Datenschutz ist in aller Munde

Mit der Einführung der EU-DSGVO (EU Datenschutz-Grundverordnung) im Mai 2018 hat die Europäische Union (EU) neue verbindliche Massstäbe für den Datenschutz gesetzt. Die EU-DSGVO stellt den Schutz persönlicher Daten von natürlichen Personen sicher (informationelle Selbstbestimmung) und gilt mit wenigen Ausnahmen (z.B. Geheimdienste) für alle Organisationen (Behörden, Unternehmen, Vereine), die persönliche Daten von natürlichen Personen verarbeiten.

Während grosse internationale Unternehmen mit eigenen Datenschutzbeauftragten, Anwälten und IT-Spezialisten über die Ressourcen verfügen, Datenschutz nach der EU-DSGVO selbst zu implementieren und zu unterhalten, haben KMU oder Vereine in der Regel weder das notwendige Know-How, die Zeit, noch die Ressourcen, das selbst und zu erschwinglichen Kosten zu tun.

Und die Anforderungen der EU-DSVGO sind bei Weitem nicht damit erfüllt, eine Datenschutzerklärung und ein Impressum in die Webseite einzubinden. Die EU-DSGVO fordert  mannigfache Prozesse, regelmässige Ausbildung, technische und organisatorische Massnahmen und Nachweise um Compliance nach dem Datenschutzrecht zu erlangen - und alles unter Androhung hoher Strafen.

Dabei ist der Geltungsbereich der EU-DSVGO nicht nur auf EU-Mitgliedsländer1 beschränkt, sondern ist auch verbindlich für alle Organisationen ausserhalb der EU, die persönliche Daten von EU-Bürgern verarbeiten, z.B. Schweizer Vereine mit EU-Bürgern als Mitglieder oder ein Norwegisches Unternehmen, das Waren oder Dienstleitungen für EU-Bürger anbietet.

1 Mit der Totalrevision des Schweizerischen Datenschutzgesetzes wird die Schweiz die wesentlichen Elemente der EU-DSGVO in lokales Recht übernehmen (geplant für Ende 2019).

 

Die gute Nachricht:
Datenschutz nach EU-DSGVO und EU ePrivacy muss nicht komplex und teuer sein

fccDataPrivacy für KMU und Vereine ist eine gehostete standardisierte Datenschutzplattform, die durch einige einfache Installationschritte Compliance zum  Europäischen Datenschutzrecht herstellt - und das zu planbaren und erschwinglichen Kosten.

Wir stellen eine Lösung zur Verfügung, bei der: 

  • die gesetzlichen Anforderungen der EU-DSGVO abgedeckt sind
    es werden die Anforderungen der EU-DSVGO als auch der EU ePrivacy Verordnung (Cookie-
    Richtlinie) unterstützt

  • die juristische und technische Komplexität der EU-DSGVO von Unternehmen und Vereinen entkoppelt ist
    fccDataPrivacy wird auf Ihrer Webseite installiert und steht dann vollumfänglich zur Verfügung. Kunden müssen nur noch aktiv werden, wenn sie ihre Webseite ändern (z.B. Hinzufügen von Cookies) oder die Verarbeitung persönlicher Daten ändern

  • Gesetzesänderungen automatisch in die Datenschutzerklärung einfliessen
    Gesetze ändern sich (z.B. wird demnächst die EU ePrivacyVerordnung zum Gesetz erhoben) und höchstrichterliche Entscheidungen werden die konkreten Umsetzungsmassnahmen beeinflussen. Diese Änderungen fliessen automatisch in die Datenschutzerklärung und andere DSGVO relevante Dokumente ein

  • einfach und schnell zu installieren sind
    ein versierter Web-Programmierer sollte nicht mehr als 3 Stunden zur Installation benötigen

  • die vorgeschriebene regelmässige Ausbildung bereits enthalten ist
    Kunden steht eine 
    Einführungs-Ausbildung zum Thema DSGVO und ePrivacy als auch regelmässige Updates in Form von Onlinekursen zur Verfügung.
    Die Teilnahme wird protokolliert, um der gesetzlich vorgeschriebenen Ausbildungs-Nachweispflicht zu genügen.

