So erstellst du die perfekte Datenschutzerklärung für deine Website

Ein Gastbeitrag von Rechtsanwalt Martin Steiger, Steiger Legal AG

Fast jede Website verfügt über eine Datenschutzerklärung – sie gehört zum Standard und ist in der Regel in der Fusszeile der Website verlinkt. Auch die meisten Cookie-Banner verweisen direkt darauf. Doch warum ist eine Datenschutzerklärung notwendig? Und wie erstellst du eine perfekte Datenschutzerklärung?

Wieso benötigt eine Website eine Datenschutzerklärung?

Mit einer Datenschutzerklärung wird die Informationspflicht gemäss dem Datenschutzrecht erfüllt.

Das Datenschutzrecht dient dem Schutz der Personen, über die Daten bearbeitet werden – so steht es für die Schweiz in Artikel 1 des Datenschutzgesetzes. Das Datenschutzgesetz, ausgeschrieben das Bundesgesetz über den Datenschutz, wird als DSG abgekürzt. In der Schweiz gilt seit dem 1. September 2023 das neue Datenschutzgesetz.

Im Europäischen Wirtschaftsraum (EWR), das heisst in den Mitgliedstaaten der Europäischen Union (EU) sowie im Fürstentum Liechtenstein, in Island und in Norwegen, regelt die Datenschutz-Grundverordnung (DSGVO) den Datenschutz.

Personendaten sind «alle Angaben, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen» (Art. 5 lit. a DSG). Bearbeiten ist «jeder Umgang mit Personendaten, unabhängig von den angewandten Mitteln und Verfahren» (Art. 5 lit. d DSG).

Eine betroffene Person ist jede «natürliche Person, über die Personendaten bearbeitet werden» (Art. 5 lit. b DSG). Mit natürlichen Personen sind alle Menschen gemeint, nicht aber Unternehmen, Organisationen oder Behörden.

Wer eine Website betreibt, bearbeitet fast immer Personendaten. So können bereits IP-Adressen, die in Server-Logdateien erfasst werden, Personendaten darstellen. Es ist kaum denkbar, eine Website zu betreiben, ohne Personendaten zu bearbeiten.

Im Datenschutzrecht gilt immer der Grundsatz der Transparenz:

Betroffene Personen sollen erkennen können, dass jemand ihre Daten beschafft. Betroffene Personen sollen sich ferner informieren können, wer genau ihre Daten wofür, wie und wo bearbeitet sowie was ihre Ansprüche und Rechte sind. Das gilt auch für Besucher:innen einer Website.

Das gängige Mittel, um die Besucher:innen einer Website über die Beschaffung und sonstige Bearbeitung ihrer Personendaten zu informieren, ist die Veröffentlichung einer Datenschutzerklärung.

Mit dem neuen Datenschutzgesetz in der Schweiz und der europäischen Datenschutz-Grundverordnung (DSGVO) wurde jeweils eine allgemeine Informationspflicht eingeführt.

Wer eine Website betreibt und die Daten von Besucher:innen aus der Schweiz oder aus der Europäischen Union (EU) und dem übrigen Europäischen Wirtschaftsraum (EWR) bearbeitet, muss die jeweilige Informationspflicht erfüllen. Aus schweizerischer Sicht gilt für eine Website immer das DSG und häufig teilweise die DSGVO, nämlich für Besucher:innen aus Europa.

Eine vergleichbare Informationspflicht gibt es auch anderswo auf der Welt, beispielsweise im Vereinigten Königreich oder im amerikanischen Bundesstaat Kalifornien.

Eine Datenschutzerklärung ist, wie der Name sagt, eine Erklärung. Es geht um die Möglichkeit für betroffene Personen, sich zu informieren. Manchmal wird deshalb die Datenschutzerklärung auch als «Datenschutzhinweis» oder als «Datenschutzinformation» bezeichnet.

