Datenschutz in der Schweiz: Diese fünf populären Irrtümer solltest du vermeiden!

Ein Gastbeitrag von Rechtsanwalt Martin Steiger, Datenschutzpartner AG / Steiger Legal AG.

Bist du als Agentur oder Webmaster:in tätig? Dann hast du dich bestimmt mit dem neuen Datenschutzrecht in der Schweiz befasst. Bist du dabei allenfalls über das Ziel hinaus geschossen?

Seit dem 1. September 2023 sind das neue Datenschutzgesetz (DSG) und seine Verordnungen in Kraft. Viele Verantwortliche geben sich Mühe, das neue Datenschutzrecht umzusetzen – immerhin drohen persönliche Bussen bis zu 250’000 Franken.

Allerdings ist nicht alles, was an Umsetzung zu sehen ist, erforderlich oder richtig. Nervst du die schweizerischen Besucher:innen deiner Website neuerdings mit einem Cookie-Banner?

Irrtümer rund um das neue Datenschutzrecht in der Schweiz sind weit verbreitet. In diesem Beitrag beschreibe ich fünf besonders populäre Irrtümer.

Datenschutzrechtliche Irrtümer, häufig aufgrund «hilfreicher» Empfehlungen oder kopiert von anderen Websites, sind aus zwei Gründen problematisch:

1. Irrtümer führen zu unnötigem Aufwand. Du wendest Zeit und Geld für Massnahmen auf, die nicht erforderlich oder gar falsch sind.
2. Irrtümer erhöhen dein rechtliches Risiko. Du gibst dir Mühe, aber im rechtlichen Ergebnis stehst du schlechter da als vorher.

Irrtum 1: Das neue Datenschutzrecht gilt nur für Daten von Schweizer Bürger:innen

Ich lese immer wieder, das neue Datenschutzrecht gelte nur für schweizerische Staatsbürger:innen. Das ist falsch, wie ein kurzer Blick in das neue Datenschutzgesetz (DSG) zeigt.

Art. 1 DSG über den Zweck lautet wie folgt:

Art. 2 Abs. 1 DSG über den Geltungsbereich lautet wie folgt:

Eine «natürliche Person» ist ein Mensch, unabhängig von der Staatsbürgerschaft. Das DSG gilt unabhängig von der Staatsbürgerschaft der betroffenen Personen, über die Personendaten bearbeitet werden. Das DSG gilt beispielsweise auch für eine deutsche Staatsbürgerin, die in der Schweiz die Ferien verbringt oder in die Schweiz ausgewandert ist.

Hingegen gilt das DSG im Gegensatz zum früheren DSG nicht mehr für juristische Personen, über die Daten bearbeitet werden. Du kennst juristische Personen vor allem in Form von Unternehmen und Vereinen. Die cyon GmbH beispielsweise ist eine juristische Person, nämlich eine Gesellschaft mit beschränkter Haftung (GmbH).

Einen vergleichbar populären Irrtum gibt es im Zusammenhang mit der Geltung der europäischen Datenschutz-Grundverordnung (DSGVO) in der Schweiz. Die DSGVO gilt grundsätzlich nicht, wie einige fälschlicherweise glauben, für Staatsbürger:innen aus dem Europäischen Wirtschaftsraum (EWR), die sich in der Schweiz aufhalten. Es gilt das DSG, zum Beispiel beim Check-in in einem Hotel in der Schweiz.

Kenner:innen verweisen allenfalls auf die Ausnahme gemäss Art. 139 Abs. 1 u. 3 IPRG. Diese Ausnahme ist aber kaum anzutreffen in der Praxis.

Die DSGVO sollte dennoch nicht vernachlässigt werden. So ist die DSGVO beim erwähnten Check-in im Hotel nicht anwendbar, aber mit seiner Website unterliegt das Hotel teilweise der DSGVO, wenn es sich an Gäste aus dem EWR richtet. In diesem Fall ist eine DSGVO-kompatible Datenschutzerklärung erforderlich und es sollte eine EU-Datenschutz-Vertretung gemäss Art. 27 DSGVO benannt werden.

Die DSGVO gilt übrigens genauso für alle Menschen in ihrem Anwendungsbereich unabhängig von der Staatsbürgerschaft. Wenn du beispielsweise deine Ferien in Italien verbringst, gilt die DSGVO, auch wenn du nicht über einen italienischen Pass verfügst.

