Die DSGVO ist da: Das sollten cyon-Kunden wissen

Philipp Zeder
Autor:

Philipp Zeder

Kategorie:

in

Internet & Recht

Veröffentlicht am 24. Mai 2018

Aktualisiert am 10. Sept. 2024

Am 25. Mai 2018 ist es soweit: Die in den vergangenen Wochen im Netz viel diskutierte Datenschutzgrundverordnung der EU (DSGVO oder im Englischen GDPR) gilt nach einer zweijährigen Übergangsphase. Mit den neuen Bestimmungen erhalten Personen in der EU mehr Kontrolle über ihre Personendaten, Unternehmen werden stärker in die Verantwortung genommen und Datenschutzbehörden in ihrer Rolle gestärkt. Wir zeigen, was sich für Sie als cyon-Kunde oder Besucher unserer Website mit der DSGVO ändert.

Die DSGVO ist da

DSGVO: Eine gute Sache

Datenschutz war uns schon immer wichtig. So verfolgen wir den Ansatz der Datensparsamkeit und geben Kundendaten nur in zwingend nötigen Ausnahmefällen an Dritte weiter. Deshalb begrüssen wir die Dynamiken, die die DSGVO ins Rollen gebracht hat, auch wenn zum Start noch ein paar Unsicherheiten bestehen und noch die Rechtssprechung der Gerichte abzuwarten ist.

Ist meine Website von der DSGVO betroffen?

Die kurze Antwort: Vermutlich ja. Wie so oft steckt der Teufel im Detail und Details gibt es in der 99 Artikel starken Verordnung einige. Rechtsanwalt Martin Steiger formuliert es in seinem Gastbeitrag in unserem Blog «Websites in der Schweiz: Rechtskonforme Cookies im Einklang mit der neuen EU-Datenschutz-Grundverordnung» so:

Die DSGVO führt das sogenannte Marktortprinzip ein: Die DSGVO gilt nicht nur in der EU, sondern weltweit für jede Verarbeitung personenbezogener Daten von Personen in der EU, denen man Dienstleistungen oder Waren anbietet oder deren Verhalten man beobachtet.

In der Folge sind fast alle schweizerischen Websites von der DSGVO betroffen, weil sie ihre Nutzerinnen und Nutzer mittels Webtracking beobachten. So dürfte das Tracking mit Google Analytics weitverbreitet sein und es gibt kaum einen Webserver ohne Auswertung von Logdateien mit IP-Adressen.

Im Zweifelsfall sollten sie daher davon ausgehen, dass Ihre Website von der DSGVO betroffen ist. Eine Beratung durch eine juristische Fachperson ist, wie immer bei rechtlichen Themen, empfohlen.

Wie mache ich meine Website DSGVO-konform?

Als erstes sollten Sie prüfen, ob Sie mit Ihrer Website in irgendwelcher Form personenbezogene Daten verarbeiten:

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.

Haben Sie Plugins für Ihr Content-Management-System installiert, die mit externen Diensten kommunizieren? Nutzen Sie Social-Media-Plugins wie einen Facebook-Pixel? Erfassen Sie personenbezogene Daten mit einem Formular? Oder schicken Sie Ihren Kunden einen Newsletter? All das sind Fragen, die Sie sich stellen sollten.

Sobald klar ist, mit welchen Teilen Ihrer Website personenbezogene Daten verarbeitet werden, stellt sich die Frage, ob die Verarbeitung dieser Daten eine der 6 Bedingungen in Artikel 6 der DSGVO erfüllt. Ist auch diese Frage geklärt, sollten Sie Ihrer Website eine DSGVO-konforme Datenschutzerklärung spendieren. Eine praktische Vorlage bietet das Datenschutz Self Assessment Tool DSAT der beiden Schweizer Anwälte David Rosenthal und David Vasella. Hilfreich ist auch der Datenschutz-Generator.de, welcher von Privatpersonen und Kleinunternehmern kostenlos genutzt werden kann.

ADV-Vereinbarung?

Wenn die DSGVO bei Ihrer Website zur Anwendung kommt, können Sie mit uns eine Vereinbarung zur Auftragsdatenverarbeitung (ADV-Vereinbarung) abschliessen. Eine solche Vereinbarung ist in Artikel 28 der DSGVO geregelt und klärt die Zuständigkeiten zwischen uns als Auftragsverarbeiter und Ihnen als Verantwortlichen.

