Cookies, Newsletter und Co. – Machst du alles richtig beim Thema Datenschutz? Ein Experte gibt Auskunft

Dr. iur. Alexander Schmid ist Partner bei epartners Rechtsanwälte und spezialisiert auf IT- und Technologierecht. Im Interview gibt der Anwalt Auskunft über das revidierte Datenschutzgesetz, das am 1. September 2023 in Kraft tritt (revDSG) und über das rechtskonforme Verhalten von NGOs, Parteien und Verbänden im Umgang mit Personendaten, Cookies und Newslettern. 

Alexander, Datenschutz ist in aller Munde, wirst du mit Anfragen überhäuft?

Mir wird sicher nicht langweilig. Viele Klienten kommen auf mich zu und haben Fragen betreffend Risiken und möglichen Veränderungen beim Thema Datenschutz.

Welche Stimmung erlebst du da, fürchtet man sich ein wenig?

Eher weniger, Datenschutz soll die Persönlichkeitsrechte von Bürgerinnen und Bürgern schützen bzw. diese stärken. Das ist in erster Linie ein positives Begehren. Für Unternehmen, Verbände und andere Gesellschaften, welche Daten bearbeiten, machen die strengeren Regeln des revDSG die Sache etwas komplexer.

Wie sehen das NGOs und Verbände in der Schweiz, die mit Personendaten arbeiten?

Auch hier würde ich nicht sagen, dass es vonseiten der Organisationen Befürchtungen oder Ängste gibt. Aber man ist sich bewusst, dass Datenschutz nun auch in der Schweiz ein ernstzunehmendes Thema ist.

Weshalb ist das so?

Die schweizerische Herangehensweise betreffend Datenschutz ist zwar weiterhin von einem gewissen Pragmatismus geprägt. Eigentlich typisch für die Schweiz. Grundsätzlich ist das Bearbeiten von Daten – mit Ausnahmen – erlaubt. Also im Grunde eine Erlaubnis mit Verbotsvorbehalt. Neu müssen aber auch rein schweizerische NGOs und Verbände gewisse flankierende Massnahmen zum Thema Datenschutz ergreifen wie das Erstellen eines Bearbeitungsverzeichnisses oder einer Datenschutzerklärung. Für Unternehmen, die zumindest partiell auch der DSGVO unterstehen, gilt diese Pflicht bereits seit Inkrafttreten der DSGVO 2018.

Was fällt alles unter sogenannte Personendaten?

Alle Informationen, die einen Rückschluss auf eine Person erlauben. Dazu können auch IP-Adressen gehören (was in der EU klar der Fall ist). Für die Schweiz spreche ich im Konjunktiv, da es unter Umständen – zum Beispiel über einen Fingerprint, der sich mit dem Browser verknüpfen lässt – möglich ist, Rückschlüsse auf die Person zu ziehen.  

Seit Mai 2018 gilt die Europäische Datenschutz-Grundverordnung (DSGVO). Handelt es sich beim Schweizer Gesetz um ein Kopie der DSGVO?

Im Grundsatz ja. Das Schweizer Datenschutzrecht wird mit der Revision in weiten Teilen der DSGVO angeglichen – insbesondere, was die Governance anbelangt. Das dem Schweizer Konzept zugrunde liegende Konzept, auf welches ich vorhin bereits hingewiesen habe – Erlaubnis mit Verbotsvorbehalt – gilt aber weiterhin. Schaut man in die EU, ist es genau umgekehrt – ein Verbot mit Erlaubnisvorbehalt. Grundsätzlich ist das Bearbeiten von Daten in der EU verboten, ausser es gibt eine Rechtfertigung, etwa eine Einwilligung, eine Bearbeitung zur Erfüllung eines Vertrages oder ein berechtigtes Interesse, dies zu tun.

Aus deiner Sicht eine gute Sache also?

Ja und nein. Natürlich ist es für den Schweizer Konsumenten wichtig, dass es auch in der Schweiz einen angemessenen Datenschutzstandard gibt, der sich international vergleichen lässt, das will niemand bestreiten. Die DSGVO und das revDSG gehen allerdings aus meiner Sicht teilweise zu weit. Es wird versucht, Übeltäter ins Recht zu fassen. Dabei bürdet man aber gleichzeitig zahlreichen KMUs Aufgaben und Massnahmen auf, die sie kaum stemmen können und die sehr viel Bürokratie zur Folge haben. 

Ist es ab sofort verboten, wenn ich als Partei, Verband oder NGO, mein Datenverzeichnis ins Ausland exportieren will? Die Daten, die ich erhoben habe, werden also im Ausland bearbeitet.