Hingegen ist eine Datenschutzerklärung kein Vertrag, in den eingewilligt werden muss. Es ist ein häufiger Fehler, die Einwilligung in eine Datenschutzerklärung zu fordern, allenfalls sogar ausdrücklich mit einem Kästchen. Wenn die Datenschutzerklärung gar noch als «Datenschutzbedingungen» oder «Datenschutzrichtlinie» bezeichnet wird, droht die Datenschutzerklärung zu Allgemeinen Geschäftsbedingungen (AGB) zu werden. Aus der Erklärung wird ein Vertragswerk mit hohen rechtlichen Anforderungen.

Sprachlich falsch ist die Bezeichnung einer Datenschutzerklärung als «Datenschutzpolitik». Es handelt sich um eine Fehlübersetzung der englischen Bezeichnung «Privacy Policy».

Welche Informationen muss eine Datenschutzerklärung enthalten?

Die betroffenen Personen – bei einer Website die Besucher:innen – müssen sich informieren können, welche Daten über sie von wem, wie, wofür und wo bearbeitet werden. Sie müssen ausserdem erfahren können, was ihre Ansprüche und Rechte gemäss dem anwendbaren Datenschutzrecht sind.

Gemäss dem schweizerischen Datenschutzrecht sind mindestens folgende Angaben erforderlich (Art. 19 Abs. 1 DSG):

• Identität und Kontaktdaten der oder des Verantwortlichen, also der Betreiberin oder des Betreibers der Website (Firma oder Name, Postadresse, E-Mail-Adresse)
• Zweck oder Zwecke, für den oder die Personendaten bearbeitet werden
• Empfänger:innen oder Kategorien der Empfänger:innen, denen Personendaten bekannt gegeben werden

Dazu kommen immer Angaben über Ansprüche und Rechte, die betroffene Personen anmelden können. Beispiele sind das Recht auf Auskunft, das Recht auf Löschung und das Recht auf Widerspruch oder das Recht auf Anzeige oder Beschwerde bei einer Datenschutz-Aufsichtsbehörde wie dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) in der Schweiz.

Je nach Verantwortlicher oder Verantwortlichem und je nach Bearbeitung von Personendaten können folgende weiteren Angaben erforderlich sein:

• Kategorien der beschafften Personendaten, sofern diese Personendaten nicht direkt bei den betroffenen Personen beschafft werden
• Bekanntgabe von Personendaten in andere Staaten («Daten-Export») und wie dabei der Datenschutz gewährleistet wird
• Kontaktdaten einer allfälligen Datenschutzberaterin oder eines allfälligen Datenschutzberaters (Art. 10 DSG)
• Kontaktdaten einer allfälligen schweizerischen Datenschutz-Vertretung (Art. 14 DSG)
• Offenlegung von allfälligen automatisierten Einzelentscheidungen und dem Recht auf die Prüfung solcher Entscheidungen durch einen Menschen (Art. 21 DSG)

Gemäss dem europäischen Datenschutzrecht sind weitere Angaben erforderlich (Art. 13 DSGVO):

• Rechtsgrundlagen für die Bearbeitung von Personendaten, beispielsweise die Einwilligung der betroffenen Personen oder die überwiegenden berechtigten Interessen des oder der Verantwortlichen (Art. 6 DSGVO)
• Kontaktdaten einer allfälligen Datenschutzbeauftragten oder eines allfälligen Datenschutzbeauftragten
• Kontaktdaten einer allfälligen EU-Datenschutz-Vertretung (Art. 27 DSGVO)
• Dauer der Speicherung von Personendaten oder Kriterien für die Festlegung der Speicherdauer
• Offenlegung von allfälligem Profiling (Art. 22 DSGVO)

Unabhängig von der Bearbeitung von Personendaten sollte in Datenschutzerklärungen über die Verwendung von Cookies informiert werden.

Die Information der betroffenen Personen muss immer «in präziser, transparenter, verständlicher und leicht zugänglicher Form» (Art. 13 DSV) bzw. «in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache» (Art. 12 Abs. 1 DSGVO) erfolgen.

