Wir sind die Republik – ein neues Modell im Schweizer Journalismus. Unser Online-Magazin arbeitet unabhängig: keine Werbung, keine Klick-Wirtschaft, keine Kompromisse in der Qualität. Wollen Sie unabhängigen Journalismus unterstützen, freuen wir uns, Sie an Bord zu sehen.

Till Lauer

Debatte

DSGVO: Alles unklar?

Diskutieren Sie mit Expertinnen und Experten über das neue europäische Datenschutzgesetz.

25.05.2018

Unverständliche Datenschutzerklärungen, unsichtbares Ausspähen unserer Surfgewohnheiten, versteckte Funktionen, die man auf eigene Initiative ausschalten muss – damit ist ab heute Schluss. Zumindest in den Nachbarländern der Schweiz. Heute tritt die DSGVO definitiv in Kraft. Diese Datenschutzverordnung bringt eine Reihe neuer Rechte und Pflichten für europäische Unternehmen und Bürgerinnen. Doch auch die Schweiz ist davon betroffen. Und weil es eine komplizierte Angelegenheit ist, bieten wir Ihnen heute den ganzen Tag über die Möglichkeit, einer Expertenrunde Fragen zu stellen, Meinungen abzuholen.

Etwa: Quillt deshalb Ihr Maileingang momentan derart über? Was geht Sie die DSGVO eigentlich an? Soll die Schweiz mit der EU nachziehen oder eine eigene Lösung anbieten? Muss ich ab sofort auf bestimmte Fragen von Unternehmen besonders aufpassen?

Lesen Sie den Text «Die DSGVO ist da – und jetzt?» und diskutieren Sie mit unserer Expertinnenrunde:

  • Von 9.30 bis 12 Uhr mit Christian Walter (Geschäftsführer und Redaktionsleiter von swiss made software)

  • Von 9.30 bis 11 Uhr mit André Golliez (Informatik-Ingenieur, Golliez Open Data Consulting)

  • Von 9.30 bis 16 Uhr mit Ernst Hafen (ETH Zürich, Institut für Molekulare Systembiologie)

  • Von 9.30 bis 17 Uhr mit Simon Schlauri (IT-Jurist, UZH-Professor, Anwaltskanzlei Ronzani und Schlauri)

  • Von 11 bis 12 Uhr mit Min Li Marti (SP-Nationalrätin)

  • Von 12 bis 14 Uhr mit Anita Schmid (Datenwissenschaftlerin)

  • Von 12.30 bis 15 Uhr mit Jean-Marc Hensch (Geschäftsführer Swico)

  • Von 16 bis 17 Uhr mit Beat Muttenzer (CEO Yourposition AG)

Wir freuen uns auf Ihre Beiträge!

Da Sie schon hier sind – eine Warnung!

Wir von der Republik wollen Sie als Abonnentin gewinnen. Deshalb sagen wir Ihnen nur ungern, dass Lesen nicht ohne Risiko ist. Schopenhauer warnte, dass gleichsam mit fremdem Kopf denkt, wer liest. Und dadurch allmählich die Fähigkeit verliert, selber zu denken. Sein Schluss: «Solches aber ist der Fall sehr vieler Gelehrter: Sie haben sich dumm gelesen.» Deshalb versprechen wir Ihnen, falls Sie uns abonnieren, Ihnen so wenig wie möglich zu liefern: nur das Wesentliche. Und nur im Notfall mehr als drei Texte pro Tag.


Noch nicht überzeugt? Jetzt probelesen
neu laden

Bei der Datenschutz-Diskussion geht es um die Frage, ob meine Daten mir schaden, wenn sie in dritte Hände gelangen. Die Bereiche wo dies stattfindet sind online shopping, Websites, Daten der Smartphone-Sensoren (fitness tracking) und Arztbesuche. Besonders im Bereich der sensiblen Gesundheitsdaten wurde bisher nicht genügend thematisiert, dass die Arztrechnungen zu Handen der Kassen ein vollständiges Abbild meiner Diagnosen darstellen. Stellt mein Arzt ein Rezept über Jardiance aus, weiss die Kasse, welche Krankheit damit behandelt wird (Stichwort: pharmaceutical cost groups des BAG: er Bericht ist nicht mehr verfügbar, nur noch ein Korrigendum: https://www.bag.admin.ch/dam/bag/de…161209.pdf). So erhalten die Krankenkassen vollständige Patientenprofile und werden nun nach Gutdünken Risikoselektion betreiben. Die dadurch ermöglichte massive Verletzung von Persönlichkeitsrechten stellt in der Schweiz eines der grössten Datenlecks in der Schweiz dar. Wir erarbeiten zurzeit dazu weitere Grundlagen im Hinblick auf die CH Anpassungen des Datenschutzgesetzes 2018 (Juni). www.vems.ch Verein Ethik und Medizin Schweiz. https://sites.google.com/site/physicianprofiling/

4
/
0

Ich Frage mich ob das von vielen Verbänden und z.b. der SBB verwendete Soft-Opt-In effektiv DSGVO-konform ist. Zwar meinen die Verbände dies nur im Zusammenhang mit Bestandeskunden, aber meines Erachtens ist nicht garantiert, dass ein Bestandeskunde jemals explizit zu elektronischer Kommunikation ja gesagt hat. Daher befürchte ich bewegen sich etliche Unternehmen auf dünnem Eis.

