Im neuen DSG gilt der Grundsatz der Transparenz. Die betroffene Person soll demnach darüber informiert werden, wie der jeweilige Verantwortliche ihre Personendaten beschafft und bearbeitet. Für betroffene Personen müssen insbesondere die Zwecke der Bearbeitung von Personendaten erkennbar sein.

Bisher mussten Verantwortliche die betroffene Person nur informieren, wenn sie besonders schützenswerten Personendaten und Persönlichkeitsprofilen beschafften und bearbeiteten. Das revidierte Datenschutzgesetz baut die Informationspflichten aus und fordert bei jeder Beschaffung von Personendaten die Bereitstellung von Informationen. Somit ist die Pflicht zur Erstellung einer Datenschutzerklärung eine neue Anforderung, die fast jeden Betreiber einer Website betrifft.

Um eine faire und transparente Verarbeitung zu gewährleisten, muss nicht nur über die eigene Bearbeitung der Daten (z.B. Kontaktformular und Newsletter) informiert werden, sondern auch über die Bearbeitung von Daten, die durch Dritte veranlasst wird, d.h. die Bearbeitung von in die Website eingebundenen Diensten (z.B. Social-Sharing, Social-Sign-in, Website-Nutzungsanalysen oder Retargeting). Details zur Bearbeitung in datenschutzkritischen Staaten (z.B. den USA) dürfen dabei ebenso wenig fehlen.

Sofern Sie auch Waren und/oder Dienstleistungen in der EU/EWR anbieten, empfiehlt es sich, die Datenschutzerklärung zusätzlich nach den Anforderungen der EU-Datenschutz-Grundverordnung (DSGVO) zu gestalten. Somit wird man beiden Gesetzen gerecht. 

Jegliche Datenbeschaffung obliegt nach Art. 19 DSG der Informationsplicht. Die Transparenzpflicht besagt, dass der Websitebesucher immer nachvollziehen können muss, welche Daten weshalb und wozu genutzt werden und wohin diese Daten übermittelt werden.

Demnach besteht für alle Websites, die nicht ausschliesslich für den privaten Bereich genutzt werden, mit Einführung des neuen DSG die Pflicht zur Datenschutzerklärung.

Die betroffenen Personen müssen „angemessen“ informiert werden. Dies bedeutet, dass die Informationen in präziser, verständlicher und leicht zugänglicher Form sowie in klarer und einfacher Sprache zu erteilen sind. Ein einfaches Abschreiben des Gesetzes ist also nicht möglich.

Damit die Datenschutzerklärung leicht auffindbar ist, sollte diese von der Startseite aus und auch von jeder Unterseite mit höchstens zwei Klicks unter einem Link beispielsweise namens „Datenschutzerklärung“ oder „Datenschutzhinweise“ abrufbar sein.

Da es sich bei einer Datenschutzerklärung, wie ja auch aus dem Begriff deutlich wird, um eine Erklärung handelt, müssen Betreiber einer Website sich die Datenschutzerklärung nicht bestätigen lassen. Oftmals sieht man Checkboxen, mit denen man sich die „Einwilligung“ in eine Datenschutzerklärung bestätigen lässt. Ein typischer Fehler.

Achtung: Die Datenschutzerklärung ist nicht mit Allgemeinen Geschäftsbedingungen (AGB) oder dem Impressum zu verwechseln. Das sind andere Informationen, die bereitgestellt werden müssen.

Damit betroffene Personen ihre Rechte in Anspruch nehmen können, muss der Betreiber einer Website die dafür erforderlichen Kontaktadressen veröffentlichen. Auch über die Rechte der betroffenen Personen muss informiert werden.

Zudem müssen betroffene Personen darüber informiert werden, welche Personendaten beschafft werden, wie, wofür und wo diese bearbeitet werden und wohin diese übermittelt werden. Hierunter fallen z.B. Informationen über die Verwendung von Server-Logfiles, Cookies, Kontaktformularen und Newslettern. Aber auch über Dienste von Dritten, wie Google und Facebook, die regelmässig auf Websites zu finden sind, ist zu informieren.

Im neuen DSG wurden in den Art. 60-66 die Strafbestimmungen verschärft. Fehlt die Datenschutzerklärung, wird die Informationspflicht gemäss Art. 19 und 21 DSG verletzt. Art. 60 DSG sieht dafür eine Busse von bis zu 250.000 CHF vor.