Influencer & Co.: Wer muss welche Werbung wie und warum kennzeichnen?

Ein Gastbeitrag von Rechtsanwalt Martin Steiger, Steiger Legal AG

Der YouTuber Flying Uwe musste 2017 wegen Schleichwerbung eine Busse von 10’500 Euro bezahlen. In diesem Jahr urteilten Gerichte in Deutschland unter anderem, dass die Influencerin Vreni Frost zwei Instagram-Posts als Werbung hätte kennzeichnen müssen und dass Tags in Bildern («Tap Tags») Schleichwerbung darstellen können. In der Schweiz befasste sich die Lauterkeitskommission im Frühsommer erstmals mit Fällen zum Thema Influencer-Werbung.

Werbung kennzeichnen: So geht's richtig.

Bloggerinnen, Influencer, Instagrammer, YouTuberinnen und alle anderen, die online Inhalte veröffentlichen, müssen Werbung kennzeichnen. Werbung, die nicht gekennzeichnet wird, ist Schleichwerbung. Wer Werbung nicht kennzeichnet, begeht unlauteren Wettbewerb und kann bestraft werden. Möglich sind auch Abmahnungen und Klagen.

Wieso muss Werbung überhaupt gekennzeichnet werden?

Die Kennzeichnung von Werbung schützt die eigene Reputation. Erfolgreiche kommerzielle Kommunikation benötigt Vertrauen beim Publikum. Ausserdem fordern alle seriösen Partner, Sponsoren und Werbekunden, dass Werbung gekennzeichnet wird. Diese Forderung nach Transparenz hängt damit zusammen, dass Unternehmen, die von Schleichwerbung profitieren, allenfalls in die Verantwortung genommen werden können.

Hingegen gibt es aus heutiger Sicht in der Schweiz keinen rechtlichen Grund, Werbung zu kennzeichnen. Zwar kann man aus dem Bundesgesetz gegen den unlauteren Wettbewerb (Lauterkeitsgesetz, UWG) ein Transparenzgebot für die Kennzeichnung von Werbung ableiten. Allerdings können Verstösse gegen den einschlägigen Art. 2 UWG nicht sanktioniert werden. Es drohen weder Geldstrafen noch Klagen.

Kritik üben kann immerhin die Schweizerische Lauterkeitskommission. In diesem Jahr befasste sich die Kommission mit mutmasslicher Schleichwerbung von prominenten Influencern wie beispielsweise Xenia Tchoumitcheva. Die Lauterkeitskommission ist allerdings ein privates Gremium der schweizerischen Kommunikationsbranche, das im eigenen Ermessen und unverbindlich seine fachkompetente Meinung zu lauterkeitsrechtlichen Themen äussert. Die Lauterkeitskommission kann keine Sanktionen verhängen, sondern lediglich Verhalten, das sie für unlauter hält, anprangern.

Relevant sind auch aus schweizerischer Sicht die einschlägigen Regeln von Plattformen. So gibt es beispielsweise Regeln für «bezahltes Produkt-Placement und Empfehlungen» bei YouTube. Nutzerinnen und Nutzer, die solche Plattform-Regeln verletzen, riskieren Sanktionen durch die Plattform-Betreiber bis hin zur Account-Sperrung.

Weiter relevant ist aus schweizerischer Sicht die wesentlich strengere Rechtslage in anderen Ländern. So richten sich die meisten deutschsprachigen Blogger und Influencerinnen auch an ein Publikum in Deutschland. Sie riskieren, dort wegen Schleichwerbung abgemahnt, bestraft oder eingeklagt zu werden. Je nach Einzelfall kann die blosse Abrufbarkeit genügen, um im Ausland für Schleichwerbung belangt zu werden.

Es ist immer sehr aufwendig, ein Verfahren im Ausland bestreiten zu müssen. Urteile von ausländischen Zivilgerichten gelangen über die Rechtshilfe in die Schweiz und können in der Schweiz vollstreckt werden. Deutsche einstweillige Verfügungen, die mit einem Ordnungsgeld von bis zu 250’000 Euro und mit Ordnungshaft von bis zu sechs Monaten drohen, verfehlen ihre Wirkung bei betroffenen Personen in der Schweiz nicht.

Wer genau wissen will, wie Werbung gemäss deutschem Recht gekennzeichnet werden muss, wird im Leitfaden der Medienanstalten fündig.

Welche Beiträge müssen als Werbung gekennzeichnet werden?

Ein Beitrag, dessen Veröffentlichung gemäss Vereinbarung mit Geld bezahlt oder mit einer Gegenleistung belohnt wird, muss als Werbung gekennzeichnet werden. Eine solche Gegenleistung kann beispielsweise in einer Hotel-Übernachtung oder in der Teilnahme an einer Veranstaltung bestehen, ohne dass Geld fliesst.