Der Abschluss dieser Vereinbarung ist mit einem Klick erledigt. Sie finden die ADV-Vereinbarung in Ihrem my.cyon-Konto im Menü «Meine Daten» im Abschnitt «Vereinbarung zur Auftragsdatenverarbeitung». In Ihrem my.cyon-Konto wird Ihnen nach erfolgtem Abschluss das Datum angezeigt.

Wir empfehlen: Drucken Sie die Vereinbarung und die Seite «Meine Daten» aus und legen Sie die Dokumente zu Ihren Akten.

Auftragsverarbeiter in die Datenschutzerklärung

Die verwendeten Auftragsverarbeiter sollten in der oben erwähnten Datenschutzerklärung Ihrer Website aufgeführt werden. Damit gehört auch ein Hinweis auf die beim Webhosting-Provider verarbeiteten Daten in die Erklärung. Vielfach geht nämlich vergessen, dass auch ohne Zutun des Website-Betreibers Daten protokolliert werden. Während wir zwar keine Cookies oder direkt andere Daten von Website-Besuchern sammeln, loggen unsere Webserver bei jedem Zugriff bestimmte technische Daten.

Den folgenden Textabschnitt können Sie als cyon-Kunde in Ihrer Datenschutzerklärung verwenden. Der Abschnitt beschreibt Informationen, die von unseren Webservern protokolliert werden und gibt DSGVO-konform darüber Auskunft.

Wie bei jeder Verbindung mit einem Webserver protokolliert und speichert der Server unseres Webhosting-Anbieters cyon in Basel, Schweiz, bestimmte technische Daten. Zu diesen Daten gehören die IP-Adresse und das Betriebssystem Ihres Geräts, die Daten, die Zugriffszeit, die Art des Browsers sowie die Browser-Anfrage inklusive der Herkunft der Anfrage (Referrer). Dies ist aus technischen Gründen erforderlich, um Ihnen unsere Website zur Verfügung zu stellen. cyon schützt diese Daten mit technischen und organisatorischen Massnahmen vor unerlaubten Zugriffen und gibt sie nicht an Dritte weiter. Soweit wir dabei personenbezogene Daten verarbeiten, tun wir dies aufgrund unseres Interesses, Ihnen die bestmögliche Nutzererfahrung zu bieten und die Sicherheit und Stabilität unserer Systeme zu gewährleisten.

Cookies und die DSGVO?

Cookies, also die kleinen Textdateien, die überall im Web für die Speicherung von Einstellungen oder das Tracking von Besuchern verwendet werden, sind ebenfalls von der DSGVO betroffen. Rechtsanwalt Martin Steiger hat dazu einen ausführlichen Gastbeitrag in unserem Blog verfasst: Websites in der Schweiz: Rechtskonforme Cookies im Einklang mit der neuen EU-Datenschutz-Grundverordnung

Stellen Sie sich für die verwendeten Cookies die folgenden Fragen:

  1. Gibt es ein berechtiges Interesse an der Cookie-Verwendung?
  2. Ist die Cookie-Verwendung erforderlich um das berechtigte Interesse zu wahren?
  3. Überwiegen die Interessen der Website-Anbieter die Interessen der betroffenen Personen am Schutz ihrer Daten?

Martin Steiger schreibt dazu:

Sofern alle Fragen bejaht werden, ist die Cookie-Verwendung grundsätzlich rechtmässig. Die Abwägung ist aber nur möglich, wenn vorgängig bestimmt wurde, für welchen Zweck die Cookies bestimmt sind.

WHOIS-Privacy: Wie weiter?

