Hinweise zur Erstellung einer Datenbearbeitungserklärung für Internetdienste

Datenbearbeitungserklärungen sollen die Benutzer einer Website über die vom Dienstleistungsanbieter praktizierten Verfahren zum Schutz der Privatsphäre informieren. Dies ist ein wesentlicher Schritt auf dem Weg zur Vertrauensgewinnung der Benutzer. Voraussetzung ist, dass die Erklärung die erforderliche Genauigkeit aufweist. Nur so wird der Benutzer in der Lage versetzt, frei zu entscheiden, ob und wie er seine persönliche Daten bearbeiten lassen möchte.

Mit der raschen Expansion des elektronischen Geschäftsverkehrs wird der Schutz personenbezogener Daten für den Benutzer von Online-Dienstleistungen zu einem immer wichtigeren Anliegen. Aus Internet-Umfragen geht hervor, dass viele Benutzer noch zögern, Geschäfte elektronisch abzuwickeln, weil die Vertraulichkeit ihrer Personendaten noch nicht gewährleistet ist. Damit der elektronische Geschäftsverkehr sein volles Potenzial entfalten beziehungsweise das Vertrauen der Benutzer gewonnen werden kann, müssen bereits heute Massnahmen zum Schutz der Privatsphäre ergriffen werden.

Wir empfehlen den schweizerischen Unternehmen, die im Internet Dienstleistungen anbieten, eine transparente Datenbearbeitungspolitik zu betreiben, indem sie solche Erklärungen entwickeln und diese auf ihrer Website einblenden.

Bevor mit der Ausarbeitung einer Datenbearbeitungserklärung begonnen wird, sind der Datenbedarf des Unternehmens zu untersuchen, die gegenwärtigen Datenschutzpraktiken zu analysieren und klare Richtlinien im Umgang mit Personendaten zu erstellen. Aufgrund dieser Angaben kann die Datenbearbeitungserklärung verfasst werden. Die Datenbearbeitungserklärung muss jedoch mit dem Datenschutzgesetz und den tatsächlich vorgenommenen Datenbearbeitungen übereinstimmen.

Wir empfehlen, mit der Verfassung der Datenbearbeitungserklärung erst zu beginnen, nachdem mindestens folgende Fragen beantwortet sind:

  • Wie und woher (interne externe Quellen) werden Personendaten beschafft?
  • Zu welchen Zwecken werden Personendaten gesammelt?
  • Zu welchen Zwecken werden Personendaten verwendet?
  • Wer ist für die Kontrolle der gesammelten Personendaten verantwortlich?
  • Wie und wo werden Personendaten gespeichert?
  • Zu welchem Zweck werden Personendaten mit Dritten ausgetauscht?
  • Existieren bereits Richtlinien oder Vorschriften für das Sammeln, das Bearbeiten und die Weitergabe dieser Daten?
  • Besteht bereits die Möglichkeit der Einsicht und der Berichtigung der Daten?

Die Erklärung sollte den Benutzer mindestens über folgende Punkte informieren:

  • Welchen Rechtsbestimmungen untersteht die Datenbearbeitungspraxis des Anbieters?
  • Welche Personendaten werden gesammelt und zu welchen Zwecken?
  • Welche Daten werden an Dritte weitergegeben und für welche Zwecke?
  • Welche Wahlmöglichkeiten zur Bearbeitung seiner Daten stehen dem Benutzer zu?
  • Welche Rechte (insb. Auskunfts- und Berichtigungsrecht) hat der Benutzer?
  • Welche Stelle beantwortet Fragen über die Bearbeitung von Personendaten?
  • Welche Sicherheitsmassnahmen werden zum Schutz von Personendaten angewendet?

Schliesslich ist die Erklärung auf der Website so zu plazieren, dass sie für den Benutzer leicht zugänglich ist.

[Juli 2000]

Weiterführende Informationen

https://www.edoeb.admin.ch/content/edoeb/de/home/dokumentation/taetigkeitsberichte/aeltere-berichte/7--taetigkeitsbericht-1999-2000/hinweise-zur-erstellung-einer-datenbearbeitungserklaerung-fuer-i.html