Das DSG in der Schweiz geht bei der Informationspflicht weniger weit als die DSGVO in Europa.

Dennoch ist es empfehlenswert, sich für Datenschutzerklärungen, die nur Website-Besucher:innen aus der Schweiz betreffen, an der DSGVO als «Gold-Standard» zu orientieren. Mit einer solchen Datenschutzerklärung geniesst man eine hohe Rechtssicherheit gegenüber Website-Besucher:innen aus aller Welt.

Es gibt unterschiedliche Meinungen, wie genau die Informationspflicht gemäss DSG und DSGVO umgesetzt werden muss.

Je ausführlicher beispielsweise eine Datenschutzerklärung ausfällt, desto eher wird sie nicht gelesen. Das Erstellen einer Datenschutzerklärung ist deshalb nicht nur eine Rechtsfrage, sondern gleichzeitig eine Stilfrage.

Datenschutz-Aufsichtsbehörden fordern oft sehr ausführliche und mehrstufige Datenschutzerklärungen. Rechtlich gesehen gibt es jedoch erheblichen Spielraum bei der Gestaltung.

Eine rechtssichere Datenschutzerklärung sollte alle Punkte gemäss den gesetzlichen Vorgaben umfassen. Website-Betreiber:innen riskieren ansonsten den unerwünschten Kontakt mit betroffenen Personen und mit Datenschutz-Aufsichtsbehörden. In der EU drohen Bussen für Unternehmen und Organisationen von bis zu 20 Millionen Euro oder 4 % des weltweit erzielten Jahresumsatzes (Art. 83 DSGVO). In der Schweiz können einzelne verantwortliche Personen mit einer Busse von bis zu 250’000 Franken bestraft werden (Art. 60 DSG).

Immerhin müssen Website-Betreiber:innen normalerweise nicht mit kostenpflichtigen Abmahnungen rechnen, selbst wenn Abmahnungen im Datenschutzrecht grundsätzlich möglich sind.

In jedem Fall ist es wichtig, dass eine Datenschutzerklärung immer aktuell, richtig und vollständig ist. Eine Datenschutzerklärung sollte ein bis zwei Mal pro Jahr und bei wesentlichen Änderungen der Bearbeitung von Personendaten aktualisiert werden.

Um den Inhalt einer Datenschutzerklärung nicht ausufern zu lassen, kann auf ausgewählte weiterführende Informationen verlinkt werden, zum Beispiel auf die Informationen von Dritten, deren Dienste in eine Website eingebunden werden. Es muss nicht jeder Dienst erwähnt oder verlinkt werden. Bei Diensten mit einem besonders vielseitigen Funktionsumfang oder mit besonderen Risiken ist eine Erwähnung und Verlinkung aber sinnvoll.

Für die Übersichtlichkeit hilft ein Inhaltsverzeichnis am Anfang der Datenschutzerklärung.

Viele Datenschutzerklärungen sind mit einem Datum versehen. Das ist nur sinnvoll, wenn eine Datenschutzerklärung regelmässig aktualisiert wird. Ansonsten ist eine Datenschutzerklärung auf den ersten Blick als veraltet erkennbar.

So findet man immer noch viele Datenschutzerklärungen, die den 25. Mai 2018 oder den 1. September 2023 als Datum nennen. Ab diesen Daten musste die Informationspflicht gemäss DSGVO bzw. DSG umgesetzt werden, weshalb viele Datenschutzerklärungen an diesen Tagen erstellt oder zuletzt aktualisiert wurden.

Was sind die typischen Inhalte einer Datenschutzerklärung?

Jede Website ist anders und damit auch die Datenschutzerklärung. Es gibt aber – ausgehend von der gesetzlichen Informationspflicht – typische Inhalte, die in (fast) jeder Datenschutzerklärung aufgeführt werden müssen.

In der Datenschutzerklärung muss die oder der Verantwortliche genannt werden, bei einer Website die Betreiberin oder der Betreiber. Normalerweise handelt es sich um die gleichen Angaben wie im Impressum: Firma oder Name, Postadresse, E-Mail-Adresse.