Auch als Werbung gekennzeichnet werden muss ein Beitrag, der sich mit einer Dienstleistung oder einem Produkt befasst, die oder das man kostenlos und ohne Verpflichtung erhalten hat. So können YouTuber beispielsweise Gadgets zugeschickt erhalten, weil die Anbieter und Hersteller hoffen, dass – wohlwollend – darüber berichtet wird. Es spielt keine Rolle, dass in diesem Fall nicht ausdrücklich vereinbart wurde, einen Beitrag zu veröffentlichen.

Weiter muss als Werbung gekennzeichnet werden, wenn man direkt auf eine Kaufmöglichkeit verlinkt und dafür eine Entschädigung erhält. Das ist üblicherweise bei Affiliate-Programmen der Fall, wo einzelne Weblinks zum Beispiel mit einem passenden Symbol wie dem 💰-Emoji versehen werden können. Auch sollte erklärt werden, dass bei solchen Weblinks ein Kick-back beziehungsweise eine Provision fliessen kann.

Hingegen gilt grundsätzlich nicht als Werbung, wenn man eine Dienstleistung oder ein Produkt selbst bezahlt oder gekauft hat. Auch nicht als Werbung gilt grundsätzlich, wenn über eine Dienstleistung oder ein Produkt von (1) geringem Wert – höchstens 1’000 Euro – (2) ausgewogen mit Nachteilen und Vorteilen berichtet wird und (3) weder auf eine Kaufmöglichkeit verlinkt noch zum Kauf aufgerufen wird. Influencer und andere Personen mit einer nicht bloss bescheidenen Anzahl von Followern riskieren allerdings unabhängig davon, dass jede Erwähnung von Angeboten und Marken als Werbung gilt.

Wie muss Werbung gekennzeichnet werden?

Sofern bei Werbung eine Dienstleistung oder ein Produkt im Vordergrund steht, ist die Kennzeichnung mit dem deutlich sichtbaren Wort «Werbung» empfehlenswert. Möglich, aber weniger rechtssicher sind auch Formulierungen wie «Bezahlte Partnerschaft». Originell ist die Verwendung von Ortsangaben zur Kennzeichnung von Werbung. Bei Videos sollte die Kennzeichnung mindestens während fünf bis zehn Sekunden am Anfang erfolgen, für mehr Rechtssicherheit immer auch mit einem gesprochenen Hinweis.

Sofern bei Werbung keine Dienstleistung und kein Produkt im Vordergrund steht, handelt es sich normalerweise um eine Produktplatzierung (Product-Placement). In diesem Fall sollte ein deutlich sichtbarer Hinweis wie «Mit Unterstützung von […]» oder «Unterstützt durch Produktplatzierung» verwendet werden.

Bei Videos sollte der Hinweis am Anfang und am Ende sowie immer dann, wenn die Produktplatzierung erfolgt, erscheinen. Bei längeren Videos ab 90 Sekunden, wie sie bei YouTubern häufig sind, ist der dauerhafte Hinweis «Dauerwerbesendung» erforderlich, was gleichzeitig den Aufwand für Einblendungen reduziert

Bei Podcasts kann ein gesprochener Hinweis auf eine Produktplatzierung am Anfang und am Schluss erfolgen. Auf Werbung, die einen Podcast mit redaktionellem Inhalt unterbricht, muss deutlich hingewiesen werden.

Bei mehreren Dienstleistungen oder Produkten sollte die Werbung jeweils einzeln gekennzeichnet werden. Die Kennzeichnung muss auf allen Kommunikationskanälen erfolgen, das heisst beispielsweise dann, wenn mit einem Blog- oder Social Media-Posts auf den eigentlichen Inhalt hingewiesen oder verwiesen wird. Die Kennzeichnung darf nicht versteckt oder an das Beitragsende gesetzt werden.

Alternativen zum Begriff «Werbung» sind beispielsweise «Anzeige» und «Reklame». Bei einem deutschsprachigen Publikum sollte auf Begriffe auf Englisch – zum Beispiel «Advertorial» – verzichtet werden. Der Hashtag #ad genügt normalerweise nicht, schon gar nicht versteckt zwischen oder nach anderen Hashtags. Nicht empfehlenswert sind unbestimmte Begriffe wie «Kooperation», «Partnerschaft» oder «Publireportage». Die traditionellen Medien sind in dieser Hinsicht ein schlechtes Vorbild, rücken aus Gründen der Konkurrenz aber gerne Schleichwerbung bei Influencern in den Fokus.

Bei vielen Plattformen gibt es inzwischen eine Funktion für «Branded Content». Beispiele sind Facebook und Instagram sowie YouTube.

Beiträge, bei denen die Kennzeichnung als Werbung «vergessen» wurde, können und sollten nachträglich gekennzeichnet werden. Rechtlich gesehen ist es von untergeordneter Bedeutung, dass ein Beitrag allenfalls längst nicht mehr auf Interesse beim Publikum stösst. Es lässt sich sowieso nicht ausschliessen, dass ein Beitrag unverhofft erneut Aufmerksamkeit erhält.

