Brauche ich eine Datenschutzerklärung für meine Webseite?

Seit dem Inkrafttreten der Datenschutz-Grundverordnung der EU (DSGVO) gibt es eine Flut von Datenschutzerklärungen auf Webseiten im Internet. Viele davon entsprechen nicht den gesetzlichen Vorgaben. Sie bringen weder dem Unternehmen, noch dem Konsumenten etwas.

In welchen Fällen muss ich eine Datenschutzerklärung erstellen?

Seit dem 25. Mai 2018 ist die neue Europäische Datenschutz-Grundverordnung (DSGVO) in Kraft. Diese ist zu einem grossen Teil auch für Schweizerische Unternehmen relevant
(vgl. unseren BLOG zur Frage, ob die DSGVO für Ihr Unternehmen relevant ist).

Die Datenschutz-Grundverordnung (DSGVO) auferlegt den Unternehmen Informationspflichten (Art. 12-14 DSGVO). Das bedeutet, dass die Betroffenen über sämtliche Bearbeitungen ihrer personenbezogenen Daten informiert werden müssen.

Da bereits die IP-Adresse zu den personenbezogene Daten gehört, findet eine nach der DSGVO relevante Datenbearbeitung meistens bereits dann statt, wenn das Unternehmen eine eigene Webseite betreibt. Das ist sicher dann der Fall, wenn Cookies und insbesondere Tracking-Tools, Remarketing-Tools, Social-Media Plugins aber auch Kontaktformulare, Login-Bereiche, Webshops verwendet oder Newsletter versendet werden. In all diesen Fällen besteht die Pflicht eine Datenschutzerklärung bereitzustellen.
 

Über was muss informiert werden?

Die DSGVO zählt in ART. 13 und ART. 14 spezifisch auf, über was genau informiert werden muss. Dabei wird unterschieden zwischen der Datenerhebung direkt bei der betroffenen Person (Art. 13) und bei einer Drittperson (Art. 14).

Bei der Erhebung der Daten direkt bei der betroffenen Person beinhaltet die Informationspflicht folgende Punkte:

 

  • Name und Kontaktdaten des Verantwortlichen (in unserem Fall des Webseiten-Betreibers), gegebenenfalls dessen Vertreter und die Kontaktdaten des Datenschutzbeauftragten (sofern vorhanden);

  • die Zwecke und Rechtsgrundlagen der Datenbearbeitung (z.B. Einwilligung oder Vertragserfüllung);

  • bei einer Weitergabe der Daten an Dritte, der Empfänger oder die Kategorien von Empfängern;

  • eine allfällige Übermittlung der Daten in ein Drittland oder eine internationale Organisation, inkl. des entsprechenden Angemessenheitsbeschlusses der Europäischen Kommission bzw. die angemessenen Garantien (dies dient als Sicherstellung, dass das Datenschutzniveau der EU eingehalten wird);

  • die Dauer der Datenspeicherung bzw. die Kriterien zur Festlegung der Dauer;

  • die Rechte der Betroffenen (dazu gehören u.a. das Auskunftsrecht, Berichtigungsrecht, Löschungsrecht, Widerrufsrecht, Übertragungsrecht);

  • das Recht eine allfällige Einwilligung zu wiederrufen;

  • das Beschwerderecht bei einer Aufsichtsbehörde;

  • Folgen der Nichtbereitstellung der Daten im Falle einer vertraglichen oder gesetzlichen Pflicht zum Bereitstellen der Daten;

  • aussagekräftige Informationen über die involvierte Logik und Auswirkungen der Datenbearbeitung falls eine automatisierte Entscheidfindung oder ein Profiling verwendet wird;

  • Informationen zur Weiterbearbeitung von personenbezogenen Daten.

 

Es ist unschwer zu erkennen, dass diese umfassenden Informationspflichten zu einer Flut von Informationen im Geschäftsverkehr und insbesondere im Zusammenhang mit Webseiten führen. Dabei ist bemerkenswert, dass nach der DSGVO bei der Informationspflicht nicht bezüglich der konkreten Datenbearbeitung unterschieden wird.

