12/2021 – Fachartikel Swiss Infosec AG

Dem Datenschutzanwalt war es stets wichtig, dass sein Kind über den Datenschutz Bescheid wusste. Auch wenn der Kleine erst siebenjährig war, so war dem Vater der Umgang mit den eigenen Personendaten und dem damit verbundenen Schutz der Privatsphäre äusserst wichtig. So kam es, dass das Kind bereits in jungen Jahren sehr viel Datenschutzwissen hatte. Der Datenschutzanwalt war stolz. Eines schönen Adventabends las der Datenschutzanwalt seinem Kind die Weihnachtsgeschichte vor:

«Der Kaiser befahl eine Volkszählung, weswegen alle Bewohner an ihren Geburtsort zurückkehren mussten. Für Josef und Maria bedeutete dies eine Reise nach Bethlehem.» – «Aha, er erstellte eine neue Datensammlung. Hat er vorgängig eine Datenschutz-Folgeabschätzung gemacht?» – «Nein, natürlich nicht, dies ist die Weihnachtsgeschichte. Und übrigens heisst es Datenschutz-Folgenabschätzung, mein Sohn. Typischer Anfängerfehler!

Jedenfalls wurde Jesus in einem Stall in Bethlehem geboren. Anschliessend erstrahlte ein heller Stern am Himmel, der Stern von Bethlehem, welcher den Hirten bekanntmachte, dass ein neuer König geboren war.» – «Papi, verstehe ich das richtig, der Stern informierte die Hirten über die Geburt von Jesus? Basierend auf welcher Rechtsgrundlage durfte er denn diese Information weitergeben?» – «Naja, der Stern konnte gar nicht sprechen, er zeigte den Hirten vielmehr den Weg zu Jesus.» – «Also ein Wegweiser?» – «Genau, mein Sohn.» – «Josef und Maria haben aber wohl nicht eingewilligt, dass der Weg zu ihnen angezeigt werden darf? Auf welche DSGVO-Rechtfertigungsgrundlage stützt sich denn dieser Wegweiser?» – «Fällt ein Wegweiser überhaupt unter die DSGVO?» Da war der Sohn zum ersten Mal still und überlegte lange.

Schliesslich merkte der Datenschutzanwalt, dass dies für den Kleinen wohl zu kompliziert würde (wohl wissend, dass ein solch spezifischer Wegweiser wohl tatsächlich als Datenverarbeitung gelten würde) und meinte: «Nun gut, reden wir von etwas anderem. Ich erzähle dir die Geschichte von Rudolf, dem Rentier mit der roten Nase, der für den Weihnachtsmann arbeitet.» – «Rote Nase? Hatte er ein Gesundheitsproblem? Darfst du mir solche Gesundheitsdaten über Rudolf erzählen?» – «Tiere fallen nicht unter die DSGVO!», schnaufte der Datenschutzanwalt, mittlerweile sichtlich genervt. «Reden wir lieber vom Weihnachtsmann. Er schenkt allen Kindern, die das Jahr über brav waren, Geschenke.» – «Also erstellt er ein Persönlichkeitsprofil von mir?» – «Nun ja, irgendwie schon… Er schaut jedenfalls, was du das ganze Jahr über so gemacht hast.» – «Also wie jetzt, videoüberwacht er mich?» – «Nein, er braucht dazu keine Kameras, sondern sieht das mit seinem inneren Auge. Er sitzt wohl in seinem Sessel am Nordpol, und…» – «Was, einen Auslandtransfer gibt’s auch noch?! Zu welchem Land gehört denn der Nordpol? Sind wir da noch in Dänemark oder schon in den datenschutzrechtlich sehr unsicheren USA?» Nun hatte der Datenschutzanwalt endgültig keine Nerven mehr: «Ok, das ist mir nun genug Datenschutz-Geplänkel für heute! Ich sag dem Christkind sonst, es soll deine bestellten Geschenke wieder stornieren!» – «Was, es bestellt meine Geschenke online? Bei diesen Datenkraken-Onlineshops? Hast du deren Datenschutzerklärungen mal gelesen? Dann sind mir Sternenwegweiser und Persönlichkeitsprofile am Nordpol noch deutlich lieber…».

Und so endete das weihnachtliche Geschichtenerzählen des Datenschutzanwalts. Er nahm sich vor, fürs neue Jahr kinderfreundlichere Gesprächsthemen zu wählen und recherchierte sogleich den Unterschied zwischen einem Brontosaurus und einem Stegosaurus – auch wenn die Suchmaschine ihn dann wohl als Dino-Fan persönlichkeitsprofilieren würde.Das Datenschutz-Team der Swiss Infosec wünscht Ihnen frohe Festtage und einen guten Rutsch ins Neue Jahr! Gerne sind wir auch 2022 für Sie da.

Swiss Infosec AG; 21.12.2021
Kompetenzzentrum Datenschutz

11/2021 – Fachartikel Swiss Infosec AG

Datenschutzhinweise (mit Bezug auf Webseiten oftmals als Datenschutzerklärungen bezeichnet) sollen dem datenschutzrechtlichen Transparenzgebot Rechnung tragen und werden gesetzlich vermehrt explizit vorgeschrieben.