Empfehlung: Beiträge im Zweifelsfall als Werbung kennzeichnen

Wer Beiträge veröffentlicht, die Werbung darstellen können, sollte solche Beiträge im eigenen Interesse deutlich als «Werbung» oder vergleichbar kennzeichnen.

Bei Beiträgen, die bezahlt oder anderweitig entschädigt werden, handelt es sich als Faustregel immer um Werbung. Auch wer bloss über ein Produkt schreibt, das er kostenlos erhalten hat, oder über eine Veranstaltung schreibt, die sie kostenlos besuchen durfte, veröffentlicht normalerweise Werbung, die gekennzeichnet werden muss. Bei Affiliate-Programmen handelt es sich ebenfalls um Werbung.

Bloggerinnen, Influencer, Instagrammer und YouTuberinnen mit vielen Followern müssen davon ausgehen, dass im Zweifelsfall ihre gesamte öffentliche Online-Kommunikation als kommerziell und damit als Werbung gilt. So können bereits ein persönliches Ferienfoto oder die selbst gekaufte Markenkleidung als Werbung gelten, auch wenn damit gar keine Werbung beabsichtigt ist.

Wer auf Nummer sicher gehen möchte, insbesondere mit Blick auf die strenge Rechtslage ausserhalb der Schweiz, kennzeichnet Beiträge, die Werbung darstellen können, im Zweifelsfall als «Werbung». Nur wer im Einzelfall gute Gründe hat, sollte bei solchen Beiträgen riskieren, auf die Kennzeichnung zu verzichten.

Hinweis: Für Abklärungen im Einzelfall, bei Unklarheiten und im Zweifelsfall empfiehlt sich die Beratung durch eine erfahrene und qualifizierte Fachperson wie beispielsweise einen Rechtsanwalt.

Chrome und Firefox ziehen EV-Zertifikaten endgültig den Stecker

Wir haben vor knapp einem Jahr darüber berichtet und jetzt wird die Sache noch klarer: EV-Zertifikate sind ihr Geld nicht mehr wert. Zumindest was die Nutzung auf Websites angeht. Dafür sorgen Änderungen in den neuesten Versionen der Webbrowser Chrome und Firefox.

EV-Zertifikaten geht's endgültig an den Kragen.

Mit Chrome 77 (verfügbar ab 10.09.2019) und Firefox 70 (verfügbar ab 22.10.2019) wird die im EV-Zertifikat hinterlegte Firma nicht mehr in der Adresszeile angezeigt. Nach der Entfernung des sogenannten «grünen Balkens» geht’s mit dieser Änderung den EV-SSL-Zertifikaten endgültig an den Kragen.

EV-SSL in Chrome 76 und 77

In Chrome 76 ist der Firmenname bereits ausgegraut und verschwindet in Chrome 77 komplett.

EV-SSL in Firefox 69 und 70

In Firefox 69 ist der Firmenname noch grün markiert. In Firefox 70 verschwinden die Angabe komplett.

EV-Zertifikate mögen bei ihrer Lancierung eine gute Idee gewesen zu sein, mittlerweile sind sie es nicht mehr. Das haben unzählige Experimente bewiesen, die die von EV-Zertifikaten versprochenen Sicherheitsmerkmale ausgehebelt haben. Mit dem Verschwinden des Firmennamens aus der Adresszeile ist für Nutzerinnen und Nutzer nicht mehr auf den ersten Blick erkennbar, ob es sich um ein teures Extended-Validated-Zertifikat (EV) oder doch um ein Domain-Validated-Zertifikat (DV) handelt, wie es zum Beispiel die kostenlosen SSL-Zertifikate von Let’s Encrypt sind.

Wieso eigentlich SSL-Zertifikate?

Mit dem Wegfall der zusätzlichen Merkmale für EV-SSL-Zertifikate fragen Sie sich vielleicht, warum wir im Web überhaupt SSL-Zertifikate einsetzen. Die Sicherheitszertifikate bieten im Web-Gebrauch 3 grundsätzliche Mehrwerte:

  • Vertraulichkeit: Sensible Daten wie Passwörter werden mithilfe eines SSL-Zertifikats verschlüsselt übertragen.
  • Integrität: Auf dem Weg zwischen Absender und Empfänger kann der Inhalt nicht verändert werden. Das Einschleusen schädlicher Inhalte oder unerwünschter Werbung durch Dritte ist damit nicht möglich.
  • Authentizität: Ein SSL-Zertifikat garantiert, dass Sie mit der Domain kommunizieren, die in der Adresszeile sichtbar ist.

Verschwinden EV-SSL-Zertifikate tatsächlich?

