Datenschutzhinweise

11/2021 Fachbeitrag Datenschutz Swiss Infosec AG

Datenschutzhinweise

Datenschutzhinweise (mit Bezug auf Webseiten oftmals als Datenschutzerklärungen bezeichnet) sollen dem datenschutzrechtlichen Transparenzgebot Rechnung tragen und werden gesetzlich vermehrt explizit vorgeschrieben.

 

Die Pflicht des Datenverantwortlichen zum Anbringen von Datenschutzhinweisen dient der Erfüllung der datenschutzrechtlichen Informationspflichten, die im revidierten Schweizer Datenschutzgesetz (revDSG) und im europäischen Datenschutzrecht (DSGVO) viel expliziter verankert sind als derzeit für die Schweiz, wo Datenschutzhinweise etwa nur für die «Beschaffung besonders schützenswerter Personendaten» (Art. 14 DSG) oder für das «Bearbeiten von Daten auf fremden Geräten» (Art. 45c FMG) direkt vorgeschrieben sind. Auch die kantonalen (besonders die bereits revidierten) Datenschutzgesetze können Informationspflichten festlegen.

 

Die zentrale Bedeutung von Datenschutzhinweisen leitet sich für den «privaten» Datenschutz ausserdem daraus ab, dass sich bei Interessenabwägungen transparente Datenbearbeitungen in der Gesamtbetrachtung auch ohne das Einholen einer Einwilligung viel eher als rechtmässig erweisen, als wenn eine Datenbearbeitung aus Sicht der von der Datenbearbeitung betroffenen Person unerwartet oder überraschend erfolgt.

 

Der Gestaltung der Datenschutzerklärung auf der Webseite kommt oft eine zentrale Bedeutung zu. Es ist aber daran zu denken, dass neben Webseitenbesuchern auch sämtliche anderen betroffenen Personenkategorien geeignet über die Bearbeitung ihrer Personendaten zu informieren sind (insbesondere Kunden, Lieferanten [oder deren Ansprechpersonen im B2B-Geschäft], Mitarbeitende usw.).

 

Die von der DSGVO an Datenschutzhinweise gestellte Haupanforderung dürfte auch fürs revDSG einschlägig sein: präzise, transparente, verständliche und leicht zugängliche Texte in einer klaren und einfachen Sprache (Art. 12 Abs. 1 DSGVO). Obwohl oder genau weil die Texte schnell mehrere Seiten ausfüllen können, sollte deshalb immer grösstmögliche Kürze und bestmögliche Lesbarkeit das Ziel sein. Wichtig ist auch, dass die Texte aus Sicht der betroffenen Personen zu gestalten sind, gerade was ihre Gliederung anbelangt. Aus deren Sicht Wichtiges ist also mittels abgestufter Information (sog. «layered approach», z.B. mit ausklappbaren Textelementen für Details) an prominenterer Stelle zu erläutern.

 

Die grosse Wichtigkeit von Datenschutzhinweisen ergibt sich neben der Strafbarkeit bei Fehlern dadurch, dass sie einem grösseren Adressatenkreis offengelegt werden müssen, im Falle der Datenschutzerklärung auf der Webseite der Öffentlichkeit überhaupt. Jedermann hat so unter Umständen die Möglichkeit, unterbliebene oder fehlerhafte Information mit geringem Aufwand zu erkennen.

 

Datenschutzhinweise können mit «Privacy Icons» angereichert werden, was der Übersicht dienlich sein mag. Sie ersetzen gewisse Informationen in Textform aber wohl nie ganz und müssen nach den entsprechenden Guidelines geeignet eingebunden werden.

 

Mit Spannung zu erwarten ist, ob der Verordnungsgeber an dem zu Recht vielfach kritisierten Erfordernis der Maschinenlesbarkeit von Piktogrammen festhalten wird (Vorentwurf zur revidierten Datenschutzverordnung, Art. 13 Abs. 2). Eine weitere und noch gewichtigere Überraschung bot der Vorentwurf zur revidierten Datenschutzverordnung mit einer Informationspflicht für Auftragsbearbeiter, die so nicht einmal die DSGVO fordert und ausser einer erheblichen Zusatzbürokratie wohl kein relevantes Mehr an Transparenz bringen würde.

Wesentliche Rechtsgrundlagen sind Art. 19 revDSG und Art. 13/14 DSGVO.

 

Checkliste Datenschutzhinweise

 

☐        Name und Kontaktdaten des Verantwortlichen und (falls anwendbar): CH-Vertreter

☐        Bearbeitungszweck

☐        Empfänger oder Kategorien von Empfängern

☐        Kategorien bearbeiteter Personendaten (Erhebung nicht direkt bei betroffener Person)

☐        Übermittlung ins Ausland (Länderangabe und Erwähnung der relevanten Garantie oder Ausnahmetatbestände)

☐        automatisierte Einzelentscheide (falls anwendbar): Verwendung

☐        Kontaktdaten DPO und EU-Vertreter (sofern vorhanden)

☐        Rechtsgrundlage der Bearbeitung

☐        Aufbewahrungsdauer oder deren Kriterien

☐        Betroffenenrechte: Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch, Datenportabilität

☐        Beschwerderecht bei Aufsichtsbehörde

☐        Bei Verarbeitung durch Einwilligung: Hinweis auf Widerrufsrecht

☐        Angabe der berechtigten Interessen (falls anwendbar)

☐        automatisierte Entscheidfindung (falls anwendbar) zusätzlich (zu oben): Informationen über Logik und Tragweite

☐        Datenquelle (bei Erhebung nicht direkt bei betroffener Person)

☐        gesetzlich/vertraglich für Vertragsabschluss erforderlich (falls anwendbar, Information über diese Pflicht und die

           möglichen Folgen einer Nichtbereitstellung)

☐        Sonderfall: Informationspflicht für den Fall einer späteren Zweckänderung: Weiterverarbeitung für andere Zwecke

           (falls anwendbar)


 

Haben Sie Fragen zum Datenschutz? Die Spezialisten der Swiss Infosec AG beraten und unterstützen Sie gerne, schnell und zielführend.

 

Swiss Infosec AG; 03.11.2021

Kompetenzzentrum Datenschutz, +41 41 984 12 12, infosec@infosec.ch

 

datenschutz

 

Datenschutz


Datenschutz greift auch in unsere Lebensprozesse ein

Datenschutz ist allgegenwärtig und begleitet uns im Berufsalltag wie auch im Privatleben. Erfahren Sie bei uns alles über Beratung, Ausbildung und Services im Fachbereich Datenschutz und wie wir Sie als erfahrene Datenschutzspezialisten unterstützen können.

Kontaktieren Sie uns, denn wir wissen, welche Daten wie zu schützen sind!

Wir beraten Sie gerne. +41 41 984 12 12, infosec@infosec.ch

Mehr lesen