Home


DATENSCHUTZGESETZE SCHWEIZ LIECHTENSTEIN UND EU

FRAGEN

Benötigen wir überhaupt eine Datenschutzerklärung? Falls ja, müssen wir deswegen einen Anwalt beiziehen? Oder können wir das Thema Datenschutz nicht einfach übergehen?

ANTWORTEN

Nahezu alle Schweizer Unternehmen müssen sich organisatorisch und technisch an die neuen Datenschutzgesetze anpassen. Die wichtigsten Antworten auf die häufigsten Fragen haben wir für Sie zusammengetragen.

Ab 2021
  • Alle Schweizer Unternehmen
Seit 2018 alle, die...
  • ...Produkte auch nach Liechtenstein oder in andere Länder der EU/des EWR liefern
  • ...im Online-Shops nebst CHF auch Zahlwährungen wie EUR oder USD akzeptieren
  • ...personbezogene Daten von EU-/EWR-Bürgern erfassen
  • ...Newsletters auch an Personen versenden, deren Wohnsitz die EU/der EWR ist
Mindestens für Schweizer Online-Shops ist schon heute eine individuelle, technisch und rechtlich passgenaue Datenschutzerklärung unumgänglich.
Diese muss (auch) mit der Schweizer Gesetzgebung korrespondieren.

Datenschutzerklärungen aus Datenschutz-Generatoren sind nicht rechtssicher, weil sie weder die Schweizer Gesetze noch die individuellen technischen Eigenheiten einer Internetpräsenz im geforderten Umfang berücksichtigen, beispielsweise die Grundsätze «Data Protection by Design» und «Data Protection by Default».

  • Grundsätzlich keine personenbezogenen Daten erheben
  • Es sei denn, es liege eine ausdrückliche Einwilligung vor
  • Es sei denn, es liege ein berechtigtes Interesse des Datenerhebenden vor und die Rechte der Betroffenen werden dadurch nicht geschmälert
Ein berechtiges Interesse des Datenerhebenden kann sein, dass er Besucherströme auf seiner Website aufzeichnet und damit zwangsläufig auch personenbezogene Elemente wie etwa eine IP-Adresse erfasst. Wird diese IP-Adresse jedoch anonymisiert und nicht mit Daten aus anderen Quellen zusammengeführt, ist keine ausdrückliche Einwilligung der Websitebesucher notwendig.
  • Allgemeine Personendaten wie Name, Vorname, Wohnadresse, Mail-Adresse, Geburtsdatum, Telefonnummer etc.
  • Kennnummern wie Kreditkartennummer, Bank- oder Postkonto-Nummer, Sozialversicherungs-Nummer etc.
  • Online-Daten, die beim Besuch oder der Interaktion mit einer Website/einem Online-Shop in der Regel anfallen, z.B. IP-Adresse, Standort, Browser-Spracheinstellungen etc.
  • Weitere, zum Beispiel Besitzmerkmale, Kundendaten etc.
Als personenbezogene Daten gelten alle Informationen, die sich auf eine natürliche Person beziehen und Rückschlüsse auf die physische, physiologische, genetische, psychische, wirtschaftliche, kulturelle oder soziale Identität erlauben. Als besonders schützenswert gelten Informationen über die ethnische und kulturelle Herkunft, zu politischen, religiösen und philosophischen Überzeugungen sowie zu Gesundheit und Sexualität. Biometrische Merkmale wie DNA, Gesichtsgeometrie oder Fingerabdrücke dürfen nur in Ausnahmefällen verarbeitet werden.

  • Das Recht auf Auskunft zu allen im Unternehmen gespeicherten Daten
  • Das Recht auf Auskunft zur Herkunft dieser Daten
  • Das Recht auf Berichtigung der gespeicherten Daten
  • Das Recht auf eingeschränkte Verarbeitung der gespeicherten Daten
  • Das Rechte auf komplette Löschung dieser Daten
  • Vorläufig nur EU/EWR-Bürger: Das Rechte auf Datenportabilität (Auslieferung) der gespeicherten Daten
Allein schon die Erfüllung der Auskunftspflichten dürfte die meisten Unternehmen vor schier unlösbare Probleme stellen.
Käme dann noch der Wunsch nach Datenportabilität hinzu, würde in fast allen Firmen grosse Ratlosigkeit herrschen.