EV-Zertifikate können selbstverständlich weiterhin genutzt werden und wir gehen davon aus, dass Zertifikateanbieter, zumindest vorerst, weiterhin Extended-Validation-Zertifikate verkaufen werden. Die Nachprüfung, ob es sich um ein EV-SSL-Zertifikat handelt, ist nämlich weiterhin möglich. Wer es genau wissen möchte, kann sowohl in Chrome als auch Firefox mithilfe eines Klicks erfahren, ob es sich um ein EV-Zertifikat handelt und auf welchen Firmennamen das Zertifikat ausgestellt ist.

Information zu EV-SSL in Chrome 77 und Firefox 70

Ein Klick auf das Schlosssymbol verrät, auf welchen Firmennamen das SSL-Zertifikat ausgestellt ist.

Dem Grossteil der Web-Nutzerinnen und -Nutzer dürfte das Wegfallen der Firmeninformationen in der Adresszeile aber schlichtweg nicht auffallen. Und das ist der Hauptgrund, weshalb sich die Entwickler-Teams hinter Chrome und Firefox für diesen Schritt entschieden haben.

Unser Tipp: Seien Sie vorsichtig bei Anbietern, die Ihnen auch weiterhin EV-Zertifikate mit veralteten Argumenten wie dem «grünen Balken» oder des sichtbaren Firmennamens verkaufen wollen. Sind Sie nicht zwingend darauf angewiesen, dass Ihr SSL-Zertifikat zusätzliche Informationen wie den Firmennamen enthält, bieten kostenlose SSL-Zertifikate von Let’s Encrypt genau so viel Vertraulichkeit, Integrität und Authentizität, wie die teureren Alternativen.

Der neue Notfall-Service: Für Sie bleiben wir immer wach!

Wer ausserhalb unserer Öffnungszeiten auf Hilfe in Bezug auf sein Hosting angewiesen ist, musste bislang Geduld haben. Zwar kommt es gar nicht so selten vor, dass wir Supporttickets auch ausserhalb unserer Öffnungszeiten beantworten und unseren Kunden damit oft «aus der Patsche» helfen können, doch eine Garantie für Hilfe ausserhalb unserer Supportzeiten gab es bisher nicht.

24x7 Notfall-Service: Für Sie bleiben wir immer wach!

Wer also mitten in der Nacht dringend auf ein Backup angewiesen war, eine DNS-Zone verhauen oder mit einem Update seine Website lahmgelegt hatte, wusste sich entweder selber zu helfen oder machte die Faust im Sack, bis er oder sie am darauffolgenden Morgen auf unsere Hilfe zählen konnte.

Der Notfall-Service hilft – rund um die Uhr

Ab heute ändert sich das. Wer ausserhalb unserer Öffnungszeiten Hilfe benötigt, dem steht neu unser Notfall-Service zur Verfügung. Das Prinzip dahinter ist simpel: Notfall-Formular im my.cyon ausfüllen und kompetente Hilfe erhalten – rund um die Uhr.

Notfall-Service statt SLA

Wir bei cyon mögen es gerne einfach: Wer Hilfe benötigt, soll sie auch bekommen. Und zwar unabhängig davon, ob er oder sie im Vorfeld für teures Geld ein Service Level Agreement (SLA) gekauft hat. Deshalb steht unser Notfall-Service all unseren Kunden zur Verfügung, egal, ob es sich um ein Webhosting, einen Speed- oder Agencyserver handelt.

Nach dem Absenden des Notfall-Service-Formulares im my.cyon wird eine ganze Alarmkette in Gang gesetzt und zum Beispiel Pikett-Mitarbeitende aufgeboten. Die Kosten werden dabei verursachergerecht pro Notfallauftrag erhoben. Pro Auftrag sind das jeweils CHF 250, inkl. 30 Minuten Arbeit. Für jede weitere 30 Minuten kommen CHF 100 dazu.

Lernen Sie den neuen Notfall-Service kennen

WordCamp Zürich 2019: Die Schweizer WordPress-Gemeinde trifft sich

Am 14. September 2019 gastiert die Schweizer WordPress-Community im Technopark Zürich. Dort findet nach 2015 wieder ein WordCamp statt. WordCamps sind Konferenzen, die von der WordPress-Community veranstaltet werden. Naturgemäss dreht sich dabei alles um das beliebte Content-Management-System (CMS). WordCamps werden in allen Ecken dieser Welt veranstaltet und tragen einen grossen Teil dazu bei, dass WordPress mit Abstand das meistbenutzte Content-Management-System der Welt ist.

WordCamp Zürich 2019: Die Schweizer WordPress-Gemeinde trifft sich

Wir sind dieses Jahr wieder Sponsor der Schweizer WordCamp-Ausgabe und werden am 14. September 2019 mit einem Stand vor Ort sein.