Es muss über jede Bearbeitung  gleich informiert werden. Unabhängig von der Schwere des Eingriffs für die betroffene Person. Für die Informationspflicht ist somit ein Cookie gleich zu behandeln wie die Bearbeitung sensibler Daten.

Ob mit einer solchen undifferenzierten Lösung die Rechte der betroffenen Personen tatsächlich besser geschützt werden, scheint fraglich.

 
 

Was passiert, wenn ich keine Datenschutzerklärung erstelle?

Trotz der erwähnten Zweifel an der Wirksamkeit von Datenschutzerklärungen und dem Fakt, dass kaum jemand jemals eine Datenschutzerklärung liest (ausser Anwälte und Behörden), sollte nicht auf das Erstellen einer Datenschutzerklärung verzichtet werden.

Die Datenschutzerklärung dient Behörden, Datenschützern, Kunden und allenfalls Konkurrenten als erste Anlaufstellte um zu prüfen, ob die Thematik des Datenschutzes ernst genommen wird.

Bei einer Verletzung der Informationspflicht drohen nach der DSGVO saftige Bussen. Die in der Schweiz laufende Revision des Datenschutzrechtes sieht zudem ähnliche Regelungen wie die DSGVO vor.

 
 

Müssen die Webseitenbesuchen der Datenschutzerklärung zustimmen?

Eine Zustimmung zur Datenschutzerklärung ist rechtlich weder vorgeschrieben, noch ist eine solche sinnvoll.

Die Datenschutzerklärung dient einzig dazu die Betroffenen über die Datenverarbeitungsvorgänge zu informieren und ist von der Frage der Zulässigkeit und damit der Rechtsgrundlage zu trennen.

Unter Umständen ist für die Datenverarbeitung eine Einwilligung einzuholen. Diese hat aber nach spezifischen und von der Datenschutzerklärung unabhängigen Voraussetzungen zu erfolgen.

Wird die Einwilligung zur Datenschutzerklärung eingeholt, bedeutet dies, dass die Betroffenen diese Einwilligung jederzeit widerrufen können, was zu ungewollten Konsequenzen führen kann.

Fachbeiträge

Das neue Erbrecht 2023: Was ändert sich?

Am 1. Januar 2023 ist das neue Erbrecht in Kraft getreten. Massgebend für das anwendbare Recht ist nicht das Errichtungsdatum einer letztwilligen Verfügung, sondern der Tod des Erblassers. Die neuen Regelungen gelten daher für sämtliche Erblasser, welche nach dem 31. Dezember 2022 verstorben sind. Damit kommen die neuen Regelungen auch zur Anwendung auf bereits verfasste letztwillige Verfügungen und diese bedürfen allenfalls einer Anpassung, denn mit dem neuen Recht verfügt der Erblasser über einen grösseren Handlungsspielraum hinsichtlich seines Nachlasses. In diesem Beitrag sollen die wichtigsten Änderungen und deren Auswirkungen festgehalten werden.

Arbeitsrecht

Strafe muss sein! – Die Strafbestimmungen des revidierten Datenschutzgesetzes aus Arbeitgebersicht

Fachbeiträge

Zusammenschluss zum Eigenverbrauch: Was Du zur eigenen Stromproduzierung wissen musst!

Fachbeiträge

5 Gründe, weshalb Du eine Anwaltskarriere bei Domenig & Partner starten solltest!

Fachbeiträge

Reverse Founder Vesting: Wie Du Dich vor dem Abgang eines Mitgründers schützt

Was passiert, wenn Dein Mitgründer aussteigt? Ohne vertragliche Regelung nimmt er seine Aktien mit und darf sie behalten. Das kann später zu Problemen führen, wenn Dein Start-Up wachsen und neue Mitarbeiter und Investoren dazu kommen sollen. In diesem Blog erläutern wir Dir das Konzept des «Reverse Founder Vesting» – eine vertragliche Gestaltungsmöglichkeit, die dieses Problem adressiert.

Allgemein

Top-Anwaltskanzlei 2023

optional
optional
optional