Zum Hauptinhalt springen

Schlagwort: Datenschutz

Smartphonebildschirm mit Google Suche App

Fit für das neue Schweizer DSG?

Geschrieben von Mosaiq am . Veröffentlicht in Blog, Q&A.

Das totalrevidierte Datenschutzgesetz (DSG) und die Ausführungsbestimmungen in der neuen Datenschutzverordnung (DSV) treten am 1. September 2023 in Kraft.
Link zum neuen Datenschutzrecht

Zeit für die Vorbereitung erhielt die Wirtschaft grundsätzlich genug. Aber wie es halt so ist; Erst wenn es brennt, wird es wichtig.

Deshalb widmen wir diesen Blog ganz dem Thema Datenschutz:

  • Datenschutz für KMU > Artikel von Denis Berger, Datenschutzexperte
  • Unser konkretes Angebot bezüglich Website an Sie / Dich
  • Datenschutz darüber hinaus > Angebot von Denis Berger

Als Kundin oder Kunde von Mosaiq und ehemals Deskall bieten wir Ihnen / Dir eine modular aufgebaute und wo nötig individualisierbare (wichtig) Datenschutzerklärung und ein Impressum, um diese DSG-konform auf Ihrer / Deiner Website anzupassen. Dazu gehört auch eine Auflistung sämtlicher Online-Tracking-Dienste (Google / Bing etc.), Social Media Kanäle, Newsletter-Tools etc., die in Zusammenhang mit den Personendaten von Kunden zum Einsatz kommen.
Darüber hinaus haben wir mit Denis Berger und seiner Kanzlei einen ausgewiesenen Fachmann in Sachen DSG, der bei weiteren Fragen hinsichtlich Bearbeitung von Personendaten zur Verfügung steht.

Lassen wir ihn doch gleich selber zu Wort kommen:

Datenschutz für KMU

Datenschutz – geht mich das etwas an?

Kurze Antwort: Ja. Das Datenschutzgesetz (DSG) geht alle etwas an, die Personendaten bearbeiten, sprich alle Unternehmen, die Mitarbeitenden, Kunden, Lieferanten, Webseiten, Partner oder IT-Lösungen haben. Warum ist das so? Weil das Datenschutzgesetz die Rechte der betroffenen Personen schützt, von welchen Sie Daten bearbeiten, egal ob Sie ein einzelner Uhrmacher, eine lokale Autogarage, eine regionale Bank oder ein globaler Software-Riese sind.

Warum jetzt?

In der Tat, Datenschutz gibt es in der Schweiz schon länger, auch das entsprechende Gesetz dazu: Das DSG von 1992. Dieses wird nun auf den 1. September 2023 revidiert. Das hat auch damit zu tun, dass die Schweiz gegenüber der EU weiterhin ein angemessenes Datenschutzniveau halten will, und dass der freie Datenfluss mit unserem wichtigsten Handelspartner nicht gekappt wird. Dies hat einerseits zur Folge, dass ein paar neue Grundsätze und Pflichten Einzug ins DSG finden. Andererseits erhalten die Behörden neue Kompetenzen, um die Einhaltung des DSG zu überprüfen und gegebenenfalls Verfehlungen zu bestrafen.

Was will es denn von mir, dieses DSG?

Grundsätzlich will das DSG von Ihnen zwei Dinge. Erstens verlangt es, dass Sie sich als Datenbearbeiter bewusst sind, wie Sie welche Daten wozu bearbeiten. Zweitens verlangt es, dass Sie die Rechte der Personen respektieren, von welchen Sie Daten bearbeiten. Als Datenbearbeiter sind Sie wie ein Treuhänder. Ihnen werden Personendaten anvertraut, freiwillig oder gestützt auf eine vertragliche oder gesetzliche Pflicht. Folglich müssen Sie diese Daten sicher und vertraulich behandeln. Weiter müssen Sie wissen welche Daten Sie von wem und wozu verwalten. Letztlich müssen Sie jederzeit darüber Auskunft geben können, was Sie mit den Daten machen, und informieren, wenn etwas mit den Daten schiefgelaufen ist.

Was heisst das nun für mich?