Zu einem Hosting gehört eine Domain, ohne Adresse geht schliesslich nichts. Auch auf die Verwaltung von Domains hat die DSGVO Einfluss. Insbesondere auf das «Telefonbuch» von Domainnamen, den sogenannten WHOIS-Datenbanken. In den WHOIS-Datenbanken sind Kontaktdaten zu einem Domainnamen erfasst und öffentlich einsehbar. Während bis anhin das Ausmass der einsehbaren Daten je nach Domainendung stark variiert hat und bei einzelnen Domainendungen ein kostenpflichtiger WHOIS-Privacy-Dienst nötig war, um Angaben wie die E-Mail-Adresse oder Telefonnummer vor Spammern zu schützen, bringt die DSGVO hier automatisch Linderung. Die Registerbetreiber sind dazu übergangen nur noch ganz wenige Informationen in der WHOIS-Datenbank uneingeschränkt einsehbar zu machen. Damit wird Spammern erfolgreich ein Riegel geschoben, die bis anhin verbotenerweise die WHOIS-Datenbanken automatisiert nach E-Mail-Adressen abgegrast hatten.

Übrigens: Für .ch-Domains waren und sind E-Mail-Adressen und Telefonnummern nie in den WHOIS-Daten sichtbar.

Schweizer Datenschutzrecht wird überarbeitet

Auch das Schweizer Datenschutzgesetz (DSG) befindet sich zurzeit in Revision. Ein Entwurf wurde im Herbst 2017 präsentiert. Geplant war, das neue Gesetz bis August 2018 einzuführen, zurzeit wird die neue Version aber noch im Parlament behandelt. Das neue DSG wird sich nach Expertenmeinungen in vielen Teilen an die DSGVO anlehnen. Wer jetzt seine Website DSGVO-konform betreibt, dürfte für das neue Schweizer Datenschutzgesetz damit wertvolle Vorarbeit geleistet haben.

Weitere Hilfestellungen zum Thema DSGVO

Die Anzahl Inhalte zum Thema DSGVO ist in den vergangenen Wochen förmlich explodiert. Korrekte Informationen zur neuen Verordnung zu finden, das ist dadurch sicher nicht einfacher geworden. Gute Anlaufstellen für Informationen rund um die DSGVO sind, wie wir finden, die Themenseite des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB), der Blog der Kanzlei Vischer oder der Blog der Kanzlei Dr. Schwenke. Kennen Sie weitere gute Links? Oder haben Sie Fragen zur DSGVO? Hinterlassen Sie uns einen Kommentar.

Hinweis: Für Abklärungen im Einzelfall, bei Unklarheiten und im Zweifelsfall empfiehlt sich die Beratung durch eine Fachperson wie beispielsweise einen Rechtsanwalt.

Beteilige dich an der Diskussion

42 Kommentare

Mario
Mario 27. Aug. 2018 11:14

Hallo zusammen

Ich habe den DSVGO Generator von hier verwendet: https://www.swissanwalt.ch/datenschutz-generator.aspx

Ich bin aber verunsichert ob dieser ok ist? Kennt diesen jemanden und deckt dieser die DSVGO auch in guter Qualität ab?

Christian
Christian 2. Juli 2018 14:13

Gibt es schon französische Vorlagen oder Generatoren für eine Datenschutzerklärung – möglichst korrespondierend mit dem deutschen Pendant? Italienisch wäre auch nicht verkehrt – viersprachige Websites sind in der Schweiz ja keine Seltenheit mehr.

Philipp Zeder
Philipp Zeder cyon
4. Juli 2018 11:46

Mir sind aktuell keine Vorlagen oder Generatoren für Datenschutzerklärungen in französischer oder italienischer Sprache bekannt. Das Datenschutz Self Assessment Tool bietet neben einer deutschsprachigen auch eine englischsprachige Vorlage an: http://dsat.ch/download/

Lukas
Lukas 27. Juni 2018 15:32

Noch eine Frage zur ADV: als Web-Agentur verwalten wir über unseren my.cyon Konto zig Websites. Somit habe ich aber unter “Meine Daten” nur die Möglichkeit, die ADV zwischen uns und Cyon zu erstellen, aber eigentlich müsste diese Vereinbarung ja zwischen unseren Kunden (die Vertragspartner von Cyon) und Cyon abgeschlossen werden?

