Datenschutzrechtliche Anforderungen

Wann gilt die DSGVO?

Die EU Datenschutz-Grundverordnung (DSGVO) gilt für alle Unternehmen, die personenbezogene oder personenbeziehbare Daten von Personen, die sich in der EU aufhalten, verarbeiten. Es gilt das Marktortprinzip, d.h. unabhängig vom Sitz des Unternehmens sind die Anforderungen der DSGVO zu erfüllen, wenn Waren oder Dienstleistungen in die EU angeboten/verkauft werden.

Sofern bspw. ein Schweizer Unternehmen über den Gutschein- und/oder Ticketshop ein Rechtsgeschäft mit in der EU befindlichen Personen eingeht (Verkauf von Gutscheinen/Tickets/etc.), gilt die DSGVO.

Wann gilt das Schweizer DSG?

Das DSG gilt für Sachverhalte, die sich in der Schweiz auswirken, auch wenn sie im Ausland veranlasst werden.

Das DSG gilt demnach für natürliche Personen (ehemals für juristische Personen) und für kommerzielle und nicht-kommerzielle Organisationen, die personenbezogene Daten von Schweizer Bürger/innen verarbeiten. Der räumliche Geltungsbereich des DSG funktioniert ähnlich wie der der DSGVO.

Dieser Artikel bezieht sich auf das neue Schweizer Bundesgesetz über den Datenschutz (Datenschutzgesetz, DSG) welches zum 01.09.2023 in Kraft trat.

Was sind personenbezogene Daten?

Personenbezogene bzw. personenbeziehbare Daten sind bspw: Namen, E-Mail-Adressen, Bankdaten/Kreditkartendaten sowie IP-Adressen.

Gesetzliche Anforderungen

Beim Einsatz eines Onlineshops müssen insbesondere folgende rechtliche Anforderungen berücksichtigt bzw. umgesetzt werden:

Datenschutz

Datenschutzrechtliche Anforderungen ergeben sich insbesondere aus der EU-Datenschutzgrundverordnung (DSGVO) dem Schweizer Datenschutzgesetz (DSG) sowie aus weiteren länderspezifischen Gesetzen wie dem deutschen Bundesdatenschutzgesetz (BDSG).

In diesen Gesetzen sind bspw. Vorgaben zur „Information der Betroffenen“ (z.B. Datenschutzerklärung einer Webseite) sowie zur „Einwilligung durch den Betroffenen“ (z.B. E-Mail-Newsletter) enthalten.

ePrivacy

In der ePrivacy-Richtlinie (Richtlinie 2002/58/EG oder Datenschutzrichtlinie für elektronische Kommunikation) bzw. in diversen länderspezifischen Gesetzen wie bspw. dem deutschen TTDSG (Telekommunikation-Telemedien-Datenschutz-Gesetz) sind die Regeln für das Setzen von „Cookies“ bzw. für den Schutz der Endgeräte von Webseitenbesuchern definiert.

Wettbewerbsrecht

Einige Länder wie die Schweiz, Österreich und Deutschland haben ein UWG (Gesetz gegen den unlauteren Wettbewerb). Aus dem deutschen UWG – in Verbindung mit der DSGVO) leitet sich bspw. die Anforderung zur Umsetzung des Double-Opt-In-Verfahrens (DOI) ab.

Weitere:

Telemediengesetz (TMG / Deutschland)
E-Commerce-Gesetz (ECG / Österreich)

Technische Anforderungen

Technische und organisatorische Massnahmen (TOM)

Unternehmen müssen angemessene technische und organisatorische Massnahmen (TOMs) ergreifen, um den Schutz der personenbezogenen Daten zu gewährleisten. Die TOMs sind zwecks Erfüllung der gesetzlichen Nachweispflichten zu dokumentieren. Diese Anforderung ist beispielsweise verankert in Art. 8 DSG sowie Art. 32 DSGVO.