Bei schweizerischen Websites, die sich auch an Besucher:innen aus Deutschland, aus dem Fürstentum Liechtenstein und dem sonstigen Europäischen Wirtschaftsraum (EWR) richten, ist fast immer eine EU-Datenschutz-Vertretung gemäss Art. 27 DSGVO erforderlich. In der Datenschutzerklärung muss die EU-Datenschutz-Vertretung mit ihren Kontaktangaben genannt werden.

Verantwortliche, die über eine:n Datenschutzberater:in oder eine:n Datenschutzbeauftragt:en verfügen, müssen darüber in der Datenschutzerklärung informieren. Es muss keine Firma und kein Name genannt werden, sondern es genügt eine generische Angabe wie «Datenschutzbeauftragter». Die Kontaktangaben müssen unabhängig von jenen der oder des Verantwortlichen sein.

Bei fast allen Websites werden Personendaten mit Cookies und Server-Logdateien bearbeitet. Darüber sollte – mindestens in allgemeiner Form – informiert werden.

Ferner sollte über die verwendeten Kommunikationskanäle informiert werden. Dazu gehören die Bearbeitung von Personendaten mit einem Chatbot oder Kontaktformular, aber beispielsweise auch der Newsletter-Versand. Bei einem Massenversand per E-Mail oder Instant Messaging muss grundsätzlich die Einwilligung der Empfänger:innen eingeholt werden.

Weiter sollte über Dienste von Dritten, die in eine Website eingebunden sind, informiert werden. Dazu zählen Dienste für Analytics und Tracking wie Google Analytics und Hotjar, Inhalte und Plugins von Social Media-Plattformen wie Instagram, LinkedIn oder TikTok, Newsletter-Dienste wie CleverReach oder MailChimp sowie Dienste für Kartenmaterial, Schriftarten oder Videos wie Google Maps, Adobe Fonts oder Vimeo und YouTube. Auch Website-Komponenten, die bei Dritten gehostet werden, sollten erwähnt werden, beispielsweise die Verwendung von jQuery.com oder der Spamschutz mit einem CAPTCHA-Dienst wie Google reCAPTCHA.

Bei Diensten von Dritten im Ausland muss – wie überhaupt beim «Daten-Export» – informiert werden, inwiefern im betreffenden Ausland ein angemessener oder geeigneter Datenschutz gewährleistet ist. Aus schweizerischer Sicht stammen fast alle Dienste, die in Websites eingebunden sind, von Diensten im Ausland.

Einfach ist dieser Punkt für Dienste im EWR, denn die Schweiz und der EWR bilden einen gemeinsamen Datenraum. Ein Angemessenheitsbeschluss der Europäischen Kommission ermöglicht den freien Datenverkehr zwischen der Schweiz und dem EWR.

Bei Diensten in den USA ist hingegen – wenn überhaupt – der Datenschutz nur gewährleistet, wenn sich das jeweilige Unternehmen freiwillig dem Data Privacy Framework (DPF) unterworfen hat oder vertragliche Absicherungen bestehen. Die vertragliche Absicherung erfolgt mit Standarddatenschutzklauseln der Europäischen Kommission, die – mit wenigen Anpassungen – auch für die Schweiz verwendet werden können. Der «Daten-Export» in die USA sollte sicherheitshalber immer auch mit Standarddatenschutzklauseln abgesichert werden und nicht allein mit dem DPF. Das DPF kann jederzeit für ungültig erklärt werden.

Bei einigen Diensten von Dritten sind die Website-Betreiber:innen gemeinsam mit den Dritten verantwortlich, zum Beispiel bei Social Plugins von Facebook. Eine solche gemeinsame Verantwortlichkeit gilt mutmasslich für alle Dienste, bei denen Personendaten nicht ausschliesslich im Auftrag der Website-Betreiber:innen bearbeitet werden, das heisst insbesondere für fast alle kostenlosen Dienste von Dritten.

