Allgemein, Fachbeiträge, Datenschutzrecht

Datenschutzrecht

Brauche ich eine Datenschutzerklärung für meine Website?

Seit dem Inkrafttreten der Datenschutz-Grundverordnung der EU (DSGVO) gibt es eine Flut von Datenschutzerklärungen auf Webseiten im Internet. Viele davon entsprechen nicht den gesetzlichen Vorgaben. Sie bringen weder dem Unternehmen, noch dem Konsumenten etwas.


Wir erklären, wann Ihr Unternehmen eine Datenschutzerklärung braucht. Mit unserem Datenschutzgenerator erstellen Sie schnell und einfach eine professionelle Datenschutzerklärung!

 

In welchen Fällen muss ich eine Datenschutzerklärung erstellen?

 

Seit dem 25. Mai 2018 ist die neue Europäische Datenschutz-Grundverordnung (DSGVO) in Kraft. Diese ist zu einem grossen Teil auch für Schweizerische Unternehmen relevant
(vgl. unseren Blog zur Frage, ob die DSGVO für Ihr Unternehmen relevant ist).

 

Die Datenschutz-Grundverordnung (DSGVO) auferlegt den Unternehmen Informationspflichten (Art. 12-14 DSGVO). Das bedeutet, dass die Betroffenen über sämtliche Bearbeitungen ihrer personenbezogenen Daten informiert werden müssen.

 

Da bereits die IP-Adresse zu den personenbezogene Daten gehört, findet eine nach der DSGVO relevante Datenbearbeitung meistens bereits dann statt, wenn das Unternehmen eine eigene Webseite betreibt. Das ist sicher dann der Fall, wenn Cookies und insbesondere Tracking-Tools, Remarketing-Tools, Social-Media Plugins aber auch Kontaktformulare, Login-Bereiche, Webshops verwendet oder Newsletter versendet werden. In all diesen Fällen besteht die Pflicht eine Datenschutzerklärung bereitzustellen.

 
 

Über was muss informiert werden?

 

Die DSGVO zählt in Art. 13 und Art. 14 spezifisch auf, über was genau informiert werden muss. Dabei wird unterschieden zwischen der Datenerhebung direkt bei der betroffenen Person (Art. 13) und bei einer Drittperson (Art. 14).

 

Bei der Erhebung der Daten direkt bei der betroffenen Person beinhaltet die Informationspflicht folgende Punkte:

 

  • Name und Kontaktdaten des Verantwortlichen (in unserem Fall des Webseiten-Betreibers), gegebenenfalls dessen Vertreter und die Kontaktdaten des Datenschutzbeauftragten (sofern vorhanden);

 

  • die Zwecke und Rechtsgrundlagen der Datenbearbeitung (z.B. Einwilligung oder Vertragserfüllung);

 

  • bei einer Weitergabe der Daten an Dritte, der Empfänger oder die Kategorien von Empfängern;

 

  • eine allfällige Übermittlung der Daten in ein Drittland oder eine internationale Organisation, inkl. des entsprechenden Angemessenheitsbeschlusses der Europäischen Kommission bzw. die angemessenen Garantien (dies dient als Sicherstellung, dass das Datenschutzniveau der EU eingehalten wird);

 

  • die Dauer der Datenspeicherung bzw. die Kriterien zur Festlegung der Dauer;

 

  • die Rechte der Betroffenen (dazu gehören u.a. das Auskunftsrecht, Berichtigungsrecht, Löschungsrecht, Widerrufsrecht, Übertragungsrecht);

 

  • das Recht eine allfällige Einwilligung zu wiederrufen;

 

  • das Beschwerderecht bei einer Aufsichtsbehörde;

 

  • Folgen der Nichtbereitstellung der Daten im Falle einer vertraglichen oder gesetzlichen Pflicht zum Bereitstellen der Daten;

 

  • aussagekräftige Informationen über die involvierte Logik und Auswirkungen der Datenbearbeitung falls eine automatisierte Entscheidfindung oder ein Profiling verwendet wird;

 

  • Informationen zur Weiterbearbeitung von personenbezogenen Daten.

 

Es ist unschwer zu erkennen, dass diese umfassenden Informationspflichten zu einer Flut von Informationen im Geschäftsverkehr und insbesondere im Zusammenhang mit Webseiten führen. Dabei ist bemerkenswert, dass nach der DSGVO bei der Informationspflicht nicht bezüglich der konkreten Datenbearbeitung unterschieden wird.

 

Es muss über jede Bearbeitung  gleich informiert werden. Unabhängig von der Schwere des Eingriffs für die betroffene Person. Für die Informationspflicht ist somit ein Cookie gleich zu behandeln wie die Bearbeitung sensibler Daten.

