Seit Mai 2018 ist die DSGVO (Datenschutz-Grundverordnung) anzuwenden. Es ist somit wichtiger denn je, Datenschutz auf der Website ernst zu nehmen und korrekt umzusetzen.
Das neue Schweizer Datenschutzgesetz (revDSG) ist zudem ab dem 01.09.2023 gültig.
Aktualisiert am 10.03.2024.
Inhalt
1. Bin ich mit meinem Schweizer Unternehmen ebenfalls davon betroffen?2. Massnahmen für den Datenschutz auf der Website
2.1 Cookies auf der Website finden
2.2 Google Fonts
2.3 Google Analytics
2.4 Google Maps
2.5 Formulare
2.6 Verschlüsselung mittels HTTPS
2.7 Newsletter
2.8 Social Media
3. Weiterführende Links
4. Entwicklungen zum neuen Datenschutzgesetz (revDSG) ab dem 01.09.2023
Bin ich mit meinem Schweizer Unternehmen ebenfalls davon betroffen?
Ja, mit sehr grosser Wahrscheinlichkeit. Es zeigt sich leider immer wieder, dass Schweizer KMU Datenschutz und Datensicherheit zu wenig ernst nehmen.
Beispiel 1: Emil Frey (12.01.2022)
Beispiel 2: SBB, Swisspass-Daten (24.01.2022)
Beispiel 3: NZZ (28.03.2023)
Die Datenschutz-Grundverordnung stammt zwar von der Europäischen Union, betrifft aber auch die Schweiz.
Dies ist nämlich dann der Fall, wenn du beispielsweise mittels Webshop Produkte auch an Kunden in der EU verkaufst (oder anbietest). Ein weiterer Aspekt ist die Nutzung von Diensten Dritter (beispielsweise Google Analytics oder YouTube), welche das Verhalten der Besucher deiner Website analysieren. Die Verwendung solcher Tools muss dann explizit in der Datenschutzerklärung erwähnt werden.
Du bist in guter Gesellschaft
Massnahmen für den Datenschutz auf der Website
Bevor ich zu den Massnahmen komme, stellt sich zuerst eventuell folgende Frage für dich:
Ja, das wird bald der Fall sein. Aktuell wird dessen Nutzung stark empfohlen.
Mit dem neuen Datenschutzgesetz ab dem 1.9.2023 ist eine Datenschutzerklärung Pflicht. Da kann eine fehlende Datenschutzerklärung gebüsst werden (Art. 19 nDSG bzw. Art. 60 nDSG (Strafbestimmungen)).
Für den Datenschutz auf der Website empfehle ich (sofern auch Besucher aus dem EU-Raum darauf zugreifen) einen Cookie-Hinweis einzublenden. Diesen korrekt umzusetzen ist aber nicht ganz einfach und erfordert etwas Geschick. Es reicht nicht aus, einfach darüber zu informieren und von der Akzeptanz der Cookies durch den Besucher auszugehen. Es steckt viel mehr dahinter, denn ich muss als Website-Besucher auch die Möglichkeit haben, das Setzen von Cookies abzulehnen. Dies verhindert das Benutzen der Website im besten Fall nicht. Was die DSGVO für die Schweiz bedeutet, hat cyon aus Hoster-Sicht erklärt.
Ein Tool (Plugin), welches dies gemäss meinem heutigen Wissensstand spezifisch für WordPress sehr gut umsetzt, ist Borlabs Cookie. Das Unternehmen hat ihren Sitz in Hamburg und bietet seit geraumer Zeit dieses kostenpflichtige Datenschutz-Plugin für WordPress an.
Kostenlose Alternative für WordPress: Real Cookie Banner
Damit sind bereits zahlreiche Punkte abgedeckt. Weiter solltest du jedoch folgende Punkte beachten.
