Datenschutzgrundverordnung (DSGVO) - was dies für Schweizer Websites und Online-Shop Betreiber bedeutet

Ab dem 25. Mai 2018 ist die neue europäische Datenschutzgrundverordnung kurz DSGVO (General Data Protection Regulation, GDPR) anwendbar. Was dies für die Betreiber von Schweizer Websites und Online-Shops bedeutet, haben wir den Rechtsanwalt und IT-Rechtsexperten Christian Leupi von der Anwaltskanzlei Grossenbacher Rechtsanwälte AG (www.gr-law.ch) aus Luzern gefragt.

Ist die neue Datenschutzgrundverordnung auch für die Betreiber von Schweizer Websites- und Online-Shops anwendbar? Die Schweiz ist ja nicht Mitglied der EU.

Ja, denn die wesentlichste Änderung ist gerade der erweiterte Anwendungsbereich der DSGVO durch das sogenannte Marktortprinzip. Anknüpfungspunkt ist nicht nur der Sitz des datenverarbeitenden Unternehmens (Niederlassungsprinzip), sondern auch der Aufenthaltsort der betroffenen Person (Marktortprinzip). Deshalb kann die DSGVO auch für Unternehmen ausserhalb der EU anwendbar sein, sofern diese Unternehmungen ihre Angebote auf die EU ausrichten bzw. in der EU anbieten.

Welche Bedeutung hat dies für die Betreiber von Websites und Online-Shops in der Schweiz?

Dies bedeutet, dass es für die Anwendbarkeit der DSGVO reicht, Waren- und Dienstleistungsangebote auf die EU auszurichten und in der EU zu erbringen oder das Verhalten von in der EU ansässigen Personen (z.B. mittels Webtracking-Tools) zu beobachten. Somit werden in zahlreichen Fällen von Schweizer Unternehmen in der Schweiz betriebene Websites und Online-Shops aufgrund der Bearbeitung von Daten aus der EU unter den Anwendungsbereich der DSGVO fallen, auch wenn die Schweiz kein Mitgliedstaat der EU ist.

Das heisst, ich muss auf meiner Website auch einen Warnhinweis betreffend Cookies und Tracking einbauen, wie das bei europäischen Websites schon länger der Fall ist?

Unter den Anwendungsbereich der DSGVO fallen unter anderem sämtliche sich in der Schweiz befindenden Unternehmen, die zur Verhaltensanalyse Daten von Personen mit Wohnsitz in der EU bearbeiten. Dies ist insbesondere der Fall, wenn Daten von Webseiten, Besuchern oder von App-Nutzern aus der EU ausgewertet werden. Damit erstrecken sich die Regeln der DSGVO auch auf die Analyse des Nutzverhaltens, wie bspw. das Tracking durch Cookies oder das Profiling durch Analysetools. Allerdings greift dies nur, wenn damit eine Verarbeitung von Personendaten verbunden ist. Ob gestützt auf die DSGVO eine vorgängige Einwilligung oder ein Warnhinweis tatsächlich notwendig ist, wäre im Einzelfall zu klären.

Zu beachten ist, dass die kommende E-Privacy-Verordnung die Thematik Cookies (sowie sonstige Tracking-Methoden) EU-weit verbindlich regeln wird, was bei Schweizer Unternehmen im Online-Bereich wohl zu weiterem Handlungsbedarf führen wird.

Und allgemein, wo kann es zu Konflikten mit der neuen DSGVO kommen?

Insgesamt verfolgt die DSGVO einen auf transparente Information, auf Dokumentation der Datenverarbeitung und auf datenschutzfreundliche Voreinstellungen ausgerichteten Datenschutz. In diesem Zusammenhang wird vorausgesetzt, dass Produkte und Services so zu erstellen sind, dass diese standardmässig nur diejenigen personenbezogenen Daten verarbeiten, die für den jeweiligen Zweck erforderlich sind und sämtliche Datenschutzgrundsätze darin wirksam umgesetzt werden. Daneben finden sich in der DSGVO zusätzlich verschärfte Regelungen zu zentralen Punkten des Datenschutzrechts, wie Dokumentations- und Informationspflichten vor. Diese neuen verschärften Anforderungen stellen potentielle Konflikte dar, die insbesondere in der technischen Ausgestaltung von Online-Angeboten berücksichtigt werden müssen. Zudem werden sich viele Unternehmen damit beschäftigen müssen, die innerhalb des Unternehmens vorgenommenen Datenbearbeitungen zu inventarisieren und bewerten.

Wie sehen diese verschärften Regelungen konkret aus?

Dies schlägt sich unter anderem bei der Information der Betroffenen über die Verarbeitung sowie der Einwilligung zur Bearbeitung ihrer Daten nieder. Personenbezogenen Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke im Rahmen des Erlaubniskatalogs der DSGVO erhoben werden. Eine Einwilligung setzt voraus, dass die betroffene Person im jeweiligen Kontext eindeutig ihr Einverständnis mit der vorgesehenen Verarbeitung ihrer Daten bekannt gibt. Stillschweigende Einwilligungen oder bereits angekreuzte Kästchen genügen dazu nicht. Für jede Datenverarbeitung muss die rechtliche Grundlage, der Zweck der Verarbeitung und die Dauer der Speicherung angegeben werden sowie über Widerspruchsmöglichkeiten informiert werden. Zusätzlich hat eine Information über die Rechte der Betroffenen (Recht auf Auskunft, Berichtigung, Einschränkung der Verarbeitung, Löschung etc.) zu erfolgen.

Wer kann prüfen, ob auf meiner Website betreffend neuen DSGVO alles in Ordnung ist?

Unternehmen, die davon ausgehen müssen, der DSGVO zu unterstehen, raten wir insbesondere im Umgang mit besonderen personenbezogenen Daten wie Gesundheitsdaten, biometrische Daten etc. zu einer rechtlichen Überprüfung durch eine auf Datenschutzrecht spezialisierte Anwältin oder Anwalt. Im Internet werden zudem diverse Tools angeboten, mit welchen eine erste Selbsteinschätzung vorgenommen werden kann, welche im Bedarfsfall noch zusammen mit Fachpersonen vertieft beurteilt werden kann.

Die Problematik wird auch anschaulich geschildert im Artikel "Die DSGVO ist da – und jetzt?" des Online Magazin «Republik».