Skip to content Ein Redaktionssystem verarbeitet selten direkte Personendaten — aber Mitarbeiter-Konten, Audit-Logs, Cookie-Daten der publizierten Websites und Adressdaten aus Adressbüchern fallen sehr wohl in den Geltungsbereich von DSGVO (EU) und revDSG/nDSG (Schweiz, seit 01.09.2023). Dieser Beitrag fasst zusammen, worauf Sie bei der Auswahl und beim Betrieb eines Redaktionssystems achten sollten.
Welche Personendaten ein Redaktionssystem verarbeitet
- Mitarbeiter-Logins mit Name, E-Mail, Rolle, ggf. Telefonnummer
- Audit-Log-Einträge mit User-IDs zu jeder Änderung
- Verfasser-Metadaten auf publizierten Stories (Autorin, Foto, Vita)
- Empfänger-Daten in Newsletter-Adapterm (E-Mail-Listen aus dem CRM)
- Tracking-Daten der angeschlossenen Websites (Google Analytics, Plausible)
- Login-Audit-Trails mit IP-Adresse und User-Agent
Was DSGVO und revDSG konkret verlangen
- Auftragsbearbeitungsvertrag (AVV/DPA) nach Art. 28 DSGVO bzw. Art. 9 revDSG mit allen Auftragsbearbeitern (Software-Anbieter, Hosting, Newsletter-Tool)
- Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO / Art. 12 revDSG
- Datenschutzerklärung auf allen angeschlossenen Web-Auftritten
- Auskunfts-, Berichtigungs- und Löschrechte der betroffenen Personen — auch innerhalb des Redaktionssystems
- Datenübermittlung ins Ausland nur mit zulässiger Rechtsgrundlage (Angemessenheitsbeschluss, Standardvertragsklauseln, Privacy Framework)
- Technische und organisatorische Massnahmen (TOM) — verschlüsselte Übertragung, Zugriffsmanagement, Backup, Löschkonzept
Wo Schweizer Unternehmen besonders aufpassen müssen
- Hosting-Region: Schweizer Hosting ist der einfachste Weg zu revDSG-Compliance — keine Drittlanddiskussion nötig
- Auftragsbearbeitungsvertrag mit Schweizer Vertragspartner: Sprache Deutsch/Französisch/Italienisch, Vertragsschluss nach Schweizer Recht
- Newsletter-Adapter ins Ausland: Mailchimp und ähnliche US-Tools laufen über den EU-US Data Privacy Framework (DPF); Schweizer Pendant Swiss-US DPF seit 09/2024 anerkannt
- Externe Datenschutzberatung — empfehlenswert, oft sogar Pflicht je nach Branche und Größe
Wie die Story Box DSGVO/revDSG umsetzt
- Schweizer Hosting in einem St. Galler Rechenzentrum (Kernbrand AG)
- Auftragsbearbeitungsvertrag (AVV/DPA) nach Art. 9 revDSG zwischen Cavelti AG und Story-Box-Kunden — Standard-Vorlage liegt im Setup-Projekt
- Audit-Log für alle redaktionellen Änderungen
- Berechtigungs-Modell mit feingranularen Rollen (Redakteur, Reviewer, Approver, Admin)
- Datenexport für Auskunfts-Anfragen — Cavelti liefert nach Aufforderung alle gespeicherten Daten einer betroffenen Person
- Externe Datenschutzberatung der Cavelti AG durch Data One GmbH (Buochs)
Checkliste vor der Implementierung
- [ ] Welche Personendaten verarbeitet das Redaktionssystem konkret?
- [ ] Wer ist der Software-Anbieter? Sitz und Rechtsraum?
- [ ] Wo wird gehostet? Schweiz, EU, USA?
- [ ] Gibt es einen Standard-AVV/DPA-Vertrag?
- [ ] Welche Channel-Adapter ziehen Daten ins Ausland (Mailchimp, LinkedIn, etc.)?
- [ ] Wie wird mit Auskunftsanfragen umgegangen?
- [ ] Wie lange werden Audit-Logs aufbewahrt?
- [ ] Wie ist das Backup-Konzept (Region, Aufbewahrungsdauer)?
- [ ] Gibt es einen Löschmechanismus für ausgeschiedene Mitarbeiter?
- [ ] Wer ist Ihr interner / externer Datenschutzbeauftragter?
Disclaimer
Dieser Beitrag ist eine fachliche Übersicht und ersetzt keine juristische Beratung. Für die konkrete Umsetzung in Ihrem Unternehmen empfehlen wir einen Datenschutzberater. Cavelti arbeitet eng mit Data One GmbH in Buochs zusammen.
Lassen Sie Ihren Setup prüfen
Sie wollen wissen, ob Ihr aktuelles Redaktions-Setup revDSG-konform ist? Sprechen Sie mit Marcel Bieri über Ihre Datenflüsse — wir bringen Data One GmbH gerne ins Gespräch. Beratungs-Termin anfragen oder direkt anrufen: +41 71 388 81 84.