Cookies auf der Website finden
Um Cookies auf deiner Website bzw. deinem Webshop finden zu können, musst du dich nicht durch den Quellcode wühlen. Es gibt dazu mindestens ein cooles Tool, welches dir sehr rasch die vorhandenen Cookies anzeigt:
Google Fonts
Google-Schriften solltest du lokal einbinden, sprich auf dem Webserver, auf dem auch deine Website betrieben wird. Standardmässig ist dies nicht der Fall, da die Schrift direkt via Google-Server geladen wird. Die Einbindung funktioniert beispielsweise mit dem webfonts helper für die Schriftart «Roboto» einwandfrei und das Ergebnis ist identisch im Vergleich zur vorherigen Lösung via fremdem Server.
Google Analytics
Google Analytics kannst du einsetzen, solltest dann aber für alle Anfragen die IP-Adresse anonymisieren. Ansonsten ist die Verwendung nicht datenschutzkonform. Tolle Plugins, welche allerdings weniger Funktionen bieten, aber dafür mit dem Datenschutz keine Herausforderungen mit sich bringen, sind:
Wenn du jedoch nicht auf umfassende Auswertungsmöglichkeiten verzichten möchtest, empfehle ich Matomo. Wie du Matomo nutzen kannst, zeigt diese Anleitung detailliert auf.
Google Maps
Ein weiterer Dienst des Suchmaschinen-Konzerns: Google Maps. In diesem Fall fliessen die Daten im Normalfall nach Übersee.
Formulare
Bei Formularen auf der Website solltest du vor dem Abschicken-Button einen Hinweis (Checkbox) zur Datenschutzerklärung einbauen, damit bestätigt werden kann, dass diese gelesen worden ist. Diese Checkbox muss einem Pflichtfeld entsprechen. Ohne dessen Aktivierung darf das Abschicken des Formulars nicht möglich sein. Beispiel:
«Deine Daten werden ausschliesslich zur Beantwortung deiner Anfrage genutzt. Details findest du in der Datenschutzerklärung.»
Verschlüsselung mittels HTTPS
Stelle sicher, dass du HTTPS bzw. SSL aktiviert hast. Du erkennst dies am Schloss oben im Browser.
Newsletter
Beim Newsletter-Dienst (z.B. Mailchimp oder auch MailPoet) muss ebenfalls geprüft werden, wo die Daten gespeichert werden.
Social Media
Wenn du Facebook, Twitter oder auch Instagram in deine Website einbindest, ist ebenfalls Vorsicht geboten, was den Datenschutz betrifft.
Falls du also besorgt bist, was mit deinen Daten geschieht, wenn du zum Beispiel mein Formular für Offertanfragen ausfüllst, schicke mir bitte direkt ein E-Mail an die Adresse, die ich dort verlinkt habe. Voraussetzung dafür ist natürlich, dass du ebenfalls einen Schweizer E-Mail-Anbieter nutzt. So ist sichergestellt, dass unsere Kommunikation auf Schweizer Servern verbleibt, da ich erstens ProtonMail benutze und zweitens immer einen VPN-Dienst verwende, wenn ich unterwegs bin.
Weiterführende Links
Da ich wie erwähnt nicht vom Fach bin, was digitales Recht betrifft, hier meine Links mit den wichtigsten weiteren Informationen.
Entwicklungen zum neuen Datenschutzgesetz (revDSG) ab dem 01.09.2023
National- und Ständerat debattieren im Parlament seit Mitte Juni 2018 ziemlich intensiv über das neue Datenschutzgesetz.
Am 24. September, ziemlich genau 1 Jahr nach den Schlussbestimmungen des Ständerates, hat der Nationalrat sein Geschäft dazu wieder aufgenommen.
Inzwischen ist es entschieden: Das neue Datenschutzgesetz (revDSG) wird am 01.09.2023 eingeführt, ohne Übergangsfrist.
Weitere Artikel zum Datenschutz
Browser ohne Tracking: Brave 01.05.2018 – aktualisiert am 07.11.2019.
