Das neue Datenschutzgesetz und was es in der Praxis bedeutet
Von York Schickl | Technik | 09.08.2022
Das neue Datenschutzgesetz (nDSG) soll im Herbst 2023 in Kraft treten. Für die tägliche Arbeit unserer Agentur und diejenige unserer Kundschaft ist insbesondere die Umsetzung des Datenschutzes relevant, weil sie die Entwicklung und Bewirtschaftung technologischer Infrastrukturen massgeblich prägt.
Disclaimer: Wir sind keine Rechtsberater*innen. Bitte wendet euch mit spezifischen Fragen oder für rechtliche Abklärungen an eure Jurist*innen.
Das neue Datenschutzgesetz bedeutet zusammengefasst mehr Transparenz und Rechte in Bezug auf die eigenen Daten und somit auch eine Stärkung der Datenschutzaufsicht sowie einen Ausbau der Strafbestimmungen.
Die Gesetzgebung umfasst sämtliche Personendaten, welche die Identifizierung einer individuellen Person zulassen. Es umfasst also sowohl physisch als auch digital gesammelte Daten von Kund*innen wie auch Daten von Mitarbeiter*innen.
Für Organisationen schafft das Gesetz entsprechend neue Pflichten, insbesondere bei der Erhebung, dem Verlust oder dem Missbrauch von Personendaten.
Für Einzelpersonen gelten folgende Rechte:
- Das Recht auf Auskunft über die Bearbeitung der eigenen Personendaten.
- Das Recht auf Herausgabe oder Übermittlung der eigenen Daten (Datenübertragbarkeit).
- Das Recht, die gesammelten Daten zur eigene Person löschen zu lassen.
- Das Recht, nicht einer automatisierten Einzelentscheidung unterworfen zu werden. Sprich eine Entscheidung, welche in Bezug auf eine Person mit Hilfe von Algorithmen getroffen und auf ihre persönlichen Daten angewendet werden, ohne dass ein Mensch in den Prozess eingreift, ist nicht zulässig.
Organisationen haben deshalb folgende Pflichten:
- Sicherstellung von Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen, damit die rechtlichen Grundsätze eingehalten werden und sich die Datenbearbeitungen auf das für den Verwendungszweck nötige Mindestmass beschränken.
- Die Erstellung und das Führen eines Verzeichnisses aller Datenverarbeitungstätigkeiten.
- Die Meldepflicht an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) sowie an die betroffenen Person im Falle einer Datensicherheitsverletzung.
- Die Verpflichtung, eine Folgenabschätzung zum Schutz der Personendaten durchzuführen, wenn aufgrund einer Bearbeitung ein hohes Risiko besteht.
- Die Informationspflicht bei der Datenerhebung und die Pflicht zur Nennung des/der Staates/Staaten im Falle eines Transfers ins Ausland.
- Die Informationspflicht im Falle einer automatisierten Einzelentscheidung – d.h. einer Entscheidung, welche in Bezug auf eine Person mit Hilfe von Algorithmen getroffen und auf ihre persönlichen Daten angewendet wird, ohne dass ein Mensch in den Prozess eingreift.
Was ist also als Organisationen zu tun?
Der erste Schritt ist die Bestandsaufnahme – welche Personendaten werden gesammelt und verarbeitet? Höhere Compliance-Anforderungen liegen dann vor, wenn Organisationen eine grosse Menge an Personendaten bearbeiten, wie bspw. Online Shop-Betreiber*innen oder wenn Organisationen besonders schützenswerte Personendaten bearbeiten. Als besonders schützenswert gelten bspw. politische oder religiöse Meinungen, Informationen zur Gesundheit, genetische oder ethnische Daten, Informationen zur Sozialhilfe oder zur Strafverfolgung, Profiling u.a.m.
