Wofür braucht man überhaupt eine Datenschutzerklärung auf der eigenen Website? Es geht darum, dass betroffene Personen oder User, deren Personendaten erhoben werden, über den Umfang und den Zweck der Datenbearbeitung informiert werden. Die Pflicht, diese Informationen zu übermitteln, findet ihre Grundlage in den anwendbaren Datenschutzgesetzen, wobei für Schweizer Unternehmen insbesondere das Bundesgesetz über den Datenschutz (DSG), dessen umfassend revidierte Version am 1. September 2023 in Kraft tritt, sowie teilweise auch die Datenschutz-Grundverordnung der Europäischen Union (DSGVO) von Bedeutung sind.
Da wahrscheinlich jedes Unternehmen in der einen oder anderen Form Personendaten, also Informationen, die eine Identifikation der betroffenen Person entweder allein oder in Kombination mit anderen Angaben ermöglichen, bearbeitet, sollten Firmen zumindest über eine allgemeine Datenschutzerklärung verfügen und diese auch auf ihrer Website zugänglich machen. Darin sollte allgemein darüber informiert werden, welche Bearbeitungstätigkeiten das Unternehmen sowohl offline (z. B. im Zusammenhang mit der Abwicklung von Kundenverträgen) als auch online (insbesondere beim Betrieb der Website) durchführt.
Aus Transparenzgründen kann es aber notwendig sein, für einzelne Bearbeitungstätigkeiten ergänzende Datenschutzerklärungen zu erarbeiten. Betreibt ein Unternehmen zum Beispiel eine Online-Bewerberplattform auf seiner Website, so muss es regelmässig den Bewerbern weitergehende Informationen, wie beispielsweise, welche Daten erhoben werden, ob diese Daten an Dritte (etwa an einen externen Recruiting-Dienstleister) bekanntgegeben werden und wie lange die Daten nach Beendigung des Bewerberverfahrens noch aufbewahrt werden, zukommen lassen. Für dieses konkrete Beispiel würde die Datenschutzerklärung auf dem Online-Bewerberportal eingebunden werden. Jedoch sind solche speziellen Datenschutzerklärungen in der Praxis häufig für «Offline»-Datenbearbeitungen notwendig. In der Regel werden sie deshalb nicht auf der Website publiziert, sondern den betroffenen Personen anderweitig zur Verfügung gestellt (z. B. durch Aushang oder Aushändigung auf Papier).
Unabhängig davon, ob es sich um eine allgemeine oder eine spezielle Datenschutzerklärung handelt, werden Sie sich bei der Erstellung immer dieselben oder zumindest ähnliche Fragen stellen müssen.
Wer muss die Datenschutzerklärung erstellen?
Die Antwort auf diese Frage mutet auf den ersten Blick einfach an: Jeder, der als Verantwortlicher Personendaten bearbeitet. Der Verantwortliche ist dabei das Unternehmen, welches festlegt, welche Zwecke mit der Datenbearbeitung verfolgt werden und welche Mittel dafür verwendet werden sollen – der Verantwortliche sitzt somit im Fahrersitz und bestimmt, wo es langgeht. Ihr Unternehmen ist beispielsweise in Bezug auf die Daten, die im Zusammenhang mit dem Betrieb Ihrer Website anfallen, als Verantwortlicher zu qualifizieren, da es diese beispielsweise erhebt und bearbeitet, um seinen Internetauftritt zu optimieren oder mit den Besuchern der Website in Kontakt zu treten.
«Jeder, der als Verantwortlicher Personendaten bearbeitet, muss eine Datenschutzerklärung erstellen.»
Die Informationspflicht gilt im Übrigen auch dann, wenn die Datenbearbeitung an einen Dritten übertragen wurde. Hat Ihr Unternehmen das Hosting der Website an einen externen Dienstleister ausgelagert und tut der Dienstleister dies ausschliesslich gemäss den Weisungen des Unternehmens, so bleibt Ihr Unternehmen der Verantwortliche und muss die Besucher der Website weiterhin über die mit der Nutzung der Website zusammenhängenden Datenbearbeitungen informieren. Genauer gesagt, müssen Sie die Besucher zusätzlich über den Umstand aufklären, dass das Hosting von einem Dritten im Auftrag durchgeführt wird.
Wenn Sie Teil einer Unternehmensgruppe sind, kann übrigens für die gesamte Gruppe eine gemeinsame allgemeine Datenschutzerklärung erstellt werden, sofern die Bearbeitungstätigkeiten relativ ähnlich ausfallen (was in der Regel der Fall sein dürfte) und klar aufgezeigt wird, für welche Gruppengesellschaften die Datenschutzerklärung gilt. Bei komplexen Gruppenstrukturen dürfte es im Sinne der Transparenz notwendig sein, auf eine externe Übersicht oder eine Liste der Gruppengesellschaften, welche beispielsweise auf der Website publiziert ist, zu verweisen.