Bei einem Export von Daten gilt es danach zu unterscheiden, ob Daten in ein sicheres Drittland exportiert werden. 

Was muss man sich darunter vorstellen?

Dies sind Länder, welche über eine mit dem Schweizer Datenschutzrecht vergleichbare Datenschutzgesetzgebung verfügen, also ein sogenanntes adäquates Datenschutzniveau bieten. Zu bejahen ist das für die EU-Länder, grundsätzlich aber zu verneinen für die USA. Wenn ich als Verband amerikanische File-Hosting-Dienste verwende, ist das natürlich ein Problem. Denn ich exportiere Personendaten aus der Schweiz in die USA. 

Was müssen Organisationen hierzulande in diesem Fall beachten?

Es gibt Mechanismen, um solche Aktivitäten rechtskonform zu machen. Die Europäische Kommission hat zwar kürzlich die Angemessenheit des EU-U.S. Data Privacy Frameworks bestätigt, was Datenexporte an zertifizierte Unternehmen erleichtert. Es ist jedoch davon auszugehen, dass das Data Privacy Framework wie die Vorgängerversionen (Privacy Shield, Safe Harbor) vor den europäischen Gerichten angefochten werden wird – wie lange es Geltung haben wird, ist mit anderen Worten unklar. Will man auf Nummer sicher gehen, sind mit dem Anbieter damit weiterhin die sog. Standardvertragsklauseln der Europäischen Kommission abzuschliessen, die auch in der Schweiz akzeptiert sind.

«Wesentlich für Verbände, die nicht international agieren, ist erst einmal folgende Frage: Woher kommen meine Daten?» 

Muss ich nun mit einer Busse von CHF 250’000 rechnen, wenn ich gegen das revDSG verstosse?

Das ist theoretisch möglich, allerdings handelt es sich dabei um die Höchststrafe, die von einem Gericht ausgesprochen werden kann. Zu einer Busse in dieser Höhe wird es in der Schweiz wohl nur sehr selten kommen.

Die Straftatbestände des revDSG setzen Vorsatz voraus. Nur wenn beispielsweise vorsätzlich die Mindestanforderungen an die Datensicherheit nicht erfüllt werden bzw. dies in Kauf genommen wird, kann ein Unternehmen überhaupt gebüsst werden.

Ein Gedankenspiel, ich bin ein Verband und möchte mich mit meinem Online-Auftritt und in meiner Online-Kommunikation rechtskonform verhalten. Welche Dinge muss ich besonders beachten.

Wesentlich für Verbände ist erst einmal folgende Frage: Woher kommen meine Daten? Hier gilt das sogenannte Prinzip der Transparenz der Datenbeschaffung, darüber ist in einer Datenschutzerklärung zu informieren. 

Was, wenn wir Personendaten über unsere Webseite erheben?

Falls man als Verband – zum Beispiel über ein Formularfeld auf der eigenen Webseite – Daten selbst erhebt, gilt das Prinzip des Opt-in. Das bedeutet, dass die Person, die ihre E-Mail-Adresse auf der Webseite des Verbandes angibt, das Einverständnis für die Zustellung eines Newsletters geben muss, z.B. durch Anklicken eines entsprechenden Häkchens.

Was muss ich beachten, wenn ich diese Daten weitergeben möchte?

Auch bei der Datenweitergabe braucht es eine Zustimmung der betroffenen Personen oder ein berechtigtes Interesse des Datenbearbeiters. Ein Beispiel: Eine NGO gibt Adressdaten einer anderen NGO weiter, dieser Schritt muss unter der Einwilligung der Kunden passieren, es sei denn, sie könne dafür ein überwiegendes Interesse geltend machen. Dies muss im Einzelfall abgeklärt werden und kann nicht allgemein beantwortet werden. Wie vielerorts verbreitet sollten aber Einwilligungen nicht über die Datenschutzerklärung eingeholt werden, denn darin informiert ein Unternehmen über ihre Datenbearbeitungen – der Nutzer muss dieser aber nicht zustimmen.

Wie ist die Sache bei Cookies? Kleine Textdateien, die ungefragt auf dem Browser eines Rechners abgelegt und später von dort geladen werden.

