Brauche ich eine Datenschutzerklärung für meine Webseite?

Seit dem Inkrafttreten der Datenschutz-Grundverordnung der EU (DSGVO) gibt es eine Flut von Datenschutzerklärungen auf Webseiten im Internet. Viele davon entsprechen nicht den gesetzlichen Vorgaben. Sie bringen weder dem Unternehmen, noch dem Konsumenten etwas.

In welchen Fällen muss ich eine Datenschutzerklärung erstellen?

Seit dem 25. Mai 2018 ist die neue Europäische Datenschutz-Grundverordnung (DSGVO) in Kraft. Diese ist zu einem grossen Teil auch für Schweizerische Unternehmen relevant
(vgl. unseren BLOG zur Frage, ob die DSGVO für Ihr Unternehmen relevant ist).

Die Datenschutz-Grundverordnung (DSGVO) auferlegt den Unternehmen Informationspflichten (Art. 12-14 DSGVO). Das bedeutet, dass die Betroffenen über sämtliche Bearbeitungen ihrer personenbezogenen Daten informiert werden müssen.

Da bereits die IP-Adresse zu den personenbezogene Daten gehört, findet eine nach der DSGVO relevante Datenbearbeitung meistens bereits dann statt, wenn das Unternehmen eine eigene Webseite betreibt. Das ist sicher dann der Fall, wenn Cookies und insbesondere Tracking-Tools, Remarketing-Tools, Social-Media Plugins aber auch Kontaktformulare, Login-Bereiche, Webshops verwendet oder Newsletter versendet werden. In all diesen Fällen besteht die Pflicht eine Datenschutzerklärung bereitzustellen.
 

Über was muss informiert werden?

Die DSGVO zählt in ART. 13 und ART. 14 spezifisch auf, über was genau informiert werden muss. Dabei wird unterschieden zwischen der Datenerhebung direkt bei der betroffenen Person (Art. 13) und bei einer Drittperson (Art. 14).

Bei der Erhebung der Daten direkt bei der betroffenen Person beinhaltet die Informationspflicht folgende Punkte:

 

  • Name und Kontaktdaten des Verantwortlichen (in unserem Fall des Webseiten-Betreibers), gegebenenfalls dessen Vertreter und die Kontaktdaten des Datenschutzbeauftragten (sofern vorhanden);

  • die Zwecke und Rechtsgrundlagen der Datenbearbeitung (z.B. Einwilligung oder Vertragserfüllung);

  • bei einer Weitergabe der Daten an Dritte, der Empfänger oder die Kategorien von Empfängern;

  • eine allfällige Übermittlung der Daten in ein Drittland oder eine internationale Organisation, inkl. des entsprechenden Angemessenheitsbeschlusses der Europäischen Kommission bzw. die angemessenen Garantien (dies dient als Sicherstellung, dass das Datenschutzniveau der EU eingehalten wird);

  • die Dauer der Datenspeicherung bzw. die Kriterien zur Festlegung der Dauer;

  • die Rechte der Betroffenen (dazu gehören u.a. das Auskunftsrecht, Berichtigungsrecht, Löschungsrecht, Widerrufsrecht, Übertragungsrecht);

  • das Recht eine allfällige Einwilligung zu wiederrufen;

  • das Beschwerderecht bei einer Aufsichtsbehörde;

  • Folgen der Nichtbereitstellung der Daten im Falle einer vertraglichen oder gesetzlichen Pflicht zum Bereitstellen der Daten;

  • aussagekräftige Informationen über die involvierte Logik und Auswirkungen der Datenbearbeitung falls eine automatisierte Entscheidfindung oder ein Profiling verwendet wird;

  • Informationen zur Weiterbearbeitung von personenbezogenen Daten.

 

Es ist unschwer zu erkennen, dass diese umfassenden Informationspflichten zu einer Flut von Informationen im Geschäftsverkehr und insbesondere im Zusammenhang mit Webseiten führen. Dabei ist bemerkenswert, dass nach der DSGVO bei der Informationspflicht nicht bezüglich der konkreten Datenbearbeitung unterschieden wird.

Es muss über jede Bearbeitung  gleich informiert werden. Unabhängig von der Schwere des Eingriffs für die betroffene Person. Für die Informationspflicht ist somit ein Cookie gleich zu behandeln wie die Bearbeitung sensibler Daten.

Ob mit einer solchen undifferenzierten Lösung die Rechte der betroffenen Personen tatsächlich besser geschützt werden, scheint fraglich.

 
 

Was passiert, wenn ich keine Datenschutzerklärung erstelle?

Trotz der erwähnten Zweifel an der Wirksamkeit von Datenschutzerklärungen und dem Fakt, dass kaum jemand jemals eine Datenschutzerklärung liest (ausser Anwälte und Behörden), sollte nicht auf das Erstellen einer Datenschutzerklärung verzichtet werden.

Die Datenschutzerklärung dient Behörden, Datenschützern, Kunden und allenfalls Konkurrenten als erste Anlaufstellte um zu prüfen, ob die Thematik des Datenschutzes ernst genommen wird.

Bei einer Verletzung der Informationspflicht drohen nach der DSGVO saftige Bussen. Die in der Schweiz laufende Revision des Datenschutzrechtes sieht zudem ähnliche Regelungen wie die DSGVO vor.

 
 

Müssen die Webseitenbesuchen der Datenschutzerklärung zustimmen?

Eine Zustimmung zur Datenschutzerklärung ist rechtlich weder vorgeschrieben, noch ist eine solche sinnvoll.

Die Datenschutzerklärung dient einzig dazu die Betroffenen über die Datenverarbeitungsvorgänge zu informieren und ist von der Frage der Zulässigkeit und damit der Rechtsgrundlage zu trennen.

Unter Umständen ist für die Datenverarbeitung eine Einwilligung einzuholen. Diese hat aber nach spezifischen und von der Datenschutzerklärung unabhängigen Voraussetzungen zu erfolgen.

Wird die Einwilligung zur Datenschutzerklärung eingeholt, bedeutet dies, dass die Betroffenen diese Einwilligung jederzeit widerrufen können, was zu ungewollten Konsequenzen führen kann.

Mehr Informationen zum Thema Datenschutz.

IT- und Technologierecht

Rechtsstreitigkeiten in der IT: Tipps für Unternehmen zur Risikominimierung

Arbeitsrecht

Die verschiedenen Arbeitszeitmodelle im Überblick

IT- und Technologierecht

KI-Dienste: Haftung, Verträge, Datenschutz und Co.

Datenschutz

1 Jahr neues Datenschutzgesetz

Datenschutz

Google Consent – Kommt die Pflicht zum Cookie-Banner?

Arbeitsrecht

Homeoffice IV

optional
optional
optional