Ich schreibe meistens über Dinge, die mich begeistern oder eben nicht. Per Mail erreichst du mich über diese Adresse. Mehr zu uns findest du auf der Agentur-Seite.
Neues Schweizer Datenschutzgesetz 2022: was müssen Webseitenbetreiber und Firmeninhaber wissen?
Hier gibt es kein Beamtendeutsch, sondern Mehrwert à la WEBKINDER: wir fassen dir die wichtigsten Änderungen des neuen Datenschutzgesetzes zusammen und sagen dir, wie du dich und deine Firma darauf vorbereiten kannst.
Aktualisiert am 03.02.2022
Zunächst mal Entwarnung
All die vielen zeitaufwändigen und teuren Anpassungen, die bereits von tausenden Schweizer Betrieben im Zuge der DSGVO vorgenommen wurden, müssen nicht komplett über den Haufen geworfen werden. Allerdings gibt es einige wichtige Neuerungen in der Schweizer Variante der Datenschutzgrundverordnung.
Das neue Gesetz umfasst 92 Seiten und heisst offiziell Bundesgesetz über den Datenschutz (Datenschutzgesetz, DSG) und ist unter BBl 2020 7639 zu finden.
Der Einfachheit halber wird hier jeweils vom nDSG, also vom neuen Datenschutzgesetz gesprochen.
Wir haben dir die wichtigsten Punkte aus dem nDSG zusammengetragen und verständlich aufbereitet.
Wir sind keine Anwälte, geben keine verbindliche Rechtsauskunft und empfehlen dir in jedem Fall, dich eingehend mit dem neuen Gesetz auseinanderzusetzen.
Nach der Lektüre dieses Beitrags solltest du aber über folgende Punkte schon mal deutlich besser Bescheid wissen:
- Wann das neue Gesetz in Kraft tritt
- Was die wichtigsten Fakten sind
- Wieso die Schweiz ein neues Datenschutzgesetz kriegt
- Was Daten mit hohem Risiko sind
- Was die Anforderungen an Firmen- und Webseiteninhaber sind
- Was der Hauptunterschied zur DSGVO ist
- Wie ein Praxisbeispiel mit Google Analytics aussehen könnte
- Welche Strafen es geben wird
- Wie realistisch die Strafverfolgung sein wird
- Wie die Zukunft gemäss Österreich und Deutschland aussehen könnte
Wann tritt das neue Gesetz in Kraft?
Das ist bis dato noch nicht bekannt. Der Bundesrat wird entscheiden und darüber informieren. Aktuell wird erwartet, dass das Gesetz im zweiten Halbjahr 2022 in Kraft treten wird.
Warum bekommt die Schweiz ein neues Datenschutzgesetz?
Die Frage wird verständlicher, wenn sie etwas ausgeweitet wird: Warum ist Datenschutz überhaupt wichtig? Es gibt diverse Argumente für und gegen den Datenschutz. Was man persönlich von welcher Massnahme hält ist allen Menschen individuell überlassen. Fakt ist aber, dass wir alle im selben digitalen Boot sitzen, ob wir nun wollen oder nicht.
Wir alle hinterlassen digitale Spuren und haben digitale Identitäten. Es spielt keine Rolle, wie oft wir uns privat oder beruflich im Netz bewegen oder wie oft wir automatisiert auf “Ich habe die Datenschutzbestimmungen gelesen” klicken, denn unsere Krankenakten, unsere Bankkonten und unsere Identität sind längst digital.
Digital betrifft alle
Hat man verstanden, dass das Individuum schon seit Jahren sowohl öffentlich als auch privat, offiziell und inoffiziell, gewollt oder ungewollt und bewusst oder unbewusst immer auch digital existiert, ergibt der Gedanke «Datenschutz = Personenschutz» mehr Sinn.
Eine der Kernaufgaben eines jeden Staates ist es, seine Bürgerinnen und Bürger zu schützen. In der Vergangenheit ging es dabei häufig um den Schutz vor physischer Gewalt. Im digitalen Zeitalter kommen Identitätsraub, Betrug, Doxxing und noch vieles mehr hinzu.
Während die Erlangung eines Waffenscheins aufwändig und mühsam ist, kann das eigene Leben (oder das von anderen) mit ein paar Klicks massiv beschädigt werden. Anders als bei den Waffen gibt es für die Benutzung von Computern aber keinen Computerschein und alle, die es sich leisten können, können unabhängig von ihren Computerkenntnissen online herumfuhrwerken wie sie wollen.
