Die meisten Unternehmen verfügen über eine Website. Sobald dort Nutzerdaten erfasst werden, braucht es zwingend eine Datenschutzerklärung.

Wenn man online etwas kauft, eine Offerte einholt, ein Abonnement abschliesst, sich für einen Newsletter registriert oder an einem Wettbewerb teilnimmt, gibt man dabei immer eine bestimmte Menge an persönlichen Daten preis: Name, Adresse, Telefon, Mailadresse, vielleicht Angaben zu Beruf, Geburtsdatum, Hobby oder zur familiären Situation. Solche Personendaten müssen ab 1. September 2023 besser vor Missbrauch geschützt werden.

Weitergabe an Dritte als Knackpunkt
Gefordert sind alle Firmen mit einer Website, auf der die Besucher und Nutzer Personendaten hinterlassen. Die Unternehmen müssen nicht nur die spezifischen Vorkehrungen für den bestmöglichen Schutz dieser Daten treffen (siehe vorangehenden Bericht), sondern unterliegen neu einer Informationspflicht. Ideal ist, wenn man die Website so einrichtet, dass der Hinweis auf die Datenschutzerklärung beim erstmaligen Aufrufen einer Website direkt erscheint und aktiv angenommen oder abgelehnt werden muss. Diese Datenschutzerklärung muss die Besucher und Nutzer der Website darüber ins Bild setzen, wie der Schutz von Personendaten gewährleistet wird. Also wie das Unternehmen diese erfasst, speichert, aufbewahrt, verwendet, allenfalls ändert oder an Dritte weitergibt. Gerade eine Weitergabe an Dritte erfolgt übrigens viel schneller, als man meint. Denn wer eine Website betreibt, nutzt fast immer die Dienste von Dritten, sei es für das Hosting oder indem man vorgefertigte externe Lösungen für den E-Mail-Versand, das Kontaktformular oder den Kundennewsletter nutzt.

Transparenz gefordert
Die wichtigen Elemente, die in eine Datenschutzerklärung gehören, sind vorgegeben. Sie beschreiben einerseits, was mit den Daten geschieht und welche Sicherungsmechanismen im Umgang damit bestehen. Sie machen aber auch transparent, wer für die Website verantwortlich ist und wen man als Nutzer bei Bedarf kontaktieren kann. Letzteres ist insofern wichtig, weil Nutzer ein Anrecht darauf haben, Auskunft über den Umgang mit ihren Daten oder auch die Löschung zu verlangen. Im Umgang mit solchen Auskunftsbegehren ist rasches und sorgfältiges Handeln nötig. Auch für diesen Fall rüstet man sich idealerweise schon vorab.