Wo in der Welt ein angemessener Datenschutz besteht, findet man für die Schweiz auf einer bundesrätlichen Liste und für den EWR auf einer Webseite der Europäischen Kommission. In der «Data Privacy Framework List» sind die amerikanischen Unternehmen eingetragen, die grundsätzlich einen angemessenen Datenschutz gewährleisten möchten.

Welche Dienste von Dritten werden überhaupt verwendet?

Viele Website-Betreiber:innen wissen nicht, welche Personendaten im Zusammenhang mit ihrer Website beschafft und anderweitig bearbeitet werden.

Wer eine Website selbst entwickelt und pflegt, sollte eigentlich wissen, welche Personendaten wie, wofür und wo bearbeitet werden. Allerdings binden einige Website-Betreiber:innen unzählige Dienste von Dritten gedankenlos ein. Teilweise enthalten Plugins, wie sie insbesondere im WordPress-Umfeld beliebt sind, ungefragt Dienste von Dritten. Viele Dritt-Dienste werden zum Teil von Anbietern von Website-Baukästen wie Wix eingebunden.

Wer eine Web-Agentur mit der Entwicklung und Pflege einer Website beauftragt hat, sollte von dieser die benötigten Angaben erhalten, zum Beispiel die genaue Konfiguration von Google Analytics. Website-Betreiber:innen dürfen von einer Agentur keine (kompetente) Rechtsberatung erwarten, aber eine Agentur sollte die Bearbeitung von Personendaten auf einer Website und die eingebundenen Dienste von Dritten immer dokumentieren. Eine Agentur sollte ausserdem die Veröffentlichung und Verlinkung einer Datenschutzerklärung vorsehen.

Letztlich sind alle Website-Betreiber:innen selbst dafür verantwortlich, den Datenschutz auf ihrer Website zu gewährleisten. Dazu gehört die Veröffentlichung einer aktuellen, richtigen und vollständigen Datenschutzerklärung.

Einiges an Informationen über Dienste von Dritten, die in die eigene Website eingebunden sind, kann man durch eigenes Surfen auf der Website herausfinden. So sind beispielsweise Karten, Videos und Werbung von Google-Diensten wie AdSense, Maps und YouTube problemlos sichtbar. Fortgeschrittene Website-Betreiber:innen nutzen die Browser-Konsole oder Content-Blocker wie uBlock Origin, um weitere Informationen zu erhalten.

Ausserdem gibt es nützliche Online-Dienste, die versuchen, die Bearbeitung von Personendaten auf einer Website zu ermitteln. Beispiele sind Webbkoll, «DSGVO-Beschwerde» oder BuiltWith.

Viele Anbieter von Dritt-Diensten, unter anderem Google, schreiben die Information der betroffenen Personen ausdrücklich vor. Die Nutzungsbedingungen für Google Analytics beispielsweise konkretisieren die Informationspflicht unter Ziffer 7 über den Datenschutz.

Wie erstellst du am einfachsten eine Datenschutzerklärung?

Das Wissen, welche Personendaten auf einer Website beschafft und wofür, wie und wo sie bearbeitet werden, müssen Website-Betreiber:innen in Form einer Datenschutzerklärung sammeln und veröffentlichen.

Website-Betreiber:innen müssen ausserdem über die Ansprüche und Rechte der betroffenen Personen informieren. Am dafür notwendigen Wissen führt für eine rechtssichere Datenschutzerklärung kein Weg vorbei.

Auf einleitende Texte im Stil von «Der Schutz Ihrer Daten ist uns wichtig» oder «Gemäss Artikel 13 der Bundesverfassung» sollte bei Datenschutzerklärungen verzichtet werden. Solche Texte haben rechtlich keine Bedeutung und wirken auf die meisten Besucher:innen einer Website nicht glaubwürdig.