Wie kann der Staat seine Funktion als Beschützer da noch ausüben? Indem das Individuum durch den gesetzlich verankerten besseren Schutz der persönlichen Daten zumindest ein wenig gegen die böse Seite der Welt und gegen die eigene Unwissenheit abgeschirmt wird. Das ist weder ein digitaler Freipass noch eine Datenschutzgarantie, dafür aber ein wichtiger Grundstein des Personenschutzes des 21. Jahrhunderts.
Nur verstaubt oder hoffnungslos veraltet?
Definitiv letzteres. Das aktuelle Datenschutzgesetz der Schweiz trat 1993 in Kraft und musste zuvor erst noch entwickelt und gutgeheissen werden. Damals steckte das Internet noch in den Kinderschuhen und digitale Identitäten wie wir sie heute kennen gab es noch nicht.
Entsprechend ungeeignet ist das Gesetz für moderne Anwendungen mit hochkomplexen digitalen Sachverhalten. Ein paar Grundgedanken zum Datenschutz- und Persönlichkeitsschutz sind damit zwar de jure gegeben, de facto aber nicht existent. Oder etwa doch?
Die Schweiz macht zwar nicht mit bei der EU, der DSGVO muss sie sich aber trotzdem fügen
Internationales Völkerrecht ist kein Zuckerschlecken. Dafür gibt es eigens Studiengänge! Hier reicht es zu wissen, dass die Datenschutzgrundverordnung der Europäischen Union unabhängig vom Ort angewendet werden kann, solange Daten von EU Bürgern gesammelt, bearbeitet oder mit Dritten geteilt werden. (Das gilt auch für die Schweiz. Was das Schweizer Gesetz dazu zu sagen hat, habe ich in diesem Beitrag erläutert.)
Um potentielle EU Kunden und Kundinnen nicht zu verlieren musste sich deswegen die ganze Welt der DSGVO fügen. Einige wenige Webseitenbetreiber hatten die Notbremse gezogen und das Browsen durch EU Bürgerinnen und Bürger schlichtweg verhindert, weil sie den Anforderungen der DSGVO nicht gerecht wurden.
Neu tut das die Schweiz der EU gleich: Artikel 3 nDSG legt den räumlichen Geltungsbereich so fest, dass auch “im Ausland veranlasste Sachverhalte, die sich in der Schweiz auswirken” darunter fallen.
Faktisch bedeutet das, dass sich alle Länder, welche Daten von in der Schweiz ansässigen Menschen verarbeiten, ebenfalls diesem Gesetz fügen müssen. Im neuen Gesetz wird aber nur von Fällen gesprochen, in denen die Datenbearbeitung umfangreich und regelmässig ist. Was das also praktisch gesehen bedeutet ist demnach noch offen.
Was ändert sich mit dem neuen Gesetz?
So einiges. Aber keine Angst. Wie eingangs bereits erwähnt, muss nicht alles von Grund auf geändert werden. Grundsätzlich müssen sich aber alle mit denselben Grundthemen- und fragen auseinandersetzen: Gesetzeskonformität, Mehrwert für die Kunden/Webseitenbesucher und Aufwand vs. Kosten.
Liste der wichtigsten Fakten
- Grundgedanken:
- Datenschutz gleich Persönlichkeitsschutz
- Ziel des neuen Gesetzes: Besserer Schutz der Person
- Anforderungen des neuen Gesetzes: Verhältnismässigkeit, Sicherheit, Richtigkeit
- Kategorisierung in hochriskante Daten und Daten mit geringem Risiko
- Jegliche Datenbeschaffung obliegt der Informationspflicht
- Maxime für den Cookie Banner/Datenschutzerklärung: Klare Auskunft darüber wer welche Daten wie, für was, wie lange und mit wem bearbeitet.
Definition Bearbeitung: Als Bearbeitung gilt jeglicher Umgang mit den Daten. - Neue Anforderungen innerhalb von Organisationen
Müssen detailliert angeschaut werden, siehe unten stehende Liste. - Kantönligeischt strikes again: Pro Kanton wird es eigene Gesetze geben. Noch nicht alle sind definiert.
- EDÖB bei Unsicherheit einschalten
Wenn man sich nicht sicher ist, ob der Datenschutz ausreicht oder wenn man merkt, dass der Datenschutz nicht mehr gewährleistet werden kann, muss der EDÖB (Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter) so bald wie möglich informiert werden.
Was sind hochriskante Daten?
Ein “Profiling mit hohem Risiko” gilt als solches, wenn “es zu einer Verknüpfung von Daten führt, die eine Beurteilung wesentlicher Aspekte der Persönlichkeit einer natürlichen Person erlaubt” (Artikel 5, Absatz g nDSG). Diese Aspekte wiederum werden unter “Profiling” gelistet: Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel (Artikel 5, Absatz f und g nDSG).
