DATENSCHUTZGESETZE SCHWEIZ LIECHTENSTEIN UND EU
FRAGEN
Benötigen wir überhaupt eine Datenschutzerklärung? Falls ja, müssen wir deswegen einen Anwalt beiziehen? Oder können wir das Thema Datenschutz nicht einfach übergehen?
ANTWORTEN
Nahezu alle Schweizer Unternehmen müssen sich organisatorisch und technisch an die neuen Datenschutzgesetze anpassen. Die wichtigsten Antworten auf die häufigsten Fragen haben wir für Sie zusammengetragen.
- Alle Schweizer Unternehmen
- ...Produkte auch nach Liechtenstein oder in andere Länder der EU/des EWR liefern
- ...im Online-Shops nebst CHF auch Zahlwährungen wie EUR oder USD akzeptieren
- ...personbezogene Daten von EU-/EWR-Bürgern erfassen
- ...Newsletters auch an Personen versenden, deren Wohnsitz die EU/der EWR ist
Diese muss (auch) mit der Schweizer Gesetzgebung korrespondieren.
Datenschutzerklärungen aus Datenschutz-Generatoren sind nicht rechtssicher, weil sie weder die Schweizer Gesetze noch die individuellen technischen Eigenheiten einer Internetpräsenz im geforderten Umfang berücksichtigen, beispielsweise die Grundsätze «Data Protection by Design» und «Data Protection by Default».
- Grundsätzlich keine personenbezogenen Daten erheben
- Es sei denn, es liege eine ausdrückliche Einwilligung vor
- Es sei denn, es liege ein berechtigtes Interesse des Datenerhebenden vor und die Rechte der Betroffenen werden dadurch nicht geschmälert
- Allgemeine Personendaten wie Name, Vorname, Wohnadresse, Mail-Adresse, Geburtsdatum, Telefonnummer etc.
- Kennnummern wie Kreditkartennummer, Bank- oder Postkonto-Nummer, Sozialversicherungs-Nummer etc.
- Online-Daten, die beim Besuch oder der Interaktion mit einer Website/einem Online-Shop in der Regel anfallen, z.B. IP-Adresse, Standort, Browser-Spracheinstellungen etc.
- Weitere, zum Beispiel Besitzmerkmale, Kundendaten etc.
- Das Recht auf Auskunft zu allen im Unternehmen gespeicherten Daten
- Das Recht auf Auskunft zur Herkunft dieser Daten
- Das Recht auf Berichtigung der gespeicherten Daten
- Das Recht auf eingeschränkte Verarbeitung der gespeicherten Daten
- Das Rechte auf komplette Löschung dieser Daten
- Vorläufig nur EU/EWR-Bürger: Das Rechte auf Datenportabilität (Auslieferung) der gespeicherten Daten
Käme dann noch der Wunsch nach Datenportabilität hinzu, würde in fast allen Firmen grosse Ratlosigkeit herrschen.
Deshalb ist es ratsam, sich frühzeitig auf solche Situationen vorzubereiten.
- Bei jeder natürlichen Person die Erlaubnis einholen, dass deren Daten erhoben und bis auf Widerruf genutzt werden dürfen
- Organisatorische und technische Massnahmen (TOM) treffen, um personenbezogene Daten bestmöglich zu schützen und um die Rechte von natürlichen Personen zu gewährleisten
- Auf den Verwendungszweck bezogene Minimierung der personenbezogenen Daten
Dieses Prinzip der Beweisumkehr verlangt nach weit mehr als einer Datenschutzerklärung.
-
NEIN
- Datenschutz-Generatoren auf (zumeist) deutschen Websites eignen sich aus verschiedenen Gründen nicht für Schweizer Unternehmen
- Solche Datenschutz-Generatoren stützen (auch) auf das deutsche Bundesdatenschutzgesetz BDSG und das deutsche Telemediengesetz TMG ab. Auf beide können sich Schweizer Unternehmen nicht berufen
- Der fehlende Bezug zu schweizerischem Recht schafft Rechtsunsicherheit und bietet unnötige Angriffsflächen, zum Beispiel bei konkretem Bezug auf DSGVO-Artikel
Kommt hinzu, dass Websites und Online-Shops mit Schweizer Domizil in der Regel sowohl die Vorgaben der DSGVO
als auch jene der Schweizer Gesetzgebung erfüllen müssen.
Das kann kein Online-Datenschutzgenerator.
-
NEIN
- Eine Datenschutzerklärung muss sich auf das tatsächlich Vorhandene beziehen, auch in technischer Hinsicht.
- Standard-Datenschutzerklärungen bestehen aus Wenn/Dann-Formulierungen. Das entspricht nicht den Vorgaben des Gesetzgebers. Verlangt wird, dass eine Datenschutzerklärung in einer «...allgemein verständlichen und zugänglichen Sprache...» abgefasst ist. Das sind umständliche Wenn/Dann-Formulierungen definitiv nicht.
-
Im Verhältnis zu den möglichen Bussen sehr wenig
- Für eine Website, inklusive Webmasterbriefing in der Regel CHF 2'000 bis 3'000.
- Für einen Online-Shop, inklusive Webmasterbriefing in der Regel CHF 3'000 bis 4'000.
-
VIELLEICHT
- Die Sprache von Anwälten richtet sich in der Regel an andere Anwälte und an Richter. Datenschutzerklärungen verlangen jedoch nach einer Ausdrucksweise, die von einem breiten Publikum ohne Studium der Jurisprudenz verstanden wird
- Detailkenntnisse der Online-Technologie sind eine unabdingbare Voraussetzung, damit die Datenschutzerklärung mit den inhaltlichen und technischen Begebenheiten einer Online-Präsenz harmoniert.
Vielleicht gehört aber gerade Ihr Haus-Jurist (Ihre Haus-Juristin) zu diesen paar wenigen, die Ihnen sowohl rechtlich als auch technisch zur Seite stehen können.
Im Zweifelsfall: Geben Sie die Adresse dieser Website an Ihren Anwalt (Ihre Anwältin) weiter und und lassen Sie sich beraten.
Ein Cookie-Banner ist gemäss den geltenden Datenschutz-Gesetzen sowie der bisherigen Rechtsprechung keine rechtsgültige Einwilligung zur Erhebung von personenbezogenen Daten.
Deshalb entbindet ein Cookie-Banner den Betreiber einer Website oder eines Webshops nicht von den Pflichten, organisatorische und technische Massnahmen zum Schutz der Privatsphäre der Besucherinnen und Besucher seiner Onlinepräsenz vorzukehren.
Unter diesen Umständen stellt sich die Frage, ob nicht gänzlich auf dauerhafte Cookies von Drittanbietern verzichtet werden soll. Zumindest auf jene, welche den Schutz der Privatsphäre von Sitebesuchern nicht gewährleisten – was in der Regel das Geschäftsmodell dieser Drittanbieter ist.
- Die Bundesverfassung sowie das Bundesgesetz über den Datenschutzgesetz DSG gelten für alle Schweizer Unternehmen, die europäische Datenschutz-Grundverodnung EU-DSGVO für nahezu alle Schweizer Unternehmen
- Je nach Art der Daten und nach Intensität der Bearbeitung dieser personenbezogenen Daten gelten für gewisse Unternehmen erleichterte organisatorische Bedingungen.
Schlussendlich bleibt es jedoch ein unternehmerischer Entscheid, ob das Risiko von vermeidbaren Umtrieben und unnötigen Bussen eingegangen werden soll.