Irrtum 2: Für die Bearbeitung von Personendaten ist eine Einwilligung erforderlich

Seit das neue Datenschutzgesetz (DSG) in der Schweiz in Kraft ist, werde ich auffällig oft gebeten, in die Bearbeitung meiner Personendaten einzuwilligen. Beim Arzt kann es passieren, dass nur behandelt wird, wer eine Einwilligungserklärung unterzeichnet!

Die Einwilligung als Rechtsgrundlage für die Bearbeitung von Personendaten ist dem Datenschutzrecht in der Schweiz fremd. Das schweizerische Datenschutzrecht folgt dem bewährten Grundsatz «Was nicht verboten ist, ist erlaubt».

Wenn du die datenschutzrechtlichen Spielregeln einhältst, musst du die Personen, über die Daten bearbeitet werden, nicht nach ihrer Einwilligung fragen, nicht einmal für Daten über die Gesundheit und andere besonders schützenswerte Personendaten!

Das schweizerische Datenschutzrecht geht sogar noch weiter: Du kannst die Daten über eine Person sogar entgegen ihrem ausdrücklichen Willen bearbeiten, wenn ein überwiegendes privates Interesse vorliegt. Beispiele dafür sind die Prüfung der Kreditwürdigkeit oder die Vertragsabwicklung. Art. 31 DSG spricht von Rechtfertigungsgründen für widerrechtliche Persönlichkeitsverletzungen.

Die datenschutzrechtlichen Spielregeln besagen unter anderem, dass bearbeitete Personendaten richtig sein müssen, dass du Personendaten nur solange wie erforderlich speichern darfst, und dass Personendaten nur für einen erkennbaren Zweck beschafft und verwendet werden dürfen (Art. 6 Abs. 3, 4 u. 5 DSG). Du musst ausserdem gewährleisten, dass die betroffenen Personen angemessen informiert werden, was meist mit der Veröffentlichung einer Datenschutzerklärung geschieht (Art. 19 f. DSG). Schliesslich musst du passend reagieren, wenn eine betroffene Person Auskunft erhalten oder Widerspruch erheben möchte (Art. 25 ff. DSG).

Wer mag, darf betroffene Personen, über die Daten bearbeitet werden sollen, um ihre Einwilligung ersuchen. Aber wieso solltest du den Aufwand und das Risiko für unnötige Einwilligungen auf dich nehmen?

Einwilligungen sind aufwendig, denn du musst die betroffenen Personen um ihre Einwilligung ersuchen. Dafür musst du die betroffenen Personen informieren und erteilte Einwilligungen dokumentieren. Ferner musst du dir überlegen, was geschehen soll, wenn eine Person keine Einwilligung erteilen möchte.

Die Einwilligung der betroffenen Personen brauchst du im Wesentlichen, wenn du die datenschutzrechtlichen Spielregeln ausnahmsweise nicht einhältst. Das ist möglich, wenn die betroffenen Personen einwilligen.

Unter diesen Umständen gibt es kaum einen Fall, in dem es sich für dich lohnt, betroffene Personen nach ihrer Einwilligung zu fragen. So vermeidest du auch das Risiko, dass eine erteilte Einwilligung mangelhaft und deshalb nicht rechtswirksam ist.

Dieser populäre Irrtum geht auf die europäische Datenschutz-Grundverordnung (DSGVO) zurück. Die Europäische Union ist mitten im «Information Age» so realitätsfremd, die Bearbeitung von Personendaten grundsätzlich zu verbieten und nur ausnahmsweise zu erlauben (Grundsatz «Verboten ist, was nicht ausdrücklich erlaubt ist»). Erlaubt ist die Datenbearbeitung, wenn mindestens ein Rechtfertigungsgrund gemäss Art. 6 Abs. 1 DSGVO erfüllt ist. Ein möglicher Rechtfertigungsgrund ist die Einwilligung der betroffenen Personen.

In Bezug auf die DSGVO besteht in dieser Hinsicht der häufige Irrtum, dass die Einwilligung der einzige Rechtfertigungsgrund ist. Das ist falsch, denn weitere Rechtfertigungsgründe gemäss Art. 6 Abs. 1 DSGVO sind unter anderem die Vertragserfüllung, die Erfüllung rechtlicher Verpflichtungen und überwiegende berechtigte Interessen.

Gleichzeitig wird vielfach unterschätzt, wie hoch die Anforderungen an eine rechtswirksame Einwilligung gemäss DSGVO sind. Gemäss Art. 7 DSGVO muss eine Einwilligung ausdrücklich, freiwillig und informiert erteilt werden. Als Faustregel ist davon auszugehen, dass die meisten Einwilligungen im Anwendungsbereich der DSGVO nicht rechtswirksam sind, weil sie an den hohen Anforderungen scheitern.