4
/
0
Tek Berhe
· editiert

Keine Panik! Die Schweiz ist noch nicht in der EU aufgegangen. Das DSG und die Verordnung sind für rein CH-Firmen weiterhin gültig. Selbst die Frage ob die Übermittlung und Bearbeitung von Daten ins Ausland ist primär CH-Recht. Mit der gegenseitigen Anerkennung des jeweiligen DS-Rechts ist dieser Vorgang überhaupt zulässig.

Knackpunkte sind eher;
CH-Verein EU-Ausländer meldet sich auf einer CH-Domäne an
CH-Firma nur in CH tätig verkauft einem EU-Ausländer während CH-Ferien eine Uhr und bietet eine Garantieoption nach CH-Recht an

CH-Firma nutzt Google Analyticd in den USA

Die Relatvität des mit des Save Harbor Prinzips (inzwischen nicht mehr anwendbar) das Ersatz-Abkommen dirch EU-Gerichte untetsagt, ist immer noch eine Lösung auf Augenhöhe als die voreilige Unterwerfung dem fremden EU-Recht.

Werden die CH-Firmen, die nach EU-Recht hiesige zum freiwilligen Einverständnis der EU-Regeln auch bei Verstössen nach EU-Recht entschädigen oder werden sie sich auf die Nichtandwenbarkeit berufen?

0
/
0
M. S.
· editiert

Wie weit sind Vereine betroffen, welche "Kunden" z.B. für Werbung zu Veranstaltungen erfassen?
Was muss z.B. ein Kleintheater, welches ein Online-Reservationssystem betreibt, beachten?
Man kann ja nicht ausschliessen, dass sich EU-Bürger für einen Platz anmelden wollen...

6
/
2

Ich würde gerne von jemanden aus dem Online-Marketing- und Suchmaschinengeschäft wissen, welchen Nutzen oder welche "Schäden" die DSGVO beim Geschäftsmodell verursachen wird.. @B. M.?

1
/
1
B. M.
DSGVO Experte
·

Grundsätzlich ist weiterhin alles möglich, was bisher auch möglich war. Neu ist, dass vorab aktiv informiert werden und je nach Marketing-Aktivität auch eine Einwilligung eingeholt werden muss. Mühsam ist jetzt die Umstellungs- und Angewöhnungsphase, danach werden wir auch mit den datenschutzrechtlichen Einschränkungen sehr gut zurechtkommen.
Und nicht vergessen: Regulierung ist immer ein starker Treiber von Innovation. Gut möglich, dass wir dank der DSGVO auf ganz neue Ideen kommen.

6
/
0
Miriam Walther Kohn
Netzwerk-Redaktion und Community
·
· editiert

Kurze Frage: Wer profitiert am meisten von der DSGVO?
Ein grosses Bürokratiemonster für viele. Für mich eine Möglichkeit seit 48 Stunden aus ca. 50 Newslettern auszusteigen. Für X?

2
/
2
B. M.
DSGVO Experte
·

Zum jetzigen Zeitpunkt profitieren in erster Linie Rechtsanwälte und Datenschutz-Berater, Anbieter von DSGVO Compliance Software usw. Die jetztige Verunsicherung und Unklarheit, wie das neue Recht ausgelegt werden wird, kann gut mnetarisiert werden. Da wird auf viel Unfug betrieben, die ganzen Newsletter-Resubscribe-Mails beispielsweise sind eher überstürzt und kontraproduktiv, als wirklich in dieser Form nötig.
Die eigentliche Absicht, den Datenschutz für Private zu stärken, wird damit aber bestenfalls indirekt erreicht.

4
/
0

Das Recht auf Löschen der eigenen Daten ist ein zentraler Bestandteil der neuen Richtlinien (und überhaupt aller Datenschutz-Diskussionen). Nur habe ich immer mehr den Eindruck, dass wir mit unserer Vorstellung von Löschen in einem Vor-Digitalen-Zeitalter stecken geblieben sind. Meine These: digitale Daten aus einem state of the art ICT-System, wie es typisch ist für jedes KMU, wirklich hundert prozentig zu löschen, ist entweder gar nicht möglich oder so schwierig, dass es in der Praxis meistens nicht praktikabel ist.
Klar: eine Datei aus dem zentralen Datenserver (z.B. der Firmen-Cloud) zu löschen, geht einfach. Aber: was ist mit Backups? Langzeit-Backups? Dem Mailserver (angenommen man hat die Daten per Mail erhalten) und dessen Langzeit-Archiv? Print-Server? Log-Files? Grosse Unternehmen dürften dafür technische Lösungen finden. Aber selbst bei ihnen bleibt der Unsicherheitsfaktor User/Mitarbeitende: was ist mit lokalen Kopien der Datei auf x Arbeitsplatz-Computern und wer-weiss-wievielen mobilen Geräten der MitarbeiterInnen? Mit digitalen Kopien und Ausdrucken irgendwo im Keller, von denen längst niemand mehr weiss, dass sie angefertigt wurden?
Machen wir es uns nicht ein bisschen einfach, wenn wir glauben, mit einem rechtlichen Anspruch auf Löschung tatsächlich beim Datenverarbeiter (Unternehmen, Organisation, ...) nicht mehr auffindbar zu sein?

9
/
2

Es gibt eine Ausnahme in der dsgvo für Archivierung und Backups. Im Übrigen wird das "State-of-the-art-System" nicht darum herumkommen, eine Lösch-Funktion für die aktuell in Betrieb befindlichen Daten zu implementieren. Eigentlich hätte es das auch mach altem Recht der Fall sein müssen...

