Nur noch ein paar Tage, dann gilt die neue Datenschutz-Grundverordnung der EU, welche auch in der Schweiz zu den meistdiskutierten digitalen Themen gehört. Das Ziel der sogenannten DSGVO soll es sein, die Rechte für EU-Bürger hinsichtlich des Datenschutzes transparenter zu gestalten und zu stärken. Doch was bedeutet dies für Sie als Schweizer Unternehmen und welche Herausforderungen kommen speziell auf Onlineshop-Betreiber zu? Dies ist das Thema des folgenden Blog-Beitrags der in Zusammenarbeit mit dem öffentlichen Notar und Datenschutzexperten Franco Widmer sowie Inhaber von MUSTER-URKUNDEN.ch, entstanden ist.

Ab dem 25. Mai ist es soweit, die neue EU-Datenschutzgrundverordnung (DSGVO) tritt in Kraft. Online-Anbieter werden nun verstärkt in die Pflicht genommen, den Datenschutz besonders ernst zu nehmen. Nutzer sollen durch die neue DSGVO verständlicher informiert werden was mit den über sie gesammelten Daten passiert. Betroffen sind davon jedoch nicht nur grosse, internationale Unternehmen welche Ihren Firmensitz in der EU haben. Ebenso müssen KMUs und Startups ihren Datenschutz rechtzeitig auf den aktuellsten Stand bringen um keine empfindlichen Bussen zu riskieren:

Die DSGVO sieht Geldbussen von bis zu 20 Mio. Euro oder bis zu 4% des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres vor (falls dieser Betrag höher ist).

Auch die zivilrechtliche Haftung für Schadenersatz wird in Zukunft strenger werden, da die DSGVO ausdrücklich auch eine Haftung für “immateriellen Schaden” vorsieht. Auch Unternehmen ohne Niederlassung in der EU sind von der DSGVO betroffen, sofern sie Waren oder Dienstleistungen an Personen in der EU anbieten oder das Verhalten von Personen in der EU beobachten, so beispielsweise auf einer Website oder in einer App.

Auch wer an der Datenverarbeitung für solche Zwecke als Verantwortlicher oder Auftragsverarbeiter mitwirkt, untersteht der DSGVO.

Wichtig ist:
Auch Sie als Schweizer Unternehmen, können von der EU- Datenschutzgrundverordnung betroffen sein und müssen damit Ihrer Pflicht nachkommen Ihre Datenschutzrichtlinien anzupassen. Insbesondere Onlineshops verarbeiten eine hohe Anzahl verschiedener Daten und stehen damit vor einer Herkulesaufgabe. Das neue Recht ist global anwendbar und gilt für alle Unternehmen, die Personen in der EU Waren- oder Dienstleistungen anbieten oder das Verhalten von Personen in der EU analysieren, zum Beispiel auf ihrer Website oder App. Somit sind die Auswirkungen und Folgen der DSVGO für uns alle zu spüren. Doch was bedeutet das konkret?

Laut Datenschutzgrundverordnung kommen nun, unter anderem, folgende Änderungen auf Sie zu:

  • Das Einverständnis der Dateninhaber
    Bei Kindern muss das Einverständnis eines Erziehungsberechtigten vorliegen. Dies muss auch bei Onlineformularen sichergestellt sein, wie beispielsweise bei der Registrierung für einen Newsletter. Unternehmen müssen künftig also das Alter ihrer User kennen und ggf. eine zusätzliche Sicherheitsstufe einbinden.
  • Information und Zugriff
    Dem Dateninhaber müssen sämtliche gespeicherte Daten zugänglich gemacht werden. Es muss klar ersichtlich sein, wozu diese Daten verwendet werden, wie lange sie gespeichert werden und wer die verantwortliche Kontaktperson ist.
  • Datenbereinigung und Weitergabe
    Der Dateninhaber hat das Recht auf korrekte und vollständige Daten. Wird beispielsweise Ihr Unternehmen auf falsche Daten hingewiesen, so müssen diese Daten kurzfristig in allen Systemen korrigiert werden.
  • Verweigerung der Verarbeitung
    Dateninhaber müssen der Verarbeitung ihrer Personendaten auf einfachem Wege und für jede Verwendungsart (Vertrieb, Newsletter, Postwurf etc.) separat widersprechen können, ohne dabei einen Grund zu nennen. Sofern die Daten nicht zur Vertragserfüllung benötigt werden, müssen diese unverzüglich und vollständig gelöscht werden.
  • Datenschutzbeauftragte/r
    Der Datenschutzbeauftragte ist für die korrekte Umsetzung des Datenschutzes im Unternehmen verantwortlich und Ansprechpartner bei Verstössen. Ist kein DBA benannt, so ist der Geschäftsführer persönlich verantwortlich und haftbar.
  • Meldepflicht bei Cyberangriffen
    Angriffe auf das Informationssystem eines Unternehmens müssen innerhalb von 72 Stunden an die zuständige Behörde gemeldet werden. Die Inhaber der Daten müssen über Datenschutzverletzungen informiert werden.