Die Sprache der Datenschutzerklärung sollte der Sprache der Website entsprechen. Bei einer mehrsprachigen Website ist es empfehlenswert, die Datenschutzerklärung in allen Sprachen der Website anzubieten oder auf Übersetzungsmöglichkeiten hinzuweisen. Mit DeepL, Google Translate oder KI-Diensten stehen den Nutzer:innen viele kostenlose Möglichkeiten für Übersetzungen im Internet zur Verfügung.

Wer selbst nicht weiss, wie man eine Datenschutzerklärung erstellt und keine Fachperson beauftragen möchte, nutzt mit Vorteil ein Muster oder eine Vorlage.

Muster und Vorlagen für Datenschutzerklärungen gibt es in zwei gängigen Varianten: Es gibt einerseits Muster und Vorlagen sowie andererseits sogenannte Datenschutz-Generatoren.

Muster und Vorlagen für Datenschutzerklärungen

Datenschutz-Aufsichtsbehörden sowie Fachpersonen und Unternehmen, die im Datenschutzrecht tätig sind, veröffentlichen oder verkaufen eigene Muster und Vorlagen.

Muster gibt es beispielsweise bei der Datenschutzstelle Fürstentum Liechtenstein, beim Ministerium des Innern des Landes Nordrhein-Westfalen in Deutschland oder von Prof. Dr. Thomas Hoeren an der deutschen Universität Münster. In der Schweiz finden sich Vorlagen beispielsweise bei DSAT.

Die Qualität der Muster und Vorlage ist unterschiedlich. Es ist sinnvoll, jeweils zu prüfen, wann ein Muster oder eine Vorlage zuletzt aktualisiert wurde.

Datenschutz-Generatoren für Datenschutzerklärungen

Mit sogenannten Datenschutz-Generatoren können Datenschutzerklärungen online erstellt werden. Gemeint sind eigentlich Generatoren für Datenschutzerklärungen, aber der Begriff «Datenschutz-Generator» hat sich durchgesetzt.

Für das Erstellen der Datenschutzerklärung mit einem Datenschutz-Generator muss normalerweise ausgewählt oder beantwortet werden, wer welche Personendaten wofür, wie und wo bearbeitet. Aufgrund der Auswahl oder Antworten wird eine Datenschutzerklärung erstellt.

Die meisten Datenschutz-Generatoren sind kostenlos, da sie als Werbung für andere – kostenpflichtige – Angebote genutzt werden. Manchmal darf eine kostenlos erstellte Datenschutzerklärung nur verwendet werden, wenn auf den Generator-Anbieter verlinkt wird.

Einige Datenschutz-Generatoren sind kostenpflichtig, weil sie aktuell gehalten sowie ergänzt und verbessert werden. Solche Datenschutz-Generatoren dienen nicht der Werbung, sondern sind eigenständige Angebote.

Viele Datenschutz-Generatoren werden – für Fachpersonen sichtbar – nicht mehr gepflegt, aber immer noch angeboten. Mit einigen älteren Generatoren kann gar keine allgemeine Datenschutzerklärung erstellt werden, wie sie heute erforderlich ist.

Besondere Alarmzeichen sind, wenn nicht mehr verfügbare Angebote wie das eingestellte Google+ ausgewählt werden können oder nicht mehr existierende Anbieter von Diensten wie die Google Inc. oder gar die YouTube LLC genannt werden. Ein weiteres Warnzeichen ist, wenn für den «Daten-Export» in die USA noch auf die früheren Regelungen «Privacy Shield» und «Safe Harbor» verwiesen wird.

Bei deutschen Datenschutz-Generatoren besteht aus schweizerischer Sicht das Problem, dass Besonderheiten in der Schweiz nicht oder nicht ausreichend berücksichtigt werden. Das gilt sogar für Generatoren, deren Anbieter ausdrücklich versprechen, das schweizerische Datenschutzrecht einzuhalten.

Deutsche Generatoren gehen normalerweise davon aus, dass die europäische Datenschutz-Grundverordnung (DSGVO) und das deutsche Bundesdatenschutzgesetz (BDSG) anwendbar sind. Wenn Website-Betreiber:innen eine solche Datenschutzerklärung veröffentlichen, unterstellen sie sich freiwillig und vollumfänglich dem ausländischen Recht, ohne dazu verpflichtet zu sein und ohne es einzuhalten.