3
/
1

Wo genau ist in der DSGVO diese Ausnahmebestimmung zu Backups zu finden? Soweit ich sehe kommt weder das Wort «Backup» noch das Wort «Sicherheitskopie» in der Verordnung vor.

2
/
0

Merci für die Reaktion. Eben diese "Lösch-Funktion", die ohne Aufwand innert weniger Augenblicke bei allen eingangs erwähnten Speicherorten und Systemen Wirkung entfaltet, würde ich gerne mal sehen. Dass wir sie uns alle wünschen, stelle ich nicht in Abrede. Nur behaupte ich, dass die tatsächliche Umsetzung viel schwieriger ausfällt, als der Gesetzgeber gedacht hat.

2
/
0

Die Datenportabilität könnte ein neues Problem auf den Plan rufen. Und zwar: der lasche Umgang mit den eigenen Daten. Eine neue Kommerzialisierung könnte entstehen, wo jeder einzelne Person (als Datensubjekt und Datenträger) seine wertvollsten Informationen für ein paar Dollar verscherbeln würde. Siehe die Antwort von Zeynep Tufekci, Internet-Soziologin, im Interview im Nachgang des Cambridge Analytica-Falls:

Und die DSGVO hilft ja auch mit der Datenportabilität: EU-Bürger verfügen dann über ihr eigenes Datenkonto, verwalten ihre Informationen...

Ich glaube nicht, dass dies die Lösung ist.

Weshalb nicht?

Weil dann theoretisch wieder der Fall Cambridge Analytica eintreffen könnte: Was, wenn dann einfach noch mehr Leute ihre Daten für ein paar Euro für jemanden wie Amazon Mechanical Turk verscherbeln? Das Problem bei der Datenportabilität sind genau solche Szenarien. Was, wenn Facebook anbietet, deine Daten zu kaufen für ein paar Dollar? Viele Leute würden das Angebot annehmen! Leute würden ihr Datenkonto verkaufen, das Ganze würde vielleicht noch mehr kommerzialisiert werden. Moralisch ist es eben fragwürdig, wenn wir diese Verantwortung auf das individuelle Level abwälzen. Man fragt ja auch nicht: Würdest du bitte deinen Sicherheitsgurt im Auto für ein paar Dollar an mich verkaufen? Wenn die Autobauer den Sicherheitsgurt plötzlich weglassen und nur gegen Entgelt einbauen, sterben Leute bei Unfällen. Und damit haben wir ein Problem, das das Gemeinwohl tangiert. Wir müssen öffentliche Güter, die öffentliche Sphäre schützen. https://www.republik.ch/2018/03/27/…e-koennten

Müssen wir die Menschen nicht vor sich selber schützen und es verunmöglichen, dass Daten einfach so verkauft werden? Das ist nicht zwingend meine eigene Meinung, sondern ein Gedanke, den ich jetzt öfters von einzelnen DatenschutzexpertInnen gehört habe.

2
/
0

Um Menschen Datenmässig vor sich selbst zu schützen, bräuchten wir eine ziemlich umfassende Regulierung am Thema. Ob die überhaupt so dokumentierbar/beschreibbar ist, dass der Nutzen den Schaden überwiegt, wage ich sehr stark zu bezweifeln.

(ich wiederhole mich jetzt aber hier passt es halt auch) Auch bei grossen Datenschutzanstrungen ist faktisch nicht zu vermeiden, dass Anbieter/Plattformen meine Daten auswerten und kombinieren. Und in diesen Auswertungen liegen viel mehr Gefahren als in den einzelnen Datenpunkten an sich.

1
/
0

Ich habe soeben alle Emailadressen von meinen LinkedIn-Kontakten herunterladen können. Mit einem Klick. Schön zusammengestellt. Ich könnte das jetzt schön weiterverkaufen.

Es könnte ein neuer Datenmarkt mit Daten-Marktplätzen entstehen, da frage ich mich schon ein wenig, ob das der richtige Weg ist....

0
/
0
(unsichtbar)
2
/
0

Ich habe meine Zweifel, ob das so rauskommt. Ein einziger unzufriedener Kunde reicht, um eine Behörde einzuschalten. Behörden können zudem sogar von sich aus aktiv werden. Zumindest in den gröberen Fällen dürfte sich nun etwas ändern.

4
/
0
R. S.
· editiert
(unsichtbar)
0
/
0

Ich bin eine Ein-Mann-Firma und betreibe eine Website. Mein Provider hat ein Statistik-Tool eingebaut, mit dem ich mir monatliche oder jährliche Statistiken meiner Website-Besuche anschauen kann. Bin ich oder der Provider nun verantwortlich, dass dieses Tool DSGVO-konform ist? Brauche ich auf meiner Website zwingend eine Rubrik Datenschutz? Meine Software kann über meine Website bestellt werden. Dazu muss ein Formular mit den üblichen Angaben ausgefüllt werden. Diese Daten werden ausser von mir nicht weiterverwendet. Darf ich meinen Kunden, die das Programm bestellt haben, nicht mehr ungefragt Infos zum Programm schicken?

4
/
0

Als Unternehmen, das auch Kunden in der EU ansprechen will, unterstehen Sie der DSGVO. Sie sind verantwortlich dafür, dass auf Ihrer Website alles sauber läuft. Fragen Sie dazu aber einfach bei Ihrem Provider an, ob er konform ist. (Was ich hoffe; sonst sollte die Frage etwas auslösen...). Statistiken sollten auch anonym gehen (vgl. unten zu Google Analytics und AnonymizeIP).