Die Bestandsaufnahme bietet die Möglichkeit zum Überdenken, ob man wirklich alle der gesammelten Daten braucht. Muss ich bspw. wirklich wissen, wo eine Person wohnt oder wie sie zum Nachnamen heisst? Datensparsamkeit ist nicht nur juristisch, sondern auch ethisch ein Gewinn.
Als zweiter Schritt gilt es, eine Risikoabwägung zu machen – können die Daten sicher gesammelt werden und sind überhaupt alle Informationen nötig? Hierzu gehört auch, die Mitarbeiter*innen im Umgang mit Personendaten zu schulen.
Drittens gilt es zu prüfen, ob die Personen transparent informiert werden, wofür ihre Daten verwendet werden. Bekannt und störend sind die hierfür eingesetzten Cookie-Warnungen. Umso unsinniger sind diese, wenn das Abwählen der optionalen Cookies zu einer halben Odyssee wird.
Es besteht zudem ein grosser Unterschied, ob einzig Performance-Metriken erfasst werden oder ein erweitertes Tracking (=Anlegen von Profilen) gemacht wird. Einzig Cookies, welche für die Nutzung der Website zwingend notwendig sind, dürfen ohne Einwilligung gespeichert werden. Ein mögliches Beispiel dafür ist das Cookie, welches für die Anmeldung in ein Nutzer*innenkonto verwendet wird.
Spätestens jetzt gilt es zu überprüfen, ob die auf der Online Plattform zur Verfügung stehende Datenschutzerklärung noch aktuell ist. Werden alle Drittdienste aufgeführt und die Nutzer*innen klar informiert, wohin die Daten abfliessen, wenn überhaupt?
Nicht zuletzt ist auch ein Blick auf die technische Infrastruktur relevant – wie sicher und datenschutzkonform sind die eingesetzten Lösungen? Braucht es Updates, Changes oder sogar Wechsel bei den Anbieter*innen von Datendiensten, wie bspw. der Wechsel des Newslettertools?
Webbasierte Infrastruktur & Tools, welche wir empfehlen
Webbasierte Infrastruktur
- Technik für Online-Plattformen: Eines der sichersten Frameworks ist Django, auf welchem auch wir unsere Projekte aufbauen. Vorgefertigte Baukastensysteme wie beispielsweise Squarespace, Wix etc. sollten nur genutzt werden, wenn keine personenbezogenen Daten getrackt werden, da nicht sicher verhindert werden kann, dass die Daten ins Ausland abfliessen.
- Auch bei Webschriften gilt es, genau hinzuschauen: Einige Anbieter*innen tracken im Gegenzug zur Verfügungstellung der Schrift das Verhalten der Websitebesucher*innen. Schon nur das Laden von Schriften von gewissen Anbieter*innen mit Servern im Ausland führt zu problematischen Datenübermittlungen. Um dies zu umgehen, können Schriften mit entsprechender Lizenz auf dem eigenen Webserver gehostet werden.
- Das Hosting sollte in der Schweiz sein. Wir hosten bei nine.ch in Zürich.
Online Marketing
- Tracking: Vom Facebook Pixel raten wir ersatzlos ab. Anstelle von Google Analytics empfehlen und verwenden wir plausible.io oder Matomo.
- Für Newsletter hat sich bisher der Anbieter Cleverreach als am geeignetsten erwiesen, auch wenn wir die Funktionen und die Oberfläche von Mailchimp vermissen.
Auch wenn das neue Datenschutzgesetz einen gewissen Initialaufwand mit sich bringt, begrüssen wir bei Feinheit diese Anpassung. Dem Individuum gibt es die Hoheit über die eigenen Daten zurück und Organisationen erhalten die Chance, erhobene Daten aus dem EU-Raum rechtssicher zu verarbeiten und das Sammeln von oftmals unnötigen Daten zu verhindern. Um auf der sicheren Seite zu sein, empfehlen wir daher zusätzlich zu den obigen Schritten einen Austausch mit Fachpersonen und spezialisierten Jurist*innen.