Home



FRAGEN

Benötigen wir überhaupt eine Datenschutzerklärung? Falls ja, müssen wir deswegen einen Anwalt beiziehen? Oder können wir das Thema Datenschutz nicht einfach übergehen?

ANTWORTEN

Nahezu alle Schweizer Unternehmen müssen sich organisatorisch und technisch an die neuen Datenschutzgesetze anpassen. Die wichtigsten Antworten auf die häufigsten Fragen haben wir für Sie zusammengetragen.

Ab 2020
  • Alle Schweizer Unternehmen
Seit 2018 alle, die...
  • ...Produkte auch nach Liechtenstein oder in andere Länder der EU/des EWR liefern
  • ...im Online-Shops nebst CHF auch Zahlwährungen wie EUR oder USD akzeptieren
  • ...personbezogene Daten von EU-/EWR-Bürgern erfassen
  • ...Newsletters auch an Personen versenden, deren Wohnsitz die EU/der EWR ist
Mindestens für Schweizer Online-Shops ist schon heute eine individuelle, technisch und rechtlich passgenaue Datenschutzerklärung unumgänglich.
Diese muss (auch) mit der Schweizer Gesetzgebung korrespondieren.

Datenschutzerklärungen aus Datenschutz-Generatoren sind nicht rechtssicher, weil sie weder die Schweizer Gesetze noch die individuellen technischen Eigenheiten einer Internetpräsenz im geforderten Umfang berücksichtigen, beispielsweise die Grundsätze «Data Protection by Design» und «Data Protection by Default».

  • Grundsätzlich keine personenbezogenen Daten erheben
  • Es sei denn, es liege eine ausdrückliche Einwilligung vor
  • Es sei denn, es liege ein berechtigtes Interesse des Datenerhebenden vor und die Rechte der Betroffenen werden dadurch nicht geschmälert
Ein berechtiges Interesse des Datenerhebenden kann sein, dass er Besucherströme auf seiner Website aufzeichnet und damit zwangsläufig auch personenbezogene Elemente wie etwa eine IP-Adresse erfasst. Wird diese IP-Adresse jedoch anonymisiert und nicht mit Daten aus anderen Quellen zusammengeführt, ist keine ausdrückliche Einwilligung der Websitebesucher notwendig.
  • Allgemeine Personendaten wie Name, Vorname, Wohnadresse, Mail-Adresse, Geburtsdatum, Telefonnummer etc.
  • Kennnummern wie Kreditkartennummer, Bank- oder Postkonto-Nummer, Sozialversicherungs-Nummer etc.
  • Online-Daten, die beim Besuch oder der Interaktion mit einer Website/einem Online-Shop in der Regel anfallen, z.B. IP-Adresse, Standort, Browser-Spracheinstellungen etc.
  • Weitere, zum Beispiel Besitzmerkmale, Kundendaten etc.
Als personenbezogene Daten gelten alle Informationen, die sich auf eine natürliche Person beziehen und Rückschlüsse auf die physische, physiologische, genetische, psychische, wirtschaftliche, kulturelle oder soziale Identität erlauben. Als besonders schützenswert gelten Informationen über die ethnische und kulturelle Herkunft, zu politischen, religiösen und philosophischen Überzeugungen sowie zu Gesundheit und Sexualität. Biometrische Merkmale wie DNA, Gesichtsgeometrie oder Fingerabdrücke dürfen nur in Ausnahmefällen verarbeitet werden.

  • Das Recht auf Auskunft zu allen im Unternehmen gespeicherten Daten
  • Das Recht auf Auskunft zur Herkunft dieser Daten
  • Das Recht auf Berichtigung der gespeicherten Daten
  • Das Recht auf eingeschränkte Verarbeitung der gespeicherten Daten
  • Das Rechte auf komplette Löschung dieser Daten
  • Vorläufig nur EU/EWR-Bürger: Das Rechte auf Datenportabilität (Auslieferung) der gespeicherten Daten
Allein schon die Erfüllung der Auskunftspflichten dürfte die meisten Unternehmen vor schier unlösbare Probleme stellen.
Käme dann noch der Wunsch nach Datenportabilität hinzu, würde in fast allen Firmen grosse Ratlosigkeit herrschen.

Deshalb ist es ratsam, sich frühzeitig auf solche Situationen vorzubereiten.