Was muss die Datenschutzerklärung beinhalten?
Sowohl das revidierte DSG als auch die DSGVO sehen einen bestimmten Mindestinhalt für Datenschutzerklärungen vor, wobei der Umfang der Information gemäss der DSGVO aber umfassender ist. Unabhängig davon, ob das DSG oder auch die DSGVO zur Anwendung gelangen, muss über die Identität des Verantwortlichen, die Kategorien der Personendaten (Name, Kontaktdaten, Gesundheitsdaten etc.) und der betroffenen Personen (Kunden, Mitarbeiter, Lieferanten etc.), die Bearbeitungszwecke (Erfüllung von Kundenverträgen, Sicherstellen der Funktionen der Website etc.) sowie allfällige Empfänger (Subunternehmer und Dienstleister, Versicherungen, Partnerunternehmen oder Ähnliches), denen Personendaten bekanntgegeben werden, informiert werden. Werden die Daten ins Ausland übermittelt, sind auch hierzu bestimmte Angaben zu machen.
Eine Datenschutzerklärung eines Schweizer Unternehmens ist mit diesen Angaben in der Regel bereits vollständig. Aufgrund des Einflusses aus der EU und auch weil Schweizer Unternehmen unter bestimmten Umständen unter die DSGVO fallen, sind jedoch auch hier in der Schweiz umfassendere Datenschutzerklärungen sehr häufig. Die Übermittlung von mehr Informationen als strikt notwendig ist natürlich nicht gesetzeswidrig. Überlegen Sie sich dennoch gut, welchen Mindestumfang Ihre Datenschutzerklärung abdecken muss, und nehmen Sie nur dann zusätzliche Angaben auf, wenn Sie einen Mehrwert darin sehen, oder wenn Sie gesetzlich dazu verpflichtet sind (insbesondere, wenn Ihr Unternehmen der DSGVO untersteht). Auch das kann den Aufwand verringern.
Beispiele für die Abdeckung einer Datenschutzerklärung auf einer Website
Sobald Ihr Unternehmen eine Website betreibt, werden Sie für diese eine Datenschutzerklärung erstellen müssen. Auch wenn natürlich jede Website anders aufgebaut ist und sich damit auch die Datenschutzerklärungen inhaltlich entsprechend unterscheiden, so gibt es doch etliche Funktionen und Datenbearbeitungen, die typischerweise vorkommen und daher regelmässig abgedeckt werden müssen:
- Sofern ein Kontaktformular oder eine ähnliche Kontaktmöglichkeit eingebunden ist, muss der Nutzer darüber informiert werden, was mit seinen Daten, die er darüber bekanntgibt, genau gemacht wird (wahrscheinlich die Bearbeitung seiner Anfrage und die Kontaktaufnahme seitens Ihres Unternehmens).
- Oft ist es möglich, sich über eine Maske auf der Website für einen Newsletter oder ähnliche Marketingkommunikation anzumelden, wobei der Abonnent mindestens seinen Namen und seine E-Mail-Adresse bekanntgibt. Hier muss beachtet werden, dass der Abonnent auch noch über eine Abmeldemöglichkeit informiert werden muss (dies ist keine Vorgabe des Datenschutzes, sondern von Art. 3 Abs. 1 lit. o des Bundesgesetzes über den unlauteren Wettbewerb).
- Auch wenn Ihre Website nur informativen Charakter hat, werden in der Praxis meist Cookies oder ähnliche Tracking-Technologien eingesetzt, mittels derer zumindest IP-Adressen oder ähnliche «Identifier» erhoben werden, welche Personendaten enthalten könnten.
- Werden Drittdienste eingebunden, z. B. Trackingtools wie Google Analytics oder Social-Media-Pixel, muss darüber informiert werden, welche Personendaten an Dritte übermittelt werden und für welche Zwecke. Fliessen dabei Daten ins Ausland (was eigentlich immer der Fall sein dürfte), muss darüber auch informiert werden. In der Schweiz ist dies zukünftig sogar ausdrücklich über das Empfängerland erforderlich. Für gängige Drittdienstleister wie Google, Facebook, Twitter etc. findet man im Internet Standardformulierungen. Diese können zwar genutzt werden, prüfen Sie diese aber dennoch kritisch und nehmen Sie notwendige Anpassungen vor.
Wie geht man am besten vor?
Grundsätzlich gibt es kein Patentrezept für das Verfassen einer Datenschutzerklärung, unabhängig davon, welche Art von Datenbearbeitung damit abgedeckt werden soll. Aus Effizienz- und Kostengründen kann es jedoch durchaus hilfreich sein, sich auf bestehende Datenschutzerklärungen und Muster zu stützen – das Rad muss nicht jedes Mal neu erfunden werden. Damit ist aber nicht gemeint, dass ein Unternehmen beliebige Datenschutzerklärungen unbesehen kopieren und für seine eigenen Zwecke verwenden soll. Nicht alle veröffentlichten Datenschutzerklärungen entsprechen den gesetzlichen Vorgaben, und es besteht das Risiko, die datenschutzrechtlichen Informationspflichten nicht oder nicht gänzlich zu erfüllen. In der EU kann dies bereits jetzt, in der Schweiz spätestens mit dem revidierten DSG, welches am 1. September 2023 in Kraft treten wird, zu Bussen führen.