3 Top-Plugins für den Datenschutz 28.04.2018
Hallo Michael, ich bin dabei eine Webseite über Finanzen zu erstellen mit WordPress. Ich weiss nicht genau, was ich im Datenschutz angeben muss bzw. wie stark mich das betrifft. Die Webseite ist rein informativ und vorläufig kann man mich nur über Email kontaktieren. Ich habe weder eine Kommentarfunktion noch ein Kontaktformular vorgesehen. Stichwort Google Analytics. Das ist ein Werkzeug für das ich bezahlen muss wenn ich es einsetzen will, oder? Das werde ich vorläufig auch nicht haben. Insofern werde ich, mit Ausnahme der Daten die ich erhalte sollte mich jemand per Email kontaktieren, keine spezifischen Daten sammeln. Gibt es eine gute Vorlage oder eine Stelle bei den Behörden wo ich nähere Infos dazu erhalte? Im Web findet man zwar viel, aber nichts genaues. Vielen Dank und viele Grüsse, Luca Grisoni
Ciao Luca – vielen Dank für deinen Kommentar.
Was du beschreibst, macht es aus meiner Sicht punkto Datenschutzerklärung etwas einfacher.
Google Analytics (GA 4) ist kostenlos, siehe auch https://marketingplatform.google.com/intl/de/about/analytics/. Du musst es lediglich auf deiner Website entsprechend einrichten. GA 4 ist jedoch sehr umfassend und trackt unglaublich viel – du kannst auch auf ein WordPress-Plugin wie z.B. «WP Statistics» setzen, vgl. https://de.wordpress.org/plugins/wp-statistics/.
Die Stelle bei den Behörden wäre der EDÖB (Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter), welcher aber grundsätzlich sehr gut ausgelastet ist und meines Wissens keine Kapazität für private Anfragen hat.
Eine gute Vorlage ist diese hier: https://brainbox.swiss/datenschutz-generator-schweiz/
Oder du schaust auf anderen Websites nach und lässt dich dort von der Datenschutzerklärung inspirieren, das ist auch meist eine gute Option.
Bitte melde dich, falls noch weitere Fragen auftauchen sollten.
Lieber Gruss, Michi
Ciao Michi – vielen Dank für deine Antwort.
Ich schaue mir hin und wieder andere Seiten an um zu sehen, wie der Datenschutz entsprechend umgesetzt wird. Es ist ein sehr komplexes Thema, ich bin froh um deine Inputs und die Vorlage, die ich sehr gerne prüfen werde.
Beste Grüsse und weiterhin viel Erfolg und Spass mit deiner Webseite,
Beste Grüsse,
Luca
Guten Tag,
Wenn man für sich selber eine Webseite macht, oder Kunden die Webseite bei dessen Beendigung übergibt, wie sieht es dann mit einem Datenschutzbeauftragten aus?
Muss jemand bestimmtes ausgewählt werden oder ist jeder selbst für die eigene Webseite verantwortlich?
Danke für den Blog
Grüsse
Hallo Dave
Wenn du für dich selbst (privat) eine Website erstellst, benötigst du keinen Datenschutzbeauftragten (im Gesetz ist von «Datenschutzberater» die Rede, siehe auch Art. 10 nDSG unter https://www.fedlex.admin.ch/eli/cc/2022/491/de#art_10
Sofern es sich um eine Kunden-Website handelt, ist das, wie ich in der Praxis sehe, etwas von der Unternehmensgrösse abhängig. Handelt es sich um ein KMU mit ein paar wenigen Mitarbeitern, benötigt es meines Wissens ebenfalls keinen Datenschutzberater.
Handelt es sich jedoch um eine grosse Firma (evtl. auch im öffentlichen Interesse), wäre eine Datenschutzberaterin bzw. Datenschutzberater vermutlich sinnvoll. Einfach, damit die Behörden (EDÖB) bei Datenschutzfragen eine geschulte Ansprechperson haben.
Somit: Man kann aus meiner Sicht jemanden bestimmen, muss aber nicht.
Viele Grüsse
Michi