Als Einstieg müssen Sie sich eine Übersicht verschaffen, bei welchen Abläufen in Ihrem Unternehmen Personendaten bearbeitet werden, in Zusammenarbeit mit wem und unter welchen Rahmenbedingungen.
Solche Abläufe sind z.B. der Bewerbungsprozess, das Online-Geschäft, die Kundenverwaltung, die Video-Überwachung, die Spesen-Bewirtschaftung, der Newsletter-Versand, usw. Ziel der Bestandesaufnahme ist es, diese zu dokumentieren und allfällige datenschutzrechtliche Lücken festzustellen.
Weiter relevant ist es, mit welchen Dritten Sie zusammenarbeiten (und gestützt auf welchen Vertrag), um diese Daten zu bearbeiten (z.B. Cloud-Lösung, externer Lohnbuchhalter, Sicherheitsdienst oder Aussendienst oder IT-Firma). Auch diese werden in der Bestandesaufnahme erfasst.
Auch Teil dieser Übersicht ist die Bestandesaufnahme hinsichtlich der technischen und organisatorischen Massnahmen (TOM) in Ihrem Unternehmen, welche die vertrauliche und korrekte Bearbeitung von Personendaten ermöglichen und sicherstellen, z.B. wie Sie Ihr Unternehmen gegen physische und digitale Eindringlinge schützen, wie Sie Schlüssel und Batches verwalten, welche Schulungen und Prozesse im Unternehmen existieren, um Sicherheit und Datenschutz zu fördern, oder wie Sie Ihre Daten sichern, verwalten und teilen.
Gestützt auf diese Übersicht der relevanten Abläufe, der Zusammenarbeit mit Dritten und Ihrer TOM können Sie nun die nächste Schritte machen.

Was setze ich dann bei mir um?

Nun können Sie Ihre datenschutzrechtlichen Pflichten gezielt, effizient und mit dem nötigen Pragmatismus erfüllen. Das heisst:
Die betroffenen Personen richtig informieren, wo es angezeigt ist (z.B. Mitarbeitende, Kunden, Geschäftspartner oder Webseiten-Besucher)Verträge mit den relevanten Dienstleistern auf Datenschutz hin überprüfenDie Datensammlung und -nutzung auf der Webseite anpassen, wo nötigIntern Datenschutz als Kompetenz einführen, schulen und dokumentierenAufbewahrungsfristen definieren und einhaltenDatensicherheit dort stärken, wo sie Schwächen hatAnfragen von betroffenen Personen richtig und zeitgerecht beantworten.

Danach ist aber gut, oder?

Datenschutz gehört als Disziplin ins Denken des Unternehmens. Das bedeutet, dass Datenschutz Teil der Gesamtüberlegung und -beurteilung werden muss, zum Beispiel bei:

  • Änderung von bestehenden Prozessen
  • Einführung von neuen Abläufen
  • Anpassungen der Webseite
  • Aufnahme von neuen Online-Produkten/Dienstleistungen
  • Anschaffungen oder Einbindungen von neuer IT
  • Datenrelevante Zusammenarbeit mit neuen Partnern oder Erweiterung bestehender Zusammenarbeit
  • Einführungen eines Systems zur Kundenbewirtschaftung oder für das Zeit-/Ferien-Management der Mitarbeitenden
  • Planung von Marketing-Massnahmen

Dadurch wird von Anfang an und immer wieder hinterfragt, welchen Einfluss die Tätigkeiten Ihres Unternehmens auf die betroffenen Personen haben und gleichzeitig sichergestellt wie Sie dabei Ihre datenschutzrechtlichen Pflichten erfolgreich erfüllen können, nahtlos eingebunden in Ihre Geschäftstätigkeit.

Autor: Denis F. Berger

Was ist SPAM? Wie bekämpfen Sie SPAM erfolgreich?

Geschrieben von Mosaiq am . Veröffentlicht in Blog, Q&A.

Wie schützen Sie sich vor SPAM

SPAM sind unerwünschte, massenhaft per E-Mail oder auf ähnlichem Wege versandte, Nachrichten. Wenn Sie eine Mailbox haben, wissen Sie, was SPAM ist. Dies gilt insbesondere dann, wenn Sie eine Website mit einem Kontaktformular oder einem anderen Formular betreiben, welches Ihnen nach dem Absenden automatisch eine E-Mail sendet. Sie werden also unweigerlich seltsame E-Mails erhalten, die die Dienste von Unternehmen anbieten, von dem Sie noch nie gehört haben.

