Danke für Ihre Neugier! Dieser Artikel wurde für Sie von einem grosszügigen Mitglied unserer 21 658 Verlegerinnen und Verleger freigeschaltet. Kommen Sie ebenfalls an Bord!

Till Lauer

Debatte

DSGVO: Alles unklar?

Diskutieren Sie mit Expertinnen und Experten über das neue europäische Datenschutzgesetz.

25.05.2018

Unverständliche Datenschutzerklärungen, unsichtbares Ausspähen unserer Surfgewohnheiten, versteckte Funktionen, die man auf eigene Initiative ausschalten muss – damit ist ab heute Schluss. Zumindest in den Nachbarländern der Schweiz. Heute tritt die DSGVO definitiv in Kraft. Diese Datenschutzverordnung bringt eine Reihe neuer Rechte und Pflichten für europäische Unternehmen und Bürgerinnen. Doch auch die Schweiz ist davon betroffen. Und weil es eine komplizierte Angelegenheit ist, bieten wir Ihnen heute den ganzen Tag über die Möglichkeit, einer Expertenrunde Fragen zu stellen, Meinungen abzuholen.

Etwa: Quillt deshalb Ihr Maileingang momentan derart über? Was geht Sie die DSGVO eigentlich an? Soll die Schweiz mit der EU nachziehen oder eine eigene Lösung anbieten? Muss ich ab sofort auf bestimmte Fragen von Unternehmen besonders aufpassen?

Lesen Sie den Text «Die DSGVO ist da – und jetzt?» und diskutieren Sie mit unserer Expertinnenrunde:

  • Von 9.30 bis 12 Uhr mit Christian Walter (Geschäftsführer und Redaktionsleiter von swiss made software)

  • Von 9.30 bis 11 Uhr mit André Golliez (Informatik-Ingenieur, Golliez Open Data Consulting)

  • Von 9.30 bis 16 Uhr mit Ernst Hafen (ETH Zürich, Institut für Molekulare Systembiologie)

  • Von 9.30 bis 17 Uhr mit Simon Schlauri (IT-Jurist, UZH-Professor, Anwaltskanzlei Ronzani und Schlauri)

  • Von 11 bis 12 Uhr mit Min Li Marti (SP-Nationalrätin)

  • Von 12 bis 14 Uhr mit Anita Schmid (Datenwissenschaftlerin)

  • Von 12.30 bis 15 Uhr mit Jean-Marc Hensch (Geschäftsführer Swico)

  • Von 16 bis 17 Uhr mit Beat Muttenzer (CEO Yourposition AG)

Wir freuen uns auf Ihre Beiträge!

neu laden

Gestern hat Whatsapp offen kommuniziert, dass sie die Daten mit anderen Facebook-Unternehmen teilen. Ist das nicht ein krasser Verstoss gegen das Koppelungsverbot? Sie begründen das wie folgt:

"Damit Services bereitgestellt werden können, die der Verbesserung von WhatsApp und der Weiterentwicklung unseres Unternehmens dienen.
Wir teilen Informationen mit den Facebook-Unternehmen (und vertrauenswürdigen Drittanbietern) in ihrer Rolle als Dienstanbieter. Dienstanbieter unterstützen Unternehmen wie WhatsApp durch die Bereitstellung von Infrastruktur, Technologien, Systemen, Tools, Informationen und Fachwissen, damit wir den WhatsApp Dienst für unsere Benutzer bereitstellen und verbessern können."

https://faq.whatsapp.com/general/26000112/?eea=1

7

Bis gerade eben dachte ich, das Thema betrifft mich nicht. Ich habe zwar eine Website, die hat aber keine Anmeldefunktion, keine Newsletter, keine Cookies, nicht einmal einen Besucherzähler oder sowas.
Aber jetzt ist mir gerade etwas aufgefallen.
Meine Website hat ein Kontaktformular, in das der Absender seine e-mail-Adresse eingeben muss, um mich kontaktieren zu können.
Muss ich dem jetzt eine Datenschutzerklärung beifügen?! Ist das nicht dasselbe wie wenn mir jemand ein normales e-mail schreibt? Dann sehe ich die Absenderadresse ja auch, muss aber nirgends erklären, was ich damit mache...?