 

Ob mit einer solchen undifferenzierten Lösung die Rechte der betroffenen Personen tatsächlich besser geschützt werden, scheint fraglich.

 
 

Was passiert, wenn ich keine Datenschutzerklärung erstelle?

 

Trotz der erwähnten Zweifel an der Wirksamkeit von Datenschutzerklärungen und dem Fakt, dass kaum jemand jemals eine Datenschutzerklärung liest (ausser Anwälte und Behörden), sollte nicht auf das Erstellen einer Datenschutzerklärung verzichtet werden.

 

Die Datenschutzerklärung dient Behörden, Datenschützern, Kunden und allenfalls Konkurrenten als erste Anlaufstellte um zu prüfen, ob die Thematik des Datenschutzes ernst genommen wird.

 

Bei einer Verletzung der Informationspflicht drohen nach der DSGVO saftige Bussen. Die in der Schweiz laufende Revision des Datenschutzrechtes sieht zudem ähnliche Regelungen wie die DSGVO vor.

 
 

Müssen die Webseitenbesucher der Datenschutzerklärung zustimmen?

 

Eine Zustimmung zur Datenschutzerklärung ist rechtlich weder vorgeschrieben, noch ist eine solche sinnvoll.

 

Die Datenschutzerklärung dient einzig dazu die Betroffenen über die Datenverarbeitungsvorgänge zu informieren und ist von der Frage der Zulässigkeit und damit der Rechtsgrundlage zu trennen.

 

Unter Umständen ist für die Datenverarbeitung eine Einwilligung einzuholen. Diese hat aber nach spezifischen und von der Datenschutzerklärung unabhängigen Voraussetzungen zu erfolgen.

 

Wird die Einwilligung zur Datenschutzerklärung eingeholt, bedeutet dies, dass die Betroffenen diese Einwilligung jederzeit widerrufen können, was zu ungewollten Konsequenzen führen kann.

 
 

Wie erstelle ich eine Datenschutzerklärung?

 

Für das Erstellen einer Datenschutzerklärung muss in einem ersten Schritt Klarheit darüber bestehen, welche personenbezogenen Daten überhaupt bearbeitet werden.

 

Anschliessend müssen grundsätzlich für sämtliche Datenbearbeitungsvorgänge die oben aufgeführten Informationen aufgestellt werden. Dies kann relativ aufwendig sein und bei der Erstellung durch einen Experten entsprechend teuer. In der Praxis wird man meistens nicht um ein „selektives“ Informieren umher kommen.

 

Im Internet findet man eine Vielzahl an Vorlagen und Generatoren zum Erstellen einer Datenschutzerklärung, wobei die Qualität der Datenschutzerklärungen variieren kann. Allerdings kann auch so eine genauere Prüfung der Verarbeitungsvorgänge nicht verhindert werden.

 

Um diesem Problem vorzubeugen, haben wir einen Generator entwickelt!
Sie können damit eine individualisierte Datenschutzerklärung schnell und kostengünstig erstellen.

 

Die Datenschutzerklärung ist so aufgebaut, dass in einem ersten Teil allgemein die Grundsätze der Datenbearbeitung aufgezeigt werden und in einem spezifischen Teil, aufgrund der konkreten Angaben im Fragebogen, eine individualisierte Erklärung generiert wird. Damit erhalten Betreiber von Webseiten (inkl. Webshops) eine rechtssichere Datenschutzerklärung.

 

Hier www.datenschutz.law gelangen Sie zum Generator.

 

Bei Fragen stehen wir wie immer sehr gerne zur Verfügung!

AUTOR

Christian Mitscherlich

MLaw
Rechtsanwalt, Partner

Haben Sie Fragen?

Kontaktiere mich

Neueste Blogeinträge

Die besondere Stellung der Aussendienstmitarbeiter

Die besondere Stellung der Aussendienstmitarbeiter

Der erhöhte Schutz, den das Arbeitsgesetz bietet, gilt nicht für alle Arbeitnehmer. Das Arbeitsgesetz fin...

Zum Post

Datenschutzprobleme mit Zoom und anderen Anbietern?

Datenschutzprobleme mit Zoom und anderen Anbietern?

In Corona-Zeiten wird ein grosser Teil der Besprechungen und Sitzungen im Geschäftsalltag über Audio- und...

Zum Post

Schutz- und Hygienekonzept

Schutz- und Hygienekonzept

Gemäss der Änderung der COVID-19-Verodnung 2 vom 16. April 2020 dürfen Coiffeur Geschäfte oder Bau- und G...

Zum Post

Was ist beim Kauf und Verkauf von Aktien zu beachten?

Was ist beim Kauf und Verkauf von Aktien zu beachten?

Aktien werden regelmässig gekauft und verkauft. Bei kleinen und mittleren Unternehmen (KMU) werden Aktien...

Zum Post