Cookies, Newsletter und Co. – machen Sie alles richtig beim Thema Datenschutz? Ein Experte gibt Auskunft.

×
×
ajax loader spinner

19.02.2019

Cookies, Newsletter und Co. – machen Sie alles richtig beim Thema Datenschutz? Ein Experte gibt Auskunft.

Wie verhalten sich Verbände, Parteien und NGOs darüber hinaus rechtskonform in Sachen Datenschutz? Dieser Frage geht BERTA auf den Grund. Und zwar im Interview mit dem auf IT-Recht spezialisierten Rechtsanwalt Dr. iur. Alexander Schmid der Zürcher Kanzlei epartners. Der Experte gibt Auskunft zum richtigen Umgang mit Online-Diensten, Cookies und Newslettern.

Cookies, Newsletter und Co. – machen Sie alles richtig beim Thema Datenschutz? Ein Experte gibt Auskunft.

 

Dr. iur. Alexander Schmid ist Partner bei epartners Rechtsanwälte und spezialisiert auf IT- und Technologierecht. Im Interview gibt der Anwalt Auskunft über die Datenschutz-Grundverordnung der EU (DSGVO), die Schweizer Datenschutzbestimmungen (DSG) und über das rechtskonforme Verhalten von NGOs, Parteien und Verbänden im Umgang mit Personendaten, Cookies und Newslettern. 

Herr Schmid, Datenschutz im Internet ist in aller Munde, werden Sie mit Anfragen überhäuft?
Mir wird sicher nicht langweilig. Viele Klienten kommen auf mich zu und haben Fragen betreffend Risiken und möglichen Veränderungen beim Thema Datenschutz.

Welche Stimmung erleben Sie da, fürchtet man sich ein wenig?
Eher weniger, Datenschutz soll die Persönlichkeitsrechte von Bürgerinnen und Bürgern schützen bzw. diese stärken. Das ist in erster Linie ein positives Begehren. Für Unternehmen, Verbände und andere Gesellschaften, welche Daten verarbeiten, machen insbesondere die strengen Regeln der DSGVO die Sache etwas komplexer. 

Wie sehen das NGOs und Verbände in der Schweiz, die mit Personendaten arbeiten?
Auch hier würde ich nicht sagen, dass es vonseiten der Organisationen Befürchtungen oder Ängste gibt. Aber man ist sich bewusst, dass Datenschutz nun ein ernstzunehmendes Thema ist.

Weshalb ist das so?
Die schweizerische Herangehensweise betreffend Datenschutz ist von einem gewissen Pragmatismus geprägt. Eigentlich typisch für die Schweiz. Grundsätzlich ist das Bearbeiten von Daten bislang – mit Ausnahmen – erlaubt. Also im Grunde eine Erlaubnis mit Verbotsvorbehalt. Schaut man in die EU, ist es genau umgekehrt – ein Verbot mit Erlaubnisvorbehalt. Grundsätzlich ist das Verarbeiten von Daten verboten, ausser es gibt eine Rechtfertigung, etwa eine Einwilligung, oder ein berechtigtes Interesse, dies zu tun. 

Was fällt alles unter sogenannte Personendaten?
Alle Informationen, die einen Rückschluss auf eine Person erlauben. Dazu können auch IP-Adressen gehören (was in der EU klar der Fall ist). Für die Schweiz spreche ich im Konjunktiv, da es unter Umständen – zum Beispiel über einen Fingerprint, der sich mit dem Browser verknüpfen lässt – möglich ist, Rückschlüsse auf die Person zu ziehen.  

Lassen Sie uns über die EU reden. Seit Mai 2018 gilt die Europäische Datenschutz-Grundverordnung (DSGVO). Welche grundsätzlichen Überlegungen stecken dahinter?
Die DSGVO ist aus meiner Sicht eine Reaktion der EU auf Veränderungen, die uns bereits betreffen und in Zukunft noch wesentlich mehr betreffen werden. Die Technologie macht vorwärts, die Nutzung von Daten zum Bespielen von Werbung nimmt zu, Messgeräte wie Smart Devices und Wearables werden vermehrt genutzt und vernetzt. Hier will man sicherstellen, dass man in Zukunft nicht auf dem falschen Fuss erwischt wird.

