Die Auswirkungen des revidierten Datenschutzgesetzes auf das Hosting.

Bevor wir über die Datenschutzgesetz Revision sprechen, ein paar Zeilen zum allgemeinen Verständnis*.

Wer an das Speichern von schützenswerten und/oder personenbezogenen Daten denkt, denkt manchmal nur an den physikalischen Standort der Server. Doch das ist lediglich einer von zwei relevanten Faktoren. Genauso bedeutend ist der juristische Sitz eines Unternehmens. Die Firma unterliegt automatisch dem national geltenden Recht. Amazon oder Microsoft dem US-Recht, deutsche Serveranbieter dem deutschen Recht und Schweizer Unternehmen dem Schweizer Recht.

Inwiefern ist das relevant? Die Einsicht in Daten durch die Regierung unterscheidet sich in gewissen Punkten. Ein Beispiel bezogen auf das Hosting von E-Mail-Konten: Während in der EU und den USA Nachrichtensperren erlassen werden können, um zu verhindern, dass eine Person erfährt, dass gegen Sie ermittelt oder Sie beobachtet wird, hat in der Schweiz die Staatsanwaltschaft die Pflicht zu informieren (Quelle: EJP - Post- und Fernmeldekehr ÜPF).

Kommen wir zum Thema des Server Standorts. Das revidierte Datenschutzgesetz (revDSG) baut die Informationspflicht aus. Dazu gehört auch, die Betroffenen zu informieren, wenn ihre Daten ins Ausland übermittelt und gespeichert werden. Unter Angabe jedes einzelnen Staates! (Quelle: Artikel 19, Abs. 4)  Praktisches Beispiel: ist auf der Optiker-Website ein Kontaktformular, bei welchem eine Person zum Beispiel eine Angabe zu den eigenen Augen macht (Gesundheitsdaten) und wird diese Website auf einem Server in Deutschland gehostet, sind betroffenen Personen (die Besucher der Website, die Ihre Daten eingeben wollen) darüber zu informieren.

Das führt uns zur Frage: kann zum Beispiel der Webserver mit einem Überweisungsformular für die Ärzte in der EU betrieben werden? Ja – wenn die betroffenen Personen, in diesem Fall die Patienten, darüber informiert werden. Was in diesem Beispiel nicht dem Arzt, sondern der Anbieterin des Überweisungsformular als Datenverantwortliche obliegen würde.

Wenn Sie Anbieter einer SaaS-Lösung sind, haben Sie beim Betrieb auf einer Amazon- oder Azure- Cloud die Pflicht, die Kunden über die Bekanntgabe ihrer Daten ins Ausland zu informieren. Gleiches gilt, wenn Sie zum Beispiel Mailchimp nutzen und die Empfängerliste mit personenbezogenen Daten wie dem Geburtstag anreichern.

Ein Outsourcing bei einem Schweizer Outsourcing Partner dürfte einen weiteren Vorteil haben. Bei einer Datenschutzverletzung gilt eine rasche Meldepflicht. Dieser Vorgang könnte mit einem hiesigen Anbieter einfacher einzuhalten sein. Ob Schweiz oder Ausland als Serverstandort: gerade bei schützenswerten personenbezogenen Daten wird die Wahl des Outsourcing-Anbieters definitiv zu einer Vertrauenssache.

* der Artikel erhebt keinen Anspruch auf eine juristische Beratung. Verbindliche Auskünfte erhalten Sie bei Juristen und spezialisierten Rechtsanwälten.

Formulare

Formulare für die Übermittlung von Mutationen in Verbindung mit Domains und den Zugängen zu den Servern.

Datenschutz beim Newsletter

Wann ist eine Newsletter Spam?

In Verbindung mit der Zustellung «unerwünschter» E-Mail stützt man sich gerne auf das UWG §3, Abs. 1 lit. o. In diesem Absatz wird die fernmeldetechnische Sendung von Massenwerbung erwähnt.

Doch wann gilt ein Newsletter als Werbung?

Diese Frage ist zentral. Denn das Bundesgesetz gegen den unlauteren Wettbewerb spricht im §3 über «unlautere Verkaufs- und Werbemethoden». Somit ist nicht die Zustellung einer E-Mail an einen Empfänger, der nicht darum gebeten hat, an sich ein Verstoss gegen dieses Gesetz. Genauso wenig spielt die technische Aufmachung der E-Mail eine Rolle. Eine schön gestaltete HTML-E-Mail Nachricht ist an sich kein Kriterium für den Tatbestand einer «unerwünschten E-Mail».

Die Kernfrage lautet: was ist der Inhalt der Nachricht? Ist der Inhalt «Werbung», kommt das erwähnte Gesetz zum Tragen. Doch was ist Werbung?

Die Schweizerische Lauterkeitskommission definiert «kommerzielle Kommunikation (wir verwenden von nun an das Synonym «Werbung») [mit] jeder Massnahme, die eine Mehrheit von Personen systematisch in ihrer Einstellung zu bestimmten Waren, Werken, Leistungen oder Geschäftsverhältnissen zum Zweck des Abschlusses eines Rechtsgeschäftes oder seiner Verhinderung beeinflusst». (Quelle: http://www.faire-werbung.ch/wordpress/wp-content/uploads/2013/09/Grundsaetze.pdf)

Diese Kommission hat in einem unlängst gefällten Entscheid (Nr. 173/16) die Beschwerde einer Person gutgeheissen und dabei festgehalten, dass für die Zustellung von Werbung per E-Mail der Nachweis der Einwilligung zu erbringen ist. Sie stützt sich dabei auf den benannten Artikel 3 im UWG.