Philipp Zeder
Philipp Zeder cyon
28. Juni 2018 17:28

Danke für die Frage, Lukas. Die im my.cyon abgeschlossene ADV-Vereinbarung gilt jeweils für alle Hosting-Produkte, für die der entsprechende Kontakt als Halter eingetragen ist. Haben Eure Kunden ein eigenes my.cyon-Konto und sind damit als Halter für das entsprechende Webhosting eingetragen, können sie direkt die Vereinbarung mit uns abschliessen. Falls Ihr als Web-Agentur als Halter fungiert (was übrigens bei einem Agencyserver automatisch der Fall ist) könnt Ihr Euren Kunden eine eigene Vereinbarung anbieten. Da könnt Ihr Euch gerne bei unserer Vereinbarung inspirieren lassen. Wie immer gilt: Für Abklärungen im Einzelfall, bei Unklarheiten und im Zweifelsfall empfiehlt sich die Beratung durch eine Fachperson wie beispielsweise einen Rechtsanwalt.

Daniel
Daniel 3. Juni 2018 16:59

Guten Tag zusammen,
Ich bin total verunsichert über die DSGVO. Wir haben einen kleinen Bauernhof (Familienbetrieb) und eine Webseite wo wir auch einen Newsletter anbieten. Unser Angebot ist eigentlich nur für Leute die in der Schweiz wohnhaft sind, interessant, da unser Produkt (Lebensmittel) aufgrund seiner Beschaffenheit in wenigen Stunden beim Kunden sein muss. Daher können wir auch nur regional, maximal schweizweit liefern/versenden.
Trotzdem kann die Webseite natürlich aus der ganzen Welt aufgerufen werden. Bestellt werden kann über ein Bestellformular, per Email oder Telefon. Betrieben wird das ganze mit Contao 2.11.

Ich habe schlicht und einfach keine Zeit mich mit dem “Monstrum” DSGVO auseinanderzusetzen, da ich bereits mit der eigentlichen Arbeit als Landwirt vollständig ausgelastet bin. Die Webseite ist für uns auch nicht unbedingt lebensnotwendig. Der verschwindend kleine Umsatz den wir pro Jahr mit der Webseite generieren (dürfte maximal dem Monatslohn einer Putzfrau entsprechen), rechtfertigt den Betrieb einer Webseite eigentlich kaum. Ich betreibe die Webseite als Hobby und aus Freude am Webdesignen. Daher steht natürlich auch kein Budget für einen Rechtsanwalt zur Verfügung.

Ich hatte ursprünglich die Idee, Webseiten aus EU-Ländern per htaccess zu blockieren, aber auf die Schnelle habe ich keine gute Lösung gefunden.
Jetzt bin ich drauf und dran, die Webseite ganz abzuschalten weil ich es mir unmöglich leisten kann, irgendwelche Forderungen/Bussen zu riskieren.

Vielleicht hat jemand hierzu irgendeine Idee was ich machen könnte, bzw. wie vorgehen, damit ich möglichst keine Probleme bekomme?

Martin Steiger
Martin Steiger 18. Juni 2018 15:41

@Daniel:

So wie Du Eure Website beschreibst, seid Ihr von der DSGVO vermutlich nicht betroffen. Wenn Du auf Nummer sicher gehen möchtest, verzichtest Du auf die Bearbeitung von Personendaten ohne direkten Zusammenhang mit Eurem Angebot. Man kann Websites zum Beispiel auch ohne Google Analytics betreiben.

Die Abrufbarkeit auch aus Mitgliedstaaten der EU allein genügt nicht, damit Eure Website unter die DSGVO fällt. Solltet Ihr hingegen an Personen in der EU verkaufen, dann gilt die DSGVO diesbezüglich für Euch, aber dann hättet Ihr auch schon ohne DSGVO das Recht der betreffenden EU-Mitgliedstaaten einhalten müssen …

Gleichzeitig finde ich Deine Argumente, Du hättest weder Budget noch Zeit, nicht überzeugend. Klar, das stimmt in der Sache, aber man sollte eine Aktivität nicht zum «Hobby» erklären und dann den Anspruch haben, sich nicht um die rechtlichen Voraussetzungen kümmern zu müssen. Ich habe zum Beispiel keine Zeit, mich um die rechtlichen Voraussetzungen für die Tierhaltung zu kümmern und ergo verzichte ich auf dieses «Hobby». Und dort, wo ich zu wenig von der Sache verstehe oder eben zu wenig Zeit habe, muss ich halt Geld in die Hand nehmen und Fachkompetenz einkaufen, zum Beispiel für das Hosting bei Cyon.

