GoLaw

News

Hier finden Sie Neuigkeiten

Anpassung der Datenschutzerklärung auf der eigenen Webseite

Für die allermeisten Unternehmen gehört ein eigener Webauftritt zur Grundausstattung. Das neue europäische Datenschutzrecht (DSGVO/GDPR) macht auch vor diesen einfachen Webseiten keinen Halt. Eine Anpassung der Datenschutzerklärung ist meist auch hier notwendig. Gerne unterstützen wir Sie bei der Überprüfung und der Anpassung Ihrer Datenschutzerklärung. 

Nachfolgend finden Sie ein paar grundlegende Hinweise zur Anpassung einer Datenschutzerklärung: 

 

Transparente Information

In der neuen DSGVO wird das Transparenzgebot grossgeschrieben, die betroffene Personen muss über die vorgenommenen Datenbearbeitungen umfassend aufgeklärt werden. Die Information hat in präziser, transparenter, verständlicher und leicht zugänglicher Form zu erfolgen. 

Die Informationspflichten werden in Artikel 13 und 14 DSGVO im Detail dargelegt. Zusammengefasst muss die Datenschutzerklärung folgende Informationen enthalten: 

  • Den Namen und die Kontaktdaten des Unternehmens sowie die Kontaktdaten des Datenschutzbeauftragten (sofern einer bestimmt ist)
  • Die verschiedenen Zwecke sowie die Rechtsgrundlage für die jeweilige Datenverarbeitung 
  • Datenverarbeitungen gestützt auf das berechtigte Interesse des Unternehmens (ohne Zustimmung der betroffenen Person) 
  • Die einzelnen Kategorien der verarbeiteten Personendaten
  • Information zum Transfer in ein Drittland
  • Rechte der betroffenen Person inkl. Widerrufsrechte 
  • Aufbewahrungsdauer 
  •  Informationen zur automatisierten Entscheidungsfindung 
  •  Beschwerdemöglichkeiten bei der Aufsichtsbehörde

Was ist der Zweck und die Rechtsgrundlage für die Bearbeitung? 

In der Datenschutzerklärung muss den Besuchern der Webseite erklärt werden, zu welchen Zwecken Personendaten erfasst werden. Die gleichen Daten können zwar für verschiedene Zwecke genutzt werden, es ist jedoch jeder Zweck einzelnen zu erläutern. Für jede Datenverarbeitung braucht es eine Rechtsgrundlage. Die DSGVO führt in Art. 6 sechs verschiedene Arten einer rechtmässigen Datenverarbeitung auf, wobei in Bezug auf Webseiten die folgenden drei Rechtfertigungsgründe im Forderung stehen: 

  • Einwilligung (Bsp. Newsletter - Anmeldung) 

  • Berechtigtes Interesse des Unternehmens oder eines Dritten (Bsp. Aufruf der Webseite)
  • Zur Abwicklung vertraglicher Verpflichtungen (Bsp. Erfassung der Lieferadresse im Bestellformular) 

In einem ersten Schritt muss daher eruiert werden, welche Personendaten die Webseite überhaupt erfasst und gestützt auf diese Abklärung, lassen sich die einzelnen Verarbeitungen rechtlich einordnen und anschliessend in der Datenschutzerklärung erläutern. 

Aus Transparenzgründen ist jede Verarbeitung in der Datenschutzerklärung einzelnen zu erläutern und der entsprechende Rechtfertigungsgrund ist zu nennen. 

Auf was gilt es bei dem Einsatz von Newslettern zu beachten? 

Die Anmeldung für den Newsletter muss rechtskonform in die Webseite implementiert sein. In den allermeisten Fällen wird dafür ein Double – Opt – in – Verfahren notwendig sein. Weitere Informationen zum Einsatz von Newslettern findet sich in einem früheren Beitrag, hier.

Die Datenschutzerklärung sollte darüber Auskunft geben, welche Daten im Rahmen des Newsletter -Versandes erfasst werden und zu welchen Marketing – Zwecken die Daten verwendet werden. Des Weiteren ist zu erläutern, wie die betroffene Person ihre Einwilligung widerrufen kann, bzw. sich vom Newsletter abmelden kann.

