Welche Websites brauchen eine Datenschutzerklärung?
Im vergangenen Jahr ist das revidierte Datenschutzgesetz in Kraft getreten. Ein wichtiger Aspekt der Revision ist die Informationspflicht. Seit 1. September 2023 müssen Betroffene informiert werden, wenn Personendaten bearbeitet werden. Ein einfacher Weg dazu ist das Aufschalten einer Datenschutzerklärung auf der Website. Ein Blick auf Schweizer Websites ein gutes Jahr nach der Gesetzesänderung lässt vermuten, dass sich nicht alle Verpflichteten ihrer Pflicht bewusst sind. Von der Informationspflicht, sind nämlich nicht nur Unternehmen betroffen. Vielmehr ist auch auf den Websites von Vereinen, auf Foren und Community-Seiten sowie Blogs regelmässig eine Datenschutzerklärung aufzuschalten.
Auf welchen Websites muss eine Datenschutzerklärung aufgeschaltet werden?
Wenn auf einer Website Personendaten bearbeitet werden, sind die Nutzer:innen der Website grundsätzlich über die Datenbearbeitung zu informieren. Der Begriff der Personendaten ist dabei weit zu verstehen. Er erfasst alle Angaben, die Rückschlüsse auf eine bestimmbare Peron zulassen, wie Namen, Adressen, E-Mailadressen, Geburtsdaten etc. Unter Umständen können bereits die IP-Adressen in den Server-Logdateien Personendaten darstellen. Auch der Begriff des Bearbeitens ist sehr weit. Er umfasst jeden Umgang mit Personendaten, insbesondere das Beschaffen, Speichern, Aufbewahren, Verwenden und Bekanntgeben. Nicht anwendbar ist das Datenschutzgesetz, wenn eine natürliche Person Personendaten ausschliesslich zum persönlichen Gebrauch bearbeitet.
Was ist der Inhalt einer Datenschutzerklärung?
Eine Datenschutzerklärung hat die von der Bearbeitung ihrer Personendaten betroffenen Personen über folgende Punkte in einfacher und verständlicher Sprache zu informieren:
- Wer ist verantwortlich für die Datenbearbeitung?
- Welche Personendaten werden gesammelt?
- Zu welchen Zwecken werden die gesammelten Personendaten bearbeitet?
- Wie lange werden diese gesammelten Personendaten aufbewahrt?
- Welche Wahlmöglichkeiten zur Bearbeitung ihrer Daten stehen den Betroffenen zu?
- Welche Daten werden an Dritte weitergegeben und für welche Zwecke?
- Welche Dienstleistungen oder Produkte insb. auch von Dritten werden eingebunden und wie können die Nutzenden der damit verbundenen Datenübermittlung widersprechen?
- Über welche Kontaktadresse können Fragen zur Datenbearbeitung gestellt werden bzw. wo können Datenschutzechte (z.B. Auskunft, Berichtigung, Löschung, Widerspruch, Portabilität) geltend gemacht werden?
- Welchen Gesetzen untersteht die Datenbearbeitungspraxis?
Damit diese Angaben vollständig und wahrheitsgetreu gemacht werden können, ist es unabdingbar, dass sich die Bearbeiter:innen von Personendaten im Vorfeld der Ausarbeitung oder Aktualisierung einer Datenschutzerklärung vergegenwärtigen, welche Personendaten auf ihrer Website beschafft, zu welchem Zweck sie bearbeitet werden und wohin die Personendaten übermittelt werden. Bereits dieser Schritt kann anspruchsvoll sein. Häufig sind in Websites eine Vielzahl von Diensten Dritter integriert, die Daten von Website-Besucher:innen bearbeiten (Tracking-Tools, Analyse-, Social-Media- und Werbe-Plugins). Diese Dienste und ihr Umgang mit den Personendaten der Website-Besucher:innen sind in der Datenschutzerklärung ebenfalls zu behandeln.
Für Fragen im Zusammenhang mit Datenschutzerklärungen sowie bei anderen datenschutzrechtlichen Anliegen stehen Ihnen die Spezialist:innen der Rudolf & Bieri AG gerne zur Verfügung.
Der Beitrag hat ausschliesslich einen informativen Zweck und kann eine Rechtsberatung nicht ersetzen. Die Rudolf & Bieri AG lehnt jede Haftung für diese Informationen ab. Bei Bedarf beraten Sie unsere Spezialist:innen gerne persönlich.
2. Oktober 2024, Simon Leu