13.09.19: Contributor Day – Zu WordPress beitragen

Traditionell findet einen Tag vor dem eigentlichen Event der sogenannte Contributor Day statt. An diesem Tag können Sie als Nutzerin und Nutzer von WordPress selbst zu WordPress beitragen. Zum Beispiel mit Code um den WordPress-Core zu verbessern, als Designer, um die Weiterentwicklung des WordPress-Interfaces voranzutreiben oder mit Übersetzungen, um die Software noch zugänglicher zu machen. Die Möglichkeiten der Mithilfe sind vielfältig. Und dank der Unterstützung von erfahrenen Personen aus der Community sind auch Neulinge in kurzer Zeit bereits produktive WordPress-Contributors. Für den Contributor Day stellt die Agentur Liip ihre Räumlichkeiten zur Verfügung. Sämtliche Informationen zum Contributor Day gibt’s auf der WordCamp-Website.

14.09.19: WordCamp Zürich 2019 – Tickets zu gewinnen

Am Samstag, 14.09.2019 findet dann der Main-Event in den Räumen des Zürcher Technoparks statt. Bereits die WordCamp-Ausgaben 2014 und 2015 (damals noch unter dem Namen WordCamp Switzerland bekannt) gastierten im Technopark. Die perfekte Location für diesen Event, wie wir finden.

Der genaue Event-Zeitplan wird in den nächsten Tagen bekanntgegeben, die ersten Speakers sind aber bereits bekannt. Die Vorfreude ist, nicht nur bei uns, gross:

Reguläre Tickets sind zum Preis von CHF 25.-/Stück direkt auf der WordCamp-Website erhältlich.

Mit etwas Glück schicken wir Sie gratis ans WordCamp Zürich 2019, denn wir verlosen 2 x 1 Ticket unter unseren Leserinnen und Lesern. Die Teilnahme an der Verlosung ist simpel:

Verraten Sie uns in einem Kommentar unter diesem Beitrag, welches Ihre liebste Glacé-Sorte ist. Kommentare die bis 01.09.2019, 23:59 Uhr eintreffen, nehmen automatisch an der Verlosung teil.

Update 02.09.2019: Herzlichen Glückwunsch an unsere Gewinner Martina und Roger. Wir wünschen viel Spass am WordCamp :)

Was Glacé übrigens mit WordCamp zu tun hat, erfahren WordCamp-Besucherinnen und -Besucher dann vor Ort 😉

Wie erstellt man die perfekte Datenschutzerklärung für eine Website?

Ein Gastbeitrag von Rechtsanwalt Martin Steiger, Steiger Legal AG

Fast jede Website verfügt über eine Datenschutzerklärung. Die meisten Cookie-Banner verlinken auf eine Datenschutzerklärung. Im Übrigen ist die Datenschutzerklärung in der Fusszeile einer Website verlinkt.

Wieso benötigt eine Website eine Datenschutzerklärung?

Im Datenschutzrecht gilt immer der Grundsatz der Transparenz: Die Beschaffung von Personendaten und der Zweck oder die Zwecke, für den oder die diese Personendaten bearbeitet werden, müssen für die betroffenen Personen erkennbar sein, wie es das heutige schweizerische Datenschutzgesetz (DSG) formuliert (Art. 4 Abs. 4 DSG).

Personendaten sind alle Angaben, die sich auf eine bestimmte oder bestimmbare Person beziehen (Art. 3 lit. a DSG). Betroffene Personen sind jene Personen, deren Personendaten beschafft und bearbeitet werden (Art. 3 lit. b DSG). Bearbeiten umfasst jeden Umgang mit Personendaten (Art. 3 lit. e DSG).

Die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union (EU) und das revidierte schweizerische Datenschutzgesetz (DSG), das frühestens 2020 in Kraft treten wird, enthalten ausdrückliche Informationspflichten. Die DSGVO ist bereits in Kraft und gilt nicht nur in der EU, sondern im gesamten Europäischen Wirtschaftsraum (EWR) einschliesslich Fürstentum Liechtenstein.

Der Betrieb einer Website ohne die Bearbeitung von Personendaten ist kaum denkbar. So können bereits IP-Adressen, die in Server-Logdateien erfasst werden, Personendaten darstellen. Das gängige Mittel, um die Besucherinnen und Besucher einer Website über die Beschaffung und Bearbeitung ihrer Personendaten zu informieren, ist die Veröffentlichung einer Datenschutzerklärung.

Eine Datenschutzerklärung ist, wie der Name sagt, eine Erklärung. Es geht um Information. Eine Datenschutzerklärung ist deshalb kein Vertrag, in den eingewilligt werden muss. Es ist ein typischer Fehler, dass man sich die Einwilligung in eine Datenschutzerklärung bestätigen lässt, allenfalls sogar ausdrücklich mit einem Kästchen.

Welche Informationen muss eine Datenschutzerklärung enthalten?