Sie benötigen, wenn Sie nicht auf jedes Datensammeln verzichten wollen und unter die DSGVO fallen, eine Datenschutzerklärung.

2
/
1

Wenn ich einen Newsletter verwalte, der sich nicht Personen in der EU richtet, aber für den sich grundsätzlich auch einzelne Leute mit EU-Wohnsitz einschreiben könnten - ist dieser Newsletter dann der DSGVO unterstellt?

0
/
0
M. L. M.
DSGVO Expertin bzw. Nationalrätin SP
·

Im Prinzip ja - aber meines Erachtens erst, wenn sich auch tatsächlich Personen mit EU-Wohnsitz eingeschrieben habe. Aber solange die Personen den Newsletter aktiv abonniert haben (opt-in), gibt es keinen Handlungsbedarf.

0
/
0

Es geht weder um einen privaten Newsletter und auch nicht um eine kommerzielle Nutzung, sondern um eine gemeinnützige Organisation. Eine Datenschutzerklärung gibt es bereits, auch einen Opt-In-Prozess.

Mir machen eher der Datenschutz-Beauftragte in der EU, die Risikoanalysen, die Dokumentation der Prozesse etc. Sorgen, welche die DSGVO fordert. Müsste ich das alles erfüllen, nur weil sich eine Person mit EU-Wohnsitz in den Newsletter einschreibt?

0
/
0

Im Prinzip ja. Vgl. unten.

Als Privater wäre ich eher pragmatisch. Wenn Sie es kommerziell betreiben, sollten Sie sich um eine Datenschutzerklärung kümmern.

Wenn Sie bisher eine saubere Einwilligung eingeholt haben, benötigen Sie von den bisherigen Empfängern /keine/ weitere Einwilligung mehr.

0
/
0
S. P.
· editiert

Mal ganz einfach gefragt: wenn ein Schweizer Unternehmen KEINE Angebote/Services an Firmen oder Personen mit Sitz in der EU verkauft und somit auch keine personenbezogenen Daten speichert oder verabeitet, dann betrifft sie die DSGVO nicht. Warum rennt denn nun selbst jeder Schweizer Verein, Berufsverband und KMU - die mit in der Schweiz wohnhaften Personen "arbeiten" und verschickt neue Opt-in Emails für ihren Newsletter? Wird hier von einer ganzen Branche von Rechtsanwälten und IT Dienstleistern bewusst die Situation zu Geschäftszwecken dramatisiert?

6
/
1
C. W.
Experte DSGVO swiss made software
·

Drei Dinge: Erstens: er herrscht eine grosse Unsicherheit und in dieser Situation ist es für viele eine valable Strategie Überzuerfüllen. Zweitens: Selbst bei einem Unternehmen das nur in der Schweiz tätig ist, kannst du Kunden aus der EU haben und wenn die nur hier herein pendeln. Wenn du einen Newsletter mit einigen hundert Abonnenten hast - weisst du dann mit 100%, das da nur Schweizer drauf sind? Drittens: Wo Unsicherheit herrscht, wird es Leute geben, die ein Geschäft machen wollen. Das heisst aber nicht, das alles Schrott ist.

2
/
0

In der DSGVO gehts darum ob jemand Bürger der EU ist, sondern wo sein Wohnsitz ist. Und ich weiss, wo meine Kunden wohnen. Btw selbst "veraltete" Newsletter Systeme haben ein Double-Opt-in und in jedem Email eine Opt-out, was locker DSGVO konform ist. Es rennen aber Software Häuser an Branchenveranstaltungen (z.B. bei Zahnärzten) und behaupten, man dürfe ab sofort keine Newsletter oder Emails an seine Kunden mehr versenden und man müsse nun neue Software kaufen/updaten. Das ist schlicht FakeNews.

2
/
0

Danke für den Beitrag. So eine klare und schlüssige Zusammenfassung hat mir bis jetzt, trotz all der "Update-Mails" gefehlt. Ich gratuliere der EU für das Wagnis und den richtigen Schritt, den Datenschutz konsequent durchzusetzen. Ich gehe auch davon aus, dass momentan in der "Übergangsphase" noch genug Goodwill herrscht, GAFA zuerst angegangen wird und dass bei den KMU zuerst noch auf den gesunden Menschenverstand gesetzt wird.

Angst macht mir hingegen, wie larifari die Umsetzung in der Schweiz zu werden scheint. Ich würde mir hoffen, wir übernähmen die EU-Verordnung relativ 1:1. (Bei den Bussen könnte man vielleicht was machen, die scheinen schon sehr happig zu sein und sind ziemlich klar auf die grossen Fische ausgerichtet).
Dass Aspekte wie Datenportabilität, Meldepflicht (!) und Koppelungsverbote so links liegen gelassen gewerden von der Schweizer Gesetzgebung finde ich fahrlässig und enttäuschend.
Da kann ich ja fast nur hoffen, dass die grösseren Unternehmen der Einfachkeit halber, uns Schweizer genauso wie EU-Bürger behandeln und wir deshalb indirekt als "Schmarotzer" auch von der DSGVO profitieren.

7
/
2
R. T.
· editiert

"Angst macht mir hingegen, wie larifari die Umsetzung in der Schweiz zu werden scheint. "
Naja. Wie wird denn die Umsetzung in Italien sein ? Wir sind auch geographisch zwischen Deutschland und Italien.

0
/
0

Italien ist in der EU. Also verstehe ich den geographischen Aspekt gerade nicht, auf welchen sie ansprechen.

