Datenschutzerklärung gemäss nDSG

Ein erster Überblick

Das neue Datenschutzgesetz (nDSG) gilt für alle Personen und Organe, die Personendaten bearbeiten. Es gilt damit gleichermassen für Unternehmen, Bundesstellen, Vereine sowie Privatpersonen, die etwa eine Webseite betreiben oder Mailings verschicken.

Unternehmen müssen Auskunft geben können, wie sie personenbezogene Daten erheben, verarbeiten, allenfalls weitergeben und schützen. Diese Informationen werden in einer Datenschutzerklärung zusammengestellt und publiziert – am besten auf der eigenen Website, so sind sie für alle betroffenen Personen zugänglich.

Eine Datenschutzerklärung muss also auf die eigene Firma, die eigenen internen Prozesse, zugeschnitten sein. Demzufolge können wir als Berufsverband auch keine Vorlagen «Copy-Paste» anbieten. Die hier aufgeführten Informationen stammen aus verschiedenen Quellen und sind alles andere als abschliessend. Auch die Links sind natürlich nur eine Auswahl – sie führen zu Firmen und Partnern in unserem Netzwerk oder einfach auf Sites, die wir für unsere Bedürfnisse dienlich finden.

Vorgehen beim Erarbeiten einer Datenschutzerklärung

Wichtig ist die persönliche Auseinandersetzung mit den Bestimmungen des nDSG, um sich für den im Umgang mit personbezogenen Daten zu sensibilisieren. Hier ein möglicher Fragekatalog um herauszufinden, wofür wir in unserer Firma datenschutzrechtlich überhaupt verantwortlich ist:

• welche Kategorien personenbezogener Daten erheben wir (Kontaktangaben, sensible Informationen, Bilddaten etc.)
• auf welchem Weg erheben wir Daten (E-Mail, Newsletter, Website, Social Media, Mailings, Events etc.)
• wie werden Daten beim Betrieb unserer Website gesammelt (E-Mail, Kontaktformular, Shop-Bestellungen, geschützte Bereiche, Kommentarfunktion etc.)
• wozu bearbeiten wir die Daten (auftragsbezogen, zur Weiterverwendung etc.)
• was geschieht mit den Daten nach Auftragsabschluss (weitergeben, archivieren, löschen etc.)

Tipp: Überlegen was passiert, wenn unberechtigte Personen/Stellen/Maschinen zu unseren Daten gelangen (Pishing, Hacking, Datendiebstahl & Co).

Das gehört in eine Datenschutzerklärung

Die Datenschutzerklärung muss den gesetzlichen Anforderungen entsprechen aber auch verständlich formuliert sein. Die folgende Auflistung ist ein Vorschlag zur Strukturierung und kann als Inhaltsverzeichnis dienen:

• Verantwortliche Stelle und Kontakt
• Erhebung und Bearbeitung von Personendaten
• Kategorien von Personendaten
• Zwecke der Datenbearbeitung, Rechtsgrundlage
• Tracking-Technologien
• Webanalyse
• Datenweitergabe und Datenübermittlung
• Dauer der Aufbewahrung von Personendaten
• Datensicherheit
• Bereitstellung von Personendaten
• Rechte der Betroffenen
• Änderung der Datenschutzerklärung

Tipps & Tricks aus der Branche

Der Blogartikel von Hostpoint hat uns gut gefallen und beinhaltet eine kleine Checkliste.
Auch der Beitrag von Cmsbox ist sehr verständlich und in unserem Sinn praxisnah. Beschrieben wird hier, welche personenbezogenen Daten beim Hosting und Betrieb gesammelt werden.
Eine sehr gute Übersicht über den gesamten Prozess haben wir bei Swico gefunden. Anhand einer Roadmap sind acht Schritte für eine erfolgreiche Umsetzung beschrieben.
Im «Datenschutz Self Assesment Tool» werden Vorlagen zum Download zur Verfügung gestellt.

Vielleicht eine Überlegung wert

Schon bei der Konzeption einer Website können wir uns bezüglich Datenschutz einige Fragen stellen:

• Ist eine Google Map nötig? Alternative: Einen informative Situationsplan gestalten, passend zum Corporate Design.
• Wirklich Schriften von Google oder Adobe einsetzen? Alternative: Den Font eines Type-Designers kaufen und einbetten.
• Müssen es Stock-Bilder sein? Alternative: Eigene Bildwelten kreieren oder mit Fotograf:innen zusammenarbeiten.

Dies sind Möglichkeiten, die Datenschutzerklärung etwas zu verschlanken und gleichzeitig kreative Leistungen zu fördern.