Datenschutz nimmt im digitalen Raum eine zentrale Rolle ein. Rechtsanwalt Martin Steiger, seines Zeichens Mitbegründer des Unternehmens Datenschutzpartner, ist Experte auf dem Gebiet des Datenschutzes und hat mit uns über den laufenden Prozess des Datenschutzes, die Notwendigkeit von Datenschutzerklärungen und KI-Regelungen in der Schweiz gesprochen – und uns in diesem Rahmen den Datenschutz-Generator von Datenschutzpartner vorgestellt.
Über Martin Steiger
Martin Steiger ist als Rechtsanwalt und Unternehmer tätig. Mit der Anwaltskanzlei in Zürich und mit dem Unternehmen Datenschutzpartner, das er gemeinsam mit Andreas Von Gunten gegründet hat, ist er vor allem im Recht im digitalen Raum tätig. Ferner setzt er sich stark für die Digitale Gesellschaft ein – einem gemeinnützigen und breit abgestützten Verein für Bürger- und Konsumentenschutz im digitalen Zeitalter.
Was hat Sie dazu bewegt, sich intensiv mit dem Thema Datenschutz auseinanderzusetzen?
Ich habe mich schon immer für IT und Recht interessiert, und wenn man an dieser Schnittstelle tätig ist und ein wirtschaftliches Interesse hegt, landet man sehr schnell beim Thema Datenschutz. Auch wenn ich mir ursprünglich nicht vorstellen konnte, dass dieses Thema jemals so gross werden würde.
Datenschutz war früher ein Orchideenfach. Heute ist Datenschutz überall mit dabei – ob man will oder nicht.
Das Unternehmen Datenschutzpartner bietet einen Datenschutz-Generator an. Was war der Anlass für die Entwicklung dieses Generators?
Mit dem neuen Datenschutzrecht, zuerst mit der Europäischen Datenschutz-Grundverordnung (DSGVO), ist das Bedürfnis nach Transparenz erheblich gewachsen. Mit der DSGVO und später mit dem neuen Datenschutzgesetz (DSG) in der Schweiz sollen sich betroffene Personen, über die Daten bearbeitet werden, bei Bedarf informieren können. Sie sollen erfahren, welche Daten von wem, wofür, wie und wo bearbeitet werden. Sie sollen ferner erfahren, was ihre Rechte sind, zum Beispiel das Recht auf Auskunft. Das Standardmittel dafür ist eine allgemeine Datenschutzerklärung, die auf der Website veröffentlicht wird.
Ich stellte schon vor Jahren fest, dass sehr viele ungenügende Datenschutzerklärungen veröffentlicht werden – Datenschutzerklärungen, die untauglich sind, inhaltlich und rechtlich. Ich musste auch feststellen, dass es vor allem in Deutschland verschiedene Anbieter gibt, die solche Datenschutzerklärungen mit ihren Datenschutz-Generatoren erstellen.
Diese Datenschutzerklärungen wurden und werden auch von Verantwortlichen in der Schweiz verwendet, passen aber häufig nicht. Das hat mich geschmerzt. Das war vor Jahren der Anlass, den Datenschutz-Generator, also einen Generator für Datenschutzerklärungen, ins Leben zu rufen.
Ihr Datenschutz-Generator ist also spezifisch für die Schweiz ausgelegt?
Der Datenschutz-Generator richtet sich an Unternehmen, Organisationen und andere Verantwortliche in der Schweiz, ja. Wer in der Schweiz Daten bearbeitet, unterliegt immer zu 100 % dem Schweizer Recht. Darin liegt der Fokus beim Datenschutz-Generator.
Ergänzend ist der Datenschutz-Generator auch auf das europäische Datenschutzrecht ausgerichtet, denn wir in der Schweiz sind eng mit Europa vernetzt – gerade auch digital. Viele Verantwortliche in der Schweiz müssen die Europäische Datenschutz-Grundverordnung (DSGVO) einhalten. Es kann entsprechend beides abgedeckt werden, aber spezifisch aus schweizerischer Sicht. Das ist auch das Hauptbedürfnis von Verantwortlichen in der Schweiz, die eine Datenschutzerklärung benötigen.
Bei der Nutzung Ihres Datenschutz-Generators ist man also ohne Wenn und Aber rechtlich abgesichert?
Unsere bisherige Erfahrung zeigt, dass dem so ist. Man kann das allerdings nicht versprechen. Schliesslich kennen wir den Einzelfall nicht. Den Einzelfall kennen nur die jeweiligen Verantwortlichen. Aber unsere bisherige, langjährige Erfahrung zeigt, dass der Datenschutz-Generator in der Praxis rechtssicher ist.