Irrtum 3: Mit dem neuen Datenschutzrecht ist ein:e Datenschutzbeauftragte:r obligatorisch

In der Datenschutzerklärung und im Impressum von schweizerischen Verantwortlichen fällt mir vermehrt auf, dass ein:e Datenschutzbeauftragte:r aufgeführt wird.

Mit der oder dem «Datenschutzbeauftragten» ist aus schweizerischer Sicht ein:e Datenschutzberater:in gemäss Art. 10 DSG gemeint. Der Begriff «Datenschutzbeauftragte:r» stammt aus dem deutschen und europäischen Recht. Die europäische Datenschutz-Grundverordnung (DSGVO) regelt die Pflicht zur Benennung einer oder eines Datenschutzbeauftragten in Art. 37 ff. DSGVO.

Für private Verantwortliche kennt das DSG keine Pflicht, eine:n Datenschutzbeauftragte:n zu benennen. Die Benennung ist immer freiwillig (Art. 10 DSG).

Wenn ein:e Datenschutzberater:in benannt wird, muss diese Person unter anderem fachkompetent sein. Weiter muss ein:e Datenschutzberater:in die Funktion gegenüber dem Verantwortlichen fachlich unabhängig und weisungsungebunden ausüben. Letzteres schliesst aus, dass in einem Unternehmen ein Geschäftsleitungsmitglied oder in einem Verein ein Vorstandsmitglied gleichzeitig als Datenschutzberater:in tätig sein kann.

Der populäre Irrtum ist häufig ein doppelter Irrtum: Man benennt eine:n Datenschutzberater:in, ohne es zu müssen, und die benannte Person darf die Funktion gar nicht ausüben.

Mit der Bezeichnung als «Datenschutzbeauftragte:r» könnte man sogar von einem dreifachen Irrtum sprechen. Allerdings hat sich die deutsch-europäische Bezeichnung in der Schweiz etabliert, weshalb man «Datenschutzberater:in» und «Datenschutzbeauftragte:r» synonym verwenden kann.

Wenn man eine:n Datenschutzberater:in bzw. eine:n Datenschutzbeauftragte:n ernennen möchte oder ernennen muss, sollte die Position nach Möglichkeit intern besetzt werden. So kann man wertvolles Know-how aufbauen. Die Tätigkeit ist in Teilzeit oder in Kombination mit geeigneten anderen Tätigkeiten möglich. Bei Bedarf für eine zweite Meinung oder für Spezialfragen kann immer noch eine externe Fachperson beigezogen werden.

Irrtum 4: Die Datenschutzerklärung gilt nur mit einer ausdrücklichen Bestätigung

Musstest du auch schon bestätigen, die Datenschutzerklärung auf einer Website gelesen und verstanden zu haben sowie damit einverstanden zu sein?

Was im E-Commerce, zum Beispiel bei einem Onlineshop, für die Allgemeinen Geschäftsbedingungen (AGB) sinnvoll ist, stellt bei Datenschutzerklärungen einen Kunstfehler dar.

Die Datenschutzerklärung dient gemäss schweizerischem Datenschutzrecht der Erkennbarkeit der Bearbeitung von Personendaten. Mit dem neuen Datenschutzgesetz (DSG) dient die Datenschutzerklärung darüber hinaus der Umsetzung der Informationspflicht (Art. 19 f. DSG).

Betroffene Personen sollen bei Bedarf die Möglichkeit haben, sich über die Bearbeitung ihrer Personendaten und über ihre Rechte zu informieren. Die Datenschutzerklärung ist ein einseitiges Informationsangebot. Betroffene Personen können diese Möglichkeit nutzen, müssen aber nicht.

Eine Datenschutzerklärung ist deshalb kein Vertrag, der bestätigt werden muss. Das wäre zwar möglich, ist aber unerwünscht. Mit einer Datenschutzerklärung, die vertraglichen Charakter hat, begibt man sich ohne Not in die Untiefen des Vertragsrechts. So kann ein Vertrag, anders als eine Datenschutzerklärung, grundsätzlich nur mit der Einwilligung aller Vertragsparteien angepasst werden und nicht beliebig aktualisiert und ergänzt werden. Weiter gibt es inhaltliche Grenzen, gerade bei Allgemeinen Geschäftsbedingungen (AGB) und mit Blick auf den Schutz von Konsument:innen.