0
/
0

Danke fürs Kompliment. Ich teile Ihre Sorgen was die Umsetzung in der Schweiz angeht und hoffe, dass das Parlament noch zur Einsicht kommt.

1
/
0
M. L. M.
DSGVO Expertin bzw. Nationalrätin SP
·

Pragmatisch gesehen würde es eigentlich Sinn machen sich möglichst nahe an die DSGVO anzulehnen, zumal man davon ausgehen kann, dass die meisten Schweizer Unternehmen sowieso betroffen sind. Es werde sicher auch (das zeigte schon die Vernehmlassung) von SP und Grünen die entsprechenden Anträge gestellt werden. Politisch fürchte ich, dass dies nicht ganz so einfach sein wird, da sowohl Economiesuisse wie auch Gewerbeverband Widerstand machen (und die SVP sowieso jede EU-Gesetzgebung schlecht findet). Zudem ist natürlich jetzt das Problem, dass vor allem die Stimmen laut werden, die mit der Umsetzung Mühe haben oder das Gesetz schlecht finden. Umso wichtiger sind auch die anderen Stimmen.

2
/
0
Jean-Marc Hensch
DSGVO Experte ICT-Branche
·

Wenn 70% der Unternehmen in der Schweiz der DSGVO unterstehen (und zwar die kommerziell wichtigen), dann wird über kurz oder lang niemand mehr Lösungen anbieten oder implementieren, die nicht DSGVO-konform sind. Insofern ist es eine etwas akademische Frage. Was absolut verheerend wäre, wäre ein DSG mit Vorschriften, die anders oder weitergehend sind als die DSGVO. Meine Idealvorstellung wäre, die DSGVO Schweiz-kompatibel zu machen: weniger bürokratische Prozesse und Prozeduren, Light-Version für KMU (so wie "eingeschränkte Revision im Rechnungswesen"), die man aber dann deklarieren muss, sowie grosszügige Ausnahmetatbestände für ehrenamtliche/gemeinnützige Organisationen, auch für nicht-kommerzielle Produkte von Einzelpersonen.

3
/
0

Was bedeutet das DSGVO für mich als Betreiber einer kleinen Firmenwebsite, die Google Analytics verwendet?
Muss ich Anpassungen am Impressum vornehmen?
Muss ich ein Opt-In für die Analytics anbieten?
Kann ich da aus dem Ausland abgemahnt werden?

6
/
0

Analytics sollte ohne Opt-In zulässig sein, jedoch braucht es eine DSGVO-konforme Datenschutzerklärung. Der Hostinganbieter Cyon hat seine Empfehlungen hier publiziert:
https://www.cyon.ch/blog/DSGVO-das-…den-wissen

Direkt abgemahnt werden kann man derzeit nicht, es besteht aber theoretisch die Möglichkeit, dass eine EU-Datenschutzbehörde auf die Website aufmerksam wird und eine Busse ausspricht, wenn sie der Meinung ist, dass sich Ihre Website auch an EU-BürgerInnen richtet. Es gibt aber meines Wissens keine Möglichkeit, dass diese Busse in die Schweiz weitergeleitet wird (wie bei Verkehrsbussen üblich). Inwiefern die Busse Sie tangieren kann, wenn Sie mit EU-Firmen Handel treiben, kann ich nicht einschätzen.

3
/
0

Ich empfehle AnonymizeIP, das ist ein Zusatz, der die an Google Analytics geschickten Daten anonymisiert. Dann sind Sie draussen, weil keine Personendaten bearbeitet werden. Eine Anonymisierung verunmöglicht Google, die Daten Personen zuzuordnen.

7
/
0

Eine grosse Unsicherheit für kleine KMU's in der Schweiz ist die Frage nach dem Datenschutzvertreter in der EU. Braucht man für eine Webseite, die ausschliesslich Dienstleistungen für Kunden in der Schweiz anbietet, einen Datenschutzvertreter in der EU?
In der Beschreibung heisst es:

Angebote umfassen sämtliche Dienstleistungen und Waren. Kostenlose Angebote wie E-Books, Newsletter oder Whitepaper – beispielsweise für Empfängerinnen und Empfänger in Deutschland und anderswo in der EU – sind ausdrücklich betroffen. Es genügen auch bereits die Absicht, sich mit Dienstleistungen und Waren an Personen in der EU zu richten, und die Möglichkeit einer Kontaktaufnahme.

D.h. falls man einen Newsletter anbietet, ist man eigentlich betroffen und man benötigt einen Datenschutzvertreter in der EU, oder nicht? Wer weiss da mehr?
Referenz: www.datenschutzpartner.ch/fragebogen

1
/
1

Man braucht in der Tat relativ rasch mal einen solchen Vertreter. Wenn man die Website klar nur an Schweizer richtet, aber nicht. Dann ist die DSGVO gar nicht anwendbar. (Das sieht man z.B. daran, dass die Preise nur in Franken sind, und nicht in Euro, dass keine Empfängeradresse in der EU ausgewählt werden kann im Webshop, und das Angebot nicht auf Englisch ist.)

2
/
0

Super! Vielen Dank für die schnelle Antwort.

0
/
0

Wie muss ich mir den Ablauf und die allfälligen Konsequenzen konkret vorstellen, wenn beispielsweise eine EU-Bürgerin etwas daran auszusetzen hat, wenn ich auf einer Seite keine umfassende Datenschutzerklärung habe und ihr auch spontan keine Auskunft über ihre Daten und eine allfällige Löschung dieser Daten geben kann. Gibt es da Fristen, innert welcher man dies nachholen kann?

