Die Datenschutzerklärung (kurz DSE, auch genannt Datenschutzinformation, kurz DSI, oder Datenschutzhinweis) bezweckt die Information des Websitebesuchers über eine Reihe von Informationen im Zusammenhang mit seinen Personendaten und die Aufklärung über seine Rechte. Es handelt sich hierbei um eine gesetzliche Pflicht gemäss Art. 19 ff. DSG. Daten die sich auf Menschen beziehen, werden als Personendaten oder als personenbezogene Daten bezeichnet.

In der Schweiz gilt seit 1993 das Datenschutzgesetz (DSG) und die dazugehörige Datenschutzverordnung (DSV). Beide Erlasse wurden per 1. September 2023 überholt und weitgehend an die in der Europäischen Union seit 2018 geltende Datenschutz-Grundverordnung (DSGVO) angepasst.

Der Websitebesucher wird im schweizerischen Rechtsjargon als «betroffene Person» bezeichnet. Der Websitebetreiber wird als «Verantwortlicher» und allfällige Beauftragte, wie zum Beispiel lemonbrain als Webentwickler und Supportleistender, wird als «Auftragsbearbeiter» bezeichnet. Die Bezeichnungen im Anwendungsbereich der europäischen Datenschutz-Grundverordnung (DSGVO) weichen von der Schweizerischen Terminologie leicht ab.

Datenschutz ist Persönlichkeitsschutz und Ausfluss aus dem verfassungsrechtlichen Grundsatz des Recht auf persönliche Freiheit und Schutzes der Privatsphäre gemäss Art. 10 und 13 unserer Bundesverfassung. Das heisst, dass sich die Datenschutzerklärung nur auf Informationen beziehen muss, die mit einer natürlichen Person in Verbindung gebracht werden können, wobei ein direkter Namensbezug nicht nötig ist (Früher fielen auch noch Daten von juristischen Personen unter das DSG). Dazu gehören auch Informationen wie die IP-Adresse, via Cookie oder sonstigen Mitteln ausgewertetes Nutzerverhalten etc. Nicht dazugehören z.B. Informationen über technische Konfigurationen.

lemonbrain schreibt keine Datenschutzerklärungen für Kunden. Warum? Weil wir keine Rechtsdienstleistungen erbringen. Wir sind und bleiben Künstler und Techniker. Wir bieten dir unsere Unterstützung aber gerne im technischen Bereich an, in dem wir euch Auskunft geben, was für Datenbearbeitungen auf eurer Website geschehen und in dem wir dir technische Mittel programmieren und einrichten, die auf die Erfüllung deiner Pflichten hinwirken. Ob deine Website den gesetzlichen Anforderungen entspricht, bleibt letztlich aber in deiner alleinigen Verantwortung.

Datenschutzerklärungen sollte in aller Regel von fachkundigen Personen geschrieben werden – Beratungsunternehmen, Anwälte und auch Fachverbände können Auskunft erteilen. Wenn das Budget dafür nicht ausreicht, gibt es auch Online-Generatoren für Datenschutzerklärungen, die man mit einer Google-Suche sehr schnell findet.

Hier gibt es verschiedene Ansätze, die wir beobachten. Die Informationspflichten aus dem DSG gelten umfassend und nicht nur für den Internetbereich. Insbesondere gelten sie auch für Arbeitnehmerdaten, Bewerber, Lieferanten, Kunden etc. Ob alle Datenbearbeitungen in der Öffentlichkeit deklariert werden sollen, bezweifeln wir. Wir empfehlen daher als Ausgangslage folgende Datenbearbeitungen zu deklarieren: Alle Bearbeitungstätigkeiten im Zusammenhang mit Besuchern einer öffentlichen Website, Bewerbungseingänge via Post und elektronischem Verkehr und generische Anfragen via elektronischen Verkehr. Die Beurteilung, was im Einzelfall alles deklariert werden muss, sollte von einer Fachperson im Datenschutz vorgenommen werden. lemonbrain unterstützt ausschliesslich mit Auskünften über technische Belange.