Einzelne Datenschutzerklärungen, die mit dem Generator erstellt worden sind, sind auch schon von Aufsichtsbehörden geprüft worden – und haben das gut überstanden.
Sollte sich jedoch ein Problem bei Kundinnen oder Kunden ergeben, würden wir den Datenschutz-Generator natürlich anpassen. Auch unabhängig davon wird dieser aktualisiert, angepasst und ergänzt – sei dies aufgrund der veränderten Rechtslage oder neuen Bedürfnissen von Kundinnen und Kunden.
Welche Daten muss ein Unternehmen bereitstellen, damit der Datenschutz-Generator eine rechtssichere Datenschutzerklärung erstellen kann?
Ein Unternehmen – und auch andere Verantwortliche – können sich grundsätzlich am Gesetz orientieren: Artikel 19 des schweizerischen Datenschutzgesetzes (DSG) bezieht sich auf die Informationspflicht bei der Beschaffung von Personendaten. Es liegt ein gesetzlicher Katalog vor, der vorgibt, was in einer Datenschutzerklärung stehen muss.
In einer Datenschutzerklärung muss unter anderem aufgeführt sein, wer welche Daten über welche Personen für welche Zwecke bearbeitet, allenfalls weitergibt oder auch in andere Länder exportiert. Das sind die wichtigsten Pflichtangaben.
Es geht darum, Transparenz zu schaffen und die betroffenen Personen, etwa solche, die eine bestimmte Website besuchen, darüber zu informieren, welche Rechte sie haben. Sie sollen beispielsweise in Erfahrung bringen können, an wen sie sich wenden müssen, um Auskunft zu erhalten, und was mit ihren eigenen Daten geschieht.
Die Fragen dieser Personen können auch auf Informationen abzielen, die nicht aus der Datenschutzerklärung hervorgehen. Dafür gibt es das Recht auf Auskunft. Im Idealfall sollte man einer Datenschutzerklärung entnehmen können, wer als Ansprechperson für solche Fragen verantwortlich ist, und an welche Kontaktadressen man sich wenden kann.
Wenn wir über die Grenzen der Schweiz hinausblicken, kommt das europäische Datenschutzrecht ins Spiel. In diesem Fall braucht man in der Schweiz fast immer eine EU-Datenschutz-Vertretung. Diese muss ebenfalls in der Datenschutzerklärung erwähnt werden. Auch das bietet Datenschutzpartner an. Das war sogar eines unserer allerersten Angebote: Die Benennung der EU-Datenschutz-Vertretung mit wenigen Klicks.
Wo sehen Sie die grössten Risiken für Website-Betreiber, wenn sie unvollständige Datenschutzerklärungen verwenden?
Es gibt erstaunlicherweise immer noch Websites, die über gar keine Datenschutzerklärung verfügen. Das ist das ultimative Risiko. Und wenn man über eine Datenschutzerklärung verfügt, dann ist diese häufig aufgrund eines bestimmten Anlasses erstellt worden. In der Schweiz existieren beispielsweise ganz viele Datenschutzerklärungen, in denen “Stand: 1. September 2023” steht. Das ist darauf zurückzuführen, dass das neue Datenschutzgesetz dann in Kraft getreten ist.
Man hat sich aufgrund dieses Anlasses darum gekümmert, hat das mehr oder weniger gut gemacht, aber nun sind mehr als zwei Jahre verstrichen – und so eine Datenschutzerklärung altert nicht immer in Würde. Gängige Probleme sind, dass eine Datenschutzerklärung nicht aktualisiert wird, sie von Anfang an nicht vollständig war oder dass sie schlicht nicht gut genug abbildet, was man tatsächlich macht.
Eine Datenschutzerklärung sollte die Realität abbilden – keine Fiktion, oder etwas, das von einer anderen ungeprüften Website kopiert wurde. Wer die Informationspflicht nicht erfüllt, kann dafür bestraft werden. In diesem Fall droht eine Busse von bis zu CHF 250’000.–. Das wäre allerdings die höchstmögliche Busse, also nicht gerade etwas Alltägliches, aber es droht potenziell ein Strafverfahren.
Wenn betroffene Personen sich nicht ausreichend informieren können, besteht ein weiteres Risiko: Reputation und Vertrauen können gefährdet sein. Allenfalls erreichen auch mehr Auskunftsbegehren, die eigentlich gar nicht nötig wären, Verantwortliche mit einer ungenügenden Datenschutzerklärung.
Stichwort Aktualisierungen: Es liegt auf der Hand, dass Anpassungen an einer Datenschutzerklärung vorgenommen werden sollten, sobald sich etwas verändert. In welchen Abständen sollten Datenschutzerklärungen unter die Lupe genommen werden, um diese zu aktualisieren?