Einige Datenschutz-Generatoren versprechen, Datenschutzerklärungen vollständig oder weitgehend automatisch erstellen zu können. Solche Generatoren «scannen» Websites und erstellen Datenschutzerklärungen aus den gesammelten Informationen. Das ist bequem, stösst aber an Grenzen, weil nicht alle erforderlichen Informationen für einen solchen «Scanner» sichtbar sind.

Datenschutz-Generatoren, die nicht aktuell gehalten werden, nicht zur Schweiz passen oder zu viel versprechen, waren für mich schon vor Jahren der Anlass, mich mit meiner Anwaltskanzlei am Datenschutz-Generator von Datenschutzpartner* zu beteiligen.

Dieser Datenschutz-Generator richtet sich ausdrücklich an Verantwortliche in der Schweiz und berücksichtigt das anwendbare schweizerische oder europäische Datenschutzrecht für die jeweilige Website. Erstellte Datenschutzerklärungen werden gehostet und können direkt verlinkt werden, stehen aber auch als HTML-Quelltext und PDF-Datei zur Verfügung. Der Datenschutz-Generator wird fortlaufend gepflegt*, um die Aktualität und Richtigkeit der erstellten Datenschutzerklärung zu gewährleisten.

Manche Website-Betreiber:innen versuchen, ihre Datenschutzerklärungen mit Hilfe von ChatGPT, Gemini und anderen KI-Diensten zu erstellen. Ein solcher Versuch ist selbstverständlich möglich, bedingt aber das Fachwissen, um das Ergebnis beurteilen zu können. Das Gleiche gilt für Website-Betreiber:innen, die sich von den Datenschutzerklärungen auf anderen Websites «inspirieren» lassen. Auf solchen Wegen gelangt viel Unsinn in Datenschutzerklärungen. Sogar Behörden und grosse Unternehmen veröffentlichen zum Teil fehlerhafte Datenschutzerklärungen.

Die Veröffentlichung einer erstellten Datenschutzerklärung sollte auf einer eigenen Seite erfolgen und nicht gemeinsam mit dem Impressum oder gar als Teil der Allgemeinen Geschäftsbedingungen (AGB).

Die veröffentlichte Datenschutzerklärung sollte auf jeder einzelnen Webseite einer Website verlinkt werden, üblicherweise als «Datenschutz» oder «Datenschutzerklärung» in der Fusszeile.

Was sind häufige Fehler bei Datenschutzerklärungen?

Im Zusammenhang mit veröffentlichten Datenschutzerklärungen sind viele Fehler zu beobachten. Viele Website-Betreiber:innen überschätzen ihre eigenen Fähigkeiten.

Der Fehler, dass gar keine Datenschutzerklärung vorhanden ist, kommt inzwischen selten vor.

Dafür sind folgende Fehler häufig zu beobachten:

• Schweizerische Websites unterstellen sich freiwillig und vollständig der europäischen Datenschutz-Grundverordnung (DSGVO) und sonstigem ausländischem Recht, halten aber die entsprechenden Pflichten nicht ein.
• Der Inhalt der Datenschutzerklärung ist sichtbar veraltet, allenfalls allein schon aufgrund einer uralten Datumsangabe.
• Der Weblink zur Datenschutzerklärung ist auf der Website nicht auffindbar, beispielsweise weil der Weblink in einem Menü versteckt ist.
• Der Weblink zur Datenschutzerklärung wird verdeckt, beispielsweise durch einen Chatbot oder durch ein Cookie-Banner.
• Der Inhalt der Datenschutzerklärung ist unvollständig, häufig betroffen sind eingebundene Dienste von Dritten.
• Der Inhalt der Datenschutzerklärung ist falsch, beispielsweise wird eine Anonymisierung von IP-Adressen behauptet, die gar nicht erfolgt.
• Die Datenschutzerklärung behauptet Einwilligungen, die nicht erteilt wurden und allein durch die Erwähnung in der Datenschutzerklärung auch nicht rechtswirksam erteilt werden können; erforderliche Einwilligungen sollten immer unabhängig von einer Datenschutzerklärung eingeholt werden, beispielsweise mit einem Cookie-Banner.
• Es wird die (ausdrückliche) Einwilligung in die Datenschutzerklärung verlangt, wodurch diese einen vertraglichen Charakter erhält oder gar zu Allgemeinen Geschäftsbedingungen (AGB) wird.
• Erwähnte oder verlinkte Widerspruchsmöglichkeiten funktionieren nicht, beispielsweise Google Analytics, wo das frühere «Opt-out» mit einem JavaScript-Weblink nicht mehr verfügbar ist.
• Allfällige Facebook-Seiten oder die sonstige Social Media-Präsenz werden in der Datenschutzerklärung nicht erwähnt oder es geht vergessen, die Datenschutzerklärung auf der eigenen Social Media-Präsenz zu verlinken.
• Schweizerische Websites, die teilweise die DSGVO einhalten müssen, haben keinen EU-Datenschutz-Vertreter benannt oder haben die Angaben aus einer fremden Datenschutzerklärung kopiert, ohne selbst einen Vertreter benannt zu haben.
• Die Datenschutzerklärung wurde einmal erstellt und danach nicht mehr gepflegt, so dass sie im Laufe der Zeit immer mehr Fehler enthält.

Perfekte Datenschutzerklärungen: Don’t panic!

Für Datenschutzerklärungen gilt wie häufig im Recht: Don’t panic!

Für Website-Betreiber:innen führt (fast) kein Weg daran vorbei, eine aktuelle, richtige und vollständige Datenschutzerklärung zu erstellen, zu veröffentlichen und zu pflegen.

Die Datenschutzerklärung ist ein wichtiger Teil der sichtbaren Datenschutz-Compliance. Die perfekte Datenschutzerklärung gibt es aber leider nicht, denn dafür ist das Datenschutzrecht zu ausufernd und widersprüchlich.

Datenschutzerklärungen sollen betroffenen Personen ermöglichen, sich bei Bedarf über die Beschaffung und sonstige Bearbeitung ihrer Daten zu informieren. Betroffene Personen sollen ausserdem wissen können, welche Ansprüche und Rechte sie haben, beispielsweise das Recht auf Auskunft.

Um diese Informationspflicht mit einer veröffentlichten Datenschutzerklärung zu erfüllen, müssen Website-Betreiber:innen wissen, welche Personendaten auf ihren Websites beschafft und anderweitig bearbeitet werden.

Mit diesem Wissen kann eine Datenschutzerklärung erstellt und veröffentlicht werden, die normalerweise gut genug ist, sofern die Hinweise in diesem Gastbeitrag befolgt und häufige Fehler vermieden werden.

Wer die Rechtssicherheit verbessern möchte, verwendet einen etablierten Datenschutz-Generator oder beaufragt eine qualifizierte Fachperson. Eine solche Fachperson kann eine erstellte Datenschutzerklärung auch auf ihre Aktualität, Richtigkeit und Vollständigkeit prüfen.

Hinweis: Der vorliegende Beitrag kann nur allgemeine Hinweise zu einem Einstieg in die Thematik geben. Für Abklärungen im Einzelfall, bei Unklarheiten und im Zweifelsfall empfiehlt sich die gezielte Beratung durch eine erfahrene und qualifizierte Fachperson wie beispielsweise einen Rechtsanwalt.

*) Beim Link handelt es sich um einen Partnerlink. Schliesst du einen Kauf bei Datenschutzpartner ab, erhält cyon eine kleine Provision, ohne dass dir zusätzliche Kosten entstehen. Im Gegenteil: Durch die Nutzung des Gutscheincodes profitierst du sogar von 10 % Rabatt im ersten Jahr.

Titelbild: Benham Norouzi/Unsplash