0

Bei der Datenschutz-Diskussion geht es um die Frage, ob meine Daten mir schaden, wenn sie in dritte Hände gelangen. Die Bereiche wo dies stattfindet sind online shopping, Websites, Daten der Smartphone-Sensoren (fitness tracking) und Arztbesuche. Besonders im Bereich der sensiblen Gesundheitsdaten wurde bisher nicht genügend thematisiert, dass die Arztrechnungen zu Handen der Kassen ein vollständiges Abbild meiner Diagnosen darstellen. Stellt mein Arzt ein Rezept über Jardiance aus, weiss die Kasse, welche Krankheit damit behandelt wird (Stichwort: pharmaceutical cost groups des BAG: er Bericht ist nicht mehr verfügbar, nur noch ein Korrigendum: https://www.bag.admin.ch/dam/bag/de…161209.pdf). So erhalten die Krankenkassen vollständige Patientenprofile und werden nun nach Gutdünken Risikoselektion betreiben. Die dadurch ermöglichte massive Verletzung von Persönlichkeitsrechten stellt in der Schweiz eines der grössten Datenlecks in der Schweiz dar. Wir erarbeiten zurzeit dazu weitere Grundlagen im Hinblick auf die CH Anpassungen des Datenschutzgesetzes 2018 (Juni). www.vems.ch Verein Ethik und Medizin Schweiz. https://sites.google.com/site/physicianprofiling/

4

Danke für den Beitrag. So eine klare und schlüssige Zusammenfassung hat mir bis jetzt, trotz all der "Update-Mails" gefehlt. Ich gratuliere der EU für das Wagnis und den richtigen Schritt, den Datenschutz konsequent durchzusetzen. Ich gehe auch davon aus, dass momentan in der "Übergangsphase" noch genug Goodwill herrscht, GAFA zuerst angegangen wird und dass bei den KMU zuerst noch auf den gesunden Menschenverstand gesetzt wird.

Angst macht mir hingegen, wie larifari die Umsetzung in der Schweiz zu werden scheint. Ich würde mir hoffen, wir übernähmen die EU-Verordnung relativ 1:1. (Bei den Bussen könnte man vielleicht was machen, die scheinen schon sehr happig zu sein und sind ziemlich klar auf die grossen Fische ausgerichtet).
Dass Aspekte wie Datenportabilität, Meldepflicht (!) und Koppelungsverbote so links liegen gelassen gewerden von der Schweizer Gesetzgebung finde ich fahrlässig und enttäuschend.
Da kann ich ja fast nur hoffen, dass die grösseren Unternehmen der Einfachkeit halber, uns Schweizer genauso wie EU-Bürger behandeln und wir deshalb indirekt als "Schmarotzer" auch von der DSGVO profitieren.

5

Ich Frage mich ob das von vielen Verbänden und z.b. der SBB verwendete Soft-Opt-In effektiv DSGVO-konform ist. Zwar meinen die Verbände dies nur im Zusammenhang mit Bestandeskunden, aber meines Erachtens ist nicht garantiert, dass ein Bestandeskunde jemals explizit zu elektronischer Kommunikation ja gesagt hat. Daher befürchte ich bewegen sich etliche Unternehmen auf dünnem Eis.

4

Das Recht auf Löschen der eigenen Daten ist ein zentraler Bestandteil der neuen Richtlinien (und überhaupt aller Datenschutz-Diskussionen). Nur habe ich immer mehr den Eindruck, dass wir mit unserer Vorstellung von Löschen in einem Vor-Digitalen-Zeitalter stecken geblieben sind. Meine These: digitale Daten aus einem state of the art ICT-System, wie es typisch ist für jedes KMU, wirklich hundert prozentig zu löschen, ist entweder gar nicht möglich oder so schwierig, dass es in der Praxis meistens nicht praktikabel ist.
Klar: eine Datei aus dem zentralen Datenserver (z.B. der Firmen-Cloud) zu löschen, geht einfach. Aber: was ist mit Backups? Langzeit-Backups? Dem Mailserver (angenommen man hat die Daten per Mail erhalten) und dessen Langzeit-Archiv? Print-Server? Log-Files? Grosse Unternehmen dürften dafür technische Lösungen finden. Aber selbst bei ihnen bleibt der Unsicherheitsfaktor User/Mitarbeitende: was ist mit lokalen Kopien der Datei auf x Arbeitsplatz-Computern und wer-weiss-wievielen mobilen Geräten der MitarbeiterInnen? Mit digitalen Kopien und Ausdrucken irgendwo im Keller, von denen längst niemand mehr weiss, dass sie angefertigt wurden?
Machen wir es uns nicht ein bisschen einfach, wenn wir glauben, mit einem rechtlichen Anspruch auf Löschung tatsächlich beim Datenverarbeiter (Unternehmen, Organisation, ...) nicht mehr auffindbar zu sein?