0
/
0

DSGVO-konform zu sein, ist eine Bringschuld. Eine definierte Frist gibt es aber für das Auskunftsersuchen selbst:
" Zur konkreten Frist für die Beantwortung des Auskunftsersuchens bestimmt Art. 12 Abs. 3 DSGVO, dass diese ohne unangemessene Verzögerung, spätestens aber innerhalb eines Monats oder bei komplexen Sachverhalten innerhalb von drei Monaten, zu erfolgen hat."
Quelle: https://www.llv.li/files/dss/rrecht…ffenen.pdf

0
/
0

Nein, es gibt keine Fristen. Im Prinzip kann er/sie Anzeige bei der für ihn zuständigen Behörde einreichen, und dann gibt es eine Verwarnung, evtl. eine Busse. Vgl. schon weiter unten.

0
/
0

Gestern hat Whatsapp offen kommuniziert, dass sie die Daten mit anderen Facebook-Unternehmen teilen. Ist das nicht ein krasser Verstoss gegen das Koppelungsverbot? Sie begründen das wie folgt:

"Damit Services bereitgestellt werden können, die der Verbesserung von WhatsApp und der Weiterentwicklung unseres Unternehmens dienen.
Wir teilen Informationen mit den Facebook-Unternehmen (und vertrauenswürdigen Drittanbietern) in ihrer Rolle als Dienstanbieter. Dienstanbieter unterstützen Unternehmen wie WhatsApp durch die Bereitstellung von Infrastruktur, Technologien, Systemen, Tools, Informationen und Fachwissen, damit wir den WhatsApp Dienst für unsere Benutzer bereitstellen und verbessern können."

https://faq.whatsapp.com/general/26000112/?eea=1

8
/
1

Ja, ich denke, das ist ein Verstoss. Ich bin gespannt, wie hoch die Busse sein wird ;-)

3
/
0

hier steht was anderes, resp. dank gdpr dürfen fb und whatsapp das jetzt. https://www.watson.ch/leben/digital…nde-spielt

1
/
0

Was ist das Koppelungsverbot?

1
/
0

Was ich mich frage: Sind diese leidige "wir nutzen cookies, haben sie was dagegen"-buttons wirklich nötig? Wenn ich etwas von der Website brauche, dann tippe ich sowieso ja.

3
/
1

Diese Cookie-Hinwese waren bislang eindeutig die unsinnigste Datenschutzmassnahme der EU: Da praktisch jeder Dienstanbieter Cookies benutzt und dies auch rechtfertigen kann, ist die Verwendung von Cookies kaum zurückgegangen - jedoch musste ich als Nutzer in meinem Adblocker eine Liste hinzufügen, die diese Cookie-Hinweise blockiert! Denn wenn man sich beim Surfen einigermassen vor Tracking schützt, erscheint die Hinweismeldung bei jedem Besuch einer Seite erneut...

6
/
0

Diese Cookie-Zustimmungsmeldung ist ohnehin nicht in jedem Fall notwendig. Es kommt darauf an, was für ein Cookie eine Website für welchen Zweck verwendet.

0
/
0

Bis gerade eben dachte ich, das Thema betrifft mich nicht. Ich habe zwar eine Website, die hat aber keine Anmeldefunktion, keine Newsletter, keine Cookies, nicht einmal einen Besucherzähler oder sowas.
Aber jetzt ist mir gerade etwas aufgefallen.
Meine Website hat ein Kontaktformular, in das der Absender seine e-mail-Adresse eingeben muss, um mich kontaktieren zu können.
Muss ich dem jetzt eine Datenschutzerklärung beifügen?! Ist das nicht dasselbe wie wenn mir jemand ein normales e-mail schreibt? Dann sehe ich die Absenderadresse ja auch, muss aber nirgends erklären, was ich damit mache...?

4
/
4

Guten Abend, Antonia! Deine Zweifel sind nicht ganz unberechtigt. Denn technisch betrachtet wird die Eingabe eines Users von einem Skript verarbeitet - und Du weißt evtl nicht einmal, auf welchem Server in welchem Land das Skript läuft.
Wenn es wirklich nur darum geht, Dich via E-Mail zu erreichen, gibt es aber eine simple Lösung, die Dir aus der Patsche hilft: Setze einfach mit HTML einen "mailto@beispiel.xyz". Dann wird nur der lokale Mail-Client des Users aktiviert und er schickt Dir direkt von seinem Rechner eine Mail in Dein Postfach. Damit bist Du aus dem Schneider. LG, Frank

2
/
0

Hallo Frank, vielen Dank! Das hatte ich auch schon gedacht. Ich hatte mal das Userforum von Contao nach DSGVO durchsucht, aber das war alles so grässlich kompliziert... die mailto-Lösung ist definitiv einfacher:-)
lg
Antonia

0
/
0

Ein wesentlicher Punkt ist hier, ob das E-Mail direkt «in» Ihrer Website generiert wird, oder ob dazu ein externer Formulardienstleister im Einsatz ist.

0
/
0

Die Website ist mit Contao gebaut, und das Formular ist ein Modul von Contao. Der Hosting-Provider (eine Schweizer Firma mit Servern in der Schweiz) musste dazu noch eine Absenderadresse basteln, die die Formular-emails dann an mich sendet.

