Datenschutzerklärungen nach neuem Datenschutzgesetz erstellen

Fast alle Webseiten benötigen eine Datenschutzerklärung. Meistens wird im Cookie-Banner auf die Datenschutzerklärung verwiesen. Weiter muss die Datenschutzerklärung auf der Homepage auffindbar sein z.B. durch eine Verlinkung in der Fusszeile. Aber auch Unternehmen, welche keine Webseite betreiben, benötigen eine Datenschutzerklärung, sobald personenbezogene Daten erhoben werden.

Eine Datenschutzerklärung soll betroffenen Personen (Art. 3 lit. b DSG) aufzeigen, inwiefern ein Unternehmen Personendaten nutzt und verarbeitet. Die Datenverarbeitung umfasst jeden Umgang mit personenbezogenen Daten (Art. 3 lit. e DSG). Im neuen schweizerischen Datenschutzgesetz (nDSG), welches am 1.September 2023 in Kraft tritt, wird unter anderem eine Erweiterung der Informationspflichten eingeführt.

In Artikel 19 Abs. 2 nDSG sind folgende Mindestinhalte aufgeführt:

“Er teilt der betroffenen Person bei der Beschaffung diejenigen Informationen mit, die erforderlich sind, damit sie ihre Rechte nach diesem Gesetz geltend machen kann und eine transparente Datenbearbeitung gewährleistet ist; er teilt ihr mindestens mit:

• die Identität und die Kontaktdaten des Verantwortlichen;

• den Bearbeitungszweck;

• gegebenenfalls die Empfängerinnen und Empfänger oder die Kategorien von Empfängerinnen und Empfängern, denen Personendaten bekanntgegeben werden.”

Die datenschutzrechtliche Verantwortung liegt beim jeweiligen Unternehmen. Eine Zurechnung von Verletzungen der Strafbestimmungen innerhalb des Unternehmens erfolgt jedoch bei den Leitungspersonen. Es sind aber auch Fälle denkbar, in welchen Personen ohne Leitungsfunktion für Verstösse sanktioniert werden können. Kurz gesagt, es werden somit in der Schweiz nicht die Unternehmen selbst gebüsst, wie es die europäische DSGVO vorsieht, sondern die dahinterstehenden verantwortlichen Privatpersonen. In Bagatellfällen kann somit anstelle der verantwortlichen Person das Unternehmen zur Bezahlung der Busse verurteilt werden.

Eine Arbeitgeberin oder ein Arbeitgeber speichert und bearbeitet selbstredend personenbezogene Daten von Mitarbeitenden. Hierbei handelt es sich oft auch um besonders schützenswerte Personendaten. Daher müssen die Mitarbeiterinnen und Mitarbeiter über die Speicherung und die Art der Verarbeitung ihrer personenbezogenen Informationen aufgeklärt werden. Hier empfiehlt sich eine Datenschutzerklärung gegenüber Mitarbeitenden.

Bei einer Übermittlung von personenbezogenen Daten in andere Länder muss stets kontrolliert werden, ob diese Länder über einen angemessenen Schutz von Personendaten verfügen. Der Bundesrat veröffentlichte hierzu eine entsprechende Liste (bis im September 2023 wird diese Liste weiterhin durch den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten [EDÖB] geführt).

Hier ist zu beachten, dass relativ schnell eine solche Übermittlung stattfindet: Viele Unternehmen setzen bspw. Software von Anbietern aus den USA ein. Die USA verfügen jedoch nicht über einen angemessenen Datenschutz, weshalb bei einer Übermittlung von personenbezogenen Daten (also auch bei einer Bearbeitung in der Cloud) sogenannte Standardvertragsklauseln (SCC) geschlossen werden müssen. Der EDÖB anerkennt die europäischen SCC mit einigen für die Schweiz relevanten Anpassungen (vgl. Übermittlung ins Ausland (admin.ch).

Heute bieten alle herkömmlichen Content-Management-Systeme (CMS) eine Vielzahl von Plugins und Dienste an: Analytics und Tracking-Plugins wie beispielsweise Google Analytics, Plugins von Social Media-Plattformen oder auch Newsletter-Dienste. Diese können oft mit einem Klick und kostenlos auf der Homepage installiert werden. Der Einsatz dieser Dienste ist aus Sicht des Datenschutzes äusserst relevant. Selbst unscheinbare Dienste für Kartenmaterial, Schriftarten, Videos oder der Spamschutz von Google (reCAPTCHA) übermitteln oft personenbezogene Informationen von Nutzerinnen und Nutzern an Drittdienstleister und müssen entsprechend aufgeführt sein. Als Webseiten-Betreiberin oder Webseiten-Betreiber müssen sie all diese Plugins und Dienste aufführen und über die Verarbeitung der Personendaten informieren. Bei einer Übermittlung in andere Länder ohne angemessenen Schutz (vgl. Liste des EDÖB und ab dem September 2023 des Bundesrates) müssen die entsprechend strengeren Vorschriften beachtet werden.

Für die Erstellung einer Datenschutzerklärung muss klar sein, welche Personendaten in welcher Form auf der Webseite beschafft werden. Weiter muss klar sein, wofür und wo diese Personendaten bearbeitet werden. Diese Informationen muss der Website-Betreiber oder die Webseite-Betreiberin in Form einer Datenschutzerklärung erfassen und auflisten. Möchte ein Unternehmen auf Nummer sicher gehen, ist es empfehlenswert, die Datenschutzerklärung durch Spezialisten oder eine Anwältin bzw. einen Anwalt prüfen zu lassen.

Die Erstellung einer Datenschutzerklärung bietet so manchen Stolperstein. Die Möglichkeit, einen Fehler zu begehen ist gross und die Folgen können zeitaufwändig und teuer sein. Folgende Fehler sind beim Erstellen einer Datenschutzerklärung häufig zu beobachten:

• Der Inhalt der Datenschutzerklärung ist veraltet. Neue Softwaretools, welche in einem Unternehmen eingeführt werden, sind nicht nachgeführt.
• Falscher Inhalt. Es werden Inhalte kopiert oder von Datenschutz-Generatoren übernommen, welche nicht korrekt oder angepasst sind z.B. eine Anonymisierung von IP-Adressen.
• Unvollständiger Inhalt in der Datenschutzerklärung, z.B. fehlende Plugins oder Dritt-Dienste
• Link zur Datenschutzerklärung ist nicht auffindbar
• Webseiten einer Schweizer Betreiberin oder eines Schweizer Betreibers, welche der europäischen Datenschutz-Grundverordnung (DSGVO) unterstehen haben keinen EU-Datenschutz-Vertreter aufgelistet.

Mit dem Rechtspacket Datenschutzerklärung unterstützt dich YLEX bei der Erstellung der Datenschutzerklärung für deine Webseite.