Die betroffenen Personen müssen einerseits informiert werden, welche Personendaten beschafft werden, wie, wofür und wo die Personendaten bearbeitet werden und wohin die Personendaten übermittelt werden. Dazu gehören beispielsweise Informationen über die Verwendung von Cookies, Server-Logdateien und Zählpixel, aber auch über den Einsatz von Kontaktformularen, Newslettern sowie Diensten von Google und anderen Dritten, wie sie auf Websites gängig sind.

Die betroffenen Personen müssen andererseits informiert werden, welche Rechte ihnen das Datenschutzrecht gibt. Dazu zählen beispielsweise das Recht auf Auskunft und das Recht auf Widerspruch. Die DSGVO verlangt ausserdem, dass die Rechtsgrundlagen der Datenbearbeitung genannt werden.

Die DSGVO nennt folgenden Mindestinhalt für eine Datenschutzerklärung:

  • Name und Kontaktdaten des Verantwortlichen, das heisst des Website-Betreibers
  • Kontaktdaten eines allfälligen betrieblichen oder externen Datenschutzbeauftragten
  • Kontaktdaten eines allfälligen EU-Datenschutz-Vertreters
  • Zwecke, für die Personendaten bearbeitet werden
  • Dauer, für welche die Personendaten gespeichert werden, oder zumindest die Kriterien für die Festlegung der Dauer
  • Rechtsgrundlagen für die Datenbearbeitung, zum Beispiel die überwiegenden berechtigten Interessen des Website-Betreibers gemäss Art. 6 Abs. 1 lit. f DSGVO
  • Empfänger der beschafften Personendaten
  • beabsichtigte Übermittlung von Personendaten in ein Drittland und inwiefern dort ein angemessener Datenschutz gewährleistet ist
  • Information über eine allfällige automatisierte Entscheidungsfindung einschliesslich Profiling
  • Aufklärung, inwiefern die Bereitstellung von Personendaten zwingend erforderlich ist, zum Beispiel aus rechtlichen Gründen oder für die Erfüllung von bestimmten Verträgen
  • Recht auf Auskunft, Recht auf Berichtigung oder Löschung sowie Recht auf Datenübertragbarkeit
  • Recht auf Einschränkung der Datenbearbeitung sowie Recht auf Widerspruch gegen die Datenbearbeitung
  • Recht auf Widerruf nach erfolgter Einwilligung
  • Recht auf Beschwerde bei einer Datenschutz-Aufsichtsbehörde

Diese umfassenden Informationen sind gemäss DSGVO «in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln.» Das revidierte DSG geht weniger weit, doch ist es empfehlenswert, sich auch für Datenschutzerklärungen an der DSGVO als «Goldstandard» zu orientieren.

Es gibt unterschiedliche Meinungen, wie genau die Vorgaben der DSGVO umzusetzen sind. Je ausführlicher beispielsweise eine Datenschutzerklärung ausfällt, desto eher wird sie nicht gelesen. Das Erstellen einer Datenschutzerklärung ist nicht nur eine Rechtsfrage, sondern gleichzeitig immer auch eine Stilfrage.

Dennoch sollte eine Datenschutzerklärung alle Punkte gemäss dem vorgeschriebenen Mindestinhalt abdecken. Ansonsten riskieren Website-Betreiber unerwünschten Kontakt mit betroffenen Personen, Datenschutz-Aufsichtsbehörden und Konsumentenschutz-Organisationen. Abmahnungen im Datenschutzrecht sind möglich, bislang aber wesentlich seltener als im Urheberrecht.

In jedem Fall ist wichtig, dass eine Datenschutzerklärung immer aktuell, richtig und vollständig ist. Um den Inhalt nicht ausufern zu lassen, kann auf weitergehende Informationen verlinkt werden. Es ist nicht zwingend, nur eine allgemeine Datenschutzerklärung zu veröffentlichen. Es wäre beispielsweise denkbar, für den Newsletter-Versand eine zusätzliche Datenschutzerklärung zu veröffentlichen.

Da eine Datenschutzerklärung immer aktuell sein muss, ist es unsinnig, sie mit einem Datum zu versehen. Ein Datum führt dazu, dass eine Datenschutzerklärung sofort als veraltet erkennbar ist. So gibt es viele Datenschutzerklärung mit dem Datum vom 25. Mai 2018, denn an diesem Datum wurde die DSGVO anwendbar. Die Wahrscheinlichkeit, dass eine solche Datenschutzerklärung heute noch aktuell und richtig ist, halte ich für gering.

Was sind typische Inhalte einer Website-Datenschutzerklärung?

Jede Website ist anders und damit auch die Datenschutzerklärung. Es gibt aber einige typische Inhalte, wie sie in fast jeder Website-Datenschutzerklärung aufgeführt werden müssen.

In der Website-Datenschutzerklärung muss der Verantwortliche für die Datenbearbeitung – üblicherweise der Website-Betreiber – genannt werden. Normalerweise handelt es sich um die gleichen Angaben wie im Impressum, das heisst mindestens die Firma oder der Name, die Adresse und eine E-Mail-Adresse müssen genannt werden.