Will man damit Schranken setzen?
Ja, vor allem grössere Unternehmen hat man hier im Auge. Unternehmen, deren Geschäftsmodell auf der Wertschöpfung durch Datenbearbeitung basieren.

«Die DSGVO greift erst dann, wenn ein Dienstleister nicht zufällig, also zielgerichtet Daten von EU-domizilierten Personen bearbeitet 

Aus Ihrer Sicht eine gute Sache also?
Ja und nein. Natürlich ist es für den einzelnen Konsumenten wichtig, dass es in irgendeiner Form einen Datenschutz gibt, das will niemand bestreiten. Die DSGVO allerdings geht da aus meiner Sicht zu weit. Es wird versucht, Übeltäter ins Recht zu fassen. Dabei bürdet man aber gleichzeitig zahlreichen KMUs Aufgaben und Massnahmen auf, die sie kaum stemmen können.
 

Werden wir konkreter, wie weit sind Verbände, NGOs und Parteien hierzulande überhaupt von der DSGVO betroffen?
Die DSGVO greift erst dann, wenn ein Dienstleister nicht zufällig, also zielgerichtet Daten von EU-domizilierter Personen bearbeitet. Ein Beispiel: Ein Webshop aus der Schweiz, der Produkte nach Deutschland liefert und seine Dienstleistungen auch anderweitig nach Europa ausrichtet, ist davon betroffen. 
Für reine Binnensachverhalte, also zum Beispiel Schweizer NGOs und Parteien, die ausschliesslich Schweizerinnen und Schweizer ansprechen und keine Beziehungen zum EU-Ausland haben, gilt die DSGVO nicht. Für sie ist der Anwendungsbereich des Schweizer Datenschutzes (DSG) massgebend.

Was trifft zu, wenn ich als Partei, Verband oder NGO, mein Datenverzeichnis ins Ausland exportieren will. Ich verwende also nur Daten von Schweizerinnen und Schweizer, diese werden aber im Ausland bearbeitet.
Unter dem Schweizer Datenschutzrecht gilt es zu beachten, ob Daten in ein sicheres Drittland exportiert werden. 

Was muss man sich darunter vorstellen?
Dies sind Länder, welche über eine mit dem Schweizer Datenschutzrecht vergleichbare Datenschutzgesetzgebung verfügen, also ein sogenanntes adäquates Datenschutzniveau bieten. Zu bejahen ist das für die EU-Länder, grundsätzlich aber zu verneinen für die USA. Wenn ich als Verband amerikanische File-Hosting-Dienste verwende, ist das natürlich ein Problem. Denn ich exportiere Personendaten aus der Schweiz in die USA. 

Was müssen Organisationen hierzulande in diesem Fall beachten?
Es gibt Mechanismen, um solche Aktivitäten rechtskonform zu machen. Zu beachten gilt, ob sich die Betreiber der verwendeten US-Applikationen und Dienste dem Privacy Shield unterstellt haben – einem Abkommen zwischen der Schweiz und den USA. In diesem Fall geben die amerikanischen Unternehmen datenschutzrechtliche Zusicherungen ab. Den Konsumenten werden also konkrete Instrumente in die Hand gegeben, um die Bearbeitung ihrer Daten zu beeinflussen. Trifft dies zu, der US-Betreiber der App ist dem Privacy-Shield also unterstellt, wird die USA als sicheres Drittland gemäss DSG eingestuft. 

«Wesentlich für Verbände, die nicht international agieren, ist erst einmal folgende Frage: Woher kommen meine Daten?» 

Was, wenn dies nicht der Fall sein sollte?
Dann besteht ebenfalls die Möglichkeit, einen Vertrag abzuschliessen, damit die verwendeten Applikationen aus Sicht der Schweiz rechtskonform verwendet werden dürfen. 