Aus diesem Grund sollte eine Datenschutzerklärung niemals als «Datenschutzbestimmungen» oder «Datenschutzrichtlinie» bezeichnet werden. Letzteres ist eine gefährliche Übersetzung der englischsprachigen «Privacy Policy».

«Datenschutzerklärung» ist auf Deutsch eine etablierte Bezeichnung. Einige Datenschutz-Fachpersonen empfehlen sogar, die Bezeichnungen «Datenschutzhinweise» oder «Datenschutzinformation[en]» zu verwenden, um möglichst kein Risiko einzugehen.

In einer Datenschutzerklärung haben übrigens auch Disclaimer nichts verloren. Mit einer Datenschutzerklärung kann keine Haftung ausgeschlossen werden, weder im Allgemeinen noch für Weblinks. Genauso können mit einer Datenschutzerklärung keine Bedingungen für die Nutzung von Inhalten aufgestellt werden.

Die Formulierungen, die man in diesem Zusammenhang häufig auch im Impressum sieht, sind mindestens wirkungslos. Es fehlt an der erforderlichen Zustimmung der jeweils anderen Partei. Allein mit dem Besuch einer Website stimmen die Besucher:innen nicht irgendwo auf der Website veröffentlichten Disclaimern zu.

Die verwendeten Formulierungen sind in den meisten Fällen bereits inhaltlich absurd. So soll gemäss einer gängigen Formulierung für die «Vervielfältigung sämtlicher Dateien» beim Besuch einer Website «vorab die schriftliche Zustimmung der Urheberrechtsinhaber eingeholt werden» müssen. Anders gesagt: Wer die Website besuchen möchte, soll vorher per Briefpost um die Zustimmung zum Website-Besuch ersuchen müssen!

Am gleichen Ort steht vielfach die Behauptung, die Urheberrechte und sonstigen Rechte an Inhalten gehörten «ausschliesslich dem Betreiber dieser Website oder den namentlich genannten Rechteinhabern». Beides ist fast immer falsch, sofern überhaupt allfällige andere Rechteinhaber genannt werden. Gleichzeitig kann eine solche Formulierung dazu führen, dass man sich bei einer eigenen Verletzung von Urheberrechten selbst schadet, denn man behauptet dreist Rechte, über die man gar nicht verfügt.

Inhaltlich absurd ist auch der Versuch, die Haftung für Weblinks vollständig auszuschliessen. Wer einen Weblink setzt, trägt in diesem Moment selbstverständlich die Verantwortung. Wer beispielsweise verbotene Inhalte verlinkt, kann sich nicht mit einem Disclaimer einer allfälligen Bestrafung entziehen.

Leider gibt es einige Anbieter von kostenlosen Generatoren von Datenschutzerklärungen, die solche Formulierungen verwenden. Sie setzen damit ihre unwissenden Nutzer:innen einem unnötigen Risiko aus. Allerdings könnten solche Mängel auch Laien auffallen, wenn sie die kostenlos generierten Datenschutzerklärungen vor der Veröffentlichung lesen würden. Am Schluss müssen die einzelnen Website-Betreiber:innen die Folgen solcher Mängel tragen.

Irrtum 5: Websites benötigen immer ein Cookie-Banner

Mit dem neuen Datenschutzgesetz (DSG) verbreitete sich in der Schweiz der Irrtum, Websites müssten ihre Besucher:innen mit einem Cookie-Banner belästigen.

Was gemäss europäischem Recht und für Website-Besucher:innen aus Europa als Faustregel richtig ist, gilt nicht für die Schweiz. Websites müssen Besucher:innen aus der Schweiz grundsätzlich nicht mit einem Cookie-Banner belästigen.

Die schweizerische «Cookie-Richtlinie» findet sich seit Jahren in Art. 45c FMG, das heisst im Fernmeldegesetz (FMG). Wenn Cookies gesetzt werden, genügen die Information über die Cookies und eine «Opt-out»-Möglichkeit. Die Information kann als Teil der Datenschutzerklärung erfolgen und als «Opt-out»-Möglichkeit genügt ein Verweis auf die Browser-Einstellungen.

Für die «Opt-out»-Möglichkeit kann eine Consent-Management-Lösung verwendet werden, aber erforderlich ist dieser Aufwand nicht.

Mit dem neuen DSG wurde der Grundsatz «Datenschutz durch datenschutzfreundliche Voreinstellungen» (Art. 7 Abs. 3 DSG) eingeführt. Wenn Einstellungen angeboten werden, dann müssen die Voreinstellungen «auf das für den Verwendungszweck nötige Mindestmass beschränkt» sein, «soweit die betroffene Person nicht etwas anderes bestimmt».

