Datenschutzerklärungen nach neuem Datenschutzgesetz erstellen

Für Webseiten ein Muss.

Fast alle Webseiten benötigen eine Datenschutzerklärung. Meistens wird im Cookie-Banner auf die Datenschutzerklärung verwiesen. Weiter muss die Datenschutzerklärung auf der Homepage auffindbar sein z.B. durch eine Verlinkung in der Fusszeile. Aber auch Unternehmen, welche keine Webseite betreiben, benötigen eine Datenschutzerklärung, sobald personenbezogene Daten erhoben werden.

Eine Datenschutzerklärung soll betroffenen Personen (Art. 3 lit. b DSG) aufzeigen, inwiefern ein Unternehmen Personendaten nutzt und verarbeitet. Die Datenverarbeitung umfasst jeden Umgang mit personenbezogenen Daten (Art. 3 lit. e DSG). Im neuen schweizerischen Datenschutzgesetz (nDSG), welches am 1.September 2023 in Kraft tritt, wird unter anderem eine Erweiterung der Informationspflichten eingeführt.

Personendaten

Bei Personendaten handelt es sich um personenbezogene Informationen, die sich auf eine bestimmte oder bestimmbare Person beziehen (Art. 3 lit. a DSG). Eine Datenschutzerklärung wird in den meisten Fällen für Nutzerinnen und Nutzer, sowie Kundinnen und Kunden erstellt. Oft vergessen gehen jedoch die Mitarbeitenden: Auch die Mitarbeiterinnen und Mitarbeiter müssen über die Bearbeitung ihrer Personendaten informiert werden. Deshalb muss ein Unternehmen grundsätzlich auch eine Datenschutzerklärung in Bezug auf ihre Mitarbeitenden erstellen.

Mindestinhalt für eine Datenschutzerklärung

In Artikel 19 Abs. 2 nDSG sind folgende Mindestinhalte aufgeführt:

“Er teilt der betroffenen Person bei der Beschaffung diejenigen Informationen mit, die erforderlich sind, damit sie ihre Rechte nach diesem Gesetz geltend machen kann und eine transparente Datenbearbeitung gewährleistet ist; er teilt ihr mindestens mit:

  • die Identität und die Kontaktdaten des Verantwortlichen;

  • den Bearbeitungszweck;

  • gegebenenfalls die Empfängerinnen und Empfänger oder die Kategorien von Empfängerinnen und Empfängern, denen Personendaten bekanntgegeben werden.”

Transparenz und Vollständigkeit

Grundsätzlich muss eine Datenschutzerklärung immer verständlich und transparent verfasst sein. Dennoch müssen beim Erstellen einer Datenschutzerklärung alle oben beschriebenen Mindestinhalte enthalten sein. Ist eine Datenschutzerklärung nicht korrekt oder unvollständig, riskiert das Unternehmen eine Beschwerde bei den Datenschutz-Aufsichtsbehörden. Daher ist es wichtig, dass eine Datenschutzerklärung in jedem Fall aktuell, vollständig und richtig ist. Ein Datum der Erstellung oder der letzten Aktualisierung ist nicht notwendig, da diese immer aktuell gehalten werden muss.

Für eine einfachere Darstellung empfehlen sich auch neue Konzepte wie bspw. die Privacy Icons des Vereins PRIVACY ICONS (www.privacy-icons.ch).

Datenschutzverantwortlicher

Die datenschutzrechtliche Verantwortung liegt beim jeweiligen Unternehmen. Eine Zurechnung von Verletzungen der Strafbestimmungen innerhalb des Unternehmens erfolgt jedoch bei den Leitungspersonen. Es sind aber auch Fälle denkbar, in welchen Personen ohne Leitungsfunktion für Verstösse sanktioniert werden können. Kurz gesagt, es werden somit in der Schweiz nicht die Unternehmen selbst gebüsst, wie es die europäische DSGVO vorsieht, sondern die dahinterstehenden verantwortlichen Privatpersonen. In Bagatellfällen kann somit anstelle der verantwortlichen Person das Unternehmen zur Bezahlung der Busse verurteilt werden.

Datenschutzerklärung für Mitarbeitende

Eine Arbeitgeberin oder ein Arbeitgeber speichert und bearbeitet selbstredend personenbezogene Daten von Mitarbeitenden. Hierbei handelt es sich oft auch um besonders schützenswerte Personendaten. Daher müssen die Mitarbeiterinnen und Mitarbeiter über die Speicherung und die Art der Verarbeitung ihrer personenbezogenen Informationen aufgeklärt werden. Hier empfiehlt sich eine Datenschutzerklärung gegenüber Mitarbeitenden.

Beratung anfordern

 

YLEX untertsützt dich mit dem passenden Rechtspaket bei der Erstellung der Datenschutzerklärung für Mitarbeitende.

Übermittlung in ein Drittland

Bei einer Übermittlung von personenbezogenen Daten in andere Länder muss stets kontrolliert werden, ob diese Länder über einen angemessenen Schutz von Personendaten verfügen. Der Bundesrat veröffentlichte hierzu eine entsprechende Liste (bis im September 2023 wird diese Liste weiterhin durch den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten [EDÖB] geführt).