Neue Anforderungen an Organisationen
Governance Pflicht
Governance bedeutet so viel wie Führung. In diesem Fall geht es darum, dass innerhalb der Organisation klar definiert und auch schriftlich festgehalten ist, wer wie für welche Daten zuständig ist. Das beinhaltet die folgenden Punkte im Detail:
- Das Führen von Datenverarbeitungsinventaren ist Pflicht, ausser das Unternehmen ist kleiner als 250 Personen oder es besteht nur ein geringes Risiko für die Datenverarbeitung der betroffenen Person (Artikel 12, Absatz 5 nDSG).
Dieses “geringe Risiko” wird nirgends definiert. Via Umkehrschluss kann man aber davon ausgehen, dass alle Aspekte, die nicht wesentlich sind (siehe weisse Box oben), darunter fallen. Der gesunde Menschenverstand sagt mir aber, dass bei den wesentlichen Aspekten durchaus der eine oder andere Begriff vergessen gegangen sein kann. Dem Grundgedanken folgend ist es demnach sinnvoll, kein unnötiges Risiko einzugehen und Daten lieber einmal mehr als weniger als hochriskant einzustufen.
In diesen Inventaren sollen erfasst werden (Artikel 12, Ziffer 2 nDSG):- Identität des Datenbearbeitenden
- Zweck der Datenbearbeitung
- Kategorien der bearbeiteten Personendaten
- Kategorien der Empfänger und Empfängerinnen (Z.B. kommerzielle Zwecke, wenn ja welche Branche)
- Bei Auslandstransfer der Daten derjenige Staat, in den die Daten übermittelt werden
- Meldepflicht von Datenverlusten und anderen Sicherheitsverstössen und Pflicht zur Vornahme von Datenschutz-Folgenabschätzungen (Artikel 12, 22 und 24 nDSG). Siehe dazu auch die Punkte Informationspflicht und Folgenabschätzung etwas weiter unten.
Privacy by design und by default
Da das “und” in diesem Titel das einzige deutsche Wort ist, übersetze ich das mal eben:
- Privacy by Design meint, dass die technischen Voreinstellungen datenschutzfreundlich sind. Das bedeutet beispielsweise, dass nur das gesammelt wird, was auch tatsächlich gesammelt werden muss und dass bei den omnipräsenten Cookie Banner jeweils alle Einstellungen standardmässig abgewählt sein müssen.
- Privacy by Default meint, dass die Bearbeitung der Daten auf ein Minimum beschränkt wird. Warum? Je mehr Augen, Hände und Programme die Daten durchlaufen, desto grösser die Chance, dass Fehler passieren oder unnötige Aggregation betrieben wird.
Als Grundsatz kann man sich hier den Gedanken mitnehmen, dass die Standardeinstellung und das Standardvorgehen immer das sein soll, was die Privatsphäre am wenigsten verletzt.
Neue Profiling Regel
Was ist Profiling? Die Erstellung eines Profils basierend auf Daten. In Zeiten der Digitalisierung ist das schiere Ausmass und die Automatisierung davon neu, weil grosse Datenmengen maschinell verarbeitet werden.
Beispiel: Eine automatische Lohnerhöhung aufgrund von Leistungsdaten eines Individuums. (Profiling wird in Artikel 5, Absatz f nDSG definiert.)
Neu ist, dass für Profiling mit hohem Risiko eine ausdrückliche Einwilligung vorliegen muss (Artikel 6 nDSG).
Ernennung von Datenschutzberatern
Das ist keine Pflicht, sondern eine Möglichkeit. “Private Verantwortliche können eine Datenschutzberaterin oder einen Datenschutzberater ernennen” (Artikel 10, Ziffer 1 nDSG).
Nach Artikel 10, Ziffer 2 hat diese Person oder haben diese Personen zwei Aufgaben:
- Schulung und Beratung des privaten Verantwortlichen in Fragen des Datenschutzes
- Mitwirkung bei der Anwendung der Datenschutzvorschriften
Schweizer Vertretung in Auslandsfirmen
Ausländische Unternehmen müssen eine Vertretung in der Schweiz bestimmen, wenn die Datenbearbeitung umfangreich und regelmässig ist und ein hohes Risiko für die Persönlichkeit der betroffenen Personen mit sich bringt (Artikel 14, Ziffer 1 b, c und d).
Informationspflicht bei allen gesammelten Daten
Jegliche Datenbeschaffung obliegt nun der Informationspflicht. (Und nicht mehr nur besonders schützenswerte Daten. Siehe Artikel 19, 20 und 21 nDSG.)