Eine aktuelle Datenschutzerklärung ist Teil der gesamten Datenschutz-Compliance, und Datenschutz ist ein Prozess. Man kann sich leider nicht nur einmal um den Datenschutz kümmern und damit hat es sich, sondern man muss den Datenschutz fortlaufend gewährleisten. Zum Datenschutz gehört beispielsweise auch die Datensicherheit und auch diesbezüglich ist klar: Man muss immer im Blick behalten, was sich aktuell tut, und ob neue Massnahmen ergriffen werden müssen. Das gilt auch für die Datenschutzerklärung.
Wir empfehlen, dass man sich für das Thema Datenschutz alle sechs Monate, vielleicht einmal im Jahr Zeit nimmt, allenfalls einen halben Tag, einen ganzen Tag oder vielleicht sogar nur eine Stunde im Kalender reserviert – ganz abhängig davon, wie viel Aufwand anfällt – und sich dann überlegt, ob mit Blick auf den Datenschutz etwas angepasst werden muss. Das kann darin resultieren, die Datenschutzerklärung zu aktualisieren oder zu ergänzen.
Aktuell ist natürlich auch das KI-Thema sehr gross. Das kann in der Datenschutzerklärung abgebildet werden. Auch Daten, die in andere Länder exportiert werden, etwa in die USA, sind ein grosses und zum Teil umstrittenes Thema. Im Rahmen dieses gesamten Prozesses sollte eine Datenschutzerklärung auf jeden Fall genügend oft überprüft werden.
Sie haben KI erwähnt – ein Thema, das auch uns brennend interessiert und zu dem wir uns laufend weiterbilden. Welche Entwicklungen gibt es, die man mit Blick auf das Datenschutzrecht im Auge behalten sollte?
Bezüglich der KI gibt es verschiedene relevante Themen. Das Datenschutzrecht betrifft die Bearbeitung von Personendaten, also nicht alle Daten, sondern nur Daten mit einem Personenbezug. Personendaten begegnen wir allerdings fast immer und überall. Daher treten dort seit jeher die gleichen Themen auf.
Was KI betrifft, ist Outsourcing ein wichtiges Thema. KI-Dienste sind meist Chatbots oder APIs (Schnittstellen) bei Anbietern im Ausland, häufig in den USA, teilweise in China oder überhaupt in anderen Ländern als der Schweiz. Das kann rechtlich anspruchsvoll sein, gerade auch im geschäftlichen Kontext. Man hat auf der einen Seite das Datenschutzrecht, möchte natürlich aber auch Geschäftsgeheimnisse schützen, muss vertragliche Verpflichtungen einhalten sowie das Amts- oder ein Berufsgeheimnis wahren. In solchen Fällen muss besonders genau hingeschaut werden, denn wenn Daten auf Abwege geraten, können die Folgen gravierend ausfallen.
Ein weiteres Stichwort ist das KI-Training: Mit welchen Daten können KI-Modelle trainiert werden, vielleicht auch für das Fine-Tuning eigener Modelle genutzt werden? Auch in diesem Fall muss besonders genau hingeschaut werden.
Und schliesslich ist es natürlich so, dass KI zur Entscheidungsfindung eingesetzt werden kann. Im HR ist das bereits weitverbreitet. In diesem Bereich haben wir in der Schweiz interessanterweise bereits eine der wenigen vorhandenen KI-Regelungen. Das betrifft letztlich auch wieder die Datenschutzerklärung, nämlich die Informationspflicht bei der sogenannten automatisierten Einzelentscheidung.
Informationspflicht bei der automatisierten Einzelentscheidung
Wenn ein System – heute typischerweise KI-basiert – Entscheidungen vollständig automatisiert durchführt, dann müssen die betroffenen Personen entsprechend informiert werden. Sie haben in diesem Fall das Recht, ihren Standpunkt darzustellen und die Überprüfung durch einen Menschen zu verlangen.
Bietet Ihr Datenschutz-Generator eine automatische Benachrichtigung, die einen darauf hinweist, dass eine Aktualisierung der Datenschutzerklärung fällig ist?
Wir halten nichts davon, bei unseren Kunden und Kundinnen unnötige Hektik zu verursachen. Deshalb werden keine solchen Alarme ausgelöst. Stattdessen empfehlen wir, im Prozess der normalen Datenschutz-Compliance, eben beispielsweise alle sechs Monate oder einmal im Jahr, den Generator durchzuspielen.
In diesem Fall kann man den Datenschutz-Generator im Sinn einer Check-Liste betrachten: Was macht man alles? Macht man vielleicht etwas Neues? Danach ist man wieder auf dem neuesten Stand.
