DATENSCHUTZGESETZE SCHWEIZ LIECHTENSTEIN UND EU
FRAGEN
Benötigen wir überhaupt eine Datenschutzerklärung? Falls ja, müssen wir deswegen einen Anwalt beiziehen? Oder können wir das Thema Datenschutz nicht einfach übergehen?
ANTWORTEN
Nahezu alle Schweizer Unternehmen müssen sich organisatorisch und technisch an die neuen Datenschutzgesetze anpassen. Die wichtigsten Antworten auf die häufigsten Fragen haben wir für Sie zusammengetragen.
Ab 2020
- Alle Schweizer Unternehmen
- ...Produkte auch nach Liechtenstein oder in andere Länder der EU/des EWR liefern
- ...im Online-Shops nebst CHF auch Zahlwährungen wie EUR oder USD akzeptieren
- ...personbezogene Daten von EU-/EWR-Bürgern erfassen
- ...Newsletters auch an Personen versenden, deren Wohnsitz die EU/der EWR ist
Mindestens für Schweizer Online-Shops ist schon heute eine individuelle, technisch und rechtlich passgenaue Datenschutzerklärung
unumgänglich.
Diese muss (auch) mit der Schweizer Gesetzgebung korrespondieren.
Diese muss (auch) mit der Schweizer Gesetzgebung korrespondieren.
Datenschutzerklärungen aus Datenschutz-Generatoren sind nicht rechtssicher, weil sie weder die Schweizer Gesetze noch die individuellen technischen Eigenheiten einer Internetpräsenz im geforderten Umfang berücksichtigen, beispielsweise die Grundsätze «Data Protection by Design» und «Data Protection by Default».
- Grundsätzlich keine personenbezogenen Daten erheben
- Es sei denn, es liege eine ausdrückliche Einwilligung vor
- Es sei denn, es liege ein berechtigtes Interesse des Datenerhebenden vor und die Rechte der Betroffenen werden dadurch nicht geschmälert
Ein berechtiges Interesse
des Datenerhebenden kann sein, dass er Besucherströme auf seiner Website aufzeichnet und damit zwangsläufig auch personenbezogene
Elemente wie etwa eine IP-Adresse erfasst. Wird diese IP-Adresse jedoch anonymisiert und nicht mit Daten aus anderen Quellen
zusammengeführt, ist keine ausdrückliche Einwilligung der Websitebesucher notwendig.
- Allgemeine Personendaten wie Name, Vorname, Wohnadresse, Mail-Adresse, Geburtsdatum, Telefonnummer etc.
- Kennnummern wie Kreditkartennummer, Bank- oder Postkonto-Nummer, Sozialversicherungs-Nummer etc.
- Online-Daten, die beim Besuch oder der Interaktion mit einer Website/einem Online-Shop in der Regel anfallen, z.B. IP-Adresse, Standort, Browser-Spracheinstellungen etc.
- Weitere, zum Beispiel Besitzmerkmale, Kundendaten etc.
Als
personenbezogene Daten gelten alle Informationen, die sich
auf eine natürliche Person beziehen und Rückschlüsse auf die physische, physiologische,
genetische, psychische, wirtschaftliche, kulturelle oder soziale Identität erlauben.
Als besonders schützenswert gelten
Informationen über die ethnische und kulturelle Herkunft, zu politischen, religiösen und philosophischen
Überzeugungen sowie zu Gesundheit und Sexualität.
Biometrische Merkmale wie DNA, Gesichtsgeometrie oder Fingerabdrücke
dürfen nur in Ausnahmefällen verarbeitet
werden.
- Das Recht auf Auskunft zu allen im Unternehmen gespeicherten Daten
- Das Recht auf Auskunft zur Herkunft dieser Daten
- Das Recht auf Berichtigung der gespeicherten Daten
- Das Recht auf eingeschränkte Verarbeitung der gespeicherten Daten
- Das Rechte auf komplette Löschung dieser Daten
- Vorläufig nur EU/EWR-Bürger: Das Rechte auf Datenportabilität (Auslieferung) der gespeicherten Daten
Allein schon die Erfüllung
der Auskunftspflichten dürfte die meisten Unternehmen vor schier
unlösbare Probleme stellen.