Artikel 19, Ziffer 2 a, b und c nDSG sagen ausserdem, dass mindestens die Identität und die Kontaktdaten des Verantwortlichen, der Bearbeitungszweck und Dritte oder die Kategorien Dritter, denen Personendaten bekannt gegeben werden, den betroffenen Personen mitgeteilt werden müssen.
Der einfachste und effizienteste Weg, das zu bewerkstelligen, ist mit einer Datenschutzerklärung. Wir bieten unseren Kunden jeweils eine Vorlage für die Datenschutzerklärung auf ihren Webseiten. Die Idee dabei ist nicht ein simples Copy & Paste, sondern die Anpassung und Ergänzung der Vorlage mit kunden- und projektspezifischen Daten.
Auskunftsrecht über diese Informationen
Nachfolgende Informationen müssen in jedem Fall auf Anfrage mitgeteilt werden (Artikel 25, Ziffer 1 und 2 a, b, c, d, e, f und g):
- die Identität und die Kontaktdaten des Verantwortlichen;
- die bearbeiteten Personendaten als solche;
- der Bearbeitungszweck;
- die Aufbewahrungsdauer der Personendaten oder, falls dies nicht möglich ist, die Kriterien zur Festlegung dieser Dauer;
- die verfügbaren Angaben über die Herkunft der Personendaten, soweit sie nicht bei der betroffenen Person beschafft wurden;
- gegebenenfalls das Vorliegen einer automatisierten Einzelentscheidung sowie die Logik, auf der die Entscheidung beruht;
- gegebenenfalls die Empfängerinnen und Empfänger oder die Kategorien von Empfängerinnen und Empfängern, denen Personendaten bekanntgegeben werden, sowie die Informationen nach Artikel 19 Absatz 4.
Punkt 6 wartet mit der rechtlichen Beschreibung für eine vom Computer gefällte Entscheidung auf. “Automatisierte Einzelentscheidung” bedeutet schlicht, dass Programme über die Daten entscheiden. Die dahinterstehende Logik dürfte insbesondere bei selbstlernenden Algorithmen für Kopfzerbrechen sorgen. Aber da steht ja auch noch das Wörtchen “gegebenenfalls”. Wie genau dieses Gesetz also zur Anwendung kommen wird, ist offen.
Noch zu Punkt 7: Artikel 19, Absatz 4 ergänzt hier prinzipiell nur, dass dieselben Informationen, also die Empfängerinnen und Empfänger sowie deren Kategorien, mitgeteilt werden, wenn Personendaten ins Ausland bekannt gegeben werden.
Datenschutz-Folgenabschätzung
“Bei der umfangreichen Bearbeitung besonders schützenswerter Personendaten” und “wenn systematisch umfangreiche öffentliche Bereiche überwacht werden” muss von den Datenschutzverantwortlichen eine Datenschutz-Folgenabschätzung ausgearbeitet werden, welche “eine Beschreibung der geplanten Bearbeitung, eine Bewertung der Risiken für die Persönlichkeit oder die Grundrechte der betroffenen Person sowie die Massnahmen zum Schutz der Persönlichkeit und der Grundrechte” enthält (Artikel 22 nDSG).
Davon ausgenommen ist man in zwei Fällen: wenn man als Berufs- Branchen- oder Wirtschaftsverband den Statuten entsprechend zur Wahrung der wirtschaftlichen Interessen seiner Mitglieder befugt ist und dem EDÖB Verhaltenskodizes vorgelegt hat oder aber ein vom Bund zertifiziertes Datenverarbeitungssystem benutzt (Artikel 22, Absatz 5 nDSG).
Eine weitere Ausnahme bildet die gesetzliche Verpflichtung zur Datenbearbeitung, was bedeutet, dass zum Beispiel Rechtsorgane davon ausgenommen sind. (Siehe dafür den gesamten Artikel 4.)
“Ergibt sich aus der Datenschutz-Folgenabschätzung, dass die geplante Bearbeitung trotz der vom Verantwortlichen vorgesehenen Massnahmen noch ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person zur Folge hat, so holt er vorgängig die Stellungnahme des EDÖB ein” (Artikel 23, Absatz 1).
Kurz und verständlich: Es muss klar sein, was mit den gesammelten Daten passieren kann. Benutzt man Software, die vom Schweizer Staat nicht zertifiziert wurde oder falls die Datensammlung ein Risiko für die zu schützende Person darstellt, muss die Stellungnahme des EDÖB eingeholt werden oder aber mindestens eine Folgenabschätzung verfasst werden.
