Das Impressum: Pflicht?

Die Impressumspflicht ist – im Gegensatz zur Datensschutzerklärung – abhängig davon, ob es sich um eine Internetseite mit Kaufangeboten, also um bspw. einen Online-Shop, handelt. Dabei kommt Art. 3 Abs. 1 lit. s Ziff. 1 UWG zur Anwendung: Wer «Waren, Werke oder Leistungen im elektronischen Geschäftsverkehr anbietet», muss «klare und vollständige Angaben über seine Identität und seine Kontaktadresse einschliesslich derjenigen der elektronischen Post machen». Ebenso besteht eine Impressumspflicht beim Newsletter-Versand (Art. 3 Abs. 1 lit. o UWG) und für Medien (Art. 322 Abs. 1 StGB).

Ein Impressum gilt als vollständig, wenn Name und Adresse inklusive E-Mailadresse des Seitenverantwortlichen genannt werden. Diese Angaben müssen aktuell sein, Briefpost muss zwingend zustellbar sein. Bei juristischen Personen braucht es des Weiteren die Angabe der Firma, wie sie im Handelsregister benannt ist, optional mit der Unternehmens-Identifikation-snummer (UID) oder auch der MWST-Nummer (Mehrwertsteuer).

Das Impressum soll es dem Seitenbesucher erleichtern, mit dem Seitenbetreiber in Kontakt zu treten. Aus diesem Grunde ist die Angabe einer Telefonnummer zu empfehlen, eventuell auch ein Kontaktformular.

Handelt es sich um kein E-Commerce-Angebot, ist ein Impressum trotzdem empfehlenswert. Art. 19 DSGneu nennt die Informationspflicht, die immer zum Tragen kommt bei der Beschaffung von Personendaten. Diese kann im Impressum und / oder in der DSE umgesetzt werden. 

Untersteht die Internetseite der DSGVO sind Informationen zum Handels-registereintrag (falls vorhanden), zur Rechtsform, zu einer allfälligen Daten-schutzaufsichtsbehörde sowie zur MWST, zwingend zu machen.

Genau wie die DSE oder ggf. die Allgemeinen Geschäftsbedingungen (AGB; keine Pflicht zur Veröffentlichung online, aber u. U. empfohlen, falls überhaupt vorhanden) ist das Impressum so zu verlinken, dass es von jeder Seite aus zugänglich ist, z. B. in der Fusszeile.

Die Datenschutzerklärung: Was muss Sie enthalten?

Die Erhebung von Personendaten löst eine Informationspflicht gegenüber der betroffenen Person aus und wird in Art. 13 ff. DSGVO mit einem Mindestinhalt geregelt. Diese Informationspflicht kann mittels DSE gewährleistet werden. Im DSGneu wird diese Informationspflicht neu eingeführt, der Mindestinhalt im Vergleich zur DSGVO ist jedoch kürzer. In einem Punkt geht das DSGneu allerdings weiter als die DSGVO: Es müssen alle Länder aufgelistet werden, in welche Daten exportiert werden (Art. 19 Abs. 4 DSGneu).

In 99% aller Fälle braucht es also eine DSE. Und selbst bei dem einen Prozent, wo wirklich keine Daten erhoben werden, wäre es ratsam, den Seitenbesucher darüber zu informieren, dass eben keine Daten erhoben werden. Die Anforderungen an eine rechtsgültige DSE sind gemäss DSGneu und DSGVO wie gesagt unterschiedlich hoch.

Beiden gemeinsam ist jedoch der Grundsatz der Transparenz: Für den Seitenbesucher muss der Zweck der Bearbeitung erkennbar sein und welche Personendaten erhoben werden, wie, wofür und von wem die Daten bearbeitet werden und allenfalls wohin die Personendaten übermittelt werden. Dabei gilt es besonders alle Drittanbieter zu nennen wie unter Kapitel Social Media und andere Plugins beschrieben. Gemäss DSGneu muss zusätzlich die Rechtsgrundlage für Exporte in unsichere Länder erwähnt werden.

Die Mindestanforderungen an die DSE gemäss Art. 14 DSGVO:

  • „Kontaktdaten eines allfälligen betrieblichen oder externen Datenschutz-beauftragten;
  • Kontaktdaten eines allfälligen EU-Datenschutzvertreters;
  • Zwecke, für die Personendaten bearbeitet werden;
  • Dauer, für welche die Personendaten gespeichert werden, oder zumindest die Kriterien für die Festlegung der Dauer;
  • Rechtsgrundlagen für die Datenbearbeitung, zum Beispiel die überwiegenden berechtigten Interessen des Website-Betreibers gemäss Art. 6 Abs. 1 lit. f DSGVO;
  • Empfänger der beschafften Personendaten;
  • beabsichtigte Übermittlung von Personendaten in ein Drittland und inwiefern dort ein angemessener Datenschutz gewährleistet ist;
  • Information über eine allfällige automatisierte Entscheidungsfindung einschliesslich Profiling;
  • Aufklärung, inwiefern die Bereitstellung von Personendaten zwingend erforderlich ist, zum Beispiel aus rechtlichen Gründen oder für die Erfüllung von bestimmten Verträgen;
  • Recht auf Auskunft, Recht auf Berichtigung oder Löschung sowie Recht auf Datenübertragbarkeit;
  • Recht auf Einschränkung der Datenbearbeitung sowie Recht auf Widerspruch gegen die Datenbearbeitung;
  • Recht auf Widerruf nach erfolgter Einwilligung;
  • Recht auf Beschwerde bei einer Datenschutzaufsichtsbehörde.“

Die DSE kann z. B. in der Fusszeile platziert werden, das entspricht der gängigen Praxis. Auf alle Fälle sollte die DSE von jeder Seite verlinkt sein, auch ev. sinnvoll im Cookie-Banner. Ein gängiger Fehler ist, dass auf die DSE eingewilligt werden muss (z. B. bei einem Bestellvorgang), denn es handelt sich hierbei um eine reine Informationsgebung, die nicht einwilligungsbedürftig ist, im Gegensatz zu einem Vertrag oder den AGBs.

Beim Verfassen der DSE muss darauf geachtet werden, dass sie einfach und gut verständlich ist oder konkret dem Wortlaut der DSGVO folgend: «in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache» (Art. 12 Abs. 1 DSGVO). Seitenlange DSEs werden seltener gelesen. Es gilt sich auf die wesentlichen Informationen zu beschränken, diese aber unbedingt allesamt korrekt aufzuführen.

Es darf vermutet werden, dass aufgrund ungenügender DSEs zukünftig gemäss DSGneu Sanktionierungen erfolgen werden, deshalb gilt es unbedingt auf eine rechtsgültige DSE zu achten. Auf Basis der DSGVO wurde 2019 das empfindlich hohe Bussgeld gegen Google (EUR 50 Mio.) wegen undurch-sichtiger Datenschutzbestimmungen und fehlender rechtlicher Grundlage für personalisierte Werbung gesprochen.

Fragen zur Revision des Schweizer Datenschutzgesetzes?

Nutzen Sie die Chance und vereinbaren Sie einen Termin