Philipp Zeder
Philipp Zeder cyon
6. Juni 2018 11:41

Hi Daniel, merci für Deinen Kommentar. Ich kann Deine Verunsicherung nachvollziehen, Du bist damit nicht alleine. Nach meinem Verständnis herrscht auch bei Fachpersonen noch grosse Unsicherheit, wie sich das mit der DSGVO einpendeln wird. Entsprechende Gerichtsentscheide fehlen da schlichtweg noch. Soweit ich das beurteilen kann, weisst Du aber schon sehr genau, wo Du mit der Website möglicherweise personenbezogene Daten verarbeitest. Das ist ein wichtiger Schritt. Besucher aus EU-Ländern zu blockieren, halte ich persönlich (und als juristischer Laie) für übertrieben. Gerade dann, wenn Du Dich mit Deiner Website sowieso klar an Schweizer Kunden wendest und keine heiklen Tools wie Google Analytics oder Facebook Pixel nutzt, bei denen ungefragt Cookies gespeichert und Daten gesammelt bzw. verarbeitet werden. Schau Dir auf jeden Fall einmal http://dsat.ch/anleitung/ an und gehe die PDF-Formulare dort durch. Spätestens mit dem neuen Bundesgesetz über den Datenschutz (DSG) wird das Thema auch für Unternehmen wichtig, die ausschliesslich eine Schweizer Kundschaft ansprechen.

Trompeterschwan
Trompeterschwan 2. Juni 2018 13:06

Wann wird eine konsequente WHOIS-Privacy bei euch umgesetzt? ?

Philipp Zeder
Philipp Zeder cyon
4. Juni 2018 14:23

Im Zuge der DSGVO ist unser Domain-Partner dazu übergangen, einen Grossteil der im Whois sichtbaren Informationen zu verschleiern. Mehr dazu in Kürze hier im Blog.

Edi
Edi 29. Mai 2018 12:29

Viel Verunsicherung und Verärgerung für nichts: Die Schweiz macht bei der DSGVO nicht mit.

In einem Interview mit dem “Blick” erklärte Adrian Lobsiger, der obesrste Datenschützer der Schweiz:

“[…] meine Behörde wird nicht fremdes Recht durchsetzen.”

Und:

“[…] wir können nicht dulden, dass irgendwelche EU-Behörden auf Schweizer Boden hoheitliche Handlungen durchführen! Sollte jemand Post von einer EU-Datenschutzbehörde erhalten, kann er sich an uns wenden und wir werden mit unseren europäischen Kollegen Kontakt aufnehmen. Wir müssen jetzt nicht auf Panik machen.”

Das vollständige interview kann aufgerufen werden unter

https://www.blick.ch/incoming/datenschuetzer-adrian-lobsiger-zu-transparenz-im-internet-je-laenger-wir-zoegern-umso-verwundbarer-werden-wir-id8422684.html

Martin Steiger
Martin Steiger 1. Juni 2018 09:10

@Edi:

Die Schweiz macht bei der DSGVO nicht mit, aber das hilft Ihnen nicht, wenn Sie trotzdem von der DSGVO betroffen sind …

Es handelt sich nicht um das erste Rechtsgebiet, wo ausländisches Recht auch für Websites in der Schweiz gelten kann. In Bezug auf Deutschland galt bislang schon in Teilen das deutsche Bundesdatenschutzgesetz (BDSG) und für Onlineshops mit Kunden in Deutschland ist es alltäglich, deutsches Recht einhalten zu müssen.

Wenn Sie eine Abmahnung aus Deutschland erhalten, wenn Sie in Deutschland eingeklagt werden oder wenn Sie Post von einer deutschen Behörde erhalten, wird Ihnen der EDÖB voraussichtlich nicht weiterhelfen können. Angesichts von weniger als 30 Vollzeitstellen beim EDÖB müssen Sie froh sein, wenn Sie innert nützlicher Frist überhaupt eine abschlägige Antwort erhalten.

Allerdings sehe ich das grösste Risiko nicht bei ausländischen Aufsichtsbehörden, sondern bei betroffenen Personen. Ein weiteres Risiko sind vertragliche Verpflichtungen, denn in vielen Fällen muss man sich ausdrücklich verpflichten (oder hat sich schon dazu verpflichtet), das Datenschutzrecht einschliesslich DSGVO einzuhalten.