Hier ist zu beachten, dass relativ schnell eine solche Übermittlung stattfindet: Viele Unternehmen setzen bspw. Software von Anbietern aus den USA ein. Die USA verfügen jedoch nicht über einen angemessenen Datenschutz, weshalb bei einer Übermittlung von personenbezogenen Daten (also auch bei einer Bearbeitung in der Cloud) sogenannte Standardvertragsklauseln (SCC) geschlossen werden müssen. Der EDÖB anerkennt die europäischen SCC mit einigen für die Schweiz relevanten Anpassungen (vgl. Übermittlung ins Ausland (admin.ch).

Einsatz von Drittdiensten

Heute bieten alle herkömmlichen Content-Management-Systeme (CMS) eine Vielzahl von Plugins und Dienste an: Analytics und Tracking-Plugins wie beispielsweise Google Analytics, Plugins von Social Media-Plattformen oder auch Newsletter-Dienste. Diese können oft mit einem Klick und kostenlos auf der Homepage installiert werden. Der Einsatz dieser Dienste ist aus Sicht des Datenschutzes äusserst relevant. Selbst unscheinbare Dienste für Kartenmaterial, Schriftarten, Videos oder der Spamschutz von Google (reCAPTCHA) übermitteln oft personenbezogene Informationen von Nutzerinnen und Nutzern an Drittdienstleister und müssen entsprechend aufgeführt sein. Als Webseiten-Betreiberin oder Webseiten-Betreiber müssen sie all diese Plugins und Dienste aufführen und über die Verarbeitung der Personendaten informieren. Bei einer Übermittlung in andere Länder ohne angemessenen Schutz (vgl. Liste des EDÖB und ab dem September 2023 des Bundesrates) müssen die entsprechend strengeren Vorschriften beachtet werden.

Erstellung für eine Webseite

Für die Erstellung einer Datenschutzerklärung muss klar sein, welche Personendaten in welcher Form auf der Webseite beschafft werden. Weiter muss klar sein, wofür und wo diese Personendaten bearbeitet werden. Diese Informationen muss der Website-Betreiber oder die Webseite-Betreiberin in Form einer Datenschutzerklärung erfassen und auflisten. Möchte ein Unternehmen auf Nummer sicher gehen, ist es empfehlenswert, die Datenschutzerklärung durch Spezialisten oder eine Anwältin bzw. einen Anwalt prüfen zu lassen.

Häufige Fehler bei der Erstellung einer Datenschutzerklärung

Die Erstellung einer Datenschutzerklärung bietet so manchen Stolperstein. Die Möglichkeit, einen Fehler zu begehen ist gross und die Folgen können zeitaufwändig und teuer sein. Folgende Fehler sind beim Erstellen einer Datenschutzerklärung häufig zu beobachten:

  • Der Inhalt der Datenschutzerklärung ist veraltet. Neue Softwaretools, welche in einem Unternehmen eingeführt werden, sind nicht nachgeführt.
  • Falscher Inhalt. Es werden Inhalte kopiert oder von Datenschutz-Generatoren übernommen, welche nicht korrekt oder angepasst sind z.B. eine Anonymisierung von IP-Adressen.
  • Unvollständiger Inhalt in der Datenschutzerklärung, z.B. fehlende Plugins oder Dritt-Dienste
  • Link zur Datenschutzerklärung ist nicht auffindbar
  • Webseiten einer Schweizer Betreiberin oder eines Schweizer Betreibers, welche der europäischen Datenschutz-Grundverordnung (DSGVO) unterstehen haben keinen EU-Datenschutz-Vertreter aufgelistet.

 Mit dem Rechtspacket Datenschutzerklärung unterstützt dich YLEX bei der Erstellung der Datenschutzerklärung für deine Webseite.

Beratung anfordern

Häufige Fragen zur Datenschutzerklärung

Benötigt eine Website eine Datenschutzerklärung?

Ja. Die Beschaffung von personenbezogenen Daten, deren Zweck, sowie die Bearbeitung müssen für die betroffenen Personen erkennbar sein. Dies wird im schweizerischen Datenschutzgesetz (DSG) (Art. 4 Abs. 4 DSG) gefordert. Im Datenschutzrecht gilt immer der Grundsatz der Transparenz. 

Benötigt jede Website eine Datenschutzerklärung?

Ja. Der Betrieb einer Homepage, welche keine Personendaten bearbeitet ist kaum umsetzbar. Bereits IP-Adressen, welche oft in Server-Logs oder Webanalyse-Tools erfasst werden, gelten als Personendaten. Daher benötigt grundsätzlich die meisten Webseiten eine Datenschutzerklärung.

Ich habe keine Webseite, benötige ich eine Datenschutzerklärung?

Ja. Jede Firma in der Schweiz, welche personenbezogen Daten erfasst, muss gemäss dem Schweizerischen Datenschutzgesetz eine Datenschutzerklärung erstellen. In welcher Form diese den betroffenen Personen zugänglich gemacht wird, ist nicht erläutert. 

Braucht es eine Datenschutzerklärung für Mitarbeitende?

Ja, auch den Mitarbeiterinnen und Mitarbeiter muss aufgezeigt werden, inwiefern das Unternehmen ihre Daten nutzt und speichert. 

Kann ich eine Abmahnung erhalten?

Ja. Es besteht die Möglichkeit, dass ein Kunde bei einer unvollständigen oder falschen Datenschutzerklärung einen Webseite-Betreiberin der Datenschutz-Aufsichtsbehörden meldet.