Deshalb ist es ratsam, sich frühzeitig auf solche Situationen vorzubereiten.

  • Bei jeder natürlichen Person die Erlaubnis einholen, dass deren Daten erhoben und bis auf Widerruf genutzt werden dürfen
  • Organisatorische und technische Massnahmen (TOM) treffen, um personenbezogene Daten bestmöglich zu schützen und um die Rechte von natürlichen Personen zu gewährleisten
  • Auf den Verwendungszweck bezogene Minimierung der personenbezogenen Daten
Unternehmen müssen sich schnellstmöglich an diese Vorgaben anpassen und ihr CRM Customer Relationship Management grundsätzlich überdenken. Die zukünftige Handhabung von personenbezogenen Daten verlangt nach einem Gesamtkonzept, in welches alle organisatorischen und technischen Massnahmen (TOM) eingebettet sind, damit keine gesetzlichen Vorgaben verletzt werden.
    NEIN
  • Eine Datenschutzerklärung allein ist lediglich ein unerfülltes Versprechen
  • Eine Datenschutzerklärung entbindet Unternehmen nicht von zahlreichen internen Vorkehrungen und Massnahmen
  • Eine Datenschutzerklärung verlangt auch nach technischen und inhaltlichen Anpassungen der Internet-Präsenz
Unternehmen sind gegenüber Behörden und Klageberechtigten beweispflichtig und müssen im Bedarfsfall sowohl den rechtmässigen Umgang mit personenbezogenen Daten als auch die organisatorischen und technischen Massnahmen zu deren Schutz nachweisen.
Dieses Prinzip der Beweisumkehr verlangt nach weit mehr als einer Datenschutzerklärung.
    NEIN
  • Datenschutz-Generatoren auf (zumeist) deutschen Websites eignen sich aus verschiedenen Gründen nicht für Schweizer Unternehmen
  • Solche Datenschutz-Generatoren stützen (auch) auf das deutsche Bundesdatenschutzgesetz BDSG und das deutsche Telemediengesetz TMG ab. Auf beide können sich Schweizer Unternehmen nicht berufen
  • Der fehlende Bezug zu schweizerischem Recht schafft Rechtsunsicherheit und bietet unnötige Angriffsflächen, zum Beispiel bei konkretem Bezug auf DSGVO-Artikel
Die Versuchung ist gross und der Widerstand gering: Datenschutz-Generatoren versprechen eine schnelle und kostenlose Datenschutzerklärung. Das mag für deutsche Kleingewerbler und Vereine passen, wiegt Schweizer Unternehmen jedoch in falscher Sicherheit.

Kommt hinzu, dass Websites und Online-Shops mit Schweizer Domizil in der Regel sowohl die Vorgaben der DSGVO als auch jene der Schweizer Gesetzgebung erfüllen müssen.
Das kann kein Online-Datenschutzgenerator.


    NEIN
  • Eine Datenschutzerklärung muss sich auf das tatsächlich Vorhandene beziehen, auch in technischer Hinsicht.
  • Standard-Datenschutzerklärungen bestehen aus Wenn/Dann-Formulierungen. Das entspricht nicht den Vorgaben des Gesetzgebers. Verlangt wird, dass eine Datenschutzerklärung in einer «...allgemein verständlichen und zugänglichen Sprache...» abgefasst ist. Das sind umständliche Wenn/Dann-Formulierungen definitiv nicht.
Eine Standard-Datenschutzerklärung bildet die tatsächlichen technischen Eigenheiten einer Website oder eines Online-Shops nicht ab. Sie liefert zudem keine konkreten Hinweise auf die notwendigen inhaltlichen und technischen Anpassungen einer Internet-Präsenz und bietet deshalb auch keine Rechtssicherheit.

