Brauche ich eine Datenschutzerklärung für meine Webseite?

Seit dem Inkrafttreten der Datenschutz-Grundverordnung der EU (DSGVO) gibt es eine Flut von Datenschutzerklärungen auf Webseiten im Internet. Viele davon entsprechen nicht den gesetzlichen Vorgaben. Sie bringen weder dem Unternehmen, noch dem Konsumenten etwas.

In welchen Fällen muss ich eine Datenschutzerklärung erstellen?

Seit dem 25. Mai 2018 ist die neue Europäische Datenschutz-Grundverordnung (DSGVO) in Kraft. Diese ist zu einem grossen Teil auch für Schweizerische Unternehmen relevant
(vgl. unseren BLOG zur Frage, ob die DSGVO für Ihr Unternehmen relevant ist).

Die Datenschutz-Grundverordnung (DSGVO) auferlegt den Unternehmen Informationspflichten (Art. 12-14 DSGVO). Das bedeutet, dass die Betroffenen über sämtliche Bearbeitungen ihrer personenbezogenen Daten informiert werden müssen.

Da bereits die IP-Adresse zu den personenbezogene Daten gehört, findet eine nach der DSGVO relevante Datenbearbeitung meistens bereits dann statt, wenn das Unternehmen eine eigene Webseite betreibt. Das ist sicher dann der Fall, wenn Cookies und insbesondere Tracking-Tools, Remarketing-Tools, Social-Media Plugins aber auch Kontaktformulare, Login-Bereiche, Webshops verwendet oder Newsletter versendet werden. In all diesen Fällen besteht die Pflicht eine Datenschutzerklärung bereitzustellen.
 

Über was muss informiert werden?

Die DSGVO zählt in ART. 13 und ART. 14 spezifisch auf, über was genau informiert werden muss. Dabei wird unterschieden zwischen der Datenerhebung direkt bei der betroffenen Person (Art. 13) und bei einer Drittperson (Art. 14).

Bei der Erhebung der Daten direkt bei der betroffenen Person beinhaltet die Informationspflicht folgende Punkte:

 

  • Name und Kontaktdaten des Verantwortlichen (in unserem Fall des Webseiten-Betreibers), gegebenenfalls dessen Vertreter und die Kontaktdaten des Datenschutzbeauftragten (sofern vorhanden);

  • die Zwecke und Rechtsgrundlagen der Datenbearbeitung (z.B. Einwilligung oder Vertragserfüllung);

  • bei einer Weitergabe der Daten an Dritte, der Empfänger oder die Kategorien von Empfängern;

  • eine allfällige Übermittlung der Daten in ein Drittland oder eine internationale Organisation, inkl. des entsprechenden Angemessenheitsbeschlusses der Europäischen Kommission bzw. die angemessenen Garantien (dies dient als Sicherstellung, dass das Datenschutzniveau der EU eingehalten wird);

  • die Dauer der Datenspeicherung bzw. die Kriterien zur Festlegung der Dauer;

  • die Rechte der Betroffenen (dazu gehören u.a. das Auskunftsrecht, Berichtigungsrecht, Löschungsrecht, Widerrufsrecht, Übertragungsrecht);

  • das Recht eine allfällige Einwilligung zu wiederrufen;

  • das Beschwerderecht bei einer Aufsichtsbehörde;

  • Folgen der Nichtbereitstellung der Daten im Falle einer vertraglichen oder gesetzlichen Pflicht zum Bereitstellen der Daten;

  • aussagekräftige Informationen über die involvierte Logik und Auswirkungen der Datenbearbeitung falls eine automatisierte Entscheidfindung oder ein Profiling verwendet wird;

  • Informationen zur Weiterbearbeitung von personenbezogenen Daten.

 

Es ist unschwer zu erkennen, dass diese umfassenden Informationspflichten zu einer Flut von Informationen im Geschäftsverkehr und insbesondere im Zusammenhang mit Webseiten führen. Dabei ist bemerkenswert, dass nach der DSGVO bei der Informationspflicht nicht bezüglich der konkreten Datenbearbeitung unterschieden wird.