Meldepflicht
Liegt eine Verletzung der Datensicherheit vor, beispielsweise wenn Daten gestohlen, versehentlich gelöscht oder durch Dritte verbreitet werden, muss das dem EDÖB so rasch wie möglich gemeldet werden (Siehe Artikel 24).
Ein deutlicher Unterschied zur DSGVO
Im Vergleich zur EU ist in der Schweiz weder eine Einwilligung noch ein Rechtfertigungsgrund zur Bearbeitung von Daten nötig. Hierzulande ist ein Rechtfertigungsgrund nötig, wenn die Bearbeitungsgrundsätze nicht eingehalten werden können, wenn die betroffene Person der Bearbeitung widerspricht oder wenn besonders schützenswerte Personendaten an Dritte weitergegeben werden. Das gilt auch beim Profiling: nur beim Profiling mit hohem Risiko ist eine Einwilligung notwendig.
Treu und Glauben
Einige Grundsätze werden vom alten Gesetz übernommen: «Die Bearbeitung [von Personendaten] muss nach Treu und Glauben erfolgen und verhältnismässig sein» (Artikel 6, Ziffer 2 nDSG).
Die Webseite des EDÖB erklärt das noch etwas deutlicher: «Der Grundsatz von Treu und Glauben oder der Transparenz verlangt unter anderem, dass die betroffene Person weiss oder erkennen kann, welche Daten beschafft werden und zu welchem Zweck. Das heimliche Beschaffen von Daten verstösst gegen diesen Grundsatz.»
Knackpunkt «Besonders schützenswerte Personendaten»
Da bei vielen modernen Datenerhebungsverfahren wie Google Analytics automatisch Daten an Dritte weitergegeben werden, ist eine der beiden Bedingungen für einen Rechtfertigungsgrund bereits gegeben. Fehlen nur noch die besonders schützenswerten Personendaten und ein Rechtfertigungsgrund wird nötig. Dazu gehören gemäss Artikel 5, Absatz c. nDSG:
- Daten über religiöse, weltanschauliche, politische oder gewerkschaftliche Ansichten oder Tätigkeiten,
- Daten über die Gesundheit, die Intimsphäre oder die Zugehörigkeit zu einer Rasse oder Ethnie,
- genetische Daten,
- biometrische Daten, die eine natürliche Person eindeutig identifizieren,
- Daten über verwaltungs- und strafrechtliche Verfolgungen oder Sanktionen,
- Daten über Massnahmen der sozialen Hilfe;
Daraus ergibt sich das Problem des Interpretationsspielraums, da die Komplexität dieser Kategorien und deren Definitionen unterschiedlich ausgelegt werden können und es noch keinen Präzedenzfall gibt. Zählen die heute bereits mit Google Analytics erhobenen Daten als besonders schützenswert?
Google unterscheidet auch ohne spezielle Tracking Technologien oder Einstellungen bereits nach Geschlecht, Alter, Herkunftsland oder Herkunftsort und weiteren Eigenschaften, welche durchaus als besonders schützenswert eingestuft werden können. Dementsprechend lautet meine Antwort ja.
(Indes ist die Formulierung an sich amüsant: “Besonders schützenswerte Personendaten” ergibt für mich keinen Sinn, weil etwas entweder schützenswert ist oder nicht. Dazwischen gibt es nichts.)
Praxisbeispiel Google Analytics
Auch die Anonymisierung der von Google gesammelten Daten ist problematisch: Obwohl beispielsweise bei Google Analytics 4 die Anonymisierung der neue Standard ist, werden die Daten erst nach der Weitergabe an das nächstgelegene Rechenzentrum anonymisiert.
In Universal Analytics muss die Anonymisierung übrigens noch selbst gemacht werden. Mit dem Google Tag Manager geht das aber ziemlich schnell, wie wir in diesem Blogbeitrag unter “IP Anonymisierung in Google Analytics” gezeigt haben.
Das bedeutet entsprechend auch, dass die Daten bis zu diesem Zeitpunkt nicht anonymisiert sind und gehandelt werden muss: Datenschutzerklärung aktualisieren und überlegen, ob sich ein Cookie Banner oder eine sonstige Form der Einwilligungserklärung lohnt.
FLoC
Zudem führt Google ein neues Kohortenprinzip ein: Surfende werden bald neu via Browser in Kohorten eingeteilt, was im Rahmen des Datenschutzes durchaus problematisch sein kann. (Google nennt das FLoC, also Federated Learning of Cohorts).