In Bezug auf unsere Dienstleistung haben wir bspw. folgende TOMs umgesetzt:

Bestellung eines Datenschutzbeauftragten
Abschluss von Datenschutzvereinbarungen mit unseren Dienstleistern
Überprüfung unserer Dienstleister hinsichtlich der Verarbeitung personenbezogener Daten
Schulung und Sensibilisierung unserer Beschäftigten
Verfahren zur regelmässigen Überprüfung unserer TOMs
Umsetzung restriktiver Rechte- und Rollenkonzepte
Einsatz von Verschlüsselungstechnologien
Durchführung von Penetrationstests

Weitere Informationen und Details können Sie unserer Datenschutzvereinbarung entnehmen.

Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen

Privacy by Design: Unternehmen müssen unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Massnahmen umsetzen.

Privacy by Default: Unternehmen müssen geeignete technische und organisatorische Massnahmen umsetzen, die sicherstellen, dass durch Voreinstellung nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden.

Diese Anforderungen sind beispielsweise verankert in Art. 7 DSG und Art. 25 DSGVO.

In unserem Gutschein- / Ticketsystem sind die Anforderungen „Privacy by Design“ und „Privacy by Defaults“ standardmässig umgesetzt; Beispiele:

Wir erfassen im Onlineshop nur die Daten, die für die Durchführung des Service erforderlich, somit setzen wir die Datenschutzgrundsätze „Datensparsamkeit“ und „Datenvermeidung“ um.
Der Onlineshop ist so konzipiert, dass nur dann Cookies verwendet werden, wenn tatsächlich eine explizite Einwilligung durch den Nutzer gegeben wurde.

Weitere Informationen über die Grundeinstellungen des Shops finden Sie hier.

Newsletter-Einwilligung mit dem Double-Opt-In Verfahren

Unternehmen müssen nachweisen können, dass tatsächlich eine Einwilligung des Betroffenen vorliegt. Best practice bzw. Stand der Technik in Bezug auf eine Einwilligung in einen EMail-Newsletter ist die Durchführung des Double-Opt-In (DOI)-Verfahrens.

Unmittelbar nach der Registrierung an einen EMail-Newsletter erhält der Abonnent eine werbefreie Bestätigungs-EMail (DOI-EMail). Die darin enthaltene Einwilligung muss der Abonnent bestätigen, um einen EMail-Newsletter erhalten zu können.

In unserem Onlineshop ist das DOI-Verfahren implementiert.

Wie Sie die Option für die Anmeldung Ihres Newsletters nutzen können, finden Sie hier

Organisatorische Anforderungen

Datenschutzvereinbarung

Wir sind – in Bezug auf das Gutschein- / Ticketsystem - als Auftragsverarbeiter im Sinne von Art. 5 (k) DSG bzw. Art. 4 Nr. 8 DSGVO - für unsere Kunden tätig. Für eine rechtskonforme Nutzung des Gutschein-/Ticketsystems ist es erforderlich, eine Datenschutzvereinbarung mit uns abzuschliessen. Diese Anforderung ist beispielsweise verankert in Art. 9 DSG sowie Art. 28 DSGVO.

Unsere Vorlage für eine Datenschutzvereinbarung finden Sie hier: Vertrag öffnen. Sie können diese Vereinbarung zur Auftragsverarbeitung direkt an ihrem Computer ausfüllen und herunterladen.

Unsere Datenschutzvereinbarung stützt sich auf die EU-Standardvertragsklauseln (SCC). Die Schweizer Datenschutzbehörde (EDÖB) hat die von der EU-Kommission publizierten Standardvertragsklauseln (SCC) gemäss Art. 16 Abs. 2 lit. d DSG anerkannt. Die Anforderungen der Schweizer Datenschutzbehörde (EDÖB) haben wir durch zusätzliche Regelungen erfüllt. Insofern kann unsere Datenschutzvereinbarung auch direkt bei Schweizer Unternehmen verwendet werden.