Mer
Mer 25. Mai 2018 19:32

Hallo Zusammen! Spannend… und wie steht es mit Mail, die in meiner Mailbox landet. Enthält diese nicht IP Adressen, welche als sensitive Daten deklariert sind. Wie steht es da mit dem Recht auf Vergessen, Auskunft, …

Philipp Zeder
Philipp Zeder cyon
28. Mai 2018 15:10

Danke für die Frage, Mer. In den Header-Zeilen einer E-Mail sind jeweils eine Menge Meta-Informationen gespeichert, das ist richtig. Die IP-Adresse des Absenders ist in der Regel jedoch nicht sichtbar, da die E-Mail von über einen Mailserver verschickt wird (dessen IP-Adresse aber natürlich protokolliert wird bzw. in den Header-Zeilen sichtbar ist). Bei gespeicherten E-Mails dürften die Interessen des Empfängers jeweils überwiegen, da er z.B. im Unternehmensumfeld gesetzliche Aufbewahrungspflichten hat. Wie immer, müsste das aber eine juristische Fachperson im konkreten Fall beurteilen.

Pat Müller
Pat Müller 25. Mai 2018 16:22

Danke für die wertvollen Infos!

Ich finde den (angeblich) ebenfalls DSGVO-konformen Datenschutzerklärungs-Generator der activeMind AG noch toll:

https://www.activemind.de/datenschutz/datenschutzhinweis-generator/

Philipp Zeder
Philipp Zeder cyon
28. Mai 2018 15:03

Vielen Dank für den Link, Pat.

Anton
Anton 25. Mai 2018 10:44

Danke für Euren Service.

Gibt es das Muster zur Erfüllung der datenschutzrechtlichen Informationsplichten auch in französischer und italienischer Sprache?

Philipp Zeder
Philipp Zeder cyon
28. Mai 2018 15:03

Das Muster ist zurzeit nur in deutscher Sprache verfügbar. Wir nehmen den Wunsch aber gerne auf unsere Feature-Request-Liste.

Phil
Phil 25. Mai 2018 10:13

Vielen Dank für die Erläuterungen zur DSGVO und der ADV-Vereinbarung, welche amtsschimmligen Vorstellungen von notwendigen Verträgen hoffentlich gerecht wird.

Apropos amtsschimmlig: was ich geradezu atemberaubend an der DSGVO finde (abgesehen davon, dass sie ihren Zweck der Zurückbindung der «Grossen» wie Google und Facebook wohl schon jetzt verloren hat) ist die Bandbreite der daraus erfolgten Datenschutzerklärungstexte.

So klaffen zwischen dem ohne anhaltende Kopfschmerzen kaum lesbaren Resultat des https://datenschutz-generator.de und dem Resultat aus https://www.activemind.de/datenschutz/datenschutzhinweis-generator/ meines Erachtens Welten, vom locker-flockigen Text aus der WordPress-eigenen Datenschutz-Leitfaden ganz zu schweigen.

Faszinierend, wie ein gewisses Spitzohr sagen würde.

Philipp Zeder
Philipp Zeder cyon
28. Mai 2018 15:01

Merci für Deinen Kommentar, Phil. Es bleibt auf jeden Fall spannend, wie sich das Thema DSGVO weiterentwickeln wird :)

Roger
Roger 25. Mai 2018 08:47

Würde gerne mal fragen wie das mit Youtube Videos, respektive Videos allgemein aussieht.
Darf ich nun kein einziges Video mehr Online stellen wo öffentlicher Bereich zu sehen ist ohne komplett alles zu verpixeln?
Ich habe eine DashCam im Fahrzeug um interessante Szenen für den Schulunterricht zu Filmen. Wenn etwas ganz speziell ist und es sich lohnt, mache ich daraus ein Video und stelle es Online.
Aber wenn ich das richtig verstanden habe müsste ich alles derart verpixeln, das man nichts mehr sieht.
Wäre das auch so wenn ich mit dem Smartphone Filme?

Bernd
Bernd 2. Juni 2018 15:08

Auf jeden Fall youtube-nocookie.com statt youtube.com beim einbetten verwenden (“privacy-enhanced mode”).