Die meisten KMU nutzen für den Newsletter - Versand einen Drittanbieter, es gilt zu prüfen, ob dieser die neuen Datenschutzanforderungen ebenfalls erfüllt. 

Was gilt es bei Webanalyse – Tools zu beachten? 

Es gilt zu prüfen welche Webanalyse – Tools eingesetzt werden. Die betroffenen Personen sind darüber aufzuklären, welche Daten durch die Tools erfasst werden und ob Cookies gesetzt werden. Sofern ein Drittanbieter genutzt wird, ist dieser zu nennen und es sollte auf die entsprechenden Informationen des Drittanbieters verlinkt werden. 

Es sollte nach Möglichkeit ein Webanalyse – Tool genutzt werden, welches die Daten anonymisiert erfasst. 

Muss auf die Verwendung von Social Plugins hingewiesen werden? 

Die Verwendung von Social Plugins geben schon lange Anlass zu Diskussionen, da die sozialen Netzwerke Besucher im Internet verfolgen können und dadurch detaillierte Profile kreieren. Um ihre Inhalte zu verbreiten, können Social Plugins für ein Unternehmen jedoch ein wichtiges Marketingtool darstellen. Diese werden daher auf vielen Webseiten verwendet. 

Als rechtssichere Lösung galt bis anhin die „Zwei-Klick-Lösung“. Diese Lösung wird auch in Zukunft möglich sein, wobei der Nachweis der Einwilligung Probleme darstellen könnte. Eine Alternative Lösung stellt die Shariff – Lösungdar, bei dieser Lösung bleibt der Nutzer unsichtbar solange er nicht auf den Button/Link klickt. Für diese Lösung findet sich auf Github ein gutes Scriptzur Umsetzung.

Die Datenschutzerklärung ist entsprechend der gewählten Lösung zu formulieren und es sind auf die entsprechenden Informationen und Datenschutzbestimmung der sozialen Netzwerke zu verlinken. Verschiedene Musterklauseln finden sich hier.

Der Einsatz von Cookies wird in diesem Artikel nicht genauer erläutert. Eine rechtskonforme Einwilligung und eine Erklärung wie diese eingesetzt werden, sind in der Datenschutzerklärung aber immer zu berücksichtigen. 

Wann ist eine Datenschutzerklärung leicht zugänglich? 

Die DSGVO verlangt, dass die Datenschutzerklärung leicht zugänglich und die betroffene Person über die Datenverarbeitung informiert wird. Ein Hinweis wie man es von Cookies kennt, wird wohl bei einer einfachen Webseite weiterhin nicht notwendig sein. Es sollte ausreichen, wenn die Datenschutzerklärung auf der Webseite einfach auffindbar ist. Die Datenschutzerklärung darf daher nicht in den AGB versteckt werden und auch nicht als Ergänzung im Impressum. Die Datenschutzerklärung muss unter einem eigenen Titel geführt werden.  

Die Datenschutzerklärung muss zudem übersichtlich gestaltet sein und sollte in einer verständlichen Sprache verfasst sein. Die Datenschutzerklärung als «kleingedruckter Text» ist nicht mehr zulässig. Es sollte mit Titeln und Untertitel gearbeitet werden. Die Datenschutzerklärung kann mit verschiedenen Ebenen gestaltet werden, bspw. kann auf der oberen Ebene eine Zusammenfassung geben werden und ein Link kann auf Detailinformationen in einer unteren Ebene verweisen. Bei dieser Methode ist jedoch Vorsicht geboten, er dürfen keine wesentlichen Informationen auf unteren Ebenen versteckt werden. Die betroffene Person sollte zusätzlich eine Gesamtübersicht abzurufen können, bspw. als PDF. 

Falls Personen in verschiedenen EU – Länder angesprochen werden, sollte die Datenschutzerklärung übersetzt werden.