Erfahre, was Du ab dem 1.9.2023 für Deine Schweizer Website machen musst, um Bussgelder, Verwaltungsverfahren und Prozesse zu vermeiden.
Das neue DSG stellt Unternehmer in der Schweiz vor neue Herausforderungen, denn ab denn 01.09.2023 müssen Sie eine Datenschutzerklärung veröffentlichen. Aber wie schreibt man eine gute Datenschutzerklärung? In diesem Artikel erfährst Du, worauf Du bei der Erstellung einer Datenschutzerklärung für die Schweiz achten musst und welche wichtigen Informationen unbedingt enthalten sein sollten.
Inhalt:
-
- 1. Warum brauche ich eine Datenschutzerklärung?
- 2. Wer braucht eine Datenschutzerklärung?
- 3. Brauche ich eine Datenschutzerklärung für Social Media?
- 4. In welchen Fällen muss ich eine Datenschutzerklärung erstellen?
- 5. Welche Informationen muss eine Datenschutzerklärung enthalten?
- 6. Was sind typische Inhalte einer Website-Datenschutzerklärung?
- 7. Wie findet man heraus, welche Dienste von Dritten verwendet werden?
- 8. Wie erstellt man am einfachsten eine Website-Datenschutzerklärung?
- 9. Was passiert, wenn ich keine Datenschutzerklärung erstelle?
- 10.Datenschutzerklärung auch nach DSGVO!
- 11.Was sind häufige Fehler bei Datenschutzerklärungen?
- 12. Ergebnis
1. Warum brauche ich eine Datenschutzerklärung
Die Veröffentlichung einer Datenschutzerklärung ist in der Schweiz nach Art. 19 DSG gesetzlich vorgeschrieben, wenn ein Unternehmen personenbezogene Daten verarbeitet. Eine Datenschutzerklärung informiert die betroffenen Personen darüber:
- welche personenbezogenen Daten das Unternehmen erhebt,
- wie sie verwendet werden und
- welche Rechte die betroffenen Personen haben.
Sie soll den Betroffenen das Vertrauen geben, dass ihre Daten sicher und vertraulich behandelt werden.
Wenn ein Unternehmen keine Datenschutzerklärung hat oder diese nicht den gesetzlichen Anforderungen entspricht, kann es zu rechtlichen Konsequenzen wie Bussgeldern, Verfahren oder rechtlichen Forderungen kommen.
2. Wer braucht eine Datenschutzerklärung?
Eine Datenschutzerklärung ist immer dann erforderlich, wenn personenbezogene Daten eines Schweizers verarbeitet werden. Es kommt damit nur darauf an, ob die betroffene Person Schweizer ist, nicht darauf, ob Du selbst Schweizer bist oder Dich auch nur in der Schweiz aufhältst. Das Schweizer DSG gilt damit für jeden, der Daten von Schweizern bearbeitet, sei er in der Schweiz, Deutschland, England, den USA, Neuseeland oder den Seychellen oder sonst irgendwo auf der Welt.
3. Brauche ich eine Datenschutzerklärung für Social Media?
Nach der DSGVO hat der Europäische Gerichtshof entschieden, dass Unternehmen auch für Ihre Präsenzen auf Social Media mit verantwortlich sind. Nicht nur Facebook, Instagram, Twitter und Co. sind dafür verantwortlich, eine Datenschutzerklärung vorzuhalten, sondern auch ein Unternehmen aus der EU, das sich auf Social Media präsentiert und somit Dritte zu einem Besuch auf dieser Social Media Seite einlädt. Deshalb brauchen EU-Unternehmen für jede ihrer Social Media Präsenzen eine Datenschutzerklärung. Mehr zur Abmahnfalle Social Media in der EU findest Du in unserem Blogpost hier.
Ob das für die Schweiz entsprechend entschieden wird, ist noch unklar. Nach dem Gebot des sichersten Weges müssen wir jedenfalls auch Schweizern raten, auf Social Media eine Datenschutzerklärung vorzuhalten.