Käme dann noch der Wunsch nach Datenportabilität hinzu, würde in fast allen Firmen grosse Ratlosigkeit herrschen.
Käme dann noch der Wunsch nach Datenportabilität hinzu, würde in fast allen Firmen grosse Ratlosigkeit herrschen.
Deshalb ist es ratsam, sich frühzeitig auf solche Situationen vorzubereiten.
- Bei jeder natürlichen Person die Erlaubnis einholen, dass deren Daten erhoben und bis auf Widerruf genutzt werden dürfen
- Organisatorische und technische Massnahmen (TOM) treffen, um personenbezogene Daten bestmöglich zu schützen und um die Rechte von natürlichen Personen zu gewährleisten
- Auf den Verwendungszweck bezogene Minimierung der personenbezogenen Daten
Unternehmen müssen
sich schnellstmöglich an diese Vorgaben anpassen und ihr CRM Customer Relationship Management grundsätzlich überdenken.
Die zukünftige Handhabung von personenbezogenen Daten verlangt nach einem Gesamtkonzept, in welches
alle organisatorischen und technischen Massnahmen (TOM) eingebettet sind, damit keine gesetzlichen Vorgaben verletzt werden.
-
EIGENTLICH NICHT
- Eine Datenschutzerklärung allein ist lediglich ein unerfülltes Versprechen
- Eine Datenschutzerklärung entbindet Unternehmen nicht von zahlreichen internen Vorkehrungen und Massnahmen
- Eine Datenschutzerklärung verlangt auch nach technischen und inhaltlichen Anpassungen der Internet-Präsenz
Unternehmen sind gegenüber Behörden und Klageberechtigten
beweispflichtig und müssen im Bedarfsfall sowohl den rechtmässigen Umgang mit personenbezogenen
Daten als auch die organisatorischen und technischen Massnahmen zu deren Schutz nachweisen.
Dieses Prinzip der Beweisumkehr verlangt nach weit mehr als einer Datenschutzerklärung.
Dieses Prinzip der Beweisumkehr verlangt nach weit mehr als einer Datenschutzerklärung.
-
NEIN
- Datenschutz-Generatoren auf (zumeist) deutschen Websites eignen sich aus verschiedenen Gründen nicht für Schweizer Unternehmen
- Solche Datenschutz-Generatoren stützen (auch) auf das deutsche Bundesdatenschutzgesetz BDSG und das deutsche Telemediengesetz TMG ab. Auf beide können sich Schweizer Unternehmen nicht berufen
- Der fehlende Bezug zu schweizerischem Recht schafft Rechtsunsicherheit und bietet unnötige Angriffsflächen, zum Beispiel bei konkretem Bezug auf DSGVO-Artikel
Die Versuchung ist gross und der Widerstand
gering: Datenschutz-Generatoren versprechen eine schnelle und kostenlose Datenschutzerklärung. Das mag für deutsche
Kleingewerbler und Vereine passen, wiegt Schweizer Unternehmen jedoch in falscher Sicherheit.
Kommt hinzu, dass Websites und Online-Shops mit Schweizer Domizil in der Regel sowohl die Vorgaben der DSGVO
als auch jene der Schweizer Gesetzgebung erfüllen müssen.
Das kann kein Online-Datenschutzgenerator.
-
NEIN
- Eine Datenschutzerklärung muss sich auf das tatsächlich Vorhandene beziehen, auch in technischer Hinsicht
- Standard-Datenschutzerklärungen bestehen aus Wenn/Dann-Formulierungen. Das entspricht nicht den Erwartungen des Gesetzgebers. Verlangt wird, dass eine Datenschutzerklärung in einer «...allgemein verständlichen und zugänglichen Sprache...» abgefasst ist. Das sind umständliche Wenn/Dann-Formulierungen definitiv nicht.
