Aufrufe
vor 2 Wochen

Netzwoche 12/2018

26 Web Event Cookies,

26 Web Event Cookies, Newsletter, Verträge: Website-Betreiber und die EU-DSGVO Seit dem 25. Mai 2018 gilt die EU-DSGVO – auch für viele Schweizer Unternehmen. Was bedeuten die neuen Datenschutzregeln für die Betreiber von Websites? An einem Workshop von Plan.net Suisse erhielten die Besucher rechtliche Infos, praktische Tipps und Hinweise zur Umsetzung. Autor: Oliver Schneider Was bedeutet die EU-DSGVO für Onlineshops und Webauftritte? Wie erreichen Unternehmen auch in Zukunft ihre Kunden im Web? Die Digitalagentur Plan.net Suisse veranstaltete in Zürich einen Workshop, der sich um diese und weitere Fragen zum neuen Datenschutz der EU drehte. Der Anwalt Lukas Bühlmann, Partner bei Meyerlustenberger Lachenal, zeigte die Auswirkungen der EU-DSGVO auf die digitale Kanäle. «Ich träume mittlerweile von der DS- GVO», sagte Bühlmann zur Begrüssung. Er sprach damit wohl einigen im Publikum aus dem Herzen. Spielregeln der EU-DSGVO Im Grundsatz halte die Verordnung fest, dass die Verarbeitung von Personendaten künftig unzulässig sei. Damit Unternehmen trotzdem weiter ihren Geschäften nachgehen können, seien aber Ausnahmen von diesem Verbot vorgesehen. Am wichtigsten sei hier die Einwilligung durch den Nutzer, sagte Bühlmann. Dazu komme eine Reihe von Spielregeln, an die man sich halten müsse. Transparenz sei eine davon. Sie besage, dass Nutzer detailliert informiert werden müssten, warum ihre Daten erhoben würden und was das Unternehmen mit ihren Daten mache. Dies geschehe mittels einer neuen Datenschutzerklärung auf der Website. Eine andere Regel sei die Zweckbindung. Sie besage, dass mit den Daten nichts anderes gemacht werden dürfe, als ursprünglich angegeben. Weitere Pflichten und Rechte, welche die EU-DSGVO auferlege, seien etwa die Erstellung einer Datenschutz-Folgeabschätzung, die firmeninterne Dokumentierung des Umgangs mit den Daten, das Auskunftsrecht der Betroffenen oder das Recht auf Löschung der Personendaten. Wie die Behörden diese Spielregeln letzten Endes auslegten, werde sich erst in der Rechtsprechung zeigen. Alles in allem hat die EU mit der DSGVO laut Bühlmann einen extremen Formalismus und viel Bürokratie geschaffen. «Da wurde ein Monster geboren», sagte er. Das bedeute aber auch, dass längst nicht alle Rechte und Pflichten im Alltag durchgesetzt würden. Dazu seien die Datenschutzbehörden gar nicht in der Lage. Das heisse allerdings nicht, dass man die EU-DSGVO nicht ernst zu nehmen brauche. Sollte es etwa zu einem Datenleck kommen, müssten Unternehmen wie gefordert in der Lage « Nutzer müssen detailliert informiert werden, warum ihre Daten erhoben werden und was ein Unternehmen mit ihren Daten macht. » Lukas Bühlmann, Partner bei Meyerlustenberger Lachenal i INFO Die neue Datenschutzverordnung der EU Seit dem 25. Mai 2018 gelten in der Europäischen Union neue Datenschutzbestimmungen (EU-DSGVO/GDPR). Diese Regeln betreffen auch Unternehmen ausserhalb der EU, wenn sie Daten von in der EU ansässigen Personen bearbeiten. Die «Netzwoche» widmet dem Thema eine Artikelserie. Weitere Informationen finden Sie in einem Dossier auf unserer Website. Dossier online auf www.netzwoche.ch/eu-dsgvo sein, ein Verzeichnis der internen Datenbearbeitung vorzulegen. Dessen Pflege sei aufwendig, für die Einleitung von Massnahmen bei «Data Breaches» allerdings notwendig. Information, Einwilligung, Dokumentation Was bedeutet das Regelwerk für Website-Betreiber? Ausser der technischen Realisierung der Auskunftspflicht, der Dokumentationspflicht und dem Recht auf Löschung müssten die Nutzer mittels einer Datenschutzerklärung «gut sichtbar» über die Datenbeschaffung informiert werden. Deren Inhalte seien in Art. 13 der Verordnung vorgegeben. Auch wenn die Daten nicht selbst erhoben würden, sondern von Dienstleistern stammten, müsse darüber informiert werden. Die Einzelheiten seien in Art. 14 nachzulesen. Die Einwilligung zur Datenbearbeitung müsse freiwillig, informiert und in Form einer bestätigenden Handlung vorgenommen werden. Das stelle hohe Anforderungen an die Betreiber, sagte Bühlmann. Stillschweigen, bereits angekreuzte Kästchen im Formular oder sonstige Opt-out-Verfahren seien explizit keine Einwilligungen. Bereits früher gegebene Einwilligungen seien nur noch gültig, wenn die EU-DSGVO bereits damals eingehalten worden sei. In diesem Zusammenhang riet Bühlmann vom massenhaften Versand von Bestätigungsmails für Newsletter ab, wie er aktuell stattfindet. Die Rücklaufquote solcher E-Mails sei erfahrungsgemäss sehr klein. Wer darauf aber nicht reagiere, sage rechtlich gesehen «nein». Der Idee, man könne einmal unrechtmässig erhobene Daten gewissermassen «heilen», erteilte Bühlmann eine Absage. Ein weiteres Thema ist die Auftragsdatenbearbeitung. Sie sei immer dann relevant, wenn Unternehmen Dienstleistungen von Dritten bezögen, in denen Personendaten verarbeitet würden. Darunter falle ein Newsletter-Versender ebenso wie Google Analytics, Web-Plug-ins oder diverse Cloud-Lösungen wie Microsoft Office 365, Google Docs oder Salesforce. Hier sei es wichtig, Rechte und Pflichten in einem sogenannten «Datenverarbeitungsvertrag» festzulegen. Vorlagen, wie so ein Vertrag aussehen könne, seien etwa auf der Website des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragen erhältlich. 12 / 2018 www.netzwoche.ch © netzmedien ag