  • in einem übersichtlichen und sicheren Portal alle relevanten Informationen zugänglich sind
    Das Kundenportal stellt alle für den täglichen Betrieb notwendigen Informationen übersichtlich zur Verfügung und alle Änderungen sind nachvollziehbar.
    Die fccDataPrivacy Webseite ist bestmöglich vor Angriffen von aussen geschützt und der Zugriff auf den Kundenbereich ist nur via Zwei-Faktor-Authentisierung möglich.

  • ein optimales Preis- / Leistungsverhältnis aufweisen.

       

        mehr erfahren über fccDataPrivacy für KMU                                   mehr erfahren über fccDataPrivacy für Vereine 

 

 

Wir können Ihnen helfen, Ihr Unternehmen oder Ihren Verein DSGVO-konform zu machen

Webseiten und Apps müssen bestimmte gesetzliche Anforderungen erfüllen. Die Nichteinhaltung der gesetzlichen Anforderungen kann zu Strafen mit hohen Bußgeldern, Audits und möglichen Rechtsstreitigkeiten führen.

 

Überblick über die wichtigsten rechtlichen Anforderungen an Webseiten- und App-Besitzer

Datenschutz und Cookie-Richtlinien

Das Gesetz verpflichtet jede Webseite/App, die personenbezogene Daten sammelt, dazu, relevante Daten über spezielle Datenschutz- und Cookie-Mitteilungen an die Nutzer weiterzugeben.

Die Datenschutzrichtlinien müssen bestimmte grundlegende Elemente enthalten, die spezifisch für Ihre speziellen Verarbeitungsaktivitäten sind, einschließlich:

  • die Kontaktdaten des für die Datenverarbeitung Verantwortlichen
  • welche personenbezogenen Daten verarbeitet werden
  • die Zwecke und Methoden der Verarbeitung
  • die Rechtsgrundlagen der Verarbeitung (z.B. Zustimmung)
  • die Drittparteien, die ebenfalls auf die Daten zugreifen können - dazu gehören auch Tools von Drittanbietern (z.B. Google Analytics)
  • Einzelheiten über die Übermittlung von Daten außerhalb der Europäischen Union (sofern zutreffend)
  • die Rechte des Benutzers
  • Beschreibung des Benachrichtigungsprozesses bei Änderungen oder Aktualisierungen der Datenschutzerklärung
  • das Datum des Inkrafttretens der Datenschutzerklärung.

Die Cookie-Richtlinie beschreibt ausdrücklich die verschiedenen Arten von Cookies, die über die Website installiert werden, alle Dritten, auf die sich diese Cookies beziehen - einschließlich eines Links zu den jeweiligen Dokumenten und Opt-out-Formularen - und die Zwecke der Verarbeitung.

Können wir nicht ein generisches Dokument verwenden?
Es ist nicht möglich, generische Dokumente zu verwenden, da Ihre Richtlinie die spezifische Datenverarbeitung Ihrer Webseite/App im Detail beschreiben muss und auch die besonderen Details der von Ihnen speziell verwendeten Technologien von Drittanbietern (z.B. Facebook Like Buttons oder Google Maps) enthalten muss.

Was ist, wenn meine Webseite keine Daten verarbeitet?
Es ist sehr schwierig bei einer Webseite, keine Daten zu verarbeiten. Ein einfaches Kontaktformular oder ein Traffic-Analyse-System wie Google Analytics genügt, um die Verpflichtung zur Erstellung und Anzeige einer Datenschutz- und Cookie-Richtlinie auszulösen.