Philipp Zeder
Philipp Zeder cyon
28. Mai 2018 11:55

Hi Roger, danke für die Frage. Ich als rechtlicher Laie würde solche Videos im Licht der DSGVO (und dem bald kommenden Schweizer DSG) als durchaus heikel einschätzen. Ich würde das an Deiner Stelle mit einer juristischen Fachperson abklären lassen.

Martin Zoller
Martin Zoller 24. Mai 2018 23:15

Mir ist immer noch nicht klar, wie die EU ihr “Marktortprinzip” in der Schweiz durchsetzen will? Ich unterstehe als privater Schweizer Website-Betreiber ja nicht plötzlich der EU-Rechtsprechung, egal woher meine Besucher stammen. Gut möglich, dass mit dem revidierten Schweizer Datenschutzgesetz Änderungen fällig werden, aber bis dahin sehe ich keinen Grund dazu. Mal davon abgesehen, dass es irgendwo lächerlich ist, wenn nun jede Website darauf hinweisen muss, dass sie Daten aufzeichnet, die nun mal jede Website aufzeichnet… wäre die Gastronomie vergleichbar reguliert, müsste künftig jeder Restaurantbetreiber auf der Speisekarte deklarieren, welche seiner Gerichte Wasser enthalten!

Martin Steiger
Martin Steiger 30. Mai 2018 20:55

Ausländisches Datenschutzrecht – zum Beispiel das deutsche Datenschutzrecht – konnten schon vor der DSGVO für Schweizer Websites anwendbar sein. Beim E-Commerce ist ja auch kein Thema, dass man deutsches Recht einhalten muss, wenn man Kunden in Deutschland ansprechen und bedienen möchte. Nur sorgte dieser Umstand bislang nicht für Schlagzeilen. So gab es auch bislang schon Datenschutz-Abmahnungen, zum Beispiel bei fehlendem «Double Opt-in» beim Newsletter-Versand.

Das grösste Risiko sehe ich allerdings nicht in Massnahmen von Behörden, sondern in rechtlichen Schritten von betroffenen Personen und in vertraglichen Verpflichtungen, die man eingehen muss. Wie reagierst Du, wenn ein wichtiger deutscher Kunde die Einhaltung der DSGVO verlangt? Und wenn Du darauf eingehen musst, folgt daraus, dass Du bei Deinen Auftragsbearbeitern selbst die Einhaltung gewährleisten musst und so weiter …

datensch(m)utz
datensch(m)utz 24. Mai 2018 21:36

für österreich ist die folgende vorlage der wko (wirtschaftskammern österreichs), in der pflichtmitgliedschaft für die meisten gewerbe besteht, relevant und wohl am gebräuchlichsten.

Datenschutzerklärung
Muster zur Erfüllung der datenschutzrechtlichen Informationspflichten für Webseiten

Raphael Huber
Raphael Huber 24. Mai 2018 21:28

Mir ist nicht klar was ich bezüglich dem Google Analytics Tracking in Joomla und WordPress machen soll…
Zudem auch nicht inwiefern Joomla und WordPress auch ohne Plugins irgendwie berücksichtigt werden müssen.

Philipp Zeder
Philipp Zeder cyon
24. Mai 2018 22:52

Für die möglichst rechtssichere Nutzung von Google Analytics habe ich den Beitrag von Thomas Schwenke zum Thema sehr praktisch gefunden. WordPress bietet ab Version 4.9.6 zusätzliche Datenschutzfunktionen und für Joomla fand ich den Beitrag von Roger von Joomla!Info hilfreich.

Pelikan
Pelikan 2. Juni 2018 12:48

Oder eine freie Alternative nutzen wie Matamo/Piwik ?

Marcel
Marcel 24. Mai 2018 21:05

Danke für den aktuellen Status und die ADV – super!
Wie schaut es jetzt mit den Logfiles aus? Wie lange werden die aufbewahrt und gibt es eine automatische Löschung? Kann man das selbst einstellen?

Danke sehr für Eure Arbeit!