Welche Aufsichtsbehörden werden bei einem Verstoss aktiv? Im Fall der DSGVO ist von einer Busse in der Höhe von 4 Prozent des Umsatzes die Rede. Wie realistisch ist das?
Das ist möglich, allerdings muss das Urteil dann in der Schweiz oder ggfs. im EU-Ausland vollstreckt werden. Sind die besagten Organisationen nur in der Schweiz zugegen, müsste ein Urteil oder eine Bussgeldverfügung hierzulande vollstreckt werden. Es ist jedoch fraglich, ob derart hohe Bussgelder in der Schweiz überhaupt vollstreckbar sind, oder ob die Durchsetzung in der Schweiz auf die Höhe der in der Schweiz drohenden Bussen – aktuell CHF 10'000 – beschränkt wäre. Diese Zahl dürfte sich im Rahmen der laufenden Revision des Datenschutzgesetzes jedoch erhöhen. 

Ein Gedankenspiel, ich bin ein Verband und möchte mich mit meinem Online-Auftritt und in meiner Online-Kommunikation rechtskonform verhalten. Welche Dinge muss ich besonders beachten.
Wesentlich für Verbände, die nicht international agieren, ist erst einmal folgende Frage: Woher kommen meine Daten? Hier gilt das sogenannte Prinzip der Transparenz der Datenbeschaffung. 

Was, wenn ich Personendaten über meine Webseite erhebe?
Falls sie als Verband – zum Beispiel über ein Formularfeld auf Ihrer Webseite – Daten selbst erheben, gilt das Prinzip des Opt-in. Das bedeutet, dass die Person, die ihre E-Mail-Adresse auf der Webseite des Verbandes angibt, das Einverständnis für die Zustellung eines Newsletters geben muss, z.B. durch Anklicken eines entsprechenden Häkchens.


Was muss ich beachten, wenn ich diese Daten weitergeben möchte?
Auch bei der Datenweitergabe braucht es eine Zustimmung der betroffenen Personen oder ein berechtigtes Interesse des DatenbearbeitersDie Zustimmung kann bspw. über eine Privacy-Policy geschehen, welcher der Besucher ausdrücklich zustimmt. Hier muss der Verband deklarieren, was mit gesammelten Daten geschieht, diese also auch weitergegeben werden können. Ein Beispiel: Eine NGO gibt Adressdaten einer anderen NGO weiter, dieser Schritt muss unter der Einwilligung der Kunden passieren, die in der Privacy-Policy festgelegt wird, es sei denn, sie könne dafür ein überwiegendes Interesse geltend machen. Dies muss im Einzelfall abgeklärt werden und kann nicht allgemein beantwortet werden.

Wie ist die Sache bei Cookies? Kleine Textdateien, die ungefragt auf dem Browser eines Rechners abgelegt und später von dort geladen werden.
Hier ist zu unterscheiden: In der Schweiz ist die Verwendung von Cookies grundsätzlich zulässig, man muss jedoch in der Privacy-Policy darüber informieren, dass sie eingesetzt werden. Die schweizerische Cookie-Regelung ist im Fernmeldegesetz (FMG) geregelt. Demnach ist das «Bearbeiten von Daten auf fremden Geräten durch fernmeldetechnische Übertragung […] nur erlaubt, […] wenn die Benutzerinnen und Benutzer über die Bearbeitung und ihren Zweck informiert sowie darauf hingewiesen werden, dass sie die Bearbeitung ablehnen können.» Ein Cookie-Pop-up allerdings ist nach schweizerischem Recht nicht nötig. Unter EU-Recht wiederum ist für die Verwendung gewisser Cookies – z.B. solcher zum Tracken der Besucher – ein Einverständnis der Nutzer notwendig. Dafür werden Webseiten mit den inzwischen vielenorts sichtbaren Cookie-Opt-in-Pop-Ups versehen. Massgeblich st hier wiederum, ob eine Webseite nur auf den Schweizer Markt oder auch auf den europäischen ausgerichtet ist. 

«Für nur auf die Schweiz ausgerichtete Webseiten genügt in der Regel die Aufklärung in der Privacy-Policy. Es braucht kein Cookie-Pop-Up.»