Die Pflicht des Datenverantwortlichen zum Anbringen von Datenschutzhinweisen dient der Erfüllung der datenschutzrechtlichen Informationspflichten, die im neuen Schweizer Datenschutzgesetz (nDSG) und im europäischen Datenschutzrecht (DSGVO) viel expliziter verankert sind als derzeit für die Schweiz, wo Datenschutzhinweise etwa nur für die «Beschaffung besonders schützenswerter Personendaten» (Art. 14 DSG) oder für das «Bearbeiten von Daten auf fremden Geräten» (Art. 45c FMG) direkt vorgeschrieben sind. Auch die kantonalen (besonders die bereits revidierten) Datenschutzgesetze können Informationspflichten festlegen.

Die zentrale Bedeutung von Datenschutzhinweisen leitet sich für den «privaten» Datenschutz ausserdem daraus ab, dass sich bei Interessenabwägungen transparente Datenbearbeitungen in der Gesamtbetrachtung auch ohne das Einholen einer Einwilligung viel eher als rechtmässig erweisen, als wenn eine Datenbearbeitung aus Sicht der von der Datenbearbeitung betroffenen Person unerwartet oder überraschend erfolgt.

Der Gestaltung der Datenschutzerklärung auf der Webseite kommt oft eine zentrale Bedeutung zu. Es ist aber daran zu denken, dass neben Webseitenbesuchern auch sämtliche anderen betroffenen Personenkategorien geeignet über die Bearbeitung ihrer Personendaten zu informieren sind (insbesondere Kunden, Lieferanten [oder deren Ansprechpersonen im B2B-Geschäft], Mitarbeitende usw.).

Die von der DSGVO an Datenschutzhinweise gestellte Hauptanforderung dürfte auch fürs nDSG einschlägig sein: präzise, transparente, verständliche und leicht zugängliche Texte in einer klaren und einfachen Sprache (Art. 12 Abs. 1 DSGVO). Obwohl oder genau weil die Texte schnell mehrere Seiten ausfüllen können, sollte deshalb immer grösstmögliche Kürze und bestmögliche Lesbarkeit das Ziel sein. Wichtig ist auch, dass die Texte aus Sicht der betroffenen Personen zu gestalten sind, gerade was ihre Gliederung anbelangt. Aus deren Sicht Wichtiges ist also mittels abgestufter Information (sog. «layered approach», z.B. mit ausklappbaren Textelementen für Details) an prominenterer Stelle zu erläutern.

Die grosse Wichtigkeit von Datenschutzhinweisen ergibt sich neben der Strafbarkeit bei Fehlern dadurch, dass sie einem grösseren Adressatenkreis offengelegt werden müssen, im Falle der Datenschutzerklärung auf der Webseite der Öffentlichkeit überhaupt. Jedermann hat so unter Umständen die Möglichkeit, unterbliebene oder fehlerhafte Information mit geringem Aufwand zu erkennen.

Datenschutzhinweise können mit «Privacy Icons» angereichert werden, was der Übersicht dienlich sein mag. Sie ersetzen gewisse Informationen in Textform aber wohl nie ganz und müssen nach den entsprechenden Guidelines geeignet eingebunden werden.

Wesentliche Rechtsgrundlagen sind Art. 19 nDSG und Art. 13/14 DSGVO.

Checkliste Datenschutzhinweise

• Name und Kontaktdaten des Verantwortlichen und (falls anwendbar): CH-Vertreter

• Bearbeitungszweck

• Empfänger oder Kategorien von Empfängern

• Kategorien bearbeiteter Personendaten (Erhebung nicht direkt bei betroffener Person)

• Übermittlung ins Ausland (Länderangabe und Erwähnung der relevanten Garantie oder Ausnahmetatbestände)

• automatisierte Einzelentscheide (falls anwendbar): Verwendung

• Kontaktdaten DPO und EU-Vertreter (sofern vorhanden)

• Rechtsgrundlage der Bearbeitung

• Aufbewahrungsdauer oder deren Kriterien

• Betroffenenrechte: Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch, Datenportabilität

• Beschwerderecht bei Aufsichtsbehörde

• Bei Verarbeitung durch Einwilligung: Hinweis auf Widerrufsrecht

• Angabe der berechtigten Interessen (falls anwendbar)

• automatisierte Entscheidfindung (falls anwendbar) zusätzlich (zu oben): Informationen über Logik und Tragweite

• Datenquelle (bei Erhebung nicht direkt bei betroffener Person)

• gesetzlich/vertraglich für Vertragsabschluss erforderlich (falls anwendbar, Information über diese Pflicht und die möglichen Folgen einer Nichtbereitstellung)

• Sonderfall: Informationspflicht für den Fall einer späteren Zweckänderung: Weiterverarbeitung für andere Zwecke (falls anwendbar)

Haben Sie Fragen zum Datenschutz? Die Spezialisten der Swiss Infosec AG beraten und unterstützen Sie gerne, schnell und zielführend.

Swiss Infosec AG; 03.11.2021, überarbeitet: 12.07.2023

Kompetenzzentrum Datenschutz, +41 41 984 12 12, infosec@infosec.ch