In dem Komplettschutz von easyRechtssicher ist ein Social Media Generator enthalten.
4. In welchen Fällen muss ich eine Datenschutzerklärung erstellen?
Das DSG gilt für die Bearbeitung von Personendaten natürlicher Personen. Das heißt immer, wenn Du Personendaten von einer natürlichen Person aus der Schweiz bearbeitest, brauchst Du eine Datenschutzerklärung.
Speichert Du also einen privaten Kontakt in Deinem Telefonbuch, gilt das DSG nicht, handelt es sich aber um einen beruflichen Anlass, ist es anwendbar. Jedes Datum einer natürlichen Person, dass Du nicht nur ganz privat speicherst, macht das DSG anwendbar. Ob Du Interessenten für ein Angebot sammelst, Adressen für Dein Unternehmen erfasst, Besucher aufzeichnest, Mailadressen angeben lässt-immer dann wird das DSG anwendbar, wenn der Zweck nicht rein privat ist (etwa Sammlung von Mail Adressen von Freunden für eine Einladung zum Geburtstag).
Klassiker ist – wie auch nach der DSGVO – dass jede Website im Internet nach der grundlegenden Funktion des Internets die IP-Adresse des Besuchers (und weitere potentiell persönliche Daten) erfasst. Damit ist das DSG für jede Website mit schweizer Besuchern anwendbar.
Insgesamt gilt das DSG immer, wenn Du Daten Schweizer natürlicher Personen als Unternehmen, Firma, Freiberufler, Freelancer, Organisation oder in sonstigen Fällen verarbeitest, wenn die Daten nicht nur in rein privater Funktion verarbeitet werden.
5. Welche Informationen muss eine Datenschutzerklärung enthalten?
Art. 19 DSG regelt, welche Informationen in einer Datenschutzerklärung anzugeben sind. In der Datenschutzerklärung musst Du angeben:
- Informationen über die Beschaffung der Personendaten;
- Identität und Kontaktdaten des Verantwortlichen;
- den Bearbeitungszweck,
- Angabe der Empfänger, an den die Personendaten übermittelt werden.
-
-
Werden die Daten nicht direkt bei der betroffenen Person beschafft, so muss zudem die Kategorie der Personendaten angegeben werden.
Bei Datenübermittlungen in das Ausland sind zudem der Staat, in den die Daten übermittelt werden, und die Garantien nach Art. 16 Abs. 2 DSG bzw. Ausnahmen nach Art. 17 DSG anzugeben.
6. Was sind typische Inhalte einer Website-Datenschutzerklärung?
Sobald Du eine Website betreibst, musst Du eine Datenschutzerklärung dafür erstellen. Auch wenn jede Website anders aufgebaut ist und sich damit auch die Datenschutzerklärungen inhaltlich unterscheiden, gibt es doch einige Funktionen und Datenbearbeitungen, die typischerweise vorkommen und daher regelmäßig abgedeckt werden müssen.
Oft ist es möglich, sich über eine Maske auf der Website für einen Newsletter oder ähnliche Marketingkommunikation anzumelden, wobei der Abonnent mindestens seinen Namen und seine E-Mail-Adresse bekanntgibt. Hier musst Du beachten, dass Du den Abonnenten auch noch über eine Abmeldemöglichkeit informieren musst (dies ist keine Vorgabe des Datenschutzes, sondern von Art. 3 Abs. 1 lit. o des Bundesgesetzes über den unlauteren Wettbewerb).
Auch wenn Deine Website nur informativen Charakter hat, werden in der Praxis meist Cookies oder ähnliche Tracking-Technologien eingesetzt, mittels derer zumindest IP-Adressen oder ähnliche „Identifier“ erhoben werden, welche Personendaten enthalten könnten.