Ausserdem müssen ein allfälliger EU-Datenschutz-Vertreter gemäss Art. 27 DSGVO und ein allfälliger Datenschutzbeauftragter genannt werden. Ein Datenschutzbeauftragter ist für Unternehmen mit weniger als 10 Mitarbeitern meist nicht erforderlich. Hingegen benötigen viele Schweizer Websites einen EU-Datenschutz-Vertreter, insbesondere weil sich ihr Angebot auch an Personen in Deutschland, im Fürstentum Liechtenstein oder anderswo im Europäischen Wirtschaftsraum (EWR) richtet. Angebote, die kostenlos sind, fallen auch unter dieses sogenannte Marktortprinzip.

Ob für eine einzelne Website ein EU-Datenschutz-Vertreter benannt werden muss, kann mit dem Online-Fragebogen von Datenschutzpartner ermittelt werden. (Datenschutzpartner ist ein Angebot, an dem ich mit meiner Anwaltskanzlei beteiligt bin.)

Für fast alle Websites werden Personendaten mit Cookies, Server-Logdateien und Zählpixeln bearbeitet. Darüber muss informiert werden.

Informiert werden muss über vorhandene Kontaktmöglichkeiten, zum Beispiel über Kontaktformulare, sowie über die Bearbeitung von Personendaten für Newsletter. Bei einem Newsletter ist zu beachten, dass für den E-Mail-Versand sowie die Erfolgs- und Reichweitenmessung grundsätzlich die Einwilligung der Empfängerinnen und Empfänger eingeholt werden muss. Bei Kontaktformularen hingegen ist meist keine Einwilligung erforderlich.

Weiter muss über Dienste von Dritten, die in die Website eingebunden werden, informiert werden. Dazu zählen Dienste für Analytics und Tracking wie beispielsweise Google Analytics oder Hotjar, Inhalte und Plugins von Social Media-Plattformen wie beispielsweise Facebook oder Instagram, Newsletter-Dienste wie beispielsweise CleverReach oder MailChimp sowie Dienste für Kartenmaterial, Schriftarten oder Videos wie beispielsweise Google Maps, Adobe Fonts oder Vimeo und YouTube. Auch Website-Komponenten, die bei Dritten gehostet werden, müssen erwähnt werden, zum Beispiel Spamschutz mit Google reCAPTCHA oder die Verwendung von jQuery.com.

Bei Diensten von Dritten im Ausland wie auch bei der Übermittlung von Personendaten in ein Drittland muss informiert werden, inwiefern dort ein angemessener Datenschutz gewährleistet ist. Aus schweizerischer Sicht stammen fast alle Dienste, die in Websites eingebunden werden, von Anbietern im Ausland.

Einfach ist dieser Punkt mit Blick auf den EWR und die Schweiz, die einen gemeinsamen Datenraum bilden, weil das Datenschutzrecht gegenseitig als angemessen anerkannt wird. In den USA hingegen ist – wenn überhaupt – ein angemessener Datenschutz insbesondere gewährleistet, wenn sich der jeweilige Anbieter freiwillig dem Privacy Shield unterworfen hat oder vertragliche Absicherungen bestehen.

Bei einigen Diensten von Dritten ist der Website-Betreiber gemeinsam mit dem Dritten verantwortlich, so zum Beispiel bei Social Plugins von Facebook. Eine solche gemeinsame Verantwortlichkeit gilt mutmasslich für alle Dienste, bei denen Personendaten nicht ausschliesslich im Auftrag des Website-Betreibers bearbeitet werden, das heisst insbesondere für fast alle kostenlosen Dienste von Dritten.

Wo in der Welt ein angemessener Datenschutz besteht, findet man beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) und bei der Europäischen Kommission (EU-Kommission). Die Privacy Shield List enthält alle amerikanischen Anbieter, bei denen grundsätzlich ein angemessener Datenschutz gewährleistet ist. Aus schweizerischer Sicht muss beachtet werden, dass es amerikanische Anbieter gibt, die sich dem Privacy Shield nur in Bezug auf die EU unterworfen haben, so dass aus schweizerischer Sicht kein angemessener Datenschutz gewährleistet ist.

Wie findet man heraus, welche Dienste von Dritten verwendet werden?

Ein häufiges Problem ist, dass Website-Betreiber gar nicht wissen, welche Personendaten auf ihrer Website beschafft werden, wieso und wofür die Personendaten bearbeitet werden und wohin die Personendaten übermittelt werden.

Wer seine Website selbst entwickelt und pflegt, sollte eigentlich über die entsprechenden Informationen verfügen. Allerdings binden viele Website-Betreiber unzählige Dienste von Dritten gedankenlos ein. Teilweise enthalten auch Plugins, wie sie insbesondere im WordPress-Umfeld beliebt sind, Dienste von Dritten, ohne sie zu deklarieren.