0
/
0

Die DSVGO schützt die Bürger nicht nur, sie gibt ihnen mit der Datenportabilität – das Recht eine digitale Kopie all ihrer Daten zu verlangen – ein neues Grundrecht. Nur ich kann all meine Daten zusammenführen. Weder Google, die Grossverteiler oder mein Arzt hat dieses Recht. Wir können entscheiden, wem wir Zugang zu diesen Daten geben wollen (z.B. für eine Zweitmeinung beim Arzt, für einen neuen Datenservice, oder für die Teilnahme an wissenschaftlichen Studien). Diese digitale Selbstbestimmung, die EU Bürgerinnen und Bürgern ab heute durch die Datenportabilität zusteht, haben wir in der Schweiz nicht. Wir verlangen dieses Grundrecht auch für Schweizer Bürgerinnen und Bürger. Deshalb fordern wir Bundesrat und Parlament auf, die Datenportabilität auch in der Revision des Schweizer Datenschutzgesetzes zu berücksichtigen. Unterstützen Sie uns unter https://www.digitaleselbstbestimmung.ch/!

Die Vorteile für uns Bürgernnen und Bürger sind vielfältig. Durch das Recht auf eine Kopie unserer Daten lernen wir erstmals, wer Daten über uns sammelt. Dadurch können wir unseren digitale Fussabdruck, den wir wollen, besser bestimmen. Während wir mit der Portabilität der Natelnummer lediglich den Provider einfacher wechseln können, entsteht mit der Portabilität unser Daten ein neues Datenökosystem unter unserer Kontrolle. Diese einzigartige Macht gegenüber den grossen Datenkonzernen sollten wir in der Schweiz und in Europa ausnützen. Auch Datenfirmen sehen den Vorteil ein. Für bessere Dienstleistungen sind wir vielleicht bereit, diesen Firmen selektiv Zugang zu Daten zu geben, die sie nicht selber erfassen. Wir behalten die Kontrolle und unsere digitale Selbstbestimmung.

9
/
1
A. S.
DSGVO-Expertin: Datenwissenschaftlerin
·

Ich bin einverstanden mit M. Z., das klingt in der Theorie ziemlich gut, aber ist leider im Moment noch nicht wirklich machbar für die meisten Firmen. Es gibt noch mehr Hindernisse als das nicht standardisierte Datenformat:

  • Die Daten sind meistens in mehr als einem System gespeichert, das heisst die Firmen müssen entweder erst ein zentrales System bauen, oder sie müssen bei jedem System eine Export-Funktion bauen

  • Häufig gibt es sogar sogenannte 'Silos', das heisst dass die verschiedenen Systeme gar nicht kompatibel sind miteinander und es gar nicht klar ist was die 'ID' der Person ist in den verschiedenen Systemen. Dann muss die Firma erstmals intern die Daten 'matchen' (zum Beispiel email-Adressen vergleichen, wo vorhanden). Es ist fraglich, wie man da sicherstellen kann das wirklich ALLE Daten exportiert werden

2
/
0

Ich verstehe die Probleme sehr gut, insbesondere seitdem wir gesehen haben, was es heisst, nur schon eine neuen Website (digitaleselbstbestimmung.ch) GDPR-kompatibel aufzusetzen. Trotzdem bin ich überzeugt, dass Konzerne davon auch profitieren werden, weil Kunden für personalisiertere Dienstleistungen (z.B. Fitnessabos aufgrund von Ernährungs-, Bewegungs-, Gesundheitsdaten) Daten zurück teilen werden. Ausserdem werden sichere Datenplattformen (z.B. MIDATA Genossenschaft) entstehen, auf deren Interface der Bürger-kontrollierte Datenaustausch und Kommunikation stattfinden kann. Doc Searls beschreibt im Buch "The Intention Economy" sein Projekt Vender Relationship Management System (VRM), welches mit den CRMs interagieren kann.

0
/
0

Was bedeutet die Datenportabilität konkret im Bezug auf zum Beispiel Facebook oder Instagram?

1
/
0

Facebook und Instagram müssen uns auf Verlangen eine digitale Kopie all unserer personenbezogenen Daten geben.

0
/
1

Guten Morgen, liebe Leser! Ich freue mich, dass es hier schon so viele Fragen gibt! Wir legen gleich los.

2
/
0
David Bopp
· editiert

Wenn du noch dazukommst, würde ich mich über einen juristischen Kommentar zu der Frage nach der Handhabe, die EU-Kunden gegenüber Schweizer Firmen haben, freuen.
(etwas weiter unten)

0
/
0

(hiermit geschehen)

1
/
0

Liege ich hier falsch? Wenn ich zu etwas verpflichtet bin, muss ich nicht offiziell erklären, dass ich mich daran halte. Das bedeutet, dass eine Datenschutzerklärung auf einer Website nur erklären muss, welche Daten wie, wo, warum und wie lange gespeichert werden, wenn überhaupt Daten gespeichert werden. Wenn keine Daten gespeichert werden (ja, das gibt es), braucht es keine Datenschutzerklärung.

6
/
1

Genau. Sie haben Recht. Ohne Daten keine Datenschutzerklärung. Allerdings: Benutzen Sie Cookies oder Tracker? Dann sind sie im Anwendungsbereich.

0
/
0

Sehr gut. Und dass Hoster Logbuch führen (können) über alle http-Requests liegt ausserhalb der Veranwortung des Websiteinhabers sofern er nicht selbst hostet oder keine Macht über diese Logfiles hat?

