Seit dem Inkrafttreten des neuen Schweizer Datenschutzgesetzes am 1. September 2023 sind die gesetzlichen Rahmenbedingungen klar. In vielen Bereichen ist aber noch offen, wie eine konkrete Umsetzung auszusehen hat. In einem publizierten Schlussbericht des EDÖB können nun erste Hinweise erkannt werden, in welche Richtung Umsetzungen in der Zukunft für Webseiten resp. Webshops gefordert werden.
Am 17. April 2024 hat der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) den Schlussbericht in der Untersuchung gegen Digitec Galaxus publiziert.
Da die Untersuchung gegen Digitec Galaxus bereits im 2021 eröffnet wurde, ist der Sachverhalt unter dem alten Bundesgesetz über den Datenschutz (Datenschutzgesetz, DSG) zu beurteilen, das bis Ende 2023 in Kraft war. D.h. dass die Meinung des EDÖB und die daraus abgeleiteten Empfehlungen grundsätzlich nicht unter dem neuen Datenschutzgesetz erfolgte. Einige Hinweise resp. Tendenzen der aktuellen Meinung des EDÖB dürften sich daraus aber ablesen lassen. Es sind die folgenden:
Der EDÖB geht von einer strengen Handhabung aus, was als Personendatum zu gelten hat, insbesondere im Zusammenhang mit dem online-Marketing.
Eine Datenschutzerklärung hat eindeutig darüber zu informieren, welche Daten für welche Zwecke bearbeitet und an welche Datenempfänger weitergegeben werden. Es dürfte demnach nicht genügen, dass aus einer Auflistung der bearbeiteten Daten, den Zwecken sowie den Datenempfänger:innen nicht klar hervorgeht, welche Daten für welche Zwecke bearbeitet und gegebenenfalls wem bekanntgegeben werden.
Der EDÖB empfiehlt, dass eine Datenschutzerklärung nur Datenbearbeitungen beschreibt, die auch tatsächlich erfolgen. Einer Information für eine Datenbearbeitung «auf Vorrat» (sog. «kann-Formulierung») soll ein Riegel geschoben werden.
Wenn eine Datenbearbeitung grundsätzlich zu einer Persönlichkeitsverletzung führt und diese durch einen Rechtfertigungsgrund nicht widerrechtlich ist, soll transparent darüber informiert werden inkl. der Nennung der konkreten Rechtfertigungsgründe.
Die Datenschutzerklärung hat je nach Rechtfertigungsgrund der Datenbearbeitung die korrekte Lösch- bzw. Widerspruchsmöglichkeit zu beschreiben.
Die Pflicht, in jedem Fall ein Kundenkonto für den elektronischen Warenkauf erstellen zu müssen, kann in gewissen Situationen gegen das Verhältnismässigkeitsprinzips verstossen. D.h. in gewissen Situationen ist die Möglichkeit, Waren als Gast kaufen zu können, zu prüfen.
Es ist nicht in allen Punkten ersichtlich, auf welche gesetzlichen Grundlagen sich die Empfehlungen des EDÖB im konkreten Fall stützen. Wie eingangs erwähnt, sind die Aussagen nicht als allgemeine Empfehlungen, erst recht nicht unter dem aktuellen Datenschutzgesetz zu verstehen. Die Stossrichtung des EDÖB bei aktuellen Umsetzungen zu beachten, dürfte hingegen nicht falsch sein.
Bei unseren aktuellen Beratungen beachtet wir aktuelle Entwicklungen und klären unsere Kund:innen im Zusammenhang mit ihren individuellen Gegebenheiten auf.
HABEN SIE FRAGEN ZU IHRER DATENSCHUTZERKLÄRUNG?
______
Foto auf von Markus Winkler auf Unsplash.
Comments