Das ist sehr hilfreich und hat sich auch sehr gut bewährt. Im Normalfall ist es nicht nötig, eine Datenschutzerklärung extrem zeitnah anzupassen. Es ist wichtiger, sich regelmässig um die Datenschutz-Compliance zu kümmern – und in diesem Rahmen um die Datenschutzerklärung.
Wir haben einen Newsletter, den wir verschicken, nicht nur für Kundinnen und Kunden, sondern für alle Interessierten. Ferner haben wir auch den Podcast «Datenschutz-Plaudereien». Darin thematisieren wir auch Neuigkeiten, was ein Anlass sein kann, ausserhalb des ohnehin schon vorhandenen Prozesses eine Datenschutzerklärung zu überprüfen, zu aktualisieren und zu ergänzen.
Stichwort Checkliste: Ist das auch etwas, das Sie auf Ihrer Website aufgeführt haben?
Der Datenschutz-Generator an sich ist mit seinem Fragebogen eine Art Checkliste. Man findet in den Erklärungen zum Fragebogen viele Hinweise, Tipps und Tricks. Ausserdem haben wir seit einiger Zeit ein Weiterbildungsangebot, die Datenschutz-Academy, wo wir für Mitglieder mindestens 20 Mal im Jahr Online-Veranstaltungen durchführen. 10 dieser Veranstaltungen umfassen Neuigkeiten über Aktuelles im Datenschutzrecht und verwandten Themen.
Das sind Live-Veranstaltungen, die man sich aber auch als Aufzeichnung anschauen kann. Dazu bieten wir umfangreiche Unterlagen an, die abgerufen werden können. Unterdessen ist das ein Korpus von über 100 Veranstaltungen mit Aufzeichnungen, Know-how und entsprechenden Unterlagen. Das hat sich sehr gut bewährt.
Haben Sie einen abschliessenden Tipp dazu, wie Unternehmen langfristig datenschutzkonform bleiben können – gerade auch im Hinblick auf neue Tools, KI oder Trackingtechnologien?
Ganz entscheidend ist, dass Unternehmen und andere Verantwortliche überhaupt wissen, welche Daten sie bearbeiten, welche Personen diese Daten betreffen und worin der Zweck der Bearbeitung der Daten liegt. Sie müssen wissen, wo die Daten abgelegt sind und wohin sie übermittelt werden. Man könnte von einem Dateninventar sprechen. Nur mit dem Wissen darüber, welche Daten wo liegen und was mit ihnen geschieht, kann man den Datenschutz, sprich den Schutz dieser Daten und damit auch den Schutz der betroffenen Personen gewährleisten.
Im sogenannten Verzeichnis der Bearbeitungstätigkeiten stehen genau diese Dinge drin. Ein Verzeichnis der Bearbeitungstätigkeiten ist für die meisten Unternehmen in der Schweiz allerdings nicht obligatorisch, da sie die dafür festgelegte Unternehmensgrösse nicht erreichen und ihre Datenbearbeitung zu wenig riskant ist. Darum spreche ich auch von einem Dateninventar. Das ist das A und O.
Im Dateninventar wird alles aufgeführt: neue Tools, KI, die Nutzung von Tracking, das Verschicken eines neuen Newsletters. In der Form, in der man ein solches Dateninventar erstellt, ist man frei. Das Standardformat ist eine Tabelle. Man kann aber auch ein Mindmap nutzen, eine Bulletpoint-Liste erstellen oder sich eine Notion-Seite einrichten. Die Hauptsache ist, dass man über ein Dateninventar verfügt – gerade auch, wenn man externe Beratung in Anspruch nehmen möchte.
Für mich als Rechtsanwalt ist es sehr angenehm, wenn jemand zu mir kommt und weiss, welche Daten bearbeitet werden. Wenn Mandantinnen und Mandanten dokumentiert haben, welche Daten sie konkret wie bearbeiten, ist die Beratung wesentlich effizienter.
Auch, wenn einer betroffenen Person Auskunft erteilt werden muss oder wenn es zu einer Datenpanne kommt und Daten abhandenkommen, ist ein Dateninventar essenziell.
Datenschutzerklärung für Ihre Website mit dem Datenschutz-Generator
Ob Unternehmen, Organisation oder Einzelperson: Zur Erfüllung der Informationspflicht benötigen alle Verantwortlichen eine aktuelle und vollständige Datenschutzerklärung für Ihre Website. Ihnen fehlt eine solche? Mit dem Datenschutz-Generator können Sie unkompliziert Datenschutzerklärungen erstellen und pflegen.
Mehr erfahren zum Datenschutz-Generator
Jetzt Kontakt aufnehmen und gemeinsam durchstarten!
Content Marketing Manager