Eine Standard-Datenschutzerklärung
bildet die tatsächlichen technischen Eigenheiten einer Website oder eines Online-Shops nicht ab. Sie liefert zudem
keine konkreten Hinweise auf die notwendigen inhaltlichen und technischen Anpassungen einer Internet-Präsenz und
bietet deshalb auch keine Rechtssicherheit.
-
VIELLEICHT
- Die Sprache von Anwälten richtet sich in der Regel an andere Anwälte und an Richter. Datenschutzerklärungen verlangen jedoch nach einer Ausdrucksweise, die von einem breiten Publikum ohne Studium der Jurisprudenz verstanden wird
- Detailkenntnisse der Online-Technologie sind eine unabdingbare Voraussetzung, damit die Datenschutzerklärung mit den inhaltlichen und technischen Begebenheiten einer Online-Präsenz harmoniert.
Die
Szene der technikaffinen Anwälte mit Erfahrungen im Bereich
Datenschutzrecht ist in der Schweiz sehr
überschaubar.
Vielleicht gehört aber gerade Ihr Haus-Jurist (Ihre Haus-Juristin) zu diesen paar wenigen, die Ihnen rechtlich wie technisch zur Seite stehen können.
Vielleicht gehört aber gerade Ihr Haus-Jurist (Ihre Haus-Juristin) zu diesen paar wenigen, die Ihnen rechtlich wie technisch zur Seite stehen können.
Im Zweifelsfall: Geben Sie die Adresse dieser Website an Ihren Anwalt (Ihre Anwältin) weiter und und lassen Sie sich beraten.
Das
ist die 100'000 Dollar-Frage schlechthin!
Weil deren Beantwortung nicht mit zwei oder drei einfachen Hinweisen beantwortet werden kann, haben wir die massgebenden Parameter fein säuberlich zusammengetragen und festgehalten.
Und nehmen Sie es sportlich, wenn sich die Definitionen etwas sperrig lesen – es ging nicht anders... Verzichten
Sie darauf, aus falsch verstandenem Sicherheitsdenken Ihre
Internet-Präsenz mit einem Cookie Banner zu schmücken, wenn es gar
nicht notwendig wäre.
Es ist damit zu rechnen, dass Browser respektive Add-On zu Browsern schon in naher Zukunft mit
Warnhinweisen reagieren werden wenn eine Website mit einem Cookie Banner angesteuert wird.
«Ihre Privatsphäre ist auf dieser Website
nicht gewährleistet»
könnte ein solcher Hinweis lauten. Das muss nicht sein, wenn es nicht
unbedingt sein muss.
- Die Bundesverfassung sowie das Bundesgesetz über den Datenschutzgesetz DSG gelten für alle Schweizer Unternehmen, die europäische Datenschutz-Grundverodnung EU-DSGVO für nahezu alle Schweizer Unternehmen
- Je nach Art der Daten und nach Intensität der Bearbeitung dieser personenbezogenen Daten gelten für gewisse Unternehmen erleichterte organisatorische Bedingungen.
Es gibt keinen vernünftigen
Grund, um das Thema Datenschutz zu negieren – nicht zuletzt mit Blick
auf das Schweizer Datenschutzgesetz
DSG, das in absehbarer Zeit in revidierter
Form in Kraft treten und sich an die europäische Datenschutz-Grundverordnung
anlehen wird.
Schlussendlich bleibt es jedoch ein unternehmerischer Entscheid, ob das Risiko von vermeidbaren Umtrieben und unnötigen Bussen eingegangen werden soll.
Schlussendlich bleibt es jedoch ein unternehmerischer Entscheid, ob das Risiko von vermeidbaren Umtrieben und unnötigen Bussen eingegangen werden soll.