Wie weiss ich, ob ich eine Mailadresse, die ich im Netz finde, für meine Zwecke als Verband oder NGO verwenden darf?
Ist das zum Beispiel die Parlaments-E-Mail-Adresse eines Politikers, die öffentlich publiziert wurde, kann man abwägen und davon ausgehen, dass dadurch eine implizite Zustimmung gegeben wurde. Der Politiker darf also mit Informationen bedient werden.

Wann ist dies nicht der Fall?
Sobald Sie grosse Mengen an Personendaten kaufen, diese also nicht über die eigene Webseite inklusive Einwilligung der Kunden erhalten haben. Hier muss abgeklärt werden, ob mir der Verkäufer diese Mailadressen überhaupt verkaufen und ich diese nutzen darf. 

«Geht man konform mit den Bestimmungen der DSGVO, ist man gut aufgestellt für die Revision des DSG.» 

Kehren wir zurück in die Politik. In Bern befasst sich das Parlament mit der Totalrevision des Datenschutzes. Bisher musste man keine eigenen Verstösse bzgl. Datenschutz melden, könnte das bald der Fall sein?
Eine künftige Informationspflicht ist denkbar, ähnlich wie das bereits in der EU der Fall ist.

Befürchten Sie ein Regulierungsmonster?
Ja, diese Befürchtung habe ich. Man möchte zeigen, dass man mit der EU gleichauf liegt, oder zumindest nachzieht. Ich hoffe, dass man davon absieht, etwa die Idee der Verfahrensverzeichnisse zu übernehmen. Gerade kleinere Unternehmen und Organisationen dürften hier ins Schwitzen kommen, da der Dokumentationsaufwand sehr gross sein kann.

Wie gut ist man aufgestellt, wenn man sich an die DSGVO hält – einmal ausgenommen, ob man davon betroffen ist, oder nicht – in Bezug auf die zu erwartende Revision in der Schweiz?
Geht man konform mit den Bestimmungen der DSGVO, ist man voraussichtlich gut vorbereitet für die Revision des DSG. 

Gibt es etwas, dass Sie Verbänden ans Herz legen, damit sie sich mit dem Datenschutz schon heute befassen?
Sinnvoll ist es, sich darüber Gedanken zu machen, wie und wo genau Personendaten erhoben und verwendet werden. Nehmen wir zum Beispiel Google Applikationen oder Asana, die viele auch dafür verwenden, um zum Beispiel HR-Dossiers abzuspeichern. Das kann problematisch sein. Hier steht man vor der Frage: Gibt es ein Privacy-Shield für die von mir verwendeten Apps? Haben wir, falls nötig, die Zustimmung der Betroffenen? Haben wir einen Auftragsdatenverarbeitungsvertrag?

«Sinnvoll ist es, sich darüber Gedanken zu machen, wie und wo genau Personendaten erhoben und verwendet werden.» 

Das hört sich nach viel Arbeit an.
Das lässt sich heute mit etwas Pragmatismus bewältigen. Die Anbieter von Cloud-Plattformen sind gut vorbereitet; die meisten verfügen über akzeptable Vertragsvorlagen welche ohne weiteres zur Verfügung gestellt und unterzeichnet werden.

Sobald ich Dritte mit meiner Datenverarbeitung beauftrage, muss dieser Schritt befolgt werden?
Richtig. Nehmen wir an, ich benutze einen Online-Service, der nicht unter das Privacy-Shield fällt. Ist dies der Fall, brauche ich einen Auftragsdatenverarbeitungsvertrag. Diesen kann ich in der Regel per Formular oder über ein E-Mail bestellen, sofern der Anbieter über einen solchen verfügt. 

Wie verhält es sich mit dem Tracking?
Auch hier brauchen Sie als Betreiber einer Webseite in der Regel die Zustimmung der Kunden via Opt-in (z.B. durch Einblendung eines entsprechenden Hinweises unter Verweis auf die Privacy-Policy, welche die Details erklärt).

