Was gehört in eine Datenschutzerklärung?

Je näher der 25. Mai 2018 und damit die Anwendung der EU-Datenschutz-Grundverordnung (DSGVO) rückt, desto emsiger beginnen auch Schweizer Unternehmen ihre Datenschutzerklärungen entsprechend anzupassen. Es stellt sich die Frage, was eigentlich in eine Datenschutzerklärung gehört und wie diese aufgebaut werden sollte. Dabei ist es auch für ein Schweizer Unternehmen durchaus sinnvoll, die Datenschutzerklärung entsprechend den neuen EU-Vorschriften zu verfassen (s. dazu „Neuer EU-Datenschutz – Gefahr für Schweizer KMU?“).

Der Inhalt einer Datenschutzerklärung ergibt sich im Wesentlichen aus den Informationspflichten des Datenschutzverantwortlichen, also des Unternehmens, gemäss Art. 12 ff. DSGVO. Dabei muss konkret bezogen auf die jeweilige Datenerfassung bzw. Datenverarbeitung informiert werden. Wichtig ist, dass eine Datenschutzerklärung klar und verständlich formuliert wird, andernfalls sie möglicherweise gar keine rechtliche Wirkung hat.

Vorab muss ein Unternehmen darüber informieren, dass es für die Datenverfassung und die Datenverarbeitung verantwortlich ist. Dabei muss es seine Kontaktdaten sowie die Kontaktdaten seines allfälligen Datenschutzbeauftragten (unternehmensintern oder -extern) publizieren.

In der Folge muss den betroffenen Personen mitgeteilt werden, welche personenbezogenen Daten erfasst werden und zu welchem Zweck. Zu dieser Information gehört auch, auf welcher rechtlichen Grundlage die Datenerfassung und die folgende Datenverarbeitung erfolgt. Rechtliche Grundlage können im Wesentlichen die Einwilligung der betroffenen Person, die Notwendigkeit für die Abwicklung einer Rechtsbeziehung (z.B. Kaufvertrag), ein Gesetz oder berechtigte Interessen des Unternehmens oder eines Dritten sein, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen.

Fällt die rechtliche Grundlage für die Datenverarbeitung weg, müssen die entsprechenden personenbezogenen Daten ohne Verzug mit entsprechenden adäquaten technischen Mitteln dauerhaft gelöscht werden. Auch darüber ist in der Datenschutzerklärung zu informieren.

Sofern personenbezogene Daten nicht vom nämlichen Unternehmen selbst verarbeitet, sondern dafür an Dritte übermittelt werden, muss über diese Empfänger oder Kategorien von Empfängern informiert werden.

Werden personenbezogene Daten ins Ausland transferiert, ist dies insbesondere in der Datenschutzerklärung zu deklarieren und es ist darüber zu informieren, wie diesbezüglich das hohe Datenschutzniveau der Schweiz bzw. der EU auch im Ausland gewährleistet ist.

Ebenfalls müssen die betroffenen Personen über ihre Rechte in Bezug auf die Erfassung und Verarbeitung ihrer personenbezogenen Daten informiert werden. Dazu gehören gemäss DSGVO insbesondere folgende Rechte:
– Recht auf Auskunft
– Recht auf Berichtigung
– Recht auf Löschung
– Recht auf Einschränkung der Verarbeitung
– Recht auf Widerspruch gegen die Verarbeitung
– Recht auf Datenübertragbarkeit
– Recht auf Beschwerden bei den Aufsichtsbehörden
– Recht auf Widerruf der Einwilligung

Schlussendlich müssen die betroffenen Personen darüber informiert werden, ob die Überlassung bzw. Erfassung ihrer personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten zur Verfügung zu stellen und welche mögliche Folge die nicht Zurverfügungstellung hätte (z.B. eingeschränkte Nutzung einer Website, wenn Cookies verweigert werden).