 

Cookie-Richtlinie (Cookie-Gesetz)

Neben der Bereitstellung einer leicht zugänglichen und genauen Cookie-Richtlinie ist es zur Anpassung einer Webseite an das Cookie-Gesetz auch notwendig, ein informatives Cookie-Banner anzuzeigen, das beim ersten Besuch eines jeden Nutzers auf eine detaillierte Cookie-Richtlinie verweist und dem Nutzer die Möglichkeit gibt, die Installation von Cookies abzulehnen oder der Installation zuzustimmen. Die meisten Arten von Cookies, einschließlich derjenigen, die von Tools wie Social Sharing-Buttons ausgegeben werden, sollten erst freigegeben werden, wenn der Benutzer eine gültige Zustimmung erteilt hat.

Darüber hinaus können viele Drittanbieter-Netzwerke die Werbeerreichbarkeit einschränken, wenn Sie kein Cookie-Managementsystem haben das den Branchenstandards entspricht - was Ihre Möglichkeiten zur Generierung von Werbeeinnahmen beeinträchtigen könnte.

Was ist ein Cookie?
Cookies sind kleine Dateien, die verwendet werden, um bestimmte Informationen zu speichern oder zu verfolgen, während ein Benutzer eine Webseite besucht. Cookies sind heute für das reibungslose Funktionieren einer Webseite unerlässlich. Darüber hinaus verwenden auch viele in eine Webseite eingebundene Drittanbieter-Technologien Cookies, z.B. einfache Video-Widgets oder Analyse-Programme.

 

Einwilligung

Wenn Ihr Benutzer personenbezogene Daten direkt auf der Webseite/App z.B. durch Ausfüllen eines Kontaktformulars, einer Serviceanmeldung oder eines Newsletter-Abonnements eingeben muss, ist es notwendig, eine frei erteilte, spezifische und informierte Einwilligung einzuholen. Es ist auch notwendig, eindeutige Aufzeichnungen zu führen, mit denen Sie nachweisen können, dass eine gültige Zustimmung eingeholt wurde.

Was ist kostenlose, spezifische und informierte Zustimmung?
Sie müssen für jeden bestimmten Verarbeitungszweck eine Einwilligung einholen - zum Beispiel eine Einwilligung zum Versand von Newslettern und eine weitere Einwilligung zum Versand von Werbematerial im Auftrag Dritter. Die Zustimmung kann durch die Einrichtung eines oder mehrerer Kontrollkästchen angefordert werden, die nicht vorgewählt, nicht obligatorisch oder erzwungen (freiwillig angegeben) sind und von entsprechenden Offenlegungen begleitet werden, die dem Nutzer deutlich machen, wie seine Daten verwendet werden.

Wie kann der Nachweis einer gültigen Zustimmung eindeutig erbracht werden?
Jedes Mal, wenn ein Benutzer ein Formular auf Ihrer Webseite/App ausfüllt, müssen eine Reihe von Informationen gesammelt werden. Diese Informationen umfassen einen eindeutigen Benutzeridentifikationscode, den Inhalt der akzeptierten Datenschutzerklärung, eine Kopie des vom Benutzer übermittelten Formulars sowie eine Aufzeichnung des verwendeten Opt-in-Mechanismus.

Ist die E-Mail, die ich vom Benutzer erhalte, weil ich ein Formular ausfülle, nicht ausreichend für den Nachweis der Zustimmung?
Leider ist es nicht ausreichend, da einige Informationen fehlen, die notwendig sind, um die Eignung des Verfahrens zur Einholung der Einwilligung zu rekonstruieren, wie z.B. eine Kopie des vom Nutzer tatsächlich ausgefüllten Formulars und die Version der dem Nutzer zum Zeitpunkt der Einholung der Einwilligung vorliegenden Datenschutzdokumente. 

 

iubenda Certified Bronce PartnerUm diese gesetzlichen Anforderungen umzusetzen, haben wir uns für iubenda als Partner entschieden. Iubenda ist ein Unternehmen, das sich mit ihrem juristischen und technischen Know-how auf diesen Sektor spezialisiert hat. Wir sind zertifizierter Partner von iubenda und haben auf Basis ihres Ansatzes fccDataPrivacy entwickelt, ein Angebot um allen unseren Kunden eine einfache und sichere Lösung für ihre Compliance-Anforderungen anzubieten.