Öffentlich zugängliche Websites können von überall auf der Welt abgerufen werden. Auslandbezug besteht also praktisch immer. Es stellt sich deshalb die Frage, welche Rechtsordnungen vom Websitebetreiber beachtet werden müssen. Das ist eine wichtige Frage, denn privatrechtliche Forderungen können auch grenzüberschreitend geltend gemacht werden. Beschränkter ist die Durchsetzung von öffentlich-rechtlichen Erlassen in einem anderen Land. Relevant an dieser Stelle ist vor allem die DSGVO, denn diese hat einen sogn. «extra-territorialen Anwendungsbereich». Das heisst, dass die DSGVO aus der Betrachtung der EU (und FL) unter Umständen auch in der Schweiz gilt. Konkret wäre das z.B. bei der Überwachung und Auswertung von Websitebenutzerverhalten und bei kommerziellen Angeboten in ein EU-Land (auch FL) der Fall. Stand heute stellt die Schweiz allerdings keine Durchsetzungsmechanismen für die DSGVO zur Verfügung, weswegen sich die Risikoanalyse aus unternehmerischer Sicht zuweilen etwas einfacher machen lässt – das kann sich aber ändern! Es bleibt zu beachten, dass es bei einer Präsenz (z.B. Filiale in Deutschland) des Websitebetreibers in einem EU-Land die DSGVO zu beachten gilt und deren Pflichten entsprechend auch von den Mitgliedstaaten durchgesetzt werden. Bewusst muss man sich auch des massiven Bussenrahmens und der vielen Verurteilungen und Bussen (https://www.enforcementtracker.com/) sein.

Wir programmieren unsere Websites auf Basis des ConcreteCMS-Open-Source-Software selbständig. Das hat den Vorteil, dass wir den Code kennen, was das Vorhanden sein von bösartigem Code ausschliesst. Diese Vorgehensweise erlaubt es uns zudem äusserst Cookie-arme Websites zu programmieren, was uns in Datenschutzüberprüfungen und White-Hacking-Bounty-Programmen bereits sehr stark zu Gute gekommen ist. Der Umstand, dass wir den Code selbständig produzieren bedeutet, dass wir nicht auf vorprogrammierte Software angewiesen sind (Kundenbedürfnisse vorbehalten). Auch damit reduzieren wir die Angreifbarkeit unserer Websites drastisch.

Das Hosting unserer Websites geschieht auf Servern von Schweizer Anbietern auf ausschliesslich in der Schweiz gelegenen Datacentern. Die Kommunikationswege zu unseren Anbietern sind kurz und persönlich, weswegen wir einen ausgezeichneten Service zur Verfügung stellen können.

Unseren Kunden stehen wir zudem für technische Auskünfte im Zusammenhang mit der Website zur Verfügung, wenn es z.B. darum geht die Datenschutzerklärung vorzubereiten.

Nein. Die Datenschutzerklärung hat nichts mit einer Einwilligung zu tun. Es handelt sich dabei um eine einseitige Deklaration des Websitebetreibers. Eine Einwilligung suggeriert fälschlicherweise, dass der Websitebenutzer diesbezüglich einen Handlungsspielraum hat. Was aber wichtig ist, ist dass der Websitebesucher mindestens beim Erstaufruf der Website auf die Datenschutzerklärung aufmerksam gemacht wird.  Eine strengere Variante wäre, dass der Websitebesucher die Website erst betreten kann, wenn er bestätigt hat, dass er die Datenschutzerklärung zur Kenntnis genommen hat. Die Website kann bis dann ausgegraut dargestellt werden. Wie weit das nötig ist, ist aber strittig. Sollte das von einem Kunden gewünschten werden, wird lemonbrain dies gerne umsetzen.