisiert am 07.11.2019.
3 Top-Plugins für den Datenschutz 28.04.2018