Was, wenn diese Kohorten unabsichtlich die Religion, das Geschlecht, die Sexualität, politische Einstellungen oder andere heikle Daten beinhalten? Und was, wenn beispielsweise in der Öffentlichkeit aufgrund dieser Informationen personalisierte Werbung ausgespielt wird? Entspricht die individuelle Weltanschauung nicht derjenigen der gesellschaftlichen Umgebung, in welcher man sich gerade befindet, kann das schnell problematisch werden.
Google preist diese Kohortentechnologie als die Erlösung von der Cookie-Ära an, ich hingegen sehe dahinter haufenweise Probleme. Es ist abzuwarten, wie Google diese Idee umsetzen wird. Das Projekt «Privacy Sandbox» ist noch nicht voll funktional und auch noch nicht global ausgerollt worden. Um sich vor rechtlichen Schritten zu schützen empfiehlt es sich deswegen einmal mehr, die eigenen Webseitenbesucher transparent und verständlich zu informieren und ausdrücklich um Erlaubnis für die Sammlung und Verarbeitung ihrer Daten zu bitten.
FLoC Update 2022
Auf GitHub wird im Abschnitt “Evolution from FLoC” erklärt, warum das FLoC Konzept infolge von (lautstarker) Kritik geändert und im mit der “Topics API” ersetzt wurde. Die Hauptkritikpunkte umfassten
- die fehlende Transparenz und Kontrolle via UX (welche Nutzerdaten wie gesammelt werden)
- Fingerprinting (Erstellung eindeutiger Nutzerprofile)
- dass Kohorten sensitiven Themengebieten zugeordnet werden können (was wie oben gezeigt vorausgesehen werde konnte)
- das automatische Sammeln von Browseraktivitäten auf Webseiten mit Werbung (dafür muss neu die API verwendet werden)
Gibt es nun keine Kohorten mehr? Doch. Die interessenbasierte Schaltung von Werbung ist das lukrative Geschäftsmodell schlechthin. Google und andere Akteure werden keine Mühen scheuen, um diese Einnahmequelle aufrecht zu erhalten und auszubauen. Das bedingt die Einteilung in irgendeine Form von Interessengruppen.
Die API funktioniert so, dass der Browser die Themen einer Webseite auslesen kann. Das soll sowohl über ein browserinternes Klassifikationsmodell als auch über seiteneigene Tags, z.B. in Form von Meta Tags, Headern oder JavaScript geschehen. Pro Woche werden dann aufgrund von Browseraktivitäten fünf Themen berechnet und pro Nutzer:in zugewiesen. Dabei gibt es noch einige Pseudorandomisierungen, welche es Webseiten erschweren sollen, dieselben Nutzer:innen über mehrere Webseiten hinweg zuzuordnen.
Interessanterweise soll es ziemlich einfach werden, dieses Profiling zu verhindern. Nur “gültige” Seitenbesuche können vom Browser zur Berechnung der Themen verwendet werden. Eine Nutzerentscheidung oder ein Site Response Header kann einen Seitenbesuch als ungültig erklären. Technisch gesehen soll auch der Inkognito-Modus, das Löschen der Browser History und die Blockierung der API zu einer Interessenliste mit null Einträgen führen.
Da es sich dabei aber um laufende Arbeiten handelt, ist die genaue Funktionsweise noch offen. Vermuten kann ich allerdings, dass die Standardeinstellung von Chrome zur Sammlung von Interessen “Ja” lauten wird und dass die Sammlung eine Bedingung zur Nutzung von Google Diensten sein wird.
Das Beispiel oben geht nämlich davon aus, dass die Nutzer:innen nicht eingeloggt sind. Sobald sie eingeloggt sind, besteht die Möglichkeit einer eindeutigen Zuordnung von Interessen und Browseraktivitäten über einen längeren Zeitraum als eine Epoche (eine Woche). Ein Grund mehr, der grössten Lüge des Internets zu trotzen und sich die Geschäftsbedingungen gründlich durchzulesen, bevor man auf “Einverstanden” klickt und dem neuen Tracking Tür und Tor öffnet.
Bünzlirecht
Zusammen mit dem oben erwähnten Schweizer Sonderweg ergibt sich ein neues Bild: Solange die Daten nicht besonders schützenswert sind oder Profiling mit hohem Risiko betrieben wird, dürfen Daten ohne Einwilligung gesammelt werden. Das Problem ist die Grauzone, ja das Durcheinander aus internationalem Recht, Ermessensspielraum und technischen Feinheiten: USA vs. DSGVO vs. Bünzlirecht. Gibt es überhaupt eine einzige Lösung für diesen Papierkrieg? Oder anders:
Was muss ich tun?