0
/
0
David Bopp
· editiert

Mich würde die Einschätzung eines Experten interessieren, was passieren kann, wenn sich ein Schweizer KMU nicht an die DSGVO hält. Angenommen das KMU hat Kunden in der EU und zeigt sich nicht bereit die Daten eines EU-Kunden zu löschen. Was kann der Kunde nun machen? Das Schweizer KMU vor ein Gericht in Deutschland zitieren? Falls das möglich ist, was passiert wenn man einfach nicht vor Gericht erscheint?

1
/
0
C. W.
Experte DSGVO swiss made software
·

Der betroffene Deutsche kann eine Anzeige bei seiner Datenschutzbehörde machen. Die können eine Busse aussprechen und auf der Löschung bestehen. Als Schweizer KMU kann man sich dann zwar weigern - aber ist das klug?
Sobald man in Deutschland wieder ein Geschäft machen will und eine Rechnung stellt, kann darauf zugegriffen werden. Und selbst wenn man das nicht herausfinden kann, ist die Gefahr eines Reputationsschadens eigentlich die grössere Keule. Will das Unternehmen weiter Geschäfte machen? Will das Unternehmen Kunden verlieren?

0
/
0
C. W.
Experte DSGVO swiss made software
·

Das ist vielleicht auch ein Driver momentan - kann man als Unternehmen kompetitiv mit deutschen Unternehmen komkurrieren, wenn man das nicht hat? Ein Deutscher Geschäftspartner wird einfach kein Risiko eingehen wollen.

1
/
0

Als Schauspieler informiere auch ich vier- bis sechsmal einen Kreis von Branchenleuten und Interessierten über meine Aktivitäten via Newsletter. Reicht es, wenn ich das Einverständnis der Empfänger einhole oder bedingt das DSVOG gleich auch noch eine Umprogrammiering der Website mit sich?

5
/
1
M. L. M.
DSGVO Expertin bzw. Nationalrätin SP
·

Erstens stellt sich die Frage, ob die NewsletterempfängerInnen überhaupt aus dem EU-Raum sind. Dann ist die Frage, wie sie auf den Newsletterverteiler gelangt sind. Haben Sie diesen aktiv abonniert und bestätigt, ist gar keine Resubscription (also erneutes Einholen der Einwilligung) nötig.

1
/
0
0
/
0

Eine ultrabanale Frage: gewisse Firmen/Vereine etc. verschicken jetzt Mails mit der Aufforderung, sich neu anzumelden (für Newsletter etc). Andere schicken einfach einen Hinweis auf ihre neuen Datenschutzbestimmungen. Warum dieser Unterschied? (Ich bin selbst Mitglied in mehreren Vereinen, die das "opt-in" durchführen mussten, was uns in allen drei Fällen einen Grossteil unserer Kontaktliste gekostet hat.)

12
/
4
Jean-Marc Hensch
DSGVO Experte ICT-Branche
·

Der Verlust der Kontaktliste schmerzt enorm - hatte grad heute Morgen im eigenen Hause eine solche Diskussion. Andererseits muss man sehen, dass das vermutlich Leute sind, die zwar den Newsletter abonniert haben, ihn aber nicht lesen (ich habe leider auch reihenweise solche Abos, bei denen ich zum Abmelden zu faul bin...) - man kann es also auch als Chance zum Ausmisten und verwesentlichen sehen.

2
/
0
David Bopp
· editiert

Ich sehe zwei Gründe:
Der eine ist, dass die einen auf Nummer Sicher gehen wollen und die anderen mit gesundem Menschenverstand agieren.

Der zweite ist, dass es Mailinglisten gibt mit E-Mail-Adressen aus verschiedensten Quellen und da will man sich nun versichern, dass man nur Leute anschreibt, die das per opt-in bestätigt haben. Bei Mailinglisten die nur aus opt-in-Adressen bestehen, ist dieser Schritt (imho) nicht nötig.

3
/
0

Danke. Ist wohl wirklich banal:-).

1
/
1

Die DSGVO ist da, und sie ist, was sie ist. Die schweizer Variante des neuen Datenschutzgesetzes ist dagegen noch nicht da. Und diese sieht offenbar nach wie vor eine PERSÖNLICHE Strafbarkeit von Angestellten vor (zugegeben in weniger Fällen als in der ursprünglichen Fassung). Wo stehen wir da in der Diskussion bzw. wie gross sind die Chancen, diese grosse Gefahr doch noch abwenden zu können?

19
/
8

Ich würde erwarten, dass das im Parlament noch angegangen wird. Ein gewisses Risiko bleibt jedoch auch so bestehen: Die Verantwortlichen einer Organisation (Verwaltungsrat, Vereinsvorstand, etc.), die eine Datenschutzverletzung verschulden, können gegenüber der Organisation haftbar werden, wenn die Organisation eine Busse zahlen muss. Das ergibt sich aus den allgemeinen Regeln des OR.

1
/
1

Ich finde es schon wichtig, die bis jetzt vorgesehene PERSÖNLICHE Strafbarkeit JEDER/ JEDES Angestellten nicht mit der generellen Verantwortlichkeit von VR oder Vorstand etc. zu verwedeln. Diese persönliche Strafbarkeit kann jedeN treffen, der/die Daten bearbeitet (= von anschauen über erfassen/mutieren bis löschen) - und wer macht das heutzutage nicht? Das hat enorme Auswirkungen auf uns alle. Sozusagen auf die Sicherheit am Arbeitsplatz. Es betrifft eben nicht "nur" den VR.

0
/
0

seit 2018