Auch Web-Agenturen liefern ihren Kundinnen und Kunden häufig nicht die benötigten Informationen, zum Beispiel zur genauen Konfiguration von Google Analytics. Man darf von Web-Agenturen keine (kompetente) Rechtsberatung erwarten, aber sie sollten die Bearbeitung von Personendaten auf einer Website zu Händen ihrer Kundinnen und Kunden immer dokumentieren. Sie sollten ausserdem die Veröffentlichung und Verlinkung einer Datenschutzerklärung sowie ein allfälliges Cookie-Banner vorsehen.

Letztlich ist aber jeder Website-Betreiber selbst dafür verantwortlich, den Datenschutz auf der jeweiligen Website zu gewährleisten. Dazu gehört im Zweifelsfall eine aktuelle, richtige und vollständige Datenschutzerklärung.

Einiges an Informationen über die verwendeten Dritt-Dienste kann man durch Surfen auf der Website herausfinden. So sind beispielsweise Banner von Google AdSense, Karten von Google Maps oder Videos von YouTube problemlos sichtbar. Fortgeschrittene Website-Betreiber nutzen die Browser-Konsole oder Content-Blocker wie beispielsweise uBlock Torrent, um weitere Informationen zu erhalten. Content-Blocker zeigen an, welche Dritt-Dienste eingebunden sind.

Ausserdem gibt es nützliche Online-Dienste, welche versuchen, die Bearbeitung von Personendaten, insbesondere mit Cookies und Diensten von Dritten, zu ermitteln. Besonders empfehlenswert sind Webbkoll und PrivacyScore.

Viele Anbieter von Dritt-Diensten, unter anderem Facebook und Google, schreiben die Informationen der betroffenen Personen ausdrücklich vor. Beispiel: Ziffer 7 der Nutzungsbedingungen von Google Analytics.

Wie erstellt man am einfachsten eine Website-Datenschutzerklärung?

Das Wissen, welche Personendaten auf einer Website beschafft sowie wie, wofür und wo solche Personendaten bearbeitet werden, müssen Website-Betreiber in Form einer Datenschutzerklärung sammeln und veröffentlichen. Dieses Wissen ist deshalb das A und O für jede gelungene Datenschutzerklärung.

Wer selbst nicht weiss, wie man eine Datenschutzerklärung erstellt und keine Fachperson beauftragen möchte, nutzt mit Vorteil eine aktuelle Vorlage. Solche Vorlagen gibt es in zwei empfehlenswerten Varianten:

Einerseits gibt es online veröffentlichte Vorlagen, insbesondere von Datenschutz-Aufsichtsbehörden oder von Fachpersonen und Unternehmen, die im Datenschutz tätig sind. Aktuelle Muster gibt es zum Beispiel bei der Datenschutzstelle Fürstentum Liechtenstein und beim Landesbeauftragten für Datenschutz und Informationssicherheit.

Die veröffentlichten eigenen Datenschutzerklärungen von Behörden und Fachpersonen haben im besten Fall Vorbildcharakter. Allerdings sollten Datenschutzerklärungen von anderen Websites immer nur als Inspiration dienen, wenn der jeweilige Website-Betreiber beurteilen kann, ob der Inhalt rechtssicher ist und für die eigene Website passt. Viele fehlerhafte oder zumindest unsinnige Formulierungen verbreiten sich rasant im Internet, weil Datenschutzerklärungen ohne das erforderliche Wissen kopiert und verwendet werden.

Andererseits gibt es sogenannte Datenschutz-Generatoren, mit denen man online Datenschutzerklärungen erstellen kann. Bei den meisten Datenschutz-Generatoren muss man auswählen oder beantworten, welche Personendaten für die jeweilige Website beschafft sowie wie, wofür und wo diese bearbeitet werden. Die meisten Datenschutz-Generatoren sind ganz oder teilweise kostenlos nutzbar, weil sie als Werbung für andere – kostenpflichtige – Angebote dienen. Einige Datenschutz-Generatoren sind kostenpflichtig, werden dafür aber aktuell gehalten sowie ergänzt und verbessert.

Viele Datenschutz-Generatoren, die aufgrund der Geltung der DSGVO per 25. Mai 2018 auf den Markt geworfen wurden, werden sichtbar nicht mehr gepflegt. Ein Alarmzeichen ist beispielsweise, wenn das eingestellte Google+ ausgewählt werden kann oder nicht mehr existierende Anbieter von Diensten wie die Google Inc. oder gar die YouTube LLC genannt werden.

Bei deutschen Datenschutz-Generatoren besteht aus schweizerischer Sicht das Problem, dass die abweichende Rechtslage in der Schweiz nicht ausreichend berücksichtigt wird. Deutsche Datenschutz-