Im richtigen Umkehrschluss gilt: Keine angebotenen Einstellungen, keine Voreinstellungen, kein Cookie-Banner oder sonstiges Consent-Management.

Welche Website-Betreiber:innen belästigen ihre Besucher:innen unter diesen Umständen mit einem Cookie-Banner?

Mit Blick auf die meist obligatorischen Cookie-Banner gemäss europäischem Recht sind folgende Lösungen sinnvoll:

1. Keine Cookie-Banner für Website-Besucher:innen aus der Schweiz (gemäss den verwendeten IP-Adressen), Cookie-Banner für Besucher:innen aus Europa und dem Rest der Welt
2. Gar keine Cookie-Banner: Keine für die Schweiz, weil gesetzlich nicht erforderlich, und keine für Europa und den Rest der Welt, weil man bei solchen Website-Besucher:innen auf einschlägige Cookies verzichtet

Einige Website-Betreiber:innen möchten Website-Besucher:innen nicht nach ihrer Herkunft unterscheiden oder verwenden aus anderen Gründen freiwillig ein Cookie-Banner. In diesem Fall sollte das Cookie-Banner rechtskonform umgesetzt werden, nämlich mit der gleichwertigen Möglichkeit zur Einwilligung und Ablehnung. Gängige «Dark Patterns», beispielsweise nur mit den Buttons «Akzeptieren» und «Zwecke anzeigen», sind nach europäischem Standard klar rechtswidrig.

Auf die Aufzählung von einzelnen Cookies und entsprechende Auswahlmöglichkeiten, wie sie einige Datenschutz-Aufsichtsbehörden fordern, kann man meines Erachtens verzichten. Diese Auswahlmöglichkeiten freuen die Anbieter von kostenpflichtigen Consent-Management-Lösungen, interessieren die Website-Besucher:innen aber normalerweise nicht. Bing Ads ja, Google Ads nein, wer trifft eine solche Auswahl, statt die Cookies als Ganzes abzulehnen?

Einige Website-Betreiber:innen möchten ausserdem ein Cookie-Banner einsetzen, weil das der gängigen Erwartung entspricht. Es ist leider häufig einfacher, ein offensichtlich untaugliches Cookie-Banner zu verwenden, als auf ein nicht erforderliches Cookie-Banner zu verzichten. In diesem Fall kann man sich auf ein Pop-up-Fenster mit Informationen beschränken, das heisst, man versucht nicht, eine Einwilligung einzuholen, sondern informiert bloss. Das Fenster kann mit einem «OK»- oder «Schliessen»-Button geschlossen werden.

Beispiel: «Wir verwenden Cookies und vergleichbare Technologien auf unserer Website. Weitere Informationen finden sich in unserer Datenschutzerklärung.»

Das Beispiel funktioniert selbstverständlich nur, wenn die Datenschutzerklärung entsprechende Informationen enthält.

Bei einem Cookie-Banner, aber auch bei anderen Texten, empfehle ich, auf unglaubwürdige Formulierungen wie «Ihre Privatsphäre ist uns wichtig» oder «um die Website für Sie optimal zu gestalten und fortlaufend zu verbessern» zu verzichten.

Wem die Privatsphäre von Website-Besucher:innen tatsächlich wichtig ist, handelt entsprechend und belästigt niemanden mit einem Cookie-Banner. Wer eine Website tatsächlich zu Gunsten der Website-Besucher:innen optimiert, kann ebenfalls entsprechend handeln, statt solche Verbesserungen bloss zu behaupten. Auf Websites, die datenschutz- und nutzerfreundlich sind, findet man weder Cookie-Banner noch solche Formulierungen.

Hinweis: Der vorliegende Beitrag kann nur allgemeine Hinweise als Einstieg in die Thematik geben. Für Abklärungen im Einzelfall, bei Unklarheiten und im Zweifelsfall empfiehlt sich die gezielte Beratung durch eine erfahrene und qualifizierte Fachperson wie beispielsweise eine:n Rechtsanwält:in.

*) Beim Link handelt es sich um einen Partnerlink. Schliesst du einen Kauf bei Datenschutzpartner ab, erhält cyon eine kleine Provision, ohne dass dir zusätzliche Kosten entstehen. Im Gegenteil: Durch die Nutzung des Gutscheincodes profitierst du sogar von 10 % Rabatt im ersten Jahr.

Titelbild: Lianhao Qu/Unsplash, eigene Bearbeitung