Datenschutz
Kaum ein Rechtsgebiet ist so eng mit den gewaltigen technologischen Fortschritten unserer Zeit verbandelt wie der Datenschutz. Wir alle hinterlassen mittlerweile wohl sekündlich Datenspuren, welche gesammelt und dank immer raffinierterer Algorhythmen und leistungsstarken Supercomputern ausgewertet werden können. Die wirtschaftlichen Interessen hinter diesen Auswertungen sind immens. Ein Beispiel:
Sicher haben Sie an einem verregneten Sonntag auch schon eine Internet-surftour statt eine Velotour gemacht. Sagen wir, Sie hätten, wie ich kürzlich, nach einem freistehenden Kühlschrank gesurft, weil Sie schon länger mit dem Gedanken spielen, einen solchen im Wintergarten aufzustellen. In den Tagen nach Ihrer Surftour werden Sie feststellen, dass die Onlinewerbungen, welche z.B. bei Facebook, aber auch bei vielen anderen Websiten gezeigt werden, nun plötzlich überwiegend freistehende Kühlschränke zeigen. In einer dieser Anzeigen entdecken Sie Ihr Wunschmodell und es kommt zum Kauf. Das on-target Marketing war in Ihrem Fall erfolgreich.
Datenschutzrichtlinien
Hier kommt der Datenschutz ins Spiel. Eine gute Datenschutzrichtlinie klärt Sie über den Einsatz von on-target-Marketing-Auswertungen auf und erklärt Ihnen, wie Sie Ihren Browser einstellen müssen, damit Sie davon verschont bleiben. Das Datenschutzgesetz verbietet nämlich keinesfalls die Bearbeitung von Daten. Doch es schreibt unter anderem vor, dass ihre Bearbeitung rechtmässig zu sein hat, das heisst, für die betroffenen Personen erkennbar, transparent und verhältnismässig. Da der Durchschnittskonsument nicht viel von den komplizierten Technologien versteht, welche während der Nutzung von Smartphone, Computern etc. Daten sammeln und weiterleiten, ist die Datenschutzrichtlinie zum wichtigen Instrument geworden, um Konsumentinnen und Konsumenten über die datenrelevanten Vorgänge im technologischen Hinterland aufzuklären.
Da bereits die einfachste Website Daten sammelt und weiterleitet, braucht jeder, der eine Website betreibt, eine Datenschutzrichtlinie. Dabei ist eine Datenschutzrichtlinie kein Vertrag, welcher auf beidseitigem Konsens beruht, sondern eine einseitige Erklärung (Aufklärung) darüber, welche datenschutzrelevanten Vorgänge auf Ihrer Website vor sich gehen und welche Massnahmen zur Verfügung stehen, um den Schutz der Privatsphäre zu gewährleisten.
Personendaten
Im Fokus des Datenschutzes stehen (nur) Personendaten. Personendaten sind Daten, die einer bestimmten oder bestimmbaren Person zugeordnet werden können. Das sind aber weit mehr als nur Informationen wie Name, Vorname, Geburtsdatum etc. Namentlich qualifiziert das Bundesgericht auch IP-Adressen als Personendaten, weil es anhand einer IP-Adresse möglich ist, eine Person zu identifizieren. Eine Datenschutzrichtlinie muss daher über alle datenrelevanten Vorgänge Auskunft geben und transparent machen, zu welchem Zweck welche Daten gesammelt und verwendet werden. Das sind z.B.
- Cookies
- Logfiles
- Tracking-tools (Google Analytics etc.)
- Social-Media-Plugins
- etc.
Darüber hinaus muss eine Datenschutzrichtlinie darüber aufklären, dass jede Person vom Inhaber einer Datensammlung Aufschluss darüber verlangen kann, ob und falls ja, welche Personendaten von ihr gesammelt werden. Bei Fehlern hat die Person zudem einen Berichtigungsanspruch.
Keine copy-paste-Übungen
Datenschutzrichtlinien sollten in enger Zusammenarbeit mit Ihrem Website-Verantwortlichen bzw. mit einer technisch versierten Person erarbeitet werden, damit Sie gewährleisten können, alle datenrelevanten Vorgänge abgebildet zu haben. Auch hier gilt: Finger weg von copy-paste-Übungen. Sie genügen Ihren Informationspflichten nur, wenn Ihre Datenschutzrichtlinie auf Ihre Website zugeschnitten ist.
Datenbearbeitungen
Ganz abgesehen von der Technologie finden in Ihrer Unternehmung sicher auch traditionelle Datenbearbeitungen statt, wie das Erfassen einer Kundenadresse zwecks Vertragsabwicklung etc. Obschon diese Vorgänge für Ihre Vertragspartei erkennbar sind (weshalb nicht extra darüber informiert werden müsste), schadet es natürlich nicht, auch sie in Ihre Datenschutzrichtlinie aufzunehmen.