Es muss über jede Bearbeitung  gleich informiert werden. Unabhängig von der Schwere des Eingriffs für die betroffene Person. Für die Informationspflicht ist somit ein Cookie gleich zu behandeln wie die Bearbeitung sensibler Daten.

Ob mit einer solchen undifferenzierten Lösung die Rechte der betroffenen Personen tatsächlich besser geschützt werden, scheint fraglich.

 
 

Was passiert, wenn ich keine Datenschutzerklärung erstelle?

Trotz der erwähnten Zweifel an der Wirksamkeit von Datenschutzerklärungen und dem Fakt, dass kaum jemand jemals eine Datenschutzerklärung liest (ausser Anwälte und Behörden), sollte nicht auf das Erstellen einer Datenschutzerklärung verzichtet werden.

Die Datenschutzerklärung dient Behörden, Datenschützern, Kunden und allenfalls Konkurrenten als erste Anlaufstellte um zu prüfen, ob die Thematik des Datenschutzes ernst genommen wird.

Bei einer Verletzung der Informationspflicht drohen nach der DSGVO saftige Bussen. Die in der Schweiz laufende Revision des Datenschutzrechtes sieht zudem ähnliche Regelungen wie die DSGVO vor.

 
 

Müssen die Webseitenbesuchen der Datenschutzerklärung zustimmen?

Eine Zustimmung zur Datenschutzerklärung ist rechtlich weder vorgeschrieben, noch ist eine solche sinnvoll.

Die Datenschutzerklärung dient einzig dazu die Betroffenen über die Datenverarbeitungsvorgänge zu informieren und ist von der Frage der Zulässigkeit und damit der Rechtsgrundlage zu trennen.

Unter Umständen ist für die Datenverarbeitung eine Einwilligung einzuholen. Diese hat aber nach spezifischen und von der Datenschutzerklärung unabhängigen Voraussetzungen zu erfolgen.

Wird die Einwilligung zur Datenschutzerklärung eingeholt, bedeutet dies, dass die Betroffenen diese Einwilligung jederzeit widerrufen können, was zu ungewollten Konsequenzen führen kann.

Arbeitsrecht

Die vertrauensärztliche Untersuchung

Fachbeiträge

Warum Du Deine Statuten dieses Jahr ändern solltest

Seit dem 1. Januar 2023 gelten die Bestimmungen des revidierten Aktienrechts. Das Gesetz bietet neu mehr Gestaltungsfreiheiten und bildet den technologischen Fortschritt besser ab. Wenn Du von diesen Änderungen profitieren, Deine Gesellschaft sanft modernisieren und gleichzeitig die Gesetzmässigkeit Deiner Statuten sicherstellen willst, gehört eine Statutenänderung an der nächsten Generalversammlung unbedingt auf die Traktandenliste.

News

Deine Datenschutzerklärung in 5 Minuten mit PrivacyBee

Arbeitsrecht

Gesetzesänderung per 1. Januar 2023: Zwei Wochen Adoptionsurlaub

Fachbeiträge

Geschäftsfahrzeuge: Der Privatanteil bei unentgeltlicher privater Nutzung

Wenn die Arbeitgeberin einem Mitarbeitenden ein Geschäftsfahrzeug für den Arbeitsweg und weitere private Fahrten zur Verfügung stellt, müssen die daraus entstehenden Kosten dem Mitarbeitenden überwälzt werden. Es handelt sich dabei um private Auslagen des Mitarbeitenden. Diese Kosten werden in der Steuererklärung unter dem Titel «Privatanteil» dem Einkommen des Mitarbeitenden aufgerechnet. Bis vor kurzem mussten die Kosten für den Arbeitsweg zusätzlich zum Privatanteil ausgewiesen und als Einkommen versteuert werden. Das ist seit dem 1. Januar 2022 nicht mehr der Fall.

Welche Auswirkungen diese Änderung hat, erfährst Du in diesem Blog.

Datenschutz

Auf der To-do-Liste: Das Bearbeitungsverzeichnis

optional
optional
optional