Bei diesen Ausführungen handelt es sich um eine Erläuterung zur Datenschutzerklärung basierend auf der EU-DSGVO. Es handelt sich um keine Empfehlung und darum wird auch jeden Haftung abgelehnt. Es wird empfohlen, für die Redaktion einer Datenschutzerklärung eine Fachperson, z.B. einen im Datenschutz spezialiserten Rechtsanwalt beizuziehen.

Ueli Grüter, LL.M., Rechtsanwalt, Hochschuldozent, www.gsplaw.ch www.hslu.ch

WhatsApp-Mindestalter 16 gilt auch für Schweiz

Aufgrund der Anwendung der EU-Datenschutz-Grundverordnung (DSGVO; s. Neuer EU-Datenschutz – Gefahr für Schweizer KMU?) ab dem 25. Mai 2018 hat WhatsApp seine Nutzungs- und Datenschutzrichtline insbesondere dahingehend angepasst, dass die WhatsApp-Dienstleistungen grundsätzlich nur noch Personen mit dem Mindestalter 16 zugänglich sind. Immerhin lässt es WhatsApp zu, dass Erziehungsberechtigte der Nutzung der WhatsApp-Dienste zustimmen können, wenn das Kind bzw. der Jugendliche jünger als 16 Jahre ist. Damit bleibt wohl de facto alles beim Alten. Zudem gehört für WhatsApp auch die Schweiz zur „Europäischen Region“ (s. faq.whatsapp.com/general/26000121). Damit gilt das generelle Mindestalter von 16 Jahren auch für die Schweiz, auch wenn das schweizerische Datenschutzgesetz der EU-Datenschutz-Grundverordnung noch nicht angepasst wurde (s. vorne oder hier). Dass die Schweiz für WhatsApp ebenfalls zur „Europäischen Region“ gehört, hat noch einen anderen Vorteil für die Schweizer User. Damit werden die Dienste von WhatsApp auch für die Schweiz von der WhatsApp Ireland Limited und nicht von der WhatsApp Inc. in den USA zur Verfügung gestellt. WhatsApp trennt offenbar wohlweislich Daten von Usern in Europa, von Daten von Usern in den USA und anderen Ländern, da die Daten von Usern in der EU nun unter dem strengen Datenschutz-Regime stehen, das Bussen von bis zu 4 % des Gruppenumsatzes eines Unternehmens, wie WhatsApp, vorsieht, wenn Datenschutz-Vorschriften verletzt werden (s. vorne oder hier)!

Wenn du in einem Land in der Europäischen Region lebst, musst du mindestens 16 Jahre alt sein, um unsere Dienste zu nutzen oder das in deinem Land für die Registrierung bzw. Nutzung unserer Dienste erforderliche Alter haben. Wenn du in einem Land lebst, das nicht in der Europäischen Region liegt, musst du mindestens 13 Jahre alt sein, um unsere Dienste zu nutzen oder das in deinem Land für die Registrierung bzw. Nutzung unserer Dienste erforderliche Alter haben. Zusätzlich zu der Anforderung, dass du nach geltendem Recht das zur Nutzung unserer Dienste erforderliche Mindestalter haben musst, gilt Folgendes: Wenn du nicht alt genug bist, um in deinem Land berechtigt zu sein, unseren Bedingungen zuzustimmen, muss dein Erziehungsberechtigter in deinem Namen unseren Bedingungen zustimmen.

Ueli Grüter, LL.M., Rechtsanwalt, Hochschuldozent, www.gsplaw.ch www.hslu.ch

Kann digitaler Anbieter Briefpost verbieten?

In der analogen Welt war der Fall klar. Einen Vertrag kündigt man am sichersten per eingeschriebenem Brief. Nun gehen aber immer mehr digitale Anbieter dazu über, von ihren Kunden ausschliesslich eine Kündigung auf digitalem Weg zu verlangen.