Wir haben Datenschutzvereinbarungen – z.B. nach Art. 28 DSGVO, Art. 26 DSGVO und Art. 9 Abs. 1 DSG mit sämtlichen relevanten Dienstleistern abgeschlossen.

Datenschutzberaterin oder –berater / Datenschutzbeauftragter

Unternehmen können oder müssen unter gewissen Voraussetzungen einen Datenschutzberater bzw. einen Datenschutzbeauftragten (DSB) bestellen. Diese Anforderung ist beispielsweise verankert in Art. 10 DSG, Art. 37 bis 39 DSGVO sowie in §38 BDSG.

Unabhängig davon, ob eine gesetzliche Verpflichtung für die Bestellung eines DSB besteht, können Unternehmen einen DSB auf freiwilliger Basis bestellen, um Datenschutzrisiken zu minimieren.

Weitere Informationen über die Erforderlichkeit eines Datenschutzbeauftragten und dessen Aufgaben sowie der Meldepflicht an die Datenschutzbehörden finden Sie hier.

Wir haben einen externen Datenschutzbeauftragen bestellt.

Bitte beachten, dass Sie die Kontaktdaten des Datenschutzbeauftragten veröffentlichen müssen (z.B. gemäss Art. 37 Abs. 7 DSGVO). Dies können Sie bspw. über Ihre Datenschutzerklärung machen.

Eine Anleitung wie Sie dies im Gutschein- / Ticket-Shop machen können finden Sie hier.

EU – Vertreter

Nicht in der EU niedergelassene Verantwortliche und Auftragsverarbeiter müssen gemäss Art. 27 DSGVO in der Regel einen EU-Vertreter schriftlich benennen. Der EU-Vertreter muss in der EU niedergelassen sein. In einem Vertrag zwischen dem Verantwortlichen und dem EU-Vertreter sind die Aufgaben des EU-Vertreters zu vereinbaren.

Gerne stellen wir Ihnen kostenfrei einen EU-Vertreter an die Seite. Weitere Informationen über die Aufgaben eines EU-Vertreters sowie über unseren kostenfreien Service für Ihr Unternehmen finden Sie hier.

Bitte beachten Sie, dass Sie die Kontaktdaten des EU-Vertreters veröffentlichen müssen. Dies können Sie bspw. über Ihre Datenschutzerklärung machen.

Eine Anleitung wie Sie dies im Gutschein- / Ticket-Shop machen können finden Sie hier.

Verzeichnis der Verarbeitungstätigkeiten

Unternehmen sind verpflichtet, die Verarbeitungen von personenbezogenen Daten zu dokumentieren. Diese Anforderung ist beispielsweise verankert in Art. 12 DSG sowie Art. 30 DSGVO.

Das Verzeichnis der Verarbeitungstätigkeiten (VVT) ist einer der wichtigsten Grundbausteine des Datenschutzes und dient unter anderem dazu, einer Datenschutzbehörde gegenüber die Einhaltung der Datenschutzbestimmungen nachweisen zu können.

Mindestinhalt eines VVT ist die Beschreibung der relevanten Verarbeitungen personenbezogener / personenbeziehbarer Daten mit folgendem Mindestinhalt:

Namen und die Kontaktdaten des Verantwortlichen
Zwecke der Verarbeitung
Rechtsgrundlage der Verarbeitung
Beschreibung der Kategorien betroffener Personen
Beschreibung der Kategorien personenbezogener Daten
Empfänger von Daten
Löschfristen / Löschkonzept
Beschreibung der technischen und organisatorischen Massnahmen

Wir haben unsere Verarbeitungen dokumentiert; und zwar in unserer Rolle als Verantwortlicher als auch in unserer Rolle als Auftragsverarbeiter für unsere Kunden.

Unternehmen sind verpflichtet, das Risiko für die Rechte und Freiheiten der Betroffenen zu bewerten. Sofern ein nennenswertes Risiko nicht auszuschliessen ist, muss der Unternehmer eine erweiterte Risikobetrachtung durchführen (vgl. nachstehender Abschnitt); diese Risikoanalyse wird Datenschutz-Folgenabschätzung (DS-FA) genannt.

