11/2021 – Fachartikel Swiss Infosec AG
Datenschutzhinweise (mit Bezug auf Webseiten oftmals als Datenschutzerklärungen bezeichnet) sollen dem datenschutzrechtlichen Transparenzgebot Rechnung tragen und werden gesetzlich vermehrt explizit vorgeschrieben.
Die Pflicht des Datenverantwortlichen zum Anbringen von Datenschutzhinweisen dient der Erfüllung der datenschutzrechtlichen Informationspflichten, die im neuen Schweizer Datenschutzgesetz (nDSG) und im europäischen Datenschutzrecht (DSGVO) viel expliziter verankert sind als derzeit für die Schweiz, wo Datenschutzhinweise etwa nur für die «Beschaffung besonders schützenswerter Personendaten» (Art. 14 DSG) oder für das «Bearbeiten von Daten auf fremden Geräten» (Art. 45c FMG) direkt vorgeschrieben sind. Auch die kantonalen (besonders die bereits revidierten) Datenschutzgesetze können Informationspflichten festlegen.
Die zentrale Bedeutung von Datenschutzhinweisen leitet sich für den «privaten» Datenschutz ausserdem daraus ab, dass sich bei Interessenabwägungen transparente Datenbearbeitungen in der Gesamtbetrachtung auch ohne das Einholen einer Einwilligung viel eher als rechtmässig erweisen, als wenn eine Datenbearbeitung aus Sicht der von der Datenbearbeitung betroffenen Person unerwartet oder überraschend erfolgt.
Der Gestaltung der Datenschutzerklärung auf der Webseite kommt oft eine zentrale Bedeutung zu. Es ist aber daran zu denken, dass neben Webseitenbesuchern auch sämtliche anderen betroffenen Personenkategorien geeignet über die Bearbeitung ihrer Personendaten zu informieren sind (insbesondere Kunden, Lieferanten [oder deren Ansprechpersonen im B2B-Geschäft], Mitarbeitende usw.).
Die von der DSGVO an Datenschutzhinweise gestellte Hauptanforderung dürfte auch fürs nDSG einschlägig sein: präzise, transparente, verständliche und leicht zugängliche Texte in einer klaren und einfachen Sprache (Art. 12 Abs. 1 DSGVO). Obwohl oder genau weil die Texte schnell mehrere Seiten ausfüllen können, sollte deshalb immer grösstmögliche Kürze und bestmögliche Lesbarkeit das Ziel sein. Wichtig ist auch, dass die Texte aus Sicht der betroffenen Personen zu gestalten sind, gerade was ihre Gliederung anbelangt. Aus deren Sicht Wichtiges ist also mittels abgestufter Information (sog. «layered approach», z.B. mit ausklappbaren Textelementen für Details) an prominenterer Stelle zu erläutern.
Die grosse Wichtigkeit von Datenschutzhinweisen ergibt sich neben der Strafbarkeit bei Fehlern dadurch, dass sie einem grösseren Adressatenkreis offengelegt werden müssen, im Falle der Datenschutzerklärung auf der Webseite der Öffentlichkeit überhaupt. Jedermann hat so unter Umständen die Möglichkeit, unterbliebene oder fehlerhafte Information mit geringem Aufwand zu erkennen.
Datenschutzhinweise können mit «Privacy Icons» angereichert werden, was der Übersicht dienlich sein mag. Sie ersetzen gewisse Informationen in Textform aber wohl nie ganz und müssen nach den entsprechenden Guidelines geeignet eingebunden werden.
Wesentliche Rechtsgrundlagen sind Art. 19 nDSG und Art. 13/14 DSGVO.
Checkliste Datenschutzhinweise
- Name und Kontaktdaten des Verantwortlichen und (falls anwendbar): CH-Vertreter
- Bearbeitungszweck
- Empfänger oder Kategorien von Empfängern
- Kategorien bearbeiteter Personendaten (Erhebung nicht direkt bei betroffener Person)
- Übermittlung ins Ausland (Länderangabe und Erwähnung der relevanten Garantie oder Ausnahmetatbestände)
- automatisierte Einzelentscheide (falls anwendbar): Verwendung
- Kontaktdaten DPO und EU-Vertreter (sofern vorhanden)
- Rechtsgrundlage der Bearbeitung
- Aufbewahrungsdauer oder deren Kriterien
- Betroffenenrechte: Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch, Datenportabilität
- Beschwerderecht bei Aufsichtsbehörde
- Bei Verarbeitung durch Einwilligung: Hinweis auf Widerrufsrecht
- Angabe der berechtigten Interessen (falls anwendbar)
- automatisierte Entscheidfindung (falls anwendbar) zusätzlich (zu oben): Informationen über Logik und Tragweite
- Datenquelle (bei Erhebung nicht direkt bei betroffener Person)
- gesetzlich/vertraglich für Vertragsabschluss erforderlich (falls anwendbar, Information über diese Pflicht und die möglichen Folgen einer Nichtbereitstellung)
- Sonderfall: Informationspflicht für den Fall einer späteren Zweckänderung: Weiterverarbeitung für andere Zwecke (falls anwendbar)
Haben Sie Fragen zum Datenschutz? Die Spezialisten der Swiss Infosec AG beraten und unterstützen Sie gerne, schnell und zielführend.
Swiss Infosec AG; 03.11.2021, überarbeitet: 12.07.2023
Kompetenzzentrum Datenschutz, +41 41 984 12 12, infosec@infosec.ch