Schweizer Datenschutz und europäische Datenschutz-Grundverordnung
Am 25. Mai 2018 tritt die neue europäische Datenschutzgrundverordnung in Kraft (kurz: DSGVO oder GDPR für General Data Protection Regulation). Sie stärkt die Rechte der Bürger, nimmt die Anbieter in die Pflicht und droht mit hohen Bussen. Auch schweizerische Organisationen unterstehen potenziell dieser Regelung, sofern sie sich auch an EU-Bürger richten und/oder sofern sie das Verhalten von EU-Bürgern aufzeichnen. Die genaue Auslegung für die Schweiz ist umstritten. Vermutlich erst auf 2020 (sofern sich der Nationalrat dem Antrag seiner Kommission über die Aufsplittung der Überarbeitung des Datenschutzgesetzes anschliesst und danach auch der Ständerat an dieser festhält) wird auch der zweite Teil des totalrevidierte schweizerische Datenschutzgesetz in Kraft treten, der den Datenverkehr zwischen Kunden und Unternehmen betrifft. Falls dem Antrag nicht zugestimmt wird, müsste die überarbeitete Version früher in Kraft treten.
Die kompiuterzeugs gmbh mit dem Produkt Send-it ist als Software-Lieferantin und -Hosterin gemäss Datenschutzgesetzen eine sog. Auftrags-Datenverarbeiterin. Für die Datenverarbeitung im Auftrag gilt, dass Sie als Auftraggeberin für die ausgelagerten Dienstleistungen weiterhin verantwortlich bleiben. Als Software-Lieferantin für E-Mail-Newslettern unterstützen wir Sie so gut wie möglich bei der Einhaltung der Vorschriften. Ebenfalls hält die kompiuterzeugs gmbh die Datenschutzgesetze ein.
Gern möchten wir Sie an dieser Stelle über unsere bestehenden, neuen, und noch ausstehenden datenschutzrelevanten Massnahmen rund um Ihre E-Mail-Newsletter informieren. Falls Sie Bedenken oder Änderungswünsche haben, teilen Sie uns dies bitte mit.
Inhaltsverzeichnis:
– Betrifft das auch Schweizer Unternehmen?
– Zusammenfassend die wichtigsten Änderungen, die mit der kommenden DSGVO in Kraft treten
– Ist Send-it zur EU-DSGVO und Schweizer Datenschutz konform?
– Was bedeuted das für mich als Send-it Kunde?
– Haben Sie weitere Empfehlungen?
– Ausstehende Implementierungen in Send-it
– FAQ und Fallbeispiele
– Weiterführende Links zum Thema
– Dokument-Versionshinweise
Betrifft das auch Schweizer Unternehmen?
„Die Schweiz ist kein EU-Mitgliedsstaat, für den die Umsetzung der Datenschutzgrundverordnung (EU-DSGVO) im Frühjahr 2018 grundsätzlich zwingend wäre.
Bilaterale Abkommen zwischen der Schweiz und der EU begründen aber einen Pflichtrahmen dafür, dass Schweizer Datenschutzregelungen den EU-rechtlichen Vorgaben genügen. Deshalb muss auch das Bundesgesetz über den Datenschutz (DSG) in der Schweiz an die EU-DSGVO agepasst werden. Ziel dieser Revision ist es, das Datenschutzrecht in der Schweiz zu modernisieren, zu stärken und eben dafür zu sorgen, dass es auch in Zukunft durch die EU als angemessen und gleichwertig beurteilt wird. Andernfalls würde der für schweizerische Unternehmen unerlässliche Datenaustausch mit Unternehmen in der EU erheblich erschwert.“ Quelle https://www.activemind.legal/de/law/ch-datenschutz/
- Haben Sie einen Firmensitz in der EU sind Sie von der DSGVO betroffen. Wir empfehlen Ihnen in diesem Fall mit uns in Kontakt zu treten.
- Verwenden Sie Send-it Empfängerlisten welche viele EU-Bürger beinhalten, sind Sie bis zu einem gewissen Grad betroffen. Wir empfehlen Ihnen in diesem Fall mit uns in Kontakt zu treten.
- Haben Sie weder einen Firmensitz in der EU noch Empfängerlisten welche viele EU-Bürger enthalten, oder sich zumindest nicht gezielt an EU-Bürger richten, sind Sie von der DSGVO vermutlich nicht betroffen.