  • Bei jeder natürlichen Person die Erlaubnis einholen, dass deren Daten erhoben und bis auf Widerruf genutzt werden dürfen
  • Organisatorische und technische Massnahmen (TOM) treffen, um personenbezogene Daten bestmöglich zu schützen und um die Rechte von natürlichen Personen zu gewährleisten
  • Auf den Verwendungszweck bezogene Minimierung der personenbezogenen Daten
Unternehmen müssen sich schnellstmöglich an diese Vorgaben anpassen und ihr CRM Customer Relationship Management grundsätzlich überdenken. Die zukünftige Handhabung von personenbezogenen Daten verlangt nach einem Gesamtkonzept, in welches alle organisatorischen und technischen Massnahmen (TOM) eingebettet sind, damit keine gesetzlichen Vorgaben verletzt werden.
    EIGENTLICH NICHT
  • Eine Datenschutzerklärung allein ist lediglich ein unerfülltes Versprechen
  • Eine Datenschutzerklärung entbindet Unternehmen nicht von zahlreichen internen Vorkehrungen und Massnahmen
  • Eine Datenschutzerklärung verlangt auch nach technischen und inhaltlichen Anpassungen der Internet-Präsenz
Unternehmen sind gegenüber Behörden und Klageberechtigten beweispflichtig und müssen im Bedarfsfall sowohl den rechtmässigen Umgang mit personenbezogenen Daten als auch die organisatorischen und technischen Massnahmen zu deren Schutz nachweisen.
Dieses Prinzip der Beweisumkehr verlangt nach weit mehr als einer Datenschutzerklärung.
    NEIN
  • Datenschutz-Generatoren auf (zumeist) deutschen Websites eignen sich aus verschiedenen Gründen nicht für Schweizer Unternehmen
  • Solche Datenschutz-Generatoren stützen (auch) auf das deutsche Bundesdatenschutzgesetz BDSG und das deutsche Telemediengesetz TMG ab. Auf beide können sich Schweizer Unternehmen nicht berufen
  • Der fehlende Bezug zu schweizerischem Recht schafft Rechtsunsicherheit und bietet unnötige Angriffsflächen, zum Beispiel bei konkretem Bezug auf DSGVO-Artikel
Die Versuchung ist gross und der Widerstand gering: Datenschutz-Generatoren versprechen eine schnelle und kostenlose Datenschutzerklärung. Das mag für deutsche Kleingewerbler und Vereine passen, wiegt Schweizer Unternehmen jedoch in falscher Sicherheit.

Kommt hinzu, dass Websites und Online-Shops mit Schweizer Domizil in der Regel sowohl die Vorgaben der DSGVO als auch jene der Schweizer Gesetzgebung erfüllen müssen.
Das kann kein Online-Datenschutzgenerator.


    NEIN
  • Eine Datenschutzerklärung muss sich auf das tatsächlich Vorhandene beziehen, auch in technischer Hinsicht
  • Standard-Datenschutzerklärungen bestehen aus Wenn/Dann-Formulierungen. Das entspricht nicht den Erwartungen des Gesetzgebers. Verlangt wird, dass eine Datenschutzerklärung in einer «...allgemein verständlichen und zugänglichen Sprache...» abgefasst ist. Das sind umständliche Wenn/Dann-Formulierungen definitiv nicht.
Eine Standard-Datenschutzerklärung bildet die tatsächlichen technischen Eigenheiten einer Website oder eines Online-Shops nicht ab. Sie liefert zudem keine konkreten Hinweise auf die notwendigen inhaltlichen und technischen Anpassungen einer Internet-Präsenz und bietet deshalb auch keine Rechtssicherheit.

    VIELLEICHT
  • Die Sprache von Anwälten richtet sich in der Regel an andere Anwälte und an Richter. Datenschutzerklärungen verlangen jedoch nach einer Ausdrucksweise, die von einem breiten Publikum ohne Studium der Jurisprudenz verstanden wird
  • Detailkenntnisse der Online-Technologie sind eine unabdingbare Voraussetzung, damit die Datenschutzerklärung mit den inhaltlichen und technischen Begebenheiten einer Online-Präsenz harmoniert.
Die Szene der technikaffinen Anwälte mit Erfahrungen im Bereich Datenschutzrecht ist in der Schweiz sehr überschaubar.
Vielleicht gehört aber gerade Ihr Haus-Jurist (Ihre Haus-Juristin) zu diesen paar wenigen, die Ihnen rechtlich wie technisch zur Seite stehen können.

Im Zweifelsfall: Geben Sie die Adresse dieser Website an Ihren Anwalt (Ihre Anwältin) weiter und und lassen Sie sich beraten.


Das ist die 100'000 Dollar-Frage schlechthin!

Weil deren Beantwortung nicht mit zwei oder drei einfachen Hinweisen beantwortet werden kann, haben wir die massgebenden Parameter fein säuberlich zusammengetragen und festgehalten.

Und nehmen Sie es sportlich, wenn sich die Definitionen etwas sperrig lesen – es ging nicht anders...
Verzichten Sie darauf, aus falsch verstandenem Sicherheitsdenken Ihre Internet-Präsenz mit einem Cookie Banner zu schmücken, wenn es gar nicht notwendig wäre.

Es ist damit zu rechnen, dass Browser respektive Add-On zu Browsern schon in naher Zukunft mit Warnhinweisen reagieren werden wenn eine Website mit einem Cookie Banner angesteuert wird.
«Ihre Privatsphäre ist auf dieser Website nicht gewährleistet»
könnte ein solcher Hinweis lauten. Das muss nicht sein, wenn es nicht unbedingt sein muss.

  • Die Bundesverfassung sowie das Bundesgesetz über den Datenschutzgesetz DSG gelten für alle Schweizer Unternehmen, die europäische Datenschutz-Grundverodnung EU-DSGVO für nahezu alle Schweizer Unternehmen
  • Je nach Art der Daten und nach Intensität der Bearbeitung dieser personenbezogenen Daten gelten für gewisse Unternehmen erleichterte organisatorische Bedingungen.
Es gibt keinen vernünftigen Grund, um das Thema Datenschutz zu negieren – nicht zuletzt mit Blick auf das Schweizer Datenschutzgesetz DSG, das in absehbarer Zeit in revidierter Form in Kraft treten und sich an die europäische Datenschutz-Grundverordnung anlehen wird.
Schlussendlich bleibt es jedoch ein unternehmerischer Entscheid, ob das Risiko von vermeidbaren Umtrieben und unnötigen Bussen eingegangen werden soll.