Hier ist zu unterscheiden: In der Schweiz ist die Verwendung von Cookies grundsätzlich zulässig, man muss jedoch in der Privacy-Policy darüber informieren, dass sie eingesetzt werden. Die schweizerische Cookie-Regelung ist im Fernmeldegesetz (FMG) geregelt. Demnach ist das «Bearbeiten von Daten auf fremden Geräten durch fernmeldetechnische Übertragung […] nur erlaubt, […] wenn die Benutzerinnen und Benutzer über die Bearbeitung und ihren Zweck informiert sowie darauf hingewiesen werden, dass sie die Bearbeitung ablehnen können.» Ein Cookie-Pop-up allerdings ist nach schweizerischem Recht nicht nötig. Es reicht, wenn Cookies über die Browsereinstellungen deaktiviert werden können. Unter EU-Recht wiederum ist für die Verwendung gewisser Cookies – z.B. solcher zum Tracken der Besucher – ein Einverständnis der Nutzer notwendig. Dafür werden Webseiten mit den mühseligen Cookie-Banner versehen. Massgeblich ist hier, ob eine Webseite nur auf den Schweizer Markt oder auch auf den europäischen ausgerichtet ist. Wenn also ein Unternehmen mit Sitz in der Schweiz ihr Angebot auch auf den Europäischen Markt ausrichtet, braucht es einen Cookie-Banner, welcher der DSGVO standhält, obwohl das unter Schweizer Recht nicht notwendig wäre.

«Für nur auf die Schweiz ausgerichtete Webseiten genügt in der Regel die Aufklärung in der Privacy-Policy. Es braucht kein Cookie-Pop-Up.»

Wie weiss ich, ob ich eine Mailadresse, die ich im Netz finde, für meine Zwecke als Verband oder NGO verwenden darf?

Ist das zum Beispiel die Parlaments-E-Mail-Adresse eines Politikers, die öffentlich publiziert wurde, kann man abwägen und davon ausgehen, dass dadurch eine implizite Zustimmung gegeben wurde. Der Politiker darf also mit Informationen bedient werden.

Wann ist dies nicht der Fall?

Sobald man grosse Mengen an Personendaten kauft, diese also nicht über die eigene Webseite inklusive Einwilligung der Kunden erhalten hat. Hier muss abgeklärt werden, ob mir der Verkäufer diese Mailadressen überhaupt verkaufen und ich diese nutzen darf. 

«Geht man konform mit den Bestimmungen der DSGVO, ist man gut aufgestellt für die Revision des DSG.» 

Kehren wir zurück zu den Neuerungen des revDSG. Bisher musste man keine eigenen Verstösse bzgl. Datenschutz melden, ändert sich dies?

Ja, ab September sind Verletzungen der Datensicherheit so schnell wie möglich dem Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB). zu melden, wenn sie voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der vom Vorfall betroffenen Personen führen. Nur schon um die kurze Frist einhalten zu können, sollten sich Unternehmen Gedanken dazu machen, wie sie im Fall der Fälle vorgehen würden.

Wie gut ist man aufgestellt, wenn man sich an die DSGVO hält – einmal ausgenommen, ob man davon betroffen ist, oder nicht – in Bezug auf das revDSG?

Geht man konform mit den Bestimmungen der DSGVO, ist man gut vorbereitet für die Revision des DSG.

Gibt es etwas, dass du Verbänden ans Herz legst, damit sie sich mit dem Datenschutz schon heute befassen?

Sinnvoll ist es, sich darüber Gedanken zu machen, wie und wo genau Personendaten erhoben und verwendet werden. Nehmen wir zum Beispiel Google Applikationen oder Asana, die viele auch dafür verwenden, um zum Beispiel HR-Dossiers abzuspeichern. Das kann problematisch sein. Hier steht man vor der Frage: Haben wir einen Auftragsdatenverarbeitungsvertrag? Gibt es eine genügende Basis für einen Datenexport für die von mir verwendeten Apps? Haben wir, falls nötig, die Zustimmung der Betroffenen?

«Sinnvoll ist es, sich darüber Gedanken zu machen, wie und wo genau Personendaten erhoben und verwendet werden.»

Das hört sich nach viel Arbeit an.

Nach unserer Einschätzung hört sich das als mehr Arbeit an, als es tatsächlich ist und lässt sich mit etwas Pragmatismus bewältigen. Die Anbieter von Cloud-Plattformen sind gut vorbereitet; die meisten verfügen über akzeptable Vertragsvorlagen, welche ohne weiteres zur Verfügung gestellt werden.

Sobald ich Dritte mit meiner Datenbearbeitung beauftrage, muss dieser Schritt befolgt werden?

Richtig, sobald ich Services auslagere und ein Dritter im meinem Auftrag Daten bearbeitet, braucht es solche Verträge.