Als personenbezogene Daten werden jegliche Informationen bezeichnet, welche die Zuordnung von Informationen wie Standortdaten, IP-Adresse oder Cookies zu einer konkreten Person ermöglichen. Speziell Onlineshops verarbeiten eine hohe Zahl an personenbezogenen Daten und sind damit besonders in der Pflicht nicht nur Ihre Datenschutzerklärung zu überprüfen und anschließend anzupassen, sondern auch den eigenen Onlineshop und dessen Funktionen zu prüfen und gegebenenfalls zu erweitern.

 

Praxis-Beispiel:

Konkret würde dies für ein Kontaktformular in Ihrem Onlineshop bedeuten, dass Sie die User vor Nutzung des Formulars über Art, Umfang und Zweck der Datenabfrage in Kenntnis setzen und die Verwendung der abgefragten Daten aufschlüsseln. Gleichzeitig sind Sie in der Pflicht nur jene Daten abzufragen, welche auch tatsächlich für diesen Zweck benötigt werden (Datenminimierung gemäß Art. 5 DSGVO).

Je nach Umfang und Verwendungszweck der personenbezogenen Daten müssen folglich individuelle Anpassungen auf Ihrer Website bzw. Ihrem Shop gemacht werden. So haben bereits die Anbieter von Shop-Software die notwendigen Anpassungen vorbereitet. Das Update der neusten OXID eShop 6 Version beinhaltet nicht nur Bugfixes und Optimierungen, sondern auch neue Features, damit Shop-Betreiber die Konformität mit der Europäischen Datenschutz-Grundverordnung für ihre Kunden gewährleisten können. Mit der neuesten Version von OXID eShop erhalten Shop-Kunden beispielsweise die Möglichkeit ihre Kundendaten selbst zu löschen. Desweiteren können Shop-Betreiber durch die neue OXID eShop Version neue Hinweise und Checkboxen integrieren, welche das notwendige Einverständnis zur Datenverarbeitung einfordern.

N

Checkliste ­– Das müssen Shop-Betreiber jetzt tun

  • Datenschutzrichtlinie neu erstellen oder total revidieren
  • Verfahrensverzeichnis erstellen und Verarbeitungstätigkeiten dokumentieren
  • Datenschutzbeauftragten beauftragen und sein Pflichtenheft erstellen
  • Umsetzung der DSGVO und DSG dokumentieren
  • Darauf achten, dass alle Erklärungen, Einverständnisse und Informationen vorhanden sind
  • Formulare anpassen
  • Datensicherheit gewährleisten (SSL-Verschlüsselung)
  • Analytics anpassen
  • Cookie-Hinweis anpassen
  • Datenverarbeitung dokumentieren
  • Double Opt-In-Verfahren für Newsletter anpassen

Wie diese Anpassungen konkret auszusehen haben, ist in den 386 Seiten der EU-DSGVO festgehalten. Doch dies durchzuarbeiten kostet nicht nur Zeit und Geld, sondern auch das entsprechende juristische Fachwissen. Eine professionelle Beratung durch einen erfahrenen Datenschutzexperten ist bei der Erstellung Ihrer Datenschutzrichtlinen unerlässlich. So muss ein besonderes Augenmerk auf korrekte Formulierungen gelegt werden um absolute Rechtssicherheit zu gewährleisten und folglich empfindliche Bussen zu verhindern.

Rechtsberatung durch Datenschutz-Experten und neue Datenschutzerklärungen nach DSGVO von MUSTER-URKUNDEN.ch

Unser Partner MUSTER-URKUNDEN.ch macht Sie DSGVO-sicher. Dank der neuen Datenschutzerklärungen (nach DSGVO) unseres öffentlichen Notars und Datenschutzexperten, Franco Widmer können Sie beruhigt in eine datensichere Zukunft blicken. MUSTER-URKUNDEN.ch bietet Ihnen die Möglichkeit persönliche Rechtsberatungen durch unseren Datenschutzexperten und/oder Datenschutzerklärungen nach der neue DSGVO (Stand: 19. April 2017) online zu beziehen.

Unser Aktions-Angebot umfasst folgende Dienstleistungen

Hinsichtlich des Umfangs der neuen Vorschriften sollten Sie keine Zeit verlieren und alle notwendigen Schritte in die Wege leiten, denn trotz des erheblichen Mehraufwands geht die DSGVO zwingend auch zahlreiche Unternehmen mit Sitz in der Schweiz etwas an. Sichern Sie sich jetzt hier das begrenzte Aktions-Angebot. Denken Sie daran, dies war der „last call“. Die Übergangsfrist läuft bereits seit 2 Jahren, sie haben nur noch bis zum 25. Mai Zeit ihre Datenschutzrichtlinien anzupassen.

Nutzen Sie das Last-Minute Angebot und erhalten Sie durch unsere jahrelange Erfahrung in diesem Bereich alle Informationen zur rechtskonformen Umsetzung, der am 25. Mai in Kraft tretenden EU-Datengrundschutzverordnung (DSGVO).

Autor: Anina Höflein in Zusammenarbeit mit Franco Widmer von Muster-Urkunden.ch