Das hatten wir nun schon ein paar Mal: darüber informieren, dass und was gesammelt wird. Und im Zweifelsfalle trotz Schweizer Sonderweg die Einwilligung zur Sammlung und Verarbeitung der Daten einholen. Das ist ein kleiner Preis für ein datenschutzfreundlicheres Web, zumindest einen Schritt in Richtung Rechtssicherheit und das vernünftigste Vorgehen, um sich gegen allfällige Rechtsverschärfungen oder Definitionsänderungen bestmöglich absichern zu können.
Strafbestimmungen
Dem widmet sich das Kapitel 8 nDSG. Die TLDR ist, dass Privatpersonen neu mit einer Busse von CHF 250’000 anstatt CHF 10’000 gebüsst werden können (nDSG Art 60, Ziffer 1). Das gilt bei der vorsätzlichen Verletzung von Informations-, Auskunfts-, Mitwirkungs- und Sorgfaltspflichten (nDSG Artikel 60 und 61).
Alltagstauglichkeit vs. Rechtskonformität
Allerdings umfasst dieser Vorsatz auch eine Inkaufnahme. Die Abwägung zwischen Wirtschaftlichkeit, Vernunft und Rechtskonformität wird eine Gratwanderung: sollen alle gesetzlichen Anforderungen erfüllt werden, wird viel Zeit investiert werden müssen.
Ich denke, dass es nicht unwahrscheinlich ist, dass sich ein Mittelweg einpendeln wird und den Beteiligten bewusst ist, dass sie nicht alle Auflagen erfüllen oder erfüllen können. Hier wäre eine deutlichere Trennung zwischen Vorsatz und den nicht immer rational handelnden Menschen und der allgemeinen Machbarkeit sinnvoll.
Da die Ernennung von Datenschutzberatern freiwillig (Artikel 10, Ziffer 1 nDSG), das Führen von Datenverarbeitungsinventaren inklusive der Identität der Datenbearbeitenden jedoch bis auf gewisse Ausnahmen Pflicht ist (Artikel 12, Absatz 5 nDSG), ist abzuwarten, wie sich das in der Praxis in Firmen auswirkt.
Auch Unternehmen können gebüsst werden
Der EDÖB beschreibt das in seiner Stellungnahme: «Neu kann aber auch das Unternehmen selbst bis zu CHF 50’000 gebüsst werden, wenn die Ermittlung der strafbaren natürlichen Person innerhalb des Unternehmens oder der Organisation einen unverhältnismässigen Untersuchungsaufwand mit sich ziehen würde» (Das neue Datenschutzgesetz aus Sicht des EDÖB, Absatz 21). Das entspricht dem Gesetzestext unter Artikel 64, Absatz 2 nDSG.
Widersinnig ist ebenfalls das in Artikel 25 beschriebene Auskunftsrecht: «In jedem Fall werden ihr [der betroffenen Person, die Auskunft verlangt] folgende Informationen mitgeteilt: a. die Identität und die Kontaktdaten des Verantwortlichen» (nDSG, Artikel 25, Absatz 2). Das impliziert die Notwendigkeit zur Ernennung von Datenverantwortlichen.
Ein weiterer Unterschied zur DSGVO
Für mich logisch wäre eine Pflicht zur Ernennung von Datenschutzverantwortlichen à la DSGVO Artikel 37 innerhalb von Firmen und das Büssen der Firma anstatt einer einzigen Person. Aktuell ist das nicht der Fall, da die freiwilligen Datenschutzberater innerhalb von Firmen als Anlaufstelle für betroffene Personen und die Behörden dienen. Möglicherweise werden das die kantonalen Bestimmungen noch genauer regeln.
Berufliche Schweigepflicht
Ebenfalls neu ist Bestrafung der beruflichen Schweigepflicht mit CHF 250’000: Die vorsätzliche Veröffentlichung von geheimen Personendaten ist strafbar, auch nach Beendigung der Berufsausübung oder der Ausbildung (nDSG Artikel 62). Wie sich die besonders schützenswerten Daten von den geheimen Personendaten abgrenzen, ist für mich nicht klar. Ebenfalls offen ist die Linie zwischen dem Berufsgeheimnis und dem Datenschutzgesetz als solches. Ich verweise bei so viel Unklarheiten gerne auf den Absatz «Was muss ich tun?».
Stellungnahme des EDÖB
Eine der wohl interessantesten Passagen in der achtseitigen Stellungnahme ist folgende: «Aufgrund seiner beschränkten Ressourcen ist generell davon auszugehen, dass der EDÖB bei der Behandlung von Anzeigen auch nach Inkrafttreten des neuen Gesetzes nach Massgabe des Opportunitätsprinzips Prioritäten setzen wird» (Das neue Datenschutzgesetz aus Sicht des EDÖB, Absatz 16). Das bedeutet, dass der EDÖB eigenmächtig zwischen verschiedenen Verstössen priorisieren wird, wobei davon auszugehen ist, dass der Schweregrad des Verstosses entscheidend sein wird.