7

Die DSGVO ist da, und sie ist, was sie ist. Die schweizer Variante des neuen Datenschutzgesetzes ist dagegen noch nicht da. Und diese sieht offenbar nach wie vor eine PERSÖNLICHE Strafbarkeit von Angestellten vor (zugegeben in weniger Fällen als in der ursprünglichen Fassung). Wo stehen wir da in der Diskussion bzw. wie gross sind die Chancen, diese grosse Gefahr doch noch abwenden zu können?

11

Keine Panik! Die Schweiz ist noch nicht in der EU aufgegangen. Das DSG und die Verordnung sind für rein CH-Firmen weiterhin gültig. Selbst die Frage ob die Übermittlung und Bearbeitung von Daten ins Ausland ist primär CH-Recht. Mit der gegenseitigen Anerkennung des jeweiligen DS-Rechts ist dieser Vorgang überhaupt zulässig.

Knackpunkte sind eher;
CH-Verein EU-Ausländer meldet sich auf einer CH-Domäne an
CH-Firma nur in CH tätig verkauft einem EU-Ausländer während CH-Ferien eine Uhr und bietet eine Garantieoption nach CH-Recht an

CH-Firma nutzt Google Analyticd in den USA

Die Relatvität des mit des Save Harbor Prinzips (inzwischen nicht mehr anwendbar) das Ersatz-Abkommen dirch EU-Gerichte untetsagt, ist immer noch eine Lösung auf Augenhöhe als die voreilige Unterwerfung dem fremden EU-Recht.

Werden die CH-Firmen, die nach EU-Recht hiesige zum freiwilligen Einverständnis der EU-Regeln auch bei Verstössen nach EU-Recht entschädigen oder werden sie sich auf die Nichtandwenbarkeit berufen?

0

Ich würde gerne von jemanden aus dem Online-Marketing- und Suchmaschinengeschäft wissen, welchen Nutzen oder welche "Schäden" die DSGVO beim Geschäftsmodell verursachen wird.. @Beat Muttenzer?

0

Eine ultrabanale Frage: gewisse Firmen/Vereine etc. verschicken jetzt Mails mit der Aufforderung, sich neu anzumelden (für Newsletter etc). Andere schicken einfach einen Hinweis auf ihre neuen Datenschutzbestimmungen. Warum dieser Unterschied? (Ich bin selbst Mitglied in mehreren Vereinen, die das "opt-in" durchführen mussten, was uns in allen drei Fällen einen Grossteil unserer Kontaktliste gekostet hat.)

8

Wie weit sind Vereine betroffen, welche "Kunden" z.B. für Werbung zu Veranstaltungen erfassen?
Was muss z.B. ein Kleintheater, welches ein Online-Reservationssystem betreibt, beachten?
Man kann ja nicht ausschliessen, dass sich EU-Bürger für einen Platz anmelden wollen...

4

Was bedeutet das DSGVO für mich als Betreiber einer kleinen Firmenwebsite, die Google Analytics verwendet?
Muss ich Anpassungen am Impressum vornehmen?
Muss ich ein Opt-In für die Analytics anbieten?
Kann ich da aus dem Ausland abgemahnt werden?

6
Netzwerk-Redaktion und Community
editiert

Kurze Frage: Wer profitiert am meisten von der DSGVO?
Ein grosses Bürokratiemonster für viele. Für mich eine Möglichkeit seit 48 Stunden aus ca. 50 Newslettern auszusteigen. Für X?

0

Die DSVGO schützt die Bürger nicht nur, sie gibt ihnen mit der Datenportabilität – das Recht eine digitale Kopie all ihrer Daten zu verlangen – ein neues Grundrecht. Nur ich kann all meine Daten zusammenführen. Weder Google, die Grossverteiler oder mein Arzt hat dieses Recht. Wir können entscheiden, wem wir Zugang zu diesen Daten geben wollen (z.B. für eine Zweitmeinung beim Arzt, für einen neuen Datenservice, oder für die Teilnahme an wissenschaftlichen Studien). Diese digitale Selbstbestimmung, die EU Bürgerinnen und Bürgern ab heute durch die Datenportabilität zusteht, haben wir in der Schweiz nicht. Wir verlangen dieses Grundrecht auch für Schweizer Bürgerinnen und Bürger. Deshalb fordern wir Bundesrat und Parlament auf, die Datenportabilität auch in der Revision des Schweizer Datenschutzgesetzes zu berücksichtigen. Unterstützen Sie uns unter https://www.digitaleselbstbestimmung.ch/!

