Datenschutzerklärung IDEENFABRIK Claude Vuille

Datenschutzerklärungen im Internet

Schweizer Unternehmen müssen eine transparente Datenbearbeitungspolitik betreiben, indem sie eine für die Nutzenden verständliche Datenschutzerklärung verfassen und diese auf ihrer Website einblenden.

Wozu dienen Datenschutzerklärungen?

Datenschutzerklärungen sollen die Nutzenden einer Website darüber informieren, welche Personendaten erfasst und zu welchen Zwecken sie bearbeitet werden. Zudem sollte daraus ersichtlich sein, ob und welche Daten zur Bearbeitung an Dritte weitergegeben werden. Die Datenschutzerklärung konkretisiert die Informationspflichten der Verantwortlichen nach Art. 19 DSG. Demnach müssen die Nutzenden ausreichend und verständlich informiert werden, um frei entscheiden zu können, ob und wie sie ihre Daten bearbeiten lassen möchten. Zudem müssen die notwendigen Informationen mitgeteilt werden, damit die Nutzenden ihre Rechte geltend machen können. Deshalb muss die Erklärung mit der erforderlichen Sorgfalt und Genauigkeit sowie zielgruppengerecht verfasst werden. Wenn das Angebot auf der Website in mehreren Sprachen angeboten wird, dann sollte die Datenschutzerklärung auch in diesen Sprachen bereitgestellt werden. Eine transparente Information über die praktizierten Datenbearbeitungen ist im Übrigen wesentlich, um das Vertrauen der Nutzenden zu gewinnen.

Was ist bei der Ausarbeitung einer Datenschutzerklärung zu berücksichtigen?

Bevor mit der Ausarbeitung einer Datenschutzerklärung begonnen wird, sind der Datenbedarf des Unternehmens zu untersuchen, die gegenwärtigen Datenbearbeitungen zu analysieren und klare Richtlinien im Umgang mit Personendaten zu erlassen. Aufgrund dieser Angaben kann die Datenschutzerklärung verfasst werden. Die Erklärung muss die Bestimmungen des Datenschutzgesetzes berücksichtigen und mit den tatsächlich vorgenommenen Datenbearbeitungen übereinstimmen. Allgemeine Formulierungen wie «unter Umständen können wir Ihre Daten so und so bearbeiten» sind zu vermeiden.

Wir empfehlen, mit dem Verfassen der Datenschutzerklärung erst zu beginnen, wenn mindestens folgende Fragen beantwortet sind:

  • Welche Personendaten werden gesammelt?
  • Welche Personendaten sind für die Erbringung der Dienstleistung erforderlich?
  • Wie und woher (interne oder externe Quellen) werden Personendaten beschafft?
  • Zu welchen Zwecken werden Personendaten verwendet?
  • Wer ist für die Kontrolle der gesammelten Personendaten verantwortlich?
  • Wer hat Zugang zu den Daten?
  • Wie, wo und wie lange werden Personendaten gespeichert?
  • Werden Daten ins Ausland übertragen?
  • Werden Personendaten Dritten bekanntgegeben und zu welchem Zweck?
  • Werden Dienstleistungen oder Produkte von Dritten in die Webseite eingebunden, welche Daten an diese übertragen (Analysetools, Social Plugins, Maps, Wetterinfos, Börsenkurse etc.)?

    Ausführliche Informationen über die Verwendung von Web-Analysetools wie bspw. das Tracking mittels Cookies oder die Einbindung von Social Plugins finden Sie in unseren Erläuterungen zum Thema Tracking.

  • Existieren interne Richtlinien oder Vorschriften für das Sammeln, das Bearbeiten und die Weitergabe dieser Daten?
  • An wen und wie können sich die betroffenen Personen wenden, um Einsicht, Löschung oder Berichtigung der Daten zu verlangen bzw. einer Datenbearbeitung zu widersprechen?

Wie muss eine Datenschutzerklärung aussehen?

Die Erklärung sollte die Nutzenden über folgende Punkte informieren:

  • Wer ist verantwortlich für die Datenbearbeitung?
  • Welche Personendaten werden gesammelt?
  • Zu welchen Zwecken werden die gesammelten Personendaten bearbeitet?
  • Wie lange werden diese gesammelten Personendaten aufbewahrt? 
  • Welche Wahlmöglichkeiten zur Bearbeitung ihrer Daten stehen den Nutzenden zu?
  • Welche Daten werden an Dritte weitergegeben und für welche Zwecke?
  • Welche Dienstleistungen oder Produkte insb. auch von Dritten werden eingebunden und wie können die Nutzenden der damit verbundenen Datenübermittlung widersprechen?
  • Über welche Kontaktadresse können Fragen zur Datenbearbeitung gestellt werden bzw. wo können Datenschutzechte  (z.B. Auskunft, Berichtigung, Löschung, Widerspruch, Portabilität) geltend gemacht werden?
  • Welchen Gesetzen untersteht die Datenbearbeitungspraxis des Anbieters?

Die Datenschutzerklärung sollte zielgruppengerecht gestaltet werden. Wir empfehlen Ihnen hierfür den Ansatz der mehrstufigen Information. Auf oberster Stufe sollten knappe und einfach verständliche Informationen, z.B. stichwortartig, einen ersten Überblick über die wesentlichen Aspekte der Datenbearbeitung vermitteln, damit die Nutzenden leicht und schnell verstehen können, welche Daten über sie erhoben und wie diese verwendet werden. Mittels Verlinkung sollten dann den Nutzenden die Möglichkeit gegeben werden, auf die ausführliche Datenschutzerklärung zu gelangen. Am besten werden die Stichworte in der Übersicht direkt mit den relevanten Passagen in der ausführlichen Datenschutzerklärung verlinkt. Allenfalls können dann noch auf einer dritten Stufe vertiefte und detailliertere Informationen für Experten angeboten werden. 

Wenn eine Webseite auf ein internationales Publikum zielt, müssen Sie ausserdem prüfen, ob internationale Vorschriften weitere Informationen erfordern.

Schliesslich ist die Erklärung auf der Website so zu platzieren, dass sie für die Nutzenden von jeder Seite aus leicht zugänglich ist.