Wegweisende Gerichtsfälle in Deutschland und Österreich
Einmal Schadensersatzanspruch in Deutschland (2 Seiten) vom 20.01.2022 wegen “Verletzung des allgemeinen Persönlichkeitsrechtes in Form des informationellen Selbstbestimmungsrechts” durch die Einbindung von Google Fonts und der damit angeforderten IP-Adresse (welche gemäss der DSGVO ein personenbezogenes Datum ist).
Und einmal Rechtsprechung in Österreich (42 Seiten) vom 12.01.2022 wegen der illegalen Verwendung von Google Analytics, weil die IP-Adresse eines Nutzers nicht anonymisiert wurde. Wie das funktioniert, haben wir in unserem Blogbeitrag zur DSGVO konformen Nutzung von Google Analytics erklärt.
Das bedeutet nicht, dass Google Analytics oder Google Fonts illegal sind, sondern lediglich, dass die DSGVO erfolgreich auf internationale Unternehmen angewendet wurde. Warum die DSGVO in diesem Fall die gültige Rechtsform ist und warum dich das auch in der Schweiz betrifft, haben wir ebenfalls in unserem Blogbeitrag erklärt.
Was bedeutet das für die Zukunft? Zum einen, dass die korrekte technische Implementierung von Tracking Tools nicht nur ein nice-to-have, sondern eine Grundvoraussetzung ist, sofern man nicht Bussgeldern und Freiheitsstrafen ins Auge blicken möchte.
Zum anderen, dass diese zwei Fälle wohl erst der Anfang einer ganzen Reihe von Rechtsprechungen sein dürften, weil die Übermittlung der IP-Adresse in zahlreichen Fällen heute leider gang und gäbe ist. Da wäre das Unterlassen der Anonymisierung, die nicht verschlüsselte Übermittlung über http, die Herausgabe an Dritte, die illegale Speicherung, die Nutzung oder Verbreitung ohne Einwilligung, usw.
Eine technisch grundsolide Webseite schafft da Abhilfe. Machst du sie deinen Nutzer:innen erst noch mit einer guten UX und verständlichen Inhalten zugänglich, profitieren alle davon. Unsere hauseigenen Interaction Designer stehen dir dabei gerne zur Seite.
Zusammenfassung
Endlich schliesst die Schweiz in Sachen Datenschutz zu den internationalen Standards auf. Die praktische Anwendung des Gesetzes ist dabei aber noch ebenso offen wie einige Details.
Der Grundgedanke und das Grundverhalten sind aber klar: informiere darüber, welche Daten wie, wo, warum, mit wem und wie lange gesammelt werden. Kannst du den Schutz der Daten und damit den Schutz der Person nicht garantieren, dann sprich dich mit dem eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten ab.
Wegen der neuen Informationspflicht für alle gesammelten Daten ist eine Datenschutzerklärung auf deiner Webseite ein absolutes Muss.
Ein Cookie Hinweis kann sinnvoll sein, aber auch schnell unnütz oder gar illegal werden, wenn die Voreinstellung eine grössere Datensammlung empfiehlt als für deine wirtschaftlichen Interessen nötig ist. Sprich: sammle nur das, was du musst und informiere auch darüber.
Sei dir ausserdem bewusst, dass die Besucher deiner Webseite jederzeit Auskunft über die gesammelten Daten, Einsicht darin oder auch deren Löschung beantragen können. Bereite deine IT Infrastruktur entsprechend vor und lege Wert auf Klarheit und Sicherheit.
Klar – das neue Gesetz wird für einige interne Anpassungen in Organisationen sorgen. Es geht hier aber um die Etablierung eines neuen Standards. Einer, der längst überfällig war und spätestens im Zeitalter von Big Data dringend benötigt wird.
Die Senfnote – eine persönliche Anmerkung
Datenschutz als Personenschutz auszulegen ist ein guter, starker Gedanke. Gut deswegen, weil Datenschutz als etwas positives konnotiert werden soll und nicht als etwas, was Zeit und Geld frisst.
Einem Missbrauch des Gesetzes kann nie 100% vorgebeugt werden. Das soll aber keine Begründung gegen die Grundgedanken des Datenschutzes und deren bestmögliche Umsetzung sein. Den Aufwand die Rechtmässigkeit einer Sache bestimmen zu lassen ist für mich schlicht verwerflich.