Die Vorteile für uns Bürgernnen und Bürger sind vielfältig. Durch das Recht auf eine Kopie unserer Daten lernen wir erstmals, wer Daten über uns sammelt. Dadurch können wir unseren digitale Fussabdruck, den wir wollen, besser bestimmen. Während wir mit der Portabilität der Natelnummer lediglich den Provider einfacher wechseln können, entsteht mit der Portabilität unser Daten ein neues Datenökosystem unter unserer Kontrolle. Diese einzigartige Macht gegenüber den grossen Datenkonzernen sollten wir in der Schweiz und in Europa ausnützen. Auch Datenfirmen sehen den Vorteil ein. Für bessere Dienstleistungen sind wir vielleicht bereit, diesen Firmen selektiv Zugang zu Daten zu geben, die sie nicht selber erfassen. Wir behalten die Kontrolle und unsere digitale Selbstbestimmung.

8

IMHO ist DSGVO "viel Lärm um nichts". Solange die meisten Nutzer sich nicht wirklich um Datenschutz scheren und brav ihr Häkchen unter die nicht durchgelesenen Datenschutzerklärungen setzen sowie Facebook, Gmail, Whatsapp & Co weiter nutzen, wird sich in Sachen Datenschutz nicht viel ändern ...

2

Was ich mich frage: Sind diese leidige "wir nutzen cookies, haben sie was dagegen"-buttons wirklich nötig? Wenn ich etwas von der Website brauche, dann tippe ich sowieso ja.

2

Mal ganz einfach gefragt: wenn ein Schweizer Unternehmen KEINE Angebote/Services an Firmen oder Personen mit Sitz in der EU verkauft und somit auch keine personenbezogenen Daten speichert oder verabeitet, dann betrifft sie die DSGVO nicht. Warum rennt denn nun selbst jeder Schweizer Verein, Berufsverband und KMU - die mit in der Schweiz wohnhaften Personen "arbeiten" und verschickt neue Opt-in Emails für ihren Newsletter? Wird hier von einer ganzen Branche von Rechtsanwälten und IT Dienstleistern bewusst die Situation zu Geschäftszwecken dramatisiert?

5

Ich bin eine Ein-Mann-Firma und betreibe eine Website. Mein Provider hat ein Statistik-Tool eingebaut, mit dem ich mir monatliche oder jährliche Statistiken meiner Website-Besuche anschauen kann. Bin ich oder der Provider nun verantwortlich, dass dieses Tool DSGVO-konform ist? Brauche ich auf meiner Website zwingend eine Rubrik Datenschutz? Meine Software kann über meine Website bestellt werden. Dazu muss ein Formular mit den üblichen Angaben ausgefüllt werden. Diese Daten werden ausser von mir nicht weiterverwendet. Darf ich meinen Kunden, die das Programm bestellt haben, nicht mehr ungefragt Infos zum Programm schicken?

4

Als Filmer und Fotograf, der nicht mehr für die akkreditierte Presse arbeitet, sondern für Institutionen, Unternehmen, Behörden etc. fasse ich die DSGVO so auf, dass ich meinen Job de facto an den Nagel hängen kann, weil ich mir einfach keine Klage irgend eines Betroffenen und dessen sich die Hände reibenden Anwalts leisten kann.
Zwar lasse ich schon seit langem etwa bei einem Corporate Film für Unternehmen die darauf abgebildeten Angestellten eine entsprechende Vereinbarung unterschreiben. Was aber geschieht, wenn ich etwa an einem Tourismusprojekt arbeite und unmöglich alle Touristen vor dem Matterhorn kontrolliert um Erlaubnis fragen kann, ob sie einverstanden sind, dass sie allenfalls zufällig auf meinem Bild zu sehen sind. Das wird lustig: entweder bekommen TouristInnen alle anonymisierte Masken ausgehändigt oder kriegen einen Balken übers Gesicht getrackt. Dies nur als eines der wenigen Beispiele, wo ich die DSGVO Falle tappen könnte.