Den Tatbestand der Werbung würde auch ein Newsletter an eigene Fachhändler oder Kunden erfüllen, in welcher z.B. eine Produktanpassung beschrieben wird. An sich wird eine Mehrheit von Personen systematisch in ihrer Einstellung beeinflusst. Daraus einen gesetzlichen Strafbestand zu machen, läge jedoch weder im Interesse des Absenders noch der grossen Mehrheit der Empfängergruppe.

Aus diesem Grund gilt (momentan) eine Zustellung eines Werbe-Newsletters auch ohne «Opt-In» nicht als unlauter wenn a) zuvor eine Geschäftsbeziehung in Form eines Kaufes zustande kam und b) die wahre Identität des Absenders erkennbar ist und c) der Empfänger die Möglichkeit eines Opt-Outs hat. Man beachte die Verknüpfung dieser Voraussetzungen mit «und» und nicht mit «oder»: Alle drei Bedingungen müssen erfüllt sein.

Zusammenfassend ergeben sich zwei interessante Schlussfolgerungen:

  • Nicht jede E-Mail, die schön aufbereitet eintrifft, darf per se als «unerwünschte Werbung» klassifiziert werden. «C’est le contenu qui fait le corps du délit.»
  • Nicht jeder Werbe-Newsletter ist – in der Schweiz - ein Verstoss gegen das Bundesgesetz gegen den unlauteren Wettbewerb. Auch wenn kein nachweisbares Opt-In vorliegt. Aber: Vorsicht ist geboten.

Newsletter und die DSGVO.

Die am 28.05.2018 in der EU in Krarft getretene DSGVO (GDPR) sieht unter anderem eine Data Breach Notifiaction bei einem Datenschutz Vorfall vor.

Was bei SaaS Lösungen eine relativ klare Sache ist, gestaltet sich bei PaaS- und IaaS-Verträgen etwas schwieriger. Warum?

Es beginnt mit der einfachen Frage: woher weiss der Systembetreiber (PaaS) oder der Infrastruktur-Anbieter, ob personenbezogene (kundenidentifizierende/CID) Daten auf seinen Systemen und Servern gespeichert werden? Wer hat künftig angesichts des rechtlichen Kontextes die Verantwortung über dieses Wissen? Ist es eine Holschuld des Anbieters oder eine Bringschuld des Auftraggebers? Bisher bestand keine Holschuld seitens der Anbieter zu wissen, welche Daten (sehr oft bezogen auf die Inhalte einer Webseite und deren rechtlichen Konformität) der Auftraggeber speicherte. Erst wenn der Anbieter Kenntnis von widerrechtlichen Inhalten auf seinen Systemen hatte, musste er gewisse Abläufe einhalten. Ausgehend von der bisherigen Praxis wäre somit der Auftraggeber in der Verantwortung.

Folgen wir diesem Gedankengang, gibt dies der Auftraggeber bereits bei der Anfrage (RFQ) bekannt. Zusätzliche Prozesse und Services beeinflussen den Angebotspreis. So vermeidet man unbeliebte Vertragsanpassungen nach einem Vertragsabschluss. Der Auftraggeber tut gut daran, beim Servicevertrag (SLA) auf die Punkte in diesem Zusammenhang zu achten. Zum Beispiel auf die Data Breach Notification.

Nach Verständnis gewisser Experten ist der Anbieter in der Pflicht, einen Vorfall, der den Datenschutz tangiert, zu melden [so schreibt es zum Beispiel Jessica Hughes in einem Artikel der Government Technology, einem US-Magazin]. Die Frage ist: wem meldet dies der Anbieter? Wer ist sein Ansprechpartner hierfür? Welche Massnahmen muss der Anbieter in einem solchen Fall sicherstellen, in welcher Frist und welche "Beweise" (Logfiles usw.) muss er in welcher Art sichern? Ein ungeklärter juristischer Widerspruch öffnet sich: Dürfen die Logfiles mit personenbezogenen Daten über den Zeitraum von 6 Monaten präventiv zu Beweiszwecken aufbewahrt werden?

Microsoft hat für die Azure Cloud das Vorgehen definiert. Andere Paas- und IaaS-Anbieter werden noch Hausaufgaben machen müssen, um Serviceverträge bieten zu können, die diesen neuen Vorgaben gerecht werden. Auch ist nach unserem Rechtsverständnis noch nicht im Detail erkennbar, was der EU-Gesetzgeber mit der DSGVO exakt von einem Cloud-Anbieter erwartet bzw. inwieweit er in die Pflicht genommen wird. Im Moment ist davon auszugehen, dass sich die Schweiz mit dem revidierten DSG (Datenschutzgesetz) stark an der DSGVO der EU orientieren wird.

Aus eigener Erfahrung wissen wir, dass selbst die Definition, was personenbezogene Daten sind, unterschiedlich sein kann. So betrachten gewisse Auftraggeber die Datenbank für Newsletter-Sendungen als solche, wohingegen andere Auftraggeber bei dieser Definition grosszügiger sind. Für den IaaS- oder PaaS-Anbieter ändert sich dadurch wenig - er muss lediglich wissen, ob personenbezogene Daten verarbeitet werden oder nicht. Der Auftraggeber ist jedoch gut beraten, sich vom Anbieter seinen "Data Breach" Prozess aufzeigen zu lassen.

Diese Webseite verwendet Cookies. Durch die Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu.