In der Schweiz befindet sich die Revision des Datenschutzgesetzes (DSG) in der Endphase. In der Europäischen Union gilt seit Mai 2018 die sogenannte Datenschutzgrundverordnung (DSGVO). Beide Neuregelungen enthalten deutlich erhöhte Anforderungen an Unternehmen. Das neue Schweizer Datenschutzgesetz wird in den wesentlichen Inhalten dem EU-Datenschutzrecht entsprechen.
Schweizer Unternehmen sehen sich zudem häufig der Besonderheit ausgesetzt, dass sie sowohl dem Schweizer DSG als auch dem EU-Datenschutzrecht unterliegen. Dies kann der Fall sein, wenn ein Schweizer Unternehmen Waren oder Dienstleistungen in einem EU-Mitgliedstaat anbietet.
Deutlich verschärfte Anforderungen werden in diesem Zusammenhang an die sogenannten Informationspflichten gestellt, die Unternehmen gegenüber denjenigen erfüllen müssen, deren Personendaten sie verarbeiten, vgl. Art. 17 E-DSG und Art. 13, 14 DSGVO. Diesen Informationspflichten wird üblicherweise durch eine Datenschutzerklärung nachgekommen. In der Regel findet sich eine solche auf der Webseite des Unternehmens.
Inhalt einer Datenschutzerklärung
Eine auf der Webseite publizierte Datenschutzerklärung muss unterschiedliche Inhalte aufweisen. Sie muss u.a. den Verarbeitungszweck, die Rechtsgrundlage für die Datenverarbeitung sowie die Dauer der Speicherung von Personendaten als auch die Rechte der von der Datenbearbeitung Betroffenen darstellen.
Im Zusammenhang mit dem Betrieb einer Unternehmenswebseite kommen den Informationspflichten betreffend den Einsatz sogenannter Tracking- und Analyse-Tools (bspw. Cookies, Google Analytics, usw.), der Verwendung von Sozialen Medien (bspw. Facebook, Instagram, usw.) und darauf ausgerichteter personalisierter Werbung (bspw. Facebook-Pixel, LinkedIn Insight-Tag, usw.) erhebliche Bedeutung zu. Der Einsatz solcher Anwendungen bedarf entsprechender Erklärungen in separaten Klauseln in der Datenschutzerklärung.
Erstellung einer Datenschutzerklärung
Zunächst muss die Datenschutzerklärung vollständig sein und alle gesetzlich geforderten Informationen enthalten. Es dürfen unter den Informationspflichten keine wesentlichen Bearbeitungsvorgänge ausgelassen werden.
Um alle für die Datenschutzerklärung relevanten Verarbeitungsvorgänge zu erfassen, ist eine Auflistung (Data-Mapping) der relevanten Vorgänge nach Kategorien (bspw. Datenbearbeitung in der Kategorie Kunden, in der Kategorie Lieferanten, in der Kategorie Mitarbeitende, usw.) hilfreich.
Für die so ermittelten Datenverarbeitungsvorgänge sind in einem zweiten Schritt die entsprechenden datenschutzrechtlichen Informationspflichten (bspw. betreffend die Rechtsgrundlage für die Verarbeitung, die Speicherdauer der Daten, usw.) durch entsprechende Klauseln in der Datenschutzerklärung umzusetzen.
Werden über die Unternehmens-Webseite Tracking- und Analyse-Tools verwendet und auch Soziale Medien, Google Maps, usw. eingesetzt, ist es erforderlich, dies separat zu adressieren und entsprechende Informationsklauseln in die Datenschutzerklärung einzubauen.
Findet neben dem Schweizer Recht auch das EU-Datenschutzrecht Anwendung, empfiehlt es sich zudem, spezifische Klauseln für den jeweiligen Anwendungsbereich einzufügen.