Warum sind SPAM-Mails ein Problem?

Manchmal ist die Anzahl der empfangenen SPAM-Mails so hoch, dass Anfragen von echten Kunden nicht mehr bearbeitet werden können. Wenn Ihre Website auch über einen Kommentarbereich verfügt, kann dieser mit falschen Kommentaren verschmutzt sein. Dies wirkt sich negativ auf Ihr Geschäft und Ihr Markenimage aus.

Woher kommen SPAM-Nachrichten?

Wussten Sie, dass mehr als 50% des Internetverkehrs von sogenannten «Bots» ausgeführt wird? Ein «Bot» ist ein Computerprogramm, das weitgehend automatisch sich wiederholende Aufgaben abarbeitet, ohne dabei auf eine Interaktion mit einem menschlichen Benutzer angewiesen zu sein. (Wikipedia: https://de.wikipedia.org/wiki/Bot)
Eine der häufigsten «Bots»-Anwendungen für ungewollte Mail-Flut: «Bots» finden Formulare auf Ihrer Website und füllen sie automatisch mit Anzeigen- oder Malware-Inhalten.

Wie schützt man sich vor «Bots»?

Die Schwierigkeit besteht darin, die Bots zu identifizieren und zu stoppen, ohne Ihre Kunden und die Benutzerfreundlichkeit Ihrer Website zu beeinträchtigen.

Es gibt verschiedene Techniken, um sich zu schützen

  • ausgeblendete Felder in Ihre Formulare einfügen, die nur von einem «Bot» angezeigt (und daher ausgefüllt) werden. Diese Methode basiert auf CSS- oder JavaScript-Code und ist sehr einfach einzurichten. Leider werden moderne Bots immer schlauer und schaffen es, diese «Fallen»-Felder zu identifizieren und zu umgehen.
  • eine einfache Frage einstellen, deren Antwort für einen Menschen offensichtlich, für einen «Bot» jedoch fast unmöglich zu finden ist. Zum Beispiel: «Welche Farbe hat Milch?» Alles, was Sie tun müssen, ist, alle Antworten zu blockieren, die nicht «Weiss» sind. Dies nennt man ein CAPTCHA (https://de.wikipedia.org/wiki/Captcha). Diese Methode ist jedoch nicht ideal: Sie müssen sicher sein, dass alle Ihre Kunden die Frage richtig beantworten.
  • einen speziellen Spam-Schutz verwenden. Es gibt jetzt viele Tools, die Sie vor «Bots» schützen. Installieren Sie einfach ein externes Skript (genannt ReCAPTCHA) auf Ihrer Site und richten Sie Ihre Formulare korrekt ein. Das Tool analysiert und filtert dann die auf Ihrer Site gestellten Anforderungen. Das zuverlässigste und am häufigsten verwendete Tool ist das ReCAPTCHA -Tool von Google. (link: https://www.google.com/recaptcha/intro/v3.html)

Sind Sie vorbereitet für die EU-DSGVO?

Geschrieben von Mosaiq am . Veröffentlicht in Blog, Q&A.

Neue EU-Datenschutz-Grundverordnung gültig ab dem 25.05.2018

Ab 25. Mai 2018 wurde die neue Datenschutz-Grundverordnung (EU-DSGVO) anwendbar. Das Datenschutzrecht in der EU wird vollständig erneuert, um den Datenschutz zu stärken und zu vereinheitlichen. Als Betreiber einer Website oder eines Online-Shops sind Schweizer Unternehmen ebenso davon betroffen. Zudem arbeitet Bern eine Variante der EU-DSGVO aus, welche bereits 2019 in Kraft treten wird.

Wir behandeln auf dieser Seite in erster Linie die DSGVO-Umsetzung für Internetauftritte. Beachten Sie aber, dass die DSGVO verschiedenste Geschäftsbereiche umfasst – also nicht bloss die Website oder den Shop. Und: Datenschutz ist Chefsache.

Worum geht es?