Was, wenn ich hierfür Google Ads benutze?
Dann ist das Sache von Google, weil Google das Tracking vornimmt. Wenn ich aber zum Beispiel bei Facebook den Audience-Dienst benutze, bei dem ich Facebook Daten zur Verfügung stelle, um Look-Alikes zu generieren, betrifft mich das als Verband. Man muss abgrenzen können. Drei Fragen geben die Stossrichtung vor: Wer stellt die Daten zu Verfügung, wer nimmt eine Verarbeitung vor und wer trägt die Verantwortung bei möglichen Verstössen? Grundsätzlich gilt, dass jeder Sachverhalt einzeln überprüft werden muss.

Das Wichtigste in Kürze

Opt-in bei Datenerhebung über Newsletter und Webseite
Opt-in bezeichnet ein ausdrückliches Zustimmungsverfahren für die Nutzung von Personendaten. Besucher Ihrer Webseite müssen also ein Kontrollkästchen selbständig anklicken, um die Option zu aktivieren. Achtung: Das Häkchen zur Einverständniserklärung darf nicht a priori gesetzt sein.

Verwendung von Mailchimp, Asana und Co.
Viele Online-Dienste wie Mailchimp oder Asana haben sich dem Privacy Shield unterstellt, einem Abkommen zwischen der Schweiz und den USA. Damit werden sie Unternehmen gleichgestellt, welche sich in einem Land mit adäquatem Datenschutz befinden. Sämtliche Dienste, die das Abkommen erfasst, finden Sie hier. Untersteht ein US-Anbieter nicht dem Privacy Shield, dann muss mit ihm eine Vereinbarung abgeschlossen werden, welche ein adäquates Datenschutzniveau sicherstellt. Das geschieht in der Regel im Zusammenhang mit dem Auftragsdatenverarbeitungsvertrag.

Auftragsdatenverarbeitungsvertrag
In jedem Fall benötigen Sie einen Auftragsdatenverarbeitungsvertrag mit dem Unternehmen. Den kriegen Sie in der Regel vom Unternehmen selbst, das dafür Vorlagen bereithält. 

Verwendung von öffentlichen E-Mail-Adressen
Sie finden die E-Mailadresse eines Politikers im Internet und verwenden diese für eigene Werbezwecke? Das ist grundsätzlich zulässig, zumal es sich um eine öffentliche Person handelt und die Zustimmung mit der Veröffentlichung der Adresse gegeben wurde.

Cookies
Cookies sind kleine Textdateien mit Informationen, die es dem Webserver ermöglichen, einen Anwender wiederzuerkennen und Einstellungen zu speichern. Ein Opt-in-Verfahren, etwa mittels Cookie-Pop-Up, kann nötig sein, wenn die Webseite auch auf den europäischen Raum ausgerichtet wird. Für nur auf die Schweiz ausgerichtete Webseiten genügt in der Regel die Aufklärung in der Privacy Policy.

 

Andreas Hauri

Andreas Hauri studierte Publizistik- und Kommunikationswissenschaften an der Universität Zürich. Der Projektleiter und ehemalige «20 Minuten»-Journalist verpasst unserer Content-Abteilung mit seiner Sprachgewandtheit und redaktionellen Erfahrung den letzten Schliff.

Vereinbaren sie ein beratungsgespräch

BERTA DIGITAL bietet Online-Kommunikation aus einer Hand. Und zwar von der Strategie über die Inhalte bis zur Technik. Unser Ziel: Wir bringen Politiker, NGO, Verbände, Stiftungen und Behörden online gross raus.

KONTAKT

Weitere Geschichten

Janick Tagmann Andreas Hauri • 23.07.19

Vom Sex-Appeal einer Alge und was es heisst, mit Online-Kommunikation ins Schwarze zu treffen

Joelle Broummana Alice Grosjean Andreas Hauri Laura Angst • 17.05.19

B wie BERTA? Nein, wie Berlin

Alice Grosjean • 10.04.19

Bei BERTA heisst es: Film ab!

nichts mehr verpassen