Die aktuellen zur Zeit gültigen Schweizer Datenschutzregelungen bezüglich E-Mailnewslettern werden hier gut zusammengefasst: https://www.activemind.legal/de/law/ch-e-marketing/ . Wir werden Sie über Änderungen informieren.
Zusammenfassend sind hier einige der wichtigsten Änderungen, die mit der kommenden DSGVO in Kraft treten:
- Erweiterte Rechte für Einzelpersonen: Die DSGVO bietet erweiterte Rechte für Einzelpersonen in der Europäischen Union, indem sie ihnen unter anderem das Recht auf Vergessenwerden und das Recht, eine Kopie der zu ihrer Person gespeicherten Daten anzufordern, gewährt.
- Compliance-Verpflichtungen: Die Datenschutz-Grundverordnung schreibt vor, dass Organisationen geeignete Richtlinien und Sicherheitsprotokolle implementieren, Datenschutz-Folgenabschätzungen durchführen, detaillierte Aufzeichnungen über Datenaktivitäten führen und schriftliche Vereinbarungen mit Anbietern eingehen.
- Meldung von Datenverstössen und -sicherheit: Die Datenschutzgrundverordnung schreibt vor, dass Unternehmen bestimmte Datenschutzverletzungen den Datenschutzbehörden und unter bestimmten Umständen den betroffenen Datensubjekten melden müssen. Die DSGVO stellt auch zusätzliche Sicherheitsanforderungen für Organisationen.
- Neue Anforderungen für Profilerstellung und Überwachung: Die DSGVO sieht zusätzliche Verpflichtungen für Organisationen vor, die das Verhalten von EU-Bürgern profilieren oder überwachen.
- Verstärkte Durchsetzung: Im Rahmen der Datenschutz-Grundverordnung können Behörden Unternehmen bis zu 20 Mio. EUR oder 4% des jährlichen Gesamtumsatzes eines Unternehmens aufgrund der Schwere des Verstosses und des entstandenen Schadens zuschreiben. Darüber hinaus bietet die Datenschutz-Grundverordnung eine zentrale Durchsetzungsmöglichkeit für Organisationen, die in mehreren EU-Mitgliedstaaten tätig sind, indem sie Unternehmen zur Zusammenarbeit mit einer federführenden Aufsichtsbehörde für grenzüberschreitende Datenschutzfragen auffordert.
Ist Send-it zur EU-DSGVO und Schweizer Datenschutz konform?
Die kompiuterzeugs gmbh unterstützt Bestrebungen zum Datenschutz und IT-Sicherheit. Das Produkt Send-it ist insofern bereits jetzt schon weitestgehend DSGVO-konform:
- Empfänger können sich jederzeit von einer Empfängerliste abmelden wenn der Link in der Fusszeile geklickt wird.
- Empfänger können beim Abmelden entscheiden ob Sie sich gerade auch aus allen anderen Empfängerlisten von diesem Send-it Kunden abmelden möchten.
- Send-it speichert wie und wann ein Empfänger in eine Empfängerliste gekommen ist. Sprich ob sich ein Empfänger selbst via Selbstregistration oder durch einen Send-it Administrator eingetragen wurde. Diese Information ist einsehbar in der Detailansicht eines Empfängers unter Empfänger → Verwaltung.
- Send-it bietet die Möglichkeit zur Re-Abonnierung ganzer Empfänger-Listen. Im wesentlichen geht es darum, dass nur noch Emfpänger in einer Empfängerliste drin sind, welche explizit dem Newsletter-Empfang zugestimmt haben innerhalb von Send-it. Alle Infos dazu finden Sie in der Detail-Ansicht der Empfänger-Liste im Tab „Re-Abonnierungsprozess“.
- Send-it bietet die Möglichkeit Selbstregistrations-Formlare in Webseiten zu integrieren, damit sich Empfänger selbst eintragen können. Die E-Mail-Adresse des Empfängers muss bestätigt werden und es muss der Eintragung in eine Empfängerliste explizit zugestimmt werden (double opt-in). Alle Informationen zur Selbstregistration finden Sie in Ihrem Send-it unter „Anleitungen & FAQ“. Bei diesen Formularen kann ebenfalls eine Zustimmung zu AGBs oder Datenschutzbestimmungen eingeholt werden.