Am 25. Mai 2018 tritt die DSGVO in Kraft und führt das sogenannte Marktortprinzip ein. Die DSGVO gilt nicht nur in der EU, sondern weltweit für jede Verarbeitung personenbezogener Daten von Personen in der EU, denen man Dienstleistungen oder Waren anbietet oder deren Verhalten man beobachtet. Das bedeutet, dass fast alle Schweizer Websites davon betroffen sind, weil sie ihre Nutzerinnen und Nutzer über Webtracking beobachten, Formulardaten sammeln oder E-Mail-Adressen für den Newsletterversand aufnehmen.

Grundsätzlich ist die Datennutzung auch nach dem 25. Mai 2018 erlaubt. Folgende Grundsätze müssen dabei erfüllt sein:

  • es ist problemlos, wenn die Daten anonymisiert sind und keine datenschutzrechtliche Bedeutung haben
  • bei pseudonymisierten Daten muss die Datenschutzerklärung leicht auffindbar sein und die Möglichkeit zur Abmeldung der Datennutzung beinhalten (Opt-in)
  • Wenn Sie personenbezogene Daten nutzen, muss eine Einwilligung über das Opt-in-Verfahren eingeholt werden. Besser noch verwenden Sie das Double-opt-in-Verfahren.

Was bedeutet das für Sie?

Ein Webseitenbetreiber kann nicht garantieren, dass ein EU-Bürger nicht die eigene Website besucht. Daher sollten Schweizer Webseitenbetreiber jetzt nachstehende Sofortmassnahmen umsetzen. Nehmen Sie den Ist-Zustand auf. Checken Sie jede einzelne Webseite und überprüfen Sie, welche Funktionen und Tools personenbezogene Daten erfassen, speichern oder verarbeiten. Erstellen Sie eine Liste und arbeiten Sie die Seiten ab. Nehmen Sie bei diesen Arbeiten den Webentwickler hinzu.

Die DSGVO-Umsetzung auf der Webseite – so gehen Sie vor

Nutzerinnen und Nutzer Ihrer Webseite müssen wissen, dass sie der Verarbeitung ihrer Daten jederzeit widersprechen können. Ausserdem gibt es für Webbesucher einen Rechtsanspruch auf Auskunft, Berichtigung und Löschung ihrer persönlichen Daten. Dies hat zur Folge, dass Nutzer gründlich und leicht verständlich informiert werden müssen.

Sichere Verbindung

  • Ihre Website sollte nur noch mit einer sicheren Verbindung betrieben werden. (Also mit https://www.website.ch statt nur http)

Korrektes Impressum

  • Eingetragener Name des Unternehmens und Angabe über den Unternehmenssitze. Telefonnumer, E-Mail sowie Name des Geschäftsführers

Link zum Datenschutztext

  • Platzieren Sie an gut ersichtlicher Stelle einen Link zum Datenschutztext. Entwickeln Sie eine Seite für die Datenschutzerklärung.

Erstellen Sie eine Seite für die Datenschutzerklärung

  • Achten Sie bitte darauf, dass die Datenschutzerklärung leicht lesbar ist und tatsächlich auch dem Inhalt Ihrer Website oder Ihres Shops entspricht.

Kontaktformulare, Anmeldungen, Kommentare

  • Stellen Sie sicher, dass dise Daten verschlüsselt übermittelt werden (https)
  • Bedenken Sie, dass es nicht nur um Daten geht, welche Sie selber direkt sammeln (Kontaktformular, Newsletter usw.). Wenn Sie beispielsweise Daten an Google, Facebook oder an ein Newsletterprogramm übermitteln, stehen Sie ebenso in der Verantwortung.
  • Das «Data Processing Agreement» (Datenverarbeitungsvereinbarung) müssen Sie daher mit jedem Anbieter vereinbaren, welcher von Ihrer Webseite Daten übermittelt bekommt. Internationale Unternehmen stellen dieses zur Verfügung, Sie müssen es lediglich bestätigen.

Checkboxen und Buttons

  • Vermeiden Sie vorangekreuzte Checkboxen (Bsp. bei Newsletter). Zudem dürfen Einwilligungen nicht an Bedingungen geknüpft werden. Überprüfen Sie die Texte in den Buttons; geht klar hervor, was der Nutzer bestellt oder auslöst? Sollten Daten an Dritte weitergeleitet werden (Bsp. E-Mail-Adresse an ein externes Newsletter-Tool), muss der Nutzer explizit darauf hingewiesen werden.