Web Event 27 Matthias Strebel, DSGVO-Verantwortlicher von Plan.net Suisse. Anwalt Lukas Bühlmann erklärte die juristischen Hintergründe der EU-DSGVO. Unternehmen seien gut beraten, nur mit Partnern zusammenzuarbeiten, die eine EU-DSGVO-Compliance gemäss dem «Privacy Shield»-Programm vorweisen könnten, sagte Bühlmann. Bei grossen Anbietern wie AWS oder Microsoft sei das der Fall, obwohl die USA aus EU-Sicht in Sachen Datenschutz als unsicher gelten. Auch hier sei es zudem unerlässlich, alle externen Datenbearbeitungen in der Datenschutzerklärung offenzulegen. Noch unklar sei die Situation aktuell bei den Cookies, sagte Bühlmann. Die EU wolle das Thema mit der «E-Privacy-Verordnung» regeln, die allerdings erst im Verlauf des Jahres 2019 in Kraft treten dürfte. Aktuell müssten Schweizer Website-Betreiber die Nutzer über die Verwendung und den Zweck von Cookies informieren. Die Drohkulisse der Sanktionen – bis zu 4 Prozent des globalen Jahresumsatzes oder 20 Millionen Euro – relativierte Bühlmann. Solche Beträge würden nur schwere Datenskandale erreichen. Ein viel wahrscheinlicheres Szenario sei dagegen die Zunahme von Abmahnungen. Firmen könnten versuchen, Konkurrenten wegen Nichteinhaltung der EU-DSGVO abzumahnen. Websites per SSL verschlüsseln Die Umsetzung der EU-DSGVO in der Praxis demonstrierte Matthias Strebel, der Datenschutz-Verantwortliche von Plan.net Suisse. Als ersten Schritt riet Strebel, die eigene Website per SSL zu verschlüsseln, damit sie nur noch per HTTPS-Protokoll erreichbar sei. Websites ohne HTTPS würden Inhalte für Hacker sichtbar übertragen und würden dafür von Google und Browsern abgestraft. Es lohne sich, in ein kostenpflichtiges SSL-Zertifikat mit "Extended Validation" zu investieren, sagte Strebel. Dieses teile den Nutzern im Unterschied zu Gratiszertifikaten die Identität des Seitenbetreibers mit und signalisiere somit Seriosität. Den Zeitaufwand zur Umstellung auf HTTPS gab Strebel mit zwei Tagen an. Bei Web-Cookies empfahl Strebel, nicht nur wie bisher per Banner auf die Tracking-Dateien hinzuweisen, sondern dem Nutzer aktiv die Wahl zu geben, welche Cookies er aktivieren möchte. Dies könne etwa über erweiterte Cookie-Banner geschehen. Websites müssten dann so konfiguriert werden, dass je nach Entscheidung des Nutzers nur die für den Betrieb notwendigen Cookies (Warenkorb, Log-in) oder auch weitere zu Marketing- oder Statistik-Zwecken platziert würden. Das sei nicht nur technisch aufwendig. Remarketing werde damit in Zukunft schwieriger, da nur die wenigsten Nutzer bewusst nicht notwendige Cookies akzeptieren dürften und Browser diese per default blockieren dürften. Noch heikler sei die Nutzung des sogenannten «Facebook-Pixels», da er keine Opt-out- Funktion vorsehe. Strebel riet, hier den «erweiterten Abgleich» zu deaktivieren und die Situation im Auge zu behalten. Rechtstexte auf der Website Das Herzstück der EU-DSGVO-Konformität für jede Website ist laut Matthias Strebel die Datenschutzerklärung. Sie müsse den Anforderungen der Verordnung genügen und auf jeder Seite des Internetauftritts verlinkt sein. Es gebe hierfür deutschsprachige Tools, bei umfangreicheren Datenerhebungen empfahl er allerdings, einen Anwalt beizuziehen. Ebenfalls auf jeder Seite müssten Betreiber das Impressum verlinken. Werden über die Website Verkäufe getätigt, komme dazu noch eine AGB-Seite, ebenfalls überall verlinkt. « Websites ohne HTTPS übertragen Inhalte für Hacker sichtbar und werden dafür von Google und Browsern abgestraft. » Matthias Strebel, DSGVO-Verantwortlicher, Plan.net Suisse Artikel online auf www.netzwoche.ch Webcode DPF8_93898 www.netzwoche.ch © netzmedien ag 12 / 2018