Totalrevision des DSG
Das aktuell gültige Bundesgesetz über den Datenschutz (DSG) wurde in einem mehrjährigen Legislativ- und Vernehmlassungsprozess totalrevidiert. Das neue DSG wird nun am 1. September 2023 in Kraft treten. Ziel der Revision war es, das DSG in Bezug auf Transparenz und Selbstbestimmung zu optimieren (siehe Erläuterungen des Bundesamtes für Justiz) sowie an die Anforderungen der Europäischen Datenschutz-Grundverordnung (DSGVO) zu einem gewissen Teil anzugleichen.
Achten Sie daher darauf, dass Sie sich auf seriöse Quellen stützen. Beispielsweise können Sie die Datenschutzerklärung einer mit Ihnen verbundenen Gesellschaft übernehmen, von der Sie wissen, dass sie bereits einer rechtlichen Prüfung unterzogen wurde. Oder Sie verwenden vertrauenswürdige, öffentlich zugängliche Muster. Ein bekanntes Beispiel ist die auf der Website des «DSAT Datenschutz Self Assessment Tool» öffentlich verfügbare Muster-Datenschutzerklärung. Das Muster wurde von der Kanzlei VISCHER, bei der die Autorin tätig ist, in Zusammenarbeit mit einer weiteren renommierten Zürcher Kanzlei erarbeitet und ist in Deutsch, Englisch und Französisch verfügbar. Es handelt sich dabei um eine allgemeine Datenschutzerklärung, die umfassende Formulierungen für Standard-Bearbeitungstätigkeiten sowie für die Bearbeitungstätigkeiten im Zusammenhang mit dem Betrieb einer Website beinhaltet, wobei sie sowohl die Informationspflichten des Schweizer DSG als auch der DSGVO abdeckt. Das Muster kann von Unternehmen kostenlos heruntergeladen und auf ihre jeweilige Situation angepasst werden und kommt in der Schweiz bereits zum Einsatz. Unter anderem basiert auch die Datenschutzerklärung von Hostpoint auf diesem Muster.
Aber auch wenn solche Muster oder bestehende Datenschutzerklärungen übernommen werden, sind Anpassungen eigentlich unumgänglich, da jedes Unternehmen eine eigene Organisation sowie eigene Strukturen und Prozesse sowie Produkte und Dienstleistungen hat. Um herauszufinden, wie die Bearbeitungstätigkeiten Ihres eigenen Unternehmens ausgestaltet sind, ist es empfehlenswert, die relevanten Personen aus dem Business beizuziehen; beispielsweise kennt die Personalabteilung die Bearbeitungsprozesse der Mitarbeiterdaten am besten und weiss, welche Daten für welche Zwecke genutzt werden. Ob Sie die notwendigen Angaben zu den Bearbeitungstätigkeiten im Rahmen von Workshops, über Fragebögen oder Einzelgespräche erfragen, ist Ihnen überlassen. Seien Sie sich bewusst, dass eine gute Datenschutzerklärung nie ein Produkt eines Einzelnen, sondern immer ein Gemeinschaftswerk darstellt.
Checkliste: Was wird empfohlen?
Mit den folgenden Tipps kann der Aufwand für die Erstellung einer Datenschutzerklärung reduziert werden:
- Überlegen Sie sich, für welche Bearbeitungstätigkeiten Ihr Unternehmen datenschutzrechtlich verantwortlich ist, also über Zweck und Mittel bestimmt. Nur diese müssen in der Datenschutzerklärung abgedeckt werden.
- Prüfen Sie, ob Ihr Unternehmen (auch) unter die DSGVO fällt. Falls nicht, kann Ihre Datenschutzerklärung erheblich kürzer und prägnanter ausfallen.
- Überlegen Sie sich genau, in welchen Einzelfällen eine spezielle Datenschutzerklärung notwendig ist, und decken Sie den grössten Teil Ihrer Bearbeitungstätigkeiten mittels der allgemeinen Datenschutzerklärung ab.
- Erstellen Sie eine gemeinsame allgemeine Datenschutzerklärung für Ihre Gruppengesellschaft. Damit können Synergien genutzt und Kosten aufgeteilt werden.
- Ziehen Sie die relevanten Personen aus den jeweiligen Geschäftseinheiten bei, die Ihnen die notwendigen Informationen zu den Bearbeitungstätigkeiten liefern können.
- Nutzen Sie Muster und Beispiele aus seriösen Quellen. Ein vielfach verwendetes Muster ist dasjenige auf der Website des DSAT.