    Im Verhältnis zu den möglichen Bussen sehr wenig
  • Für eine Website, inklusive Webmasterbriefing in der Regel CHF 2'000 bis 3'000.
  • Für einen Online-Shop, inklusive Webmasterbriefing in der Regel CHF 3'000 bis 4'000.
Eine passgenaue Datenschutzerklärung lohnt sich für alle, die das Thema Datenschutzerklärung in einem einzigen Anlauf ordentlich erledigen und keine unnötigen Umtriebe auf sich nehmen wollen.

    VIELLEICHT
  • Die Sprache von Anwälten richtet sich in der Regel an andere Anwälte und an Richter. Datenschutzerklärungen verlangen jedoch nach einer Ausdrucksweise, die von einem breiten Publikum ohne Studium der Jurisprudenz verstanden wird
  • Detailkenntnisse der Online-Technologie sind eine unabdingbare Voraussetzung, damit die Datenschutzerklärung mit den inhaltlichen und technischen Begebenheiten einer Online-Präsenz harmoniert.
Die Szene der technikaffinen Anwälte mit Erfahrungen im Bereich Datenschutzrecht ist in der Schweiz sehr überschaubar.
Vielleicht gehört aber gerade Ihr Haus-Jurist (Ihre Haus-Juristin) zu diesen paar wenigen, die Ihnen sowohl rechtlich als auch technisch zur Seite stehen können.

Im Zweifelsfall: Geben Sie die Adresse dieser Website an Ihren Anwalt (Ihre Anwältin) weiter und und lassen Sie sich beraten.


VIELLEICHT

Ein Cookie-Banner ist gemäss den geltenden Datenschutz-Gesetzen sowie der bisherigen Rechtsprechung keine rechtsgültige Einwilligung zur Erhebung von personenbezogenen Daten.

Deshalb entbindet ein Cookie-Banner den Betreiber einer Website oder eines Webshops nicht von den Pflichten, organisatorische und technische Massnahmen zum Schutz der Privatsphäre der Besucherinnen und Besucher seiner Onlinepräsenz vorzukehren.

Ein Cookie-Banner muss die Möglichkeit des «One Click Reject» bieten. Im Klartext: Das Setzen von Cookies muss mit einem einzigen Klick abgelehnt werden können. Zudem muss dieser Button optisch prägnanter sein als der Button «Akzeptieren» oder «OK».

Unter diesen Umständen stellt sich die Frage, ob nicht gänzlich auf dauerhafte Cookies von Drittanbietern verzichtet werden soll. Zumindest auf jene, welche den Schutz der Privatsphäre von Sitebesuchern nicht gewährleisten – was in der Regel das Geschäftsmodell dieser Drittanbieter ist.

  • Die Bundesverfassung sowie das Bundesgesetz über den Datenschutzgesetz DSG gelten für alle Schweizer Unternehmen, die europäische Datenschutz-Grundverodnung EU-DSGVO für nahezu alle Schweizer Unternehmen
  • Je nach Art der Daten und nach Intensität der Bearbeitung dieser personenbezogenen Daten gelten für gewisse Unternehmen erleichterte organisatorische Bedingungen.
Es gibt keinen vernünftigen Grund, um das Thema Datenschutz zu negieren – nicht zuletzt mit Blick auf das Schweizer Datenschutzgesetz DSG, das in absehbarer Zeit in revidierter Form in Kraft treten und sich an die europäische Datenschutz-Grundverordnung anlehen wird.
Schlussendlich bleibt es jedoch ein unternehmerischer Entscheid, ob das Risiko von vermeidbaren Umtrieben und unnötigen Bussen eingegangen werden soll.

ANONYMER SCHNELLTEST

«Betrifft uns das neue Schweizer Datenschutzgesetz?»



© Frick & Partner GmbH
Impressum Datenschutz