- Send-it bietet die Möglichkeit den Zugriff auf die Empfängerlisten auf gewisse Administratoren zu beschränken unter Administration → Benutzer → Benutzer-Verwaltung.
- Send-it, sprich die kompiuterzeugs gmbh, gibt keine Daten der Empfänger weiter an Dritte
- Send-it, sprich die kompiuterzeugs gmbh, verarbeitet und speichert alle Empfänger Daten ausschliesslich auf Servern in der Schweiz
- Send-it, sprich die kompiuterzeugs gmbh, schützt alle Personendaten und weitere nicht öffentliche Daten.
Was bedeuted das für mich als Send-it Kunde?
Sie als Kunde von Send-it haben in Bezug auf den Datenschutz und die Verwendung von Send-it folgende Pflichten:
- Wenn ein Empfänger durch einen Ihrer Send-it Administratoren in eine Liste eingetragen wird, müssen Sie rechtskräftig beweisen können dass diese Person explizit eingewilligt hat einen Newsletter von Ihnen zu erhalten. Es genügt neu unter der DSGVO nicht mehr eine bestehende Geschäftsbeziehung geltend zu machen. Der Beweis muss rechtskräftig und explizit den Newsletter-Empfang belegen (Ort, Datum, Unterschrift). Fehlt Ihnen der lückenlose Beweis nehmen Sie bitte Kontakt mit uns auf.
- Geben Sie keine Empfängerlisten oder Empfänger-Daten weiter an Dritte ohne abzuklären ob das mit dem Datenschutz und Ihren Datenschutzbestimmungen vereinbar ist.
- Falls jemand Einblick in die über ihn gesammelten Daten oder deren Löschung beantragt bei Ihnen, nehmen Sie bitte frühzeitig Kontakt mit uns auf.
- Führen Sie Datenschutzbestimmungen auf Ihrer Webseite (Nebst Impressum und womöglich den AGBs) und erwähnen Sie dort Send-it wiefolgt:
„Wir verwenden Send-it der kompiuterzeugs gmbh zum E-Mailnewsletter-Versand. Die kompiuterzeugs gmb ist somit der von uns beauftrage Verarbeiter von E-Mailnewslettern und Empfänger-Daten (Geschlecht, Name, Vorname, E-Email-Adresse und je nach Selbstregistrations-Formular noch weiteren Daten) und deren Statistik-Daten (technische Logs, Aufruf-Statistik von Bildern und Anhängen sowie Link-Aufruf-Statistik). Sämtliche Benutzer-Interaktionen in E-Mailnewslettern sind für uns nur aggregiert und anoymisiert einsehbar und dienen nicht dazu einzelne Personen zu verfolgen, sondern um unsere Newsletter für die Empfänger zu optimieren. Jeder versendete E-Mailnewslettern enthält am Ende einen Link um sich aus diesem und allen weiteren E-Mailnewslettern auszutragen.“ - Teilen Sie Send-it Anmelde-Daten (Login/Passwort) nicht mit weiteren Personen. Ein Send-it Account sollte nur jeweils von einer Person verwendet werden. Der Hauptadministrator kann ganz einfach neue Administratoren erfassen unter Administration → Benutzer → Benutzer-Verwaltung. Dies ist wichtig damit nachvollzogen werden könnte wer einen Empfänger in eine Empfängerliste eingetragen hat. Sie haben in der Benutzer-Verwaltung auch die Möglichkeit die Rechte anzupassen. zB: die externe Person welche für das Designs zuständig ist soll keine Empfänger verwalten können oder Newsletter versenden dürfen.
Haben Sie weitere Empfehlungen?
- Verwenden Sie keine Empfängerlisten von Dritten
- Verwenden Sie die Möglichkeit abgemeldete Empfänger wieder einzutragen innerhalb Send-it nur für Fälle wo Sie beweisen können dass eine vorhergehende Abmeldung durch den Empfänger fälschlicherweise passierte
- Verwenden Sie die Selbstregistration auf Ihren Webseiten. Alle Informationen zur Selbstregistration finden Sie in Ihrem Send-it bei „Anleitungen & FAQ“
- Bieten Sie die Möglichkeit auf Verträgen/Bestellformularen/… einen Newsletter zu abonnieren (zB Feld zum ankreuzen ohne Vor-Ankreuzung) und bewahren Sie diese Dokumente auf.