Wenn Du Drittdienste wie Trackingtools wie Google Analytics oder Social-Media-Pixel einbindest, musst Du den Nutzer darüber informieren, welche Personendaten an Dritte übermittelt werden und für welche Zwecke. Fließen dabei Daten ins Ausland (was eigentlich immer der Fall sein dürfte), musst Du auch darüber informieren. In der Schweiz ist dies zukünftig sogar ausdrücklich über das Empfängerland erforderlich. Für gängige Drittdienstleister wie Google, Facebook, Twitter etc. findet man im Internet Standardformulierungen. Du kannst diese zwar nutzen, solltest sie aber dennoch kritisch prüfen und notwendige Anpassungen vornehmen.
Wenn Du beispielsweise ein Kontaktformular oder eine ähnliche Kontaktmöglichkeit auf Deiner Website hast, musst Du den Nutzer darüber informieren, was mit seinen Daten, die er darüber bekanntgibt, genau gemacht wird (wahrscheinlich die Bearbeitung seiner Anfrage und die Kontaktaufnahme seitens Deines Unternehmens).
7. Wie findet man heraus, welche Dienste von Dritten verwendet werden?
Um herauszufinden, welche Dienste von Dritten auf einer Website verwendet werden, gibt es verschiedene Möglichkeiten. Eine einfache Möglichkeit besteht darin, die Website manuell zu überprüfen und nach Drittanbieter-Skripten oder -Plug-Ins zu suchen. Oftmals geben diese Dienste auch Hinweise auf ihre Anwesenheit, indem sie sich beispielsweise durch Logos oder Markennamen kenntlich machen.
Alternativ gibt es auch Tools wie den Ghostery Browser-Erweiterung oder das Google Chrome-Plug-in „Tag Assistant“, die automatisch alle Dienste von Dritten auf einer Website erkennen und anzeigen können.
8. Wie erstellt man am einfachsten eine Website-Datenschutzerklärung?
Ganz einfach kannst Du bei easyRechtssicher Deine Datenschutzerklärung erstellen lassen. In unserem Komplettschutz erstellen wir für Dich Deine Datenschutzerklärung ganz automatisch. Du musst nur einmal Deine Daten und Tools angeben. Einmal eingestellt, aktualisieren wir Deine Datenschutzerklärung ständig. Ändert sich rechtlich etwas, bleibt Deine Datenschutzerklärung automatisch aktuell. Selbst wenn Du keine Automatik wählst, wir unterrichten Dich per E-Mail über Änderungen, und Du bist mit einem Klick wieder aktuell. Einfacher geht es nicht!
9. Was passiert, wenn ich keine Datenschutzerklärung erstelle?
In der Schweiz ist die Erstellung einer Datenschutzerklärung gesetzlich vorgeschrieben, wenn personenbezogene Daten verarbeitet werden. Gemäß dem Bundesgesetz über den Datenschutz (DSG) müssen die betroffenen Personen über die Art und den Umfang der Datenverarbeitung informiert werden. Wenn Du also eine Website betreibst und personenbezogene Daten erhebst oder verarbeitest, musst Du eine Datenschutzerklärung erstellen und auf Deiner Website veröffentlichen.
In der Schweiz kann ein Verstoß gegen Datenschutzgesetze sowohl bussgeldrechtliche als auch zivilrechtliche Konsequenzen haben. Ordnungsrechtliche Sanktionen können Geldbussen bis zu 250.000 SFr reichen, je nach Schwere des Verstoßes. Zivilrechtliche Konsequenzen können in Form von Schadenersatzansprüchen von betroffenen Personen oder Unternehmen gegen den Verursacher des Verstoßes auftreten.
Darüber hinaus kann ein Unternehmen auch von Datenschutzbehörden sanktioniert werden, wenn es gegen Datenschutzgesetze verstößt.
10. Datenschutzerklärung auch nach DSGVO!
Der Grund, warum die Schweiz Datenschutzregeln ähnlich der europäischen Union angenommen hat, ist, dass die Schweiz von EU-Staaten umringt ist und diese auch ihr wichtigster Wirtschaftspartner ist. Es sollte auch eine Angleichung an EU-Standards erreicht werden.