5

Liege ich hier falsch? Wenn ich zu etwas verpflichtet bin, muss ich nicht offiziell erklären, dass ich mich daran halte. Das bedeutet, dass eine Datenschutzerklärung auf einer Website nur erklären muss, welche Daten wie, wo, warum und wie lange gespeichert werden, wenn überhaupt Daten gespeichert werden. Wenn keine Daten gespeichert werden (ja, das gibt es), braucht es keine Datenschutzerklärung.

5

Alltägliche Situation im Beruf: Ein potentieller Kunde/Partner drückt mir nach einem Gespräch seine Visitenkarte in die Hand. Was darf ich mit den aufgedruckten Daten machen?

1

Als Schauspieler informiere auch ich vier- bis sechsmal einen Kreis von Branchenleuten und Interessierten über meine Aktivitäten via Newsletter. Reicht es, wenn ich das Einverständnis der Empfänger einhole oder bedingt das DSVOG gleich auch noch eine Umprogrammiering der Website mit sich?

4

Die Datenportabilität könnte ein neues Problem auf den Plan rufen. Und zwar: der lasche Umgang mit den eigenen Daten. Eine neue Kommerzialisierung könnte entstehen, wo jeder einzelne Person (als Datensubjekt und Datenträger) seine wertvollsten Informationen für ein paar Dollar verscherbeln würde. Siehe die Antwort von Zeynep Tufekci, Internet-Soziologin, im Interview im Nachgang des Cambridge Analytica-Falls:

Und die DSGVO hilft ja auch mit der Datenportabilität: EU-Bürger verfügen dann über ihr eigenes Datenkonto, verwalten ihre Informationen...

Ich glaube nicht, dass dies die Lösung ist.

Weshalb nicht?

Weil dann theoretisch wieder der Fall Cambridge Analytica eintreffen könnte: Was, wenn dann einfach noch mehr Leute ihre Daten für ein paar Euro für jemanden wie Amazon Mechanical Turk verscherbeln? Das Problem bei der Datenportabilität sind genau solche Szenarien. Was, wenn Facebook anbietet, deine Daten zu kaufen für ein paar Dollar? Viele Leute würden das Angebot annehmen! Leute würden ihr Datenkonto verkaufen, das Ganze würde vielleicht noch mehr kommerzialisiert werden. Moralisch ist es eben fragwürdig, wenn wir diese Verantwortung auf das individuelle Level abwälzen. Man fragt ja auch nicht: Würdest du bitte deinen Sicherheitsgurt im Auto für ein paar Dollar an mich verkaufen? Wenn die Autobauer den Sicherheitsgurt plötzlich weglassen und nur gegen Entgelt einbauen, sterben Leute bei Unfällen. Und damit haben wir ein Problem, das das Gemeinwohl tangiert. Wir müssen öffentliche Güter, die öffentliche Sphäre schützen. https://www.republik.ch/2018/03/27/…e-koennten

Müssen wir die Menschen nicht vor sich selber schützen und es verunmöglichen, dass Daten einfach so verkauft werden? Das ist nicht zwingend meine eigene Meinung, sondern ein Gedanke, den ich jetzt öfters von einzelnen DatenschutzexpertInnen gehört habe.

2

Eine grosse Unsicherheit für kleine KMU's in der Schweiz ist die Frage nach dem Datenschutzvertreter in der EU. Braucht man für eine Webseite, die ausschliesslich Dienstleistungen für Kunden in der Schweiz anbietet, einen Datenschutzvertreter in der EU?
In der Beschreibung heisst es:

Angebote umfassen sämtliche Dienstleistungen und Waren. Kostenlose Angebote wie E-Books, Newsletter oder Whitepaper – beispielsweise für Empfängerinnen und Empfänger in Deutschland und anderswo in der EU – sind ausdrücklich betroffen. Es genügen auch bereits die Absicht, sich mit Dienstleistungen und Waren an Personen in der EU zu richten, und die Möglichkeit einer Kontaktaufnahme.

D.h. falls man einen Newsletter anbietet, ist man eigentlich betroffen und man benötigt einen Datenschutzvertreter in der EU, oder nicht? Wer weiss da mehr?
Referenz: www.datenschutzpartner.ch/fragebogen

0





Schön, Sie hier unten wieder zu sehen! Es wäre uns eine Freude, wenn Sie bei der Republik Verlegerin oder Verleger würden. Wir versprechen Ihnen dafür Journalismus ohne Kompromisse: ohne Schnörkel, ohne Werbung, ohne Ausreden bei Fehlern. Erfahren Sie mehr.