- Sammeln Sie keine Daten über Rasse, Religion, Beziehungsstatus, Gesundheit oder Daten zur Sexualität. Selbst Hobbys können heikel sein. Sammeln Sie nur was Sie wirklich wissen müssen und teilen Sie das den Benutzern mit und erklären Sie wozu Sie diese Daten sammeln und wie Sie und Dritte diese verarbeiten.
- Fügen Sie in Ihren E-Mailnewslettern einen Link zu Ihren Datenschutzbestimmungen und Impressum ein. Im Footer wo Sie auch Ihre Kontakt-Koordinaten haben sollten, wäre der beste Ort.
Ausstehende Implementierungen in Send-it (Stand 13.08.2018):
- Es fehlt ein Daten-Verarbeitungsvertrag zwischen Ihnen und der kompiuterzeugs gmhb: Stand: in Vorbereitung. Sobald verfübgar wird er im Send-it für Hauptadministratoren aufgeschaltet.
FAQ und Fallbeispiele (Stand 04.05.2018)
- Frage 1 – Können wir Kunden in Send-it eintragen wenn uns explizit die Zustimmung für eine Erfassung schriftlich (z.B. via Print-Formular) gegeben wurde?
JA : Es geht darum dass es irgend einen „Beweis“ gibt dass diese Person dem Newsletter-Empfang zugstimmt hat. Sei dies via double-opt-in (also innerhalb von Send-it sichtbar) oder durch ein Print-Formular (in Ihren Archiven) spielt keine Rolle. Sie müssen im Prinzip einfach irgendwie diese Zustimmung belegen können unter der DSGVO. Laut aktuellem (immernoch gültigen) Schweizer Datenschutgesetz genügt im Prinzip eine „Geschäftsbeziehung“. Solange sich der Empfänger einfach austragen kann und sich der Absender zu erkennen gibt im Newsletter (zB Footer mit Ihren Koordinaten) ist das konform. - Frage 2 – Wir haben Empfänger im Send-it erfasst, bei welchen deren explizite Zustimmung für einen Newsletter-Empfang nicht verfügbar ist (Verlust, nicht rechtsgültige Belege, eingekaufte Empfängerlisten, …). Was ist zu tun?
Wenn Sie unter die DSGVO fallen (Firmensitz/Zweigniederlassungen/Tochterunternehmen in der EU), dann muss ein Re-Abonnierungsprozess angestossen werden. Im wesentlichen werden alle Empfänger auf einen nicht bestätigten Status gesetzt und informiert dass Sie klicken/bestätigen müssen um weiterhin den Newsletter zu empfangen. Danach haben Sie nur noch die Empfänger in der Empfängerliste welche explizit eingewilligt hat. Wenn Sie keinen Firmensitz/Zweigniederlassungen/Tochterunternehmen in der EU haben muss eine „Geschäftsbeziehung“ bestehen. Fehlt diese muss ebenfalls ein Re-Abonnierungsprozess angestossen werden. - Frage 3 – Wir haben noch keine Datenschutz-Bestimmungen auf der Webseite. Sollen wir diese erstellen?
JA : Wir empfehlen dringend diese zu erstellen. Auch weil Sie vermutlich auf Ihren Webseiten schon Cookies, irgend eine Art Webstatistik (Piwik, Matomo, Google-Analytics, Sitemetrics, …), usw eingebaut haben. Vergessen Sie auch das Impressum nicht, welches gesetzlich eigentlich schon gefordert ist (Mindestens Firmenname, Postadresse, weitere Kontakt-Koordinaten). - Frage 4 – Können wir eigene Mitarbeiter ohne deren expliziter Zustimmung in einen Firmen-internen Newsletter eintragen?
Da ein Arbeitsvertrag nach Schweizer Recht existiert und es sich um interne Kommunikation handelt: Ist das ziemlich sicher konform selbst unter der DSGVO (also für EU-Bürger). Zur rechtlichen Sicherheit genügt allenfalls ein einfaches Zirkular-Schreiben. Vergessen Sie nicht den Datenschutz und maximale Aufbewahrungsfristen bezüglich allen weiteren Daten welche Sie über ihre Mitarbeiter gesammelt haben (Lohn, Lebenslauf, Krankheiten, …).