So hat der zweitgrösste Telekomanbieter der Schweiz, Sunrise, darüber informiert, dass er inskünftig keine Abo-Kündigungen per Brief und auch nicht mehr per E-Mail akzeptiert. Bei Sunrise kann rechtsgültig nur noch per Chat oder Anruf im Call-Center gekündigt werden. Sunrise begründet die Änderung insbesondere mit der Vermeidung von Missverständnissen im Kündigungsprozess. Immer mehr Kunden hätten Bündelangebote aus Telefonie, Internet oder Fernsehen abonniert. Darum gebe es oft Unklarheiten in schriftlichen Kündigungen, und es brauche immer mehr Rückfragen, die am Telefon oder Chat im direkten Kundenkontakt geklärt werden könnten.

Aus juristischer Sicht stellt sich die Frage, ob ein digitaler Anbieter seinen Kunden vorschreiben kann, über welchen (digitalen) Kommunikationskanal er kündigen muss und ob dann eine Kündigung auf dem Postweg effektiv ungültig ist.

Bei digitalen Dauerangeboten, wie z.B. eben Telekom-Abos, handelt es sich in der Regel um Aufträge und im Gesetz nicht ausdrücklich genannte Verträge (sogenannte Innominatsverträge), wie z.B. die Lizenz. Für diese Verträge gilt einerseits die Vertragsfreiheit nach Art. 19 Obligationenrecht (OR) und andererseits sieht das Gesetz für die Kündigung solcher Verträge keine besonderen Vorschriften vor.

Damit ist es den digitalen Anbietern grundsätzlich erlaubt, z.B. im Rahmen ihrer Allgemeinen Geschäftsbedingungen (AGB; s. „Verträge in digitalen Projekten“) zu bestimmen, dass Kündigungen ausschliesslich über einen bestimmten Kommunikationskanal, z.B. über ein Online-Formular erfolgen müssen. Unter diesem Gesichtspunkt wären dann auch effektiv Kündigungen auf einem anderen Kanal, z.B. per Post nicht rechtsgültig.

Es fragt sich jedoch, ob eine solche Klausel nach dem Grundsatz von Treu und Glauben gemäss Art. 2 Zivilgesetzbuch (ZGB) haltbar ist. Man stelle sich vor, dass eine Kunde ein Telekom-Abo zweifelsfrei per Einschreibebrief kündigt, der Anbieter den Willen des Kunden klar erkennt, aber dann auf dem digitalen Kanal beharrt. Eine solche Haltung ist wider jede Vernunft und damit auch treuwidrig nach Art. 2 ZGB.

Zudem könnte eine solche Bestimmung in AGB auch ungewöhnlich im Sinne der Ungewöhnlichkeitsregel bei AGB (s. s. „Verträge in digitalen Projekten“) und damit wiederum nach dem Grundsatz von Treu und Glauben ungültig sein, da ein Kunde eine solche Klausel in AGB nicht erwarten musste.

Schlussendlich muss bei der Kündigung über einen digitalen Kanal auch der Beweis für den Kunden gewährleistet sein. Bei Kündigungen gilt in der Regel das Zugangsprinzip. D.h. der Kunde muss vom entsprechenden System, wie bei einem eingeschriebenen Brief, einen Zeitstempel für den Moment des Zugangs erhalten; analog der Bestellungs-Bestätigung im E-Commerce gemäss Art. 3 Abs.1 lit. s Ziff. 4 Lauterkeitsgesetz (UWG; s. dazu auch „Wettbewerbsrecht in der digitalen Welt“).

Auch wenn damit nicht unmittelbar gerechnet werden muss, werden früher oder später Gerichte darüber zu entscheiden haben, ob die Vorschrift eines digitalen Anbieters, einen bestimmten, ausschliesslich digitalen Kanal zur Kündigung zu benutzen, rechtens ist. Sollte ein Gericht dies bejahen, wird das Gericht oder der Gesetzgeber auch die Bedingungen bestimmen müssen, eben z.B. insbesondere die Pflicht, dem Kunden eine unmittelbare Bestätigung des Eingangs der Kündigung mit Zeitstempel zukommen zulasse.

Ueli Grüter, LL.M., Rechtsanwalt, Hochschuldozent, www.gsplaw.ch www.hslu.ch