Die Datenschutzerklärung für Schweizer Websites
Fast geschafft, in Schritt 5 für eine datenschutzkonforme Schweizer Website geht's um das Herzstück deiner Website: Die Datenschutzerklärung. Nach neuem Datenschutzgesetz muss darüber informiert werden, welche Personendaten zu welchem Zweck bearbeitet werden. Du siehst, die vorhergehenden Schritte münden alle in diese letzte Aufgabe.
Das Wichtigste zur Datenschutzerklärung
- Im Datenschutzgesetz taucht jeweils der Begriff «Informationspflicht» bei der Bearbeitung von Personendaten auf. Da mit einer Website praktisch immer solche bearbeitet werden (und sei es nur die IP-Adresse), musst du darüber informieren, wer du als verantwortliche Person bist und welche Daten du zu welchem Zweck erfasst. Das geschieht mit einer Datenschutzerklärung.
- Unterliegt deine Website teilweise der DSGVO, musst du auch eine EU-Datenschutzvertretung benennen und aufführen.
- Erstelle dazu eine eigene Seite mit der Bezeichnung «Datenschutzerklärung», «Datenschutz», «Datenschutzrichtlinien» etc.
- Platziere diese Seite im Footer deiner Website, so dass sie immer mit einem Klick erreichbar ist.
- Achte darauf, dass der Link zur Datenschutzerklärung nicht von einem Cookie-Banner oder einem anderen Pop-Up-Fenster verdeckt wird.
- Trenne nach Möglichkeit die Datenschutzerklärung vom Impressum.
- Setze kein Datum in die Datenschutzerklärung.
- Einer Datenschutzerklärung kann nicht zugestimmt werden, da es eben nur eine Information ist. Verbanne also irgendwelche Kästchen zum Ankreuzen als Zustimmung. Natürlich ist es sinnvoll, direkt bei der Erfassung von Personendaten auf die Datenschutzerklärung hinzuweisen, zum Beispiel bei einem Kontaktformular oder der Anmeldung zum Newsletter. Aber dann nur als Link und nicht mit einem Kästchen.
Generatoren für Schweizer Datenschutzerklärungen
Ich gehe mal davon aus, dass du die Datenschutzerklärung nicht selber schreiben willst. Ein Datenschutzgenerator nimmt dir diese Arbeit ab, vorausgesetzt, du fütterst ihn korrekt. Hier gilt, weniger ist eindeutig mehr. Also niemals unüberlegt alles ankreuzen in der Meinung, das könne nicht schaden.
Wichtig ist zudem, dass du für eine Schweizer Website einen Generator nutzt, der sich auf das Schweizer Datenschutzgesetz bezieht und nur punktuell auf die DSGVO. Ansonsten unterstellst du dich freiwillig und vollständig der DSGVO und ich glaube nicht, dass du das möchtest...
Möchtest du generell im Thema à jour bleiben, empfehle ich dir den Generator von Datenschutzpartner*. Du kannst die Datenschutzerklärung jederzeit anpassen, die rechtlichen Texte werden laufend ergänzt, du bekommst regelmässig spannende Infos und wirst mit dem Abo im positiven Sinn gezwungen, dich mindestens einmal im Jahr mit dem Datenschutz zu beschäftigen. Hast du eine Website, die der DSGVO unterliegt, lohnt sich diese Investition auf alle Fälle. Eine EU-Datenschutzvertretung kannst du ebenfalls buchen, wenn du eine solche brauchst.
Informationspflicht für alle bearbeiteten Personendaten
Die Informationspflicht umfasst nach dem Datenschutzgesetz alle Personendaten, die du bearbeitest, also auch solche, die nicht im Zusammenhang mit deiner Website stehen. Dazu gehören Kundenverwaltungssysteme, Buchhaltungsprogramme, Videoüberwachung, Tools für die Zusammenarbeit mit deiner Kundschaft, Cloud-Dienste wie Microsoft 365, Terminbuchungssysteme etc.
Über die Nutzung von solchen Tools kannst du entweder mit der Datenschutzerklärung auf deiner Website informieren (dafür eignet sich der Generator von Datenschutzpartner* ebenfalls bestens), oder du regelst das mit deiner Kundschaft separat, wenn es zu einer konkreten Zusammenarbeit kommt, zum Beispiel in den AGB.
Wichtig ist, dass du für deine Website auf alle Fälle eine Datenschutzerklärung erstellst.
Denke daran, dass du auch für externe Tools und Dienstleistungen einen AVV oder sogar Standardvertragsklauseln benötigst.
Datenschutzerklärung ist da - ist jetzt fertig?
Jein. Mit einer Datenschutzerklärung bist du schon mal korrekt unterwegs und zeigst gegen Aussen und für alle sichtbar, dass du den Datenschutz ernst nimmst.
Allerdings muss die Datenschutzerklärung stets aktuell und vollständig sein sowie der Wahrheit entsprechen. Gibst du an, dass deine Website die Daten verschlüsselt überträgt, muss im Browser-Feld auch das Schlösschen sichtbar sein. Nutzt du neue Plugins oder verabschiedest dich von einem Dienstleister, muss die Datenschutzerklärung angepasst werden.
Ich empfehle dir, bei dynamischen Websites alle 6 Monate, bei statischen alle 12 Monate einen Blick auf die Website und die Datenschutzerklärung zu werfen um zu prüfen, ob es erwähnenswerte Veränderungen gegeben hat.
Willst du mit der Datenschutzerklärung alles abdecken, also auch die Personendaten, die du ausserhalb der Website bearbeitest, dann muss sie ebenfalls laufend angepasst werden, wenn sich Änderungen ergeben.
* Das ist ein Affiliate-Link, d. h. ich bekomme eine kleine Provision für die Empfehlung. Der Preis wird für dich natürlich nicht teurer.
Noch einfacher geht's damit
Mehr Infos? Guckst du hier:
Schritt 2: Auftragsverarbeitungsverträge AVV
Schritt 3: Standardvertragsklauseln
Schritt 4: DSGVO und die Schweiz
> Schritt 5: Datenschutzerklärung
Hey, ich bin die Datenschützerin
... und heisse Tanja Bischofberger. Ich helfe dir, deine Website datenschutzrechtlich in Ordnung zu bringen oder zu halten. Auch wenn das vielleicht seltsam klingt, ich mag das, wie eine Detektivin nach geheimen Cookies oder schwatzhaften Tools und Plugins zu suchen und sie dingfest zu machen.