Fallbeispiel a – Schweizer KMU ohne Firmensitz/Zweigniederlassungen/Tochterunternehmen in der EU. Die Newsletter richten sich an vorwiegend Schweizer Kunden und die meisten Empfänger wurden durch einen Send-it Administrator eingetragen
- Alle Empfänger haben in schriftlicher Korrespondenz (Aufträge, Verträge, Offerten, Anmeldungen an Messen, …) einem Newsletterversand zugestimmt. Diese Dokumente sind in den Archiven der Firma vorhanden: konform zum Schweizer Datenschutz und DSGVO.
- Die Newsletter enthalten einen Footer mit Firmenname, Postadresse, Webseite und Link zu den Datenschutzbestimmungen und Impressum auf der Webseite der Firma: konform zum Schweizer Datenschutz und DSGVO.
- Auf der Webseite ist ein Impressum (hauptsächlich Firmenname, Adresse, Telefon und E-Mailadresse) und Datenschutzbestimmungen aufgeschaltet. In den Datenschutzbestimmungen wird Send-it wie im Punkt 4 unter „Was bedeuted das für mich als Send-it Kunde?“ erwähnt: konform zum Schweizer Datenschutz und DSGVO.
Fallbeispiel b – Schweizer KMU mit Firmensitz/Zweigniederlassungen/Tochterunternehmen in der EU. Die meisten Empfänger wurden durch einen Send-it Administrator eingetragen
Sie fallen unter die DSGVO. Weitere Abklärungen sind womöglich nötig um zu sehen ob Sie wirklich konform sind. Diese Punkte bezüglich Send-it sollten Ihnen bereits helfen
- Alle Empfänger haben in schriftlicher Korrespondenz (Aufträge, Verträge, Offerten, Anmeldungen an Messen, …) einem Newsletterversand zugestimmt. Diese Dokumente sind in den Archiven der Firma vorhanden: konform zum Schweizer Datenschutz und DSGVO.
- Die Newsletter enthalten einen Footer mit Firmenname, Postadresse, Webseite und Link zu den Datenschutzbestimmungen und Impressum auf der Webseite der Firma: konform zum Schweizer Datenschutz und DSGVO.
- Auf der Webseite ist ein Impressum (hauptsächlich Firmenname, Adresse, Telefon und E-Mailadresse) und Datenschutzbestimmungen aufgeschaltet. In den Datenschutzbestimmungen wird Send-it wie im Punkt 4 unter „Was bedeuted das für mich als Send-it Kunde?“ erwähnt: konform zum Schweizer Datenschutz und DSGVO.
Haben Sie Fragen zum Datenschutz in Bezug auf Send-it oder in Bezug auf die Daten innerhalb Ihrer Firma: Nehmen Sie Kontakt mit uns auf, wir beraten Sie gerne. Wir wünschen weiterhin guten Versand mit Send-it
Weiterführende Links zum Thema
Informationen der EU: http://ec.europa.eu/justice/smedataprotect/index_de.htm
Informationen zur DSGVO gut aufbereitet: https://www.wbs-law.de/it-recht/datenschutzrecht/die-eu-datenschutzgrundverordnung/
im speziellen für E-Mailnewsletter: https://www.wbs-law.de/internetrecht/online-marketing-teil-1-e-mail-und-newsletterversand-65015/
Informationen aus Schweizer Sicht gut aufbereitet: https://www.activemind.legal/law/ch-datenschutz/
Eher technische Informationen: https://www.golem.de/news/datenschutz-grundverordnung-was-unternehmen-und-admins-jetzt-tun-muessen-1803-133122.html
Dokument-Versionshinweise
– 02.05.2018: initial Version
– 04.05.2018: Faq und Fallbeispiele hinzugefügt
– 23.05.2018: Update bei den ausstehenden Implementierungen und Anpassungen im Text, da nun Re-Abonnierungsprozesse möglich sind und das Veränderungsprotokoll wurde aktiviert (Einsicht auf Anfrage)
– 25.05.2018: Anpassung des Zeitrahmens in welchem der für Send-it Kunden relevanten Teils des Schweizer Datenschutzes voraussichtlich in Kraft treten wird (ca 2020), basierend dem Entscheid der Staatspolitische Kommission des Nationalrates vom 11.Januar 2018
– 13.08.2018: Mit dem neuen Formular-Editor können Sie bei Selbstregistrations-Formularen eine Zustimmung zu Ihren AGB und Datenschutzbestimmungen erhalten.