Philipp Zeder
Philipp Zeder cyon
24. Mai 2018 22:42

Hi Marcel, sehr gerne. Die rohen Serverlogs werden täglich geleert, die darin enthaltenen Zugriffsdaten sind also maximal 24 Stunden alt. Mit der Aktivierung der RAW-Logs-Funktion kannst Du die rohen Serverlogs bei Bedarf auch länger gespeichert lassen. Die standardmässig mit AWStats generierten Statistiken werden nicht automatisch gelöscht. Eine Anleitung, wie Du diese Daten löschen kannst, findest Du in diesem Kommentar. Wir prüfen zurzeit verschiedene Lösungen, um die AWStats-Statistiken noch datensparsamer zu machen.

Kormoran
Kormoran 2. Juni 2018 12:53

Kann man das speichern der IP und des Referrers bei euch auch gänzlich unterbinden?
Wie macht ihr das mit der gleichzeitigen VDS von BÜPF/NDG?

Philipp Zeder
Philipp Zeder cyon
4. Juni 2018 14:21

Das Speichern der IP und des Referrers kann nicht unterbunden werden, da diese Daten für die Gewährleistung der Sicherheit und Stabilität unserer Systeme nötig sind. Da wir die Grössen nicht erreichen, um eine «Anbieterin abgeleiteter Kommunikationsdienste mit weitergehenden Auskunftspflichten» zu sein, sind wir vorerst nicht verpflichtet die Verbindungsdaten für den im BÜPF vorgesehenen Zeitraum aufzubewahren.

Rolf Wilhelm
Rolf Wilhelm 24. Mai 2018 20:31

Ich finde es übrigens spannend, das ausgerechnet das Datenschutz Self Assessment Tool DSAT eine Webseite ist, die nicht via https erreicht werden kann.

Martin Steiger
Martin Steiger 30. Mai 2018 20:51

Ja, das ist tatsächlich «spannend». Man kann allerdings argumentieren, dass es sich um eine ausschliesslich informative Website handelt, wo SSL / TLS nicht zwingend ist. Wenn man Kunde bei Cyon ist, fällt die Entscheidung für SSL / TLS aber leicht! ?

Philipp Zeder
Philipp Zeder cyon
24. Mai 2018 22:37

In der Tat spannend. In Zeiten von Let’s Encrypt eigentlich nicht mehr nachvollziehbar :)

Patrick
Patrick 24. Mai 2018 20:22

A) Ist mit der Datenschutzerklärung die Besucherstatistik legitimisiert? Darin werden ja IP Adressen und das rudimentäre “Surfverhalten” gesammelt (IP gehört ja zu den persönlichen Daten), damit müsste man doch dem Besucher eine Opting-Out Funktion bieten können (wie bei Analytics oder Matomo), was aber meines Wissens nicht möglich ist.
Beim Error Log ist es für mich nachvollziehbar, das benötigt man für den Betrieb, aber die Besucherstatistik eigentlich nicht.

B) Gibt es eine Möglichkeit die Besucherstatistiken generell im Hosting auszuschalten?

Philipp Zeder
Philipp Zeder cyon
24. Mai 2018 22:31

Hi Patrick, wir gehen davon aus, dass mit dem von uns vorgeschlagenen Text auch die mit AWStats generierten Statistiken legitimisiert sind. Anhand der AWStats-Statistiken ist es nicht ohne weiteres möglich, einen Personenbezug herzustellen. Wir prüfen zurzeit mehrere Optionen, wie wir die automatisch generierten Statistiken noch datensparsamer machen können. Du kannst die bereits generierten Statistiken jederzeit via SFTP/SSH löschen, die Daten befinden sich jeweils im Verzeichnis ~/tmp/awstats.

Patrick
Patrick 28. Mai 2018 16:09

Soweit ich das verstehe lösche ich damit aber einfach die bestehende Statistik. Wie kann ich jedoch awstats komplett abschalten?

Tukan
Tukan 2. Juni 2018 12:45

Versuch es doch mal mit chmod 0 ~/tmp/awstats.

Philipp Zeder
Philipp Zeder cyon
29. Mai 2018 11:34

Das ist korrekt. AWStats lässt sich zurzeit nicht komplett abschalten, wir arbeiten jedoch an einer Lösung, die die generierten Statistiken noch datensparsamer macht.

Patrick
Patrick 30. Mai 2018 14:17

Ja, das hab ich gelesen. Ich möchte das Teil aber ganz abstellen können. Dies müsste ja leichter zu realisieren sein.