Datenschutz-Folgenabschätzung (DS-FA)

Mit dem Begriff „Datenschutz-Folgenabschätzung“ (DS-FA) wird eine erweiterte Risikobewertung bezeichnet, die durch die Unternehmen in gewissen Fällen durchzuführen ist. Diese Anforderung ist beispielsweise verankert in Art. 22 DSG sowie Art. 35 DSGVO.

Eine DS-FA unterliegt weitreichenden Anforderungen, daher ist auch – nach DSGVO – stets der Datenschutzbeauftragte des Unternehmens zu involvieren.

Informationspflichten / Datenschutzerklärung

Unternehmen unterliegen weitreichenden Informationspflichten gegenüber den Betroffenen. Betroffene können bspw. Nutzer des Gutschein- / Ticketshop, Kunden, Newsletter-Abonnenten und eigene Beschäftigte sein. Diese Anforderung ist beispielsweise verankert in Art. 19 bis 21 DSG sowie Art. 12 bis 14 DSGVO.

Die Informationspflichten werden In der Regel über die Datenschutzerklärung des Unternehmens erfüllt.

Für die Datenschutzerklärung können Sie die Vorlage von e-guma nutzen oder Ihre eigene Datenschutzerklärung eintragen. Erfahren Sie hier, wo Sie die Datenschutzerklärung bearbeiten.

Wie Sie eine eigene Datenschutzerklärung in den e-guma Shop einbinden können erfahren Sie hier.

Die Vorlage von e-guma wird laufend aktualisiert und an neue Gegebenheiten angepasst. Wird eine eigene Datenschutzerklärung eingetragen, ist diese automatische Aktualisierung nicht mehr gegeben.

Zu beachten ist, dass eine im Shop eingebundene Datenschutzerklärung die spezifischen Verarbeitungen des Shops konkret beschreiben muss. Eine Kopie der Datenschutzerklärung von Ihrer Homepage ist in der Regel nicht ausreichend.

Neben den reinen Informationspflichten (siehe Abs. "Informationspflichten / Datenschutzerklärung") unterliegen Unternehmen der Anforderung, dass von dem Benutzer einer Webseite bei Einsatz nicht erforderlicher Technologien eine Einwilligung einzuholen ist. Diese Anforderung ergibt sich im Allgemeinen bspw. aus Art. 6 DSG sowie Art. 6 DSGVO in Verbindung mit Art. 7 DSGVO.

Einwilligungspflichtig sind:

Cookies und ähnliche Technologien (local storage etc.) sofern diese für den Betrieb einer Webseite nicht erforderlich sind (z.B. Facebook-/Meta-Pixel „_fbp“)
Eingebundene Drittanbietertools sofern diese Daten an die Drittanbieter übermitteln (z.B. Google Analytics). Die strengen Auflagen für die Bekanntgabe von Personendaten ins Ausland sind bspw. in Abs. 3 DSG (Art. 16ff DSG) sowie Kapitel 5 DSGVO (Art. 44 bis 50 DSGVO) definiert.

Unser Onlineshop stellt Ihnen einen rechtskonformen und datensparsamen „Consent Banner“ zur Verfügung.

Informationen zu den Konfigurationsmöglichkeiten des „Consent-Banners“ finden Sie hier.

Sind Sie auf der Suche nach einem Datenschutz-Experten?

Sind Sie auf der Suche nach einem Experten, der Sie in allen Fragen des Datenschutzes berät, die notwendigen Prozesse und Dokumente erarbeitet und gegebenenfalls als Ihr Datenschutzbeauftragter fungiert?

Den richtigen Partner zu finden, ist eine grosse Herausforderung. Wir haben gute Erfahrungen mit der Firma IT.DS Beratung gemacht und können sie sehr empfehlen. Sie können sich bei Interesse an deren Geschäftsführer Sven Meyzis (info@itdsb.de) wenden.