Die EU-Regeln sind jedoch mit genauso einem weitgehenden Anwendungsbereich versehen wie das Schweizer DSG. D.h., dass Unternehmen in der Schweiz, die personenbezogene Daten von EU-Bürgern verarbeiten, auch den Bestimmungen der DSGVO entsprechen müssen. Verstöße gegen die DSGVO können ebenfalls ordnungsrechtliche und zivilrechtliche Konsequenzen haben und von den Datenschutzbehörden der EU sanktioniert werden. Zusätzlich dazu können auch Abmahnungen und Unterlassungserklärungen drohen, insbesondere wenn Wettbewerber oder Verbraucherschutzorganisationen auf eine fehlende Datenschutzerklärung oder andere Verstöße gegen den Datenschutz aufmerksam werden.
Daher brauchst Du als Schweizer Website-Betreiber auch eine Datenschutzerklärung nach der DSGVO, wenn Du Nutzer aus der EU hast (was praktisch für jede Schweizer Website gelten dürfte).
Bei dem Komplettschutz von easyRechtssicher erhältst Du immer eine Datenschutzerklärung nach dem Schweizer DSG und der DSGVO der EU gleichzeitig – eine Mitgliedschaft: alle notwendigen Datenschutzerklärungen
11. Was sind häufige Fehler bei Datenschutzerklärungen?
Ein häufiger Fehler ist, dass die Datenschutzerklärung nicht überall auf der Webseite ersichtlich und aktuell ist. Sie sollte immer aktuell und überall auf der Webseite für Deine Nutzer ersichtlich sein. Daher ist eine Überwachung der rechtlichen Vorgaben und ihre erneute Umsetzung in der Datenschutzerklärung wichtig!
Ein weiterer Fehler ist es, keinen Auftragsverarbeitungsvertrag zu nutzen. Wenn Du Daten an dritte Dienstleister weitergibst, solltest Du einen Auftragsverarbeitungsvertrag nutzen. Hier bei EasyContracts findest Du einen Muster-AVV.
Außerdem vergessen viele eine Datenschutzerklärung bei Social Media einzubinden. Unter der DSGVO ist es bereits notwendig auch bei in Social Media Accounts eine Datenschutzerklärung einzubinden. In der Schweiz ist zu erwarten, dass auch eine Datenschutzerklärung für Social Media erforderlich wird. Deswegen solltest Du zur Sicherheit eine bereitstellen.
Ein weiterer häufiger Fehler ist die Unzulässige Übermittlung ins Ausland. Für die Datenübermittlung in unsichere Länder müssen geeignete Schutzmaßnahmen getroffen werden. Prüfe daher vor der Verwendung von z.B. US-amerikanischen Tools ob Standardvertragsklauseln verwendet werden.
12. Ergebnis
Mit dem neuen Schweizer Datenschutzgesetz kommen ganz neue Pflichten auf Schweizer Unternehmen, Freiberufler und Selbständige zu. Jede Bearbeitung von persönlichen Daten von Schweizer Bürgern führt zur Pflicht, eine Datenschutzerklärung zu erstellen und anzuzeigen. Ab 1.9.2023 ist es soweit – in der EU haben viele hektisch auf die letzte Sekunde die neuen Regeln implementiert und nicht wenige haben empfindliche Rechtsfolgen gespürt, weil sie die DSGVO nicht richtig umgesetzt haben. Lass nicht zu, dass es Dir als Schweizer nach dem DSG genauso ergeht.
easyRechtssicher bietet auch eine Schweizer Datenschutzerklärung.
Alle Deine Fragen zur Datenschutzerklärung beantworten wir hier ausführlich.
Désirée Jäger, LL.M. Désirée hat sich bereits im Studium mit dem Datenschutz beschäftigt und Ihre Masterarbeit dem Thema: „Die Übermittlung personenbezogener Daten an Empfänger in Drittländer nach Anforderungen der DSGVO“ gewidmet. Sie war einige Zeit als Contract- und Claim-Managerin im maritimen Sektor tätig und hat Vertrags- sowie Claimverhandlungen geführt. Jetzt unterstützt sie Paragraf 7 bei der Lösung rechtlicher Probleme von Unternehmen.