Soziale Medien – Share- und Like-Buttons

Personenbezogener Übertragung müssen Nutzer explizit zustimmen. Daten dürfen also nicht schon beim Aufruf der Seiten von Facebook, Instagram & Co. übertragen werden.

  • Vor dem Sharen oder Liken muss der Nutzer mit einem Klick sein Einverständnis erteilen, bevor die effektive Datenübertragung möglich ist. Das Tool c’t Shariff eignet sich dazu gut

Up- und Downloads

Das Herunter- oder Hochladen obliegt der selben datenschutzrechtlichen Bedingungen.

  • Der Nutzer ist vor dem Herunter- oder Hochladen von Daten zu informieren. Er muss diesem Vorgang ausdrücklich zustimmen.

Tracking-Tools wie Google Analytics

Tracking-Tools zeichnen das Nutzerverhalten sehr genau auf. Sie haben daher Informationspflicht über Umfang, Zweck und Art der Datensammlung. Zudem hat der Nutzer das Widerspruchsrecht.

  • Damit der Nutzer Widerspruch einlegen kann, lässt sich ein Link zu einem Deaktivierungs-Add-On oder einem Opt-out einpflegen.
  • Dabei ist dafür zu sorgen, dass die IP-Adressen via Anonymisierungsfunktion den Programmcode des Trackingprogrammes die IP-Adresse gekürzt erfasst.
  • Dies entbindet Sie nicht vom «Data Processing Agreement» Vertrag mit dem Drittanbieter.

Live-Chats oder Support-Tools

Hier sind die selben Informationspflichten einzuhalten. Diese Tools erfassen IP-Adressen. Teilweise werden Namen oder andere persönliche Daten zu cloudbasierten Tools übermittelt.

  • Der Nutzer ist wiederum umfassend zu informieren, bevor er eines dieser Tools nutzt.
  • Sichern Sie sich auch hier ab, indem der Webseitenbesucher die Nutzung via Klick bestätigt

Cookies

Cookies sind kleine Textdateien, welche im Browser des Nutzers abgelegt werden. Diese speichern Einstellung wie bsp. den Warenkorb im Onlineshop.

  • Installieren Sie einen Cookie-Banner, welcher klar darauf hinweist, dass Cookies eingesetzt werden. Auf dem Banner muss er der Nutzung zustimmen.
  • Beachten Sie, dass das Banner den Link zum Impressum nicht verdeckt. Fügen Sie daher am besten die Links zum Impressum und der Datenschutzerklärung in den Banner ein.

Weitere Marketing- und Werbemassnahmen

Die DSGVO ist eine dynamische Angelegenheit

  • Prüfen Sie allfällige Massnahmen Ihrer Informationspflicht und dem Widerspruchsrecht des Nutzers erneut, wenn Sie weitere Online-Marketingsmassnahmen vornehmen

Fazit

Wie erwähnt, regeln diese Informationen ausschliesslich den Internetauftritt und stellen die Basis dar. Prüfen Sie Ihre Website oder Online-Shop. Speziell bei exportorientierten Unternehmen (Marktort EU) sollten Sie sehr genau hinschauen und ggf. juristischen Rat beiziehen. Wir empfehlen, die Website umgehend DSGVO-fit zu machen. Im unmittelbaren Anschluss sollten Sie die DSGVO im gesamten Unternehmen umsetzen.

Nehmen Sie bitte zur Kenntnis, dass wir für diese Hinweise und Empfehlungen keine Gewähr für Vollständigkeit und Richtigkeit bieten. Die Haftung für eine unvollständige oder fehlerhafte Datenschutzerklärung können wir nicht übernehmen.

Wir unterstützen Sie bei der EU-DSGVO-Umsetzung Ihrer Website.

Wir analysieren Ihre Website, erledigen alle technischen Anforderungen und arbeiten Ihnen die Datenschutzerklärung aus.

Unsere Leistungen in der Übersicht

  • Analyse Ihrer Website
  • telefonische oder persönliche Beratung
  • Integration Cookie-Banner
  • Integration Deaktivierungs-Add-on für Tracking-Tools
  • Einpflegen von Hinweistexten und Checkboxes bei Formularen
  • Einpflegen Tool c’t Shariff bei Share- und Like-Buttons
  • Einpflegen einer Standard-Datenschutzerklärung mit individueller Anpassung

Interessante Links zum Thema