Wichtiger Hinweis: Metoki ist eine Digital-Agentur – keine Anwaltskanzlei. Alle Aussagen zu rechtlichen Themen erfolgen ohne Gewähr. Bitte konsultieren Sie im Zweifelsfall eine juristische Fachperson.
Spätestens seit 2018 die Datenschutz-Grundverordnung DSGVO in Kraft getreten ist, muss sich jeder Website-Betreiber mit dem Datenschutz auseinandersetzen – auch in der Schweiz. Eine der grundlegendsten Anforderungen besteht darin, eine Datenschutzerklärung zu publizieren. Aber wie kommt man zu einer solchen Datenschutzerklärung? Darf und soll man ganz einfach die Datenschutzerklärung einer anderen, ähnlichen Website kopieren?
Zunächst eine wichtige Klarstellung: Metoki ist eine Digitalagentur, keine Anwaltskanzlei. Dieser Artikel basiert auf eigenen Recherchen und zeigt auf, wie wir das Thema in der Praxis handhaben. Es handelt sich aber nicht um eine Rechtsberatung, und wir übernehmen keinerlei Gewähr dafür, dass diese Informationen korrekt, aktuell und vollständig sind. Für eine rechtssichere Datenschutzerklärung wenden Sie sich im Zweifelsfall an einen Juristen.
Braucht man überhaupt eine Datenschutzerklärung?
Beginnen wir bei der Frage, ob eine Website überhaupt eine Datenschutzerklärung braucht und wie sie aussehen muss. Die Antwort auf diese Frage hängt davon ab, auf welches Rechtssystem man sich bezieht. Für Website-Betreiber in der Schweiz ist die Situation insofern ein bisschen kompliziert, als man drei Gesetze bzw. Verordnungen im Blick haben muss:
- Zunächst gibt es das Bundesgesetz über den Datenschutz (DSG). Dies ist die aktuell gültige Grundlage für alle Datenschutzfragen in der Schweiz (Stand: August 2021). Allerdings wurde das aus dem Jahr 1992 stammende DSG gerade einer Totalrevision unterzogen, welche im Herbst 2020 vom eidgenössischen Parlament verabschiedet wurde. Der Inhalt dieses neuen bzw. revidierten Datenschutzgesetzes (kurz nDSG oder revDSG genannt) steht somit fest, aber das Gesetz ist noch nicht in Kraft. Andererseits kann es nicht schaden, bei der Erstellung einer Datenschutzerklärung bereits dieses neue, verschärfte Gesetz zu berücksichtigen, damit man für die Zukunft gerüstet ist.
- Daneben gibt es die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union, die seit Mai 2018 in Kraft ist. Diese ist – obwohl die Schweiz bekanntlich nicht zur EU gehört – auch für Websites von Schweizer Unternehmen relevant. Denn gemäss Artikel 3 gilt die DSGVO nicht nur für Unternehmen mit Sitz in der EU, sondern auch für solche, welche nur Niederlassungen oder Auftragsverarbeiter in der EU haben. Und selbst wenn Sie als rein schweizerisches Unternehmen ihre Daten ausschliesslich in der Schweiz verarbeiten, so unterstehen Sie dennoch der DSGVO, falls Sie Daten über Personen in der EU verarbeiten. Somit tut man gut daran, bei der Erstellung einer Datenschutzerklärung auch gleich die Anforderungen der DSGVO zu berücksichtigen.
Zurück zur Frage, wann eine Website eine Datenschutzerklärung braucht. Der Begriff «Datenschutzerklärung» kommt weder in der DSGVO noch im DSG vor. Aber beide verlangen, dass die betroffenen Personen detailliert darüber informiert werden, wenn personenbezogene Daten gesammelt, gespeichert und verarbeitet werden. Und weil bei praktisch jeder Website solche personenbezogene Daten anfallen (es braucht nur ein Kontaktformular oder eine Besucherstatistik), sollte man davon ausgehen, dass JEDE Website eine Datenschutzerklärung braucht.
Was muss in einer Datenschutzerklärung drinstehen?
Natürlich genügt es nicht, irgendeine Datenschutzerklärung zu haben. Die Vorgaben von DSGVO und DSG sind diesbezüglich unterschiedlich, und es ist auch nicht das Ziel dieses Artikels, die Anforderungen an eine rechtssichere Datenschutzerklärung im Detail zu beschreiben. Es geht hier nur darum, ein grobes Verständnis dieser Anforderungen zu entwickeln, weil dies für unsere Ausgangsfrage («Darf man eine fremde Datenschutzerklärung kopieren?») wichtig ist.
Im Kern soll eine Datenschutzerklärung darüber informieren, welche personenbezogenen Daten eine Website speichert und was mit diesen Daten passiert. Ausserdem soll sie den betroffenen Personen (also den Website-Besuchern) aufzeigen, welche Rechte sie an ihren Daten haben und wie sie diese Rechte ausüben können.
Insbesondere der erste Teil dieser Anforderungen ist komplexer, als man meint. Zunächst muss man genau wissen, welche personenbezogenen Daten eine Website überhaupt speichert. Dabei muss man zwischen zwei Kategorien unterscheiden:
- Daten, welche die Website-Besucher selbst eingeben, also z.B. Namen, Adressen, Telefonnummern oder E-Mail-Adressen, welche die Besucher in ein Kontaktformular eintragen
- Daten, welche die Website ohne das Zutun der Website-Besucher sammeln, also z.B. Informationen über den Standort, die technische Ausstattung oder den Besuch anderer Websites
Daten der ersten Kategorie kann man relativ einfach herausfinden, indem man alle Formulare auf der Website durchgeht. Allerdings muss man nicht nur darlegen, welche Daten man speichert, sondern auch wo, wie lange und vor allem wozu – das kann schon anspruchsvoller sein.
Um Daten der zweiten Kategorie zu erfassen braucht es dann definitiv viel technisches Know-how. Welche Daten sammelt z.B. der Web-Server, das Content Management System, die Besucherstatistik oder die eingebundenen Social-Media-Plattformen? Welche davon gelten als personenbezogene Daten und müssen deklariert werden? Und was genau machen Dritte wie Google, Facebook & Co. mit den Daten, welche sie auf Ihrer Website sammeln?
Der zweite Teil der obigen Anforderungen ist demgegenüber relativ einfach zu erfüllen. Denn welche Rechte die betroffenen Personen bezüglich ihrer Daten haben, ist ja im DSG bzw. in der DSGVO geregelt und somit für alle Websites gleich. Hier können Sie also auf Mustertexte zurückgreifen, die Sie nur punktuell anpassen müssen (z.B. Kontaktadresse für Datenschutzthemen). Trotzdem sollten Sie verstehen, was diese Texte genau bedeuten und welche Rechte Sie damit Ihren Website-Besuchern garantieren, denn das müssen Sie auch einhalten.
Darf man die Datenschutzerklärung einer anderen Website kopieren?
Wenn die Erstellung einer Datenschutzerklärung so anspruchsvoll ist, wie oben beschrieben: Kann man sich die Arbeit nicht dadurch vereinfachen, dass man die Datenschutzerklärung einer fremden Website herunterlädt und diese noch leicht anpasst?
Auch wenn der Gedanke verlockend ist, so können wir von dieser Methode nur abraten, und zwar aus zwei Gründen:
Erstens ist der Verfasser jener Datenschutzerklärung wahrscheinlich nicht damit einverstanden, dass Sie von seiner harten Arbeit profitieren. Ob eine Datenschutzerklärung durch das Urheberrecht geschützt ist und Sie sich somit direkt strafbar machen, wenn Sie diese kopieren, können wir nicht mit Sicherheit sagen. Ziemlich sicher ist hingegen, dass der Urheber seinen Text leicht wiedererkennt und Ihnen dann möglicherweise Schwierigkeiten macht. Und da dieser Urheber mit grosser Wahrscheinlichkeit ein Rechtsanwalt ist, sollten Sie dies tunlichst vermeiden.
Zweitens ist es nicht das Ziel, irgendeine Datenschutzerklärung zu haben, sondern eine, welche exakt auf Ihre Website und das für Ihr Unternehmen relevante Rechtssystem abgestimmt ist. Wenn Sie unvollständige, veraltete oder falsche Angaben zur Verarbeitung von personenbezogenen Daten machen, dann leisten Sie sich unter Umständen einen Bärendienst. Um eine simple Analogie zu bemühen: Als Restaurantbesitzer können Sie die Lebensmitteldeklaration für Ihre Speisekarte auch nicht von irgend einem anderen Restaurant kopieren.
Also: Kopieren ist sicher keine gute Idee – aber inspirieren lassen darf man sich selbstverständlich von einer fremden Datenschutzerklärung!
Ihr Spezialist für die Konzeption von Websites
Martin Sauter, der Gründer von Metoki, konzipiert seit über 20 Jahren Websites für Grossunternehmen, KMU und Non-Profit-Organisationen. Als Dozent an der Hochschule Luzern unterrichtet er das Thema «Konzeption von Websites» im Rahmen des CAS Online Communication and Marketing.
Gerne beraten wir Sie bei der Entwicklung von Personas und User Stories, bei Fragen der Informationsarchitektur und der User Experience, bei der Erarbeitung eines technischen Pflichtenhefts sowie bei der Evaluation von Content-Management-Systemen.