Genügt die Datenschutzerklärung auf der Unternehmenswebsite?

In der digitalen Welt werden wir praktisch täglich mit Datenschutzerklärungen konfrontiert. Meist müssen wir diese im Zusammenhang mit Cookies oder auf eine andere Art akzeptieren. Bei Online-Shops und anderen Unternehmenswebseiten sind sie daher nicht mehr wegzudenken. Wenn auf einer Website heute noch keine Datenschutzerklärung vorhanden ist, wird es daher höchste Zeit eine aufzuschalten. Doch was ist eine Datenschutzerklärung genau? Was muss bzw. sollte sie beinhalten? Und wieso braucht es diese überhaupt?

Eine Datenschutzerklärung ist...

einfach gesagt eine Information darüber, was ein Unternehmen mit den Personendaten alles macht.

Das Schweizer Datenschutzgesetz (DSG) schreibt keine Form vor, wie eine Datenschutzerklärung auszusehen hat. Das DSG schreibt aber vor, dass ein Unternehmen die natürlichen Personen darüber informieren muss, zu welchem Zweck ihre Personendaten beschafft werden. Diese Information muss dabei bereits vor der ersten Beschaffung der Daten erfolgen. Wenn ein Unternehmen also beispielsweise ein Kontaktformular auf seiner Website aufgeschaltet hat, bei welchem eine potenzielle Kundin ihren Namen und ihre E-Mail-Adresse angeben kann, so ist die Kundin vor dem Eingang der Information beim Unternehmen grundsätzlich über die Datenbearbeitung zu informieren. Am einfachsten geschieht dies über eine Datenschutzerklärung,
welche ebenfalls auf dieser Website aufgeschaltet ist.

Das Schweizer Datenschutzgesetz schreibt folgenden Inhalt vor:

1. Identität und Kontaktdaten des Unternehmens, welches für die Datenbearbeitung verantwortlich ist
2. Bearbeitungszweck: Weshalb werden die Personendaten bearbeitet?
3. Personen oder Unternehmen, denen die Personendaten bekanntgegeben werden
4. Kategorie der Personendaten, welche bearbeitet werden, wenn die Personendaten nicht bei der betroffenen Person selbst erhoben werden
5. Falls die Personendaten ins Ausland bekannt gegeben werden, der entsprechende Staat

Sofern ein Unternehmen auch die DGSVO (Datenschutzgesetz der EU) einzuhalten hat, kommen noch weitere gesetzliche Anforderungen hinzu.

Weshalb braucht ein Unternehmen überhaupt eine Datenschutzerklärung?

Nun, es gibt dafür mehrere Gründe, abhängig von der Perspektive.

Aus Sicht des Unternehmens bzw. der verantwortlichen Person ist ein Grund sicherlich die strafrechtliche Konsequenz. Man kann nämlich gebüsst werden, wenn nicht angemessen darüber informiert wird, wie und zu welchem Zweck Personendaten bearbeitet werden. Dabei wird in der Schweiz grundsätzlich nicht das Unternehmen gebüsst, wie dies in der EU der Fall ist, sondern diejenige natürliche Person, die für die Information über die Datenbearbeitung verantwortlich gewesen wäre.

Ebenfalls ist es für ein Unternehmen auch eine Frage des professionellen Webauftritts. Datenschutz ist in aller Munde und es wird immer mehr darauf geachtet, wie und ob Unternehmen sich mit dem Schutz von Personendaten auseinandersetzen. Eine professionelle Datenschutzerklärung ist daher gewissermassen zu einem Imagefaktor geworden.

Aus Sicht einer Kundin bzw. eines Kunden oder einer anderen betroffenen Person braucht es die Datenschutzerklärung, damit diese weiss, was ein Unternehmen mit den Daten alles tut bzw. an wen die Daten weitergegeben werden.

Eine Datenschutzerklärung ist für ein Unternehmen daher unerlässlich.

Was heisst dies in Bezug auf Ihre Datenschutzerklärung?

Die Datenschutzerklärung stellt eine Information über die Datenbearbeitung dar und muss deshalb nicht zwingend anerkannt bzw. akzeptiert werden, wie wir dies z.B. von den AGB kennen. Es empfiehlt sich, eine Datenschutzerklärung auf der Unternehmenswebsite aufzuschalten. Dabei sollte sie einfach zugänglich sein, d.h. mit maximal ein bis zwei Klicks von jedermann aufgerufen werden können. Datenschutzerklärungen sollten daher z.B. in der Fusszeile einer Website verlinkt werden.

Viele Unternehmenswebseiten haben lediglich im Impressum mit dem Titel «Datenschutz» einen Hinweis, dass sie Google Analytics verwenden und vielleicht noch, dass ihnen der Datenschutz wichtig ist und sie die Daten ihrer Kundinnen und Kunden nur unter Einhaltung eines Datenschutzgesetzes verwenden. Dies reicht jedoch bei Weitem nicht aus.

Ungenügend ist auch eine Datenschutzerklärung, welche sich nur auf die Websitebesucher bezieht, also wenn die Datenschutzerklärung nur die Bearbeitung der Personendaten umschreibt, welche von Websitebesuchern erhoben werden, wie z. B. IP-Adresse, Cookies etc.

Nicht empfehlenswert ist, Datenschutzerklärungen von anderen Websites zu kopieren. Datenbearbeitungen in einem Unternehmen können sehr unterschiedlich sein und es gibt zahlreiche schlechte und ungenügende Datenschutzerklärungen im Internet, welche nicht kopiert werden sollten.

Achten Sie deshalb bei Ihrer Datenschutzerklärung auf Folgendes:

• Die Datenschutzerklärung muss mindestens das verantwortliche Unternehmen nennen und eine Kontakt-E-Mail-Adresse enthalten.
• Es muss darüber informiert werden, welche Personendaten (z.B. Kontaktdaten) zu welchen Zwecken (z.B. Marketing) erhoben und bearbeitet werden. Nach der DSGVO muss ausserdem die Rechtsgrundlage angegeben werden.
• Sie muss Informationen darüber enthalten, an wen die Personendaten bekannt gegeben werden (z.B. IT-Dienstleister). Falls diese ins Ausland bekannt gegeben werden, muss ausserdem der ausländische Staat genannt werden.
• Achten Sie darauf, dass sich die Datenschutzerklärung nicht nur an Websitebesuchende, sondern generell auch an Ihre Kundschaft, Ihre Geschäftspartner und alle sonstigen Personen richtet, von denen Sie Daten bearbeiten. Für Mitarbeitende sollte es eine separate Datenschutzerklärung geben.
• Nach der DSGVO müssen Sie ausserdem über die Betroffenenrechte informieren und auch bekannt geben, wie lange Sie die jeweiligen Daten speichern.
• Die Information über Cookies und Tracking sollte ebenfalls nicht fehlen.

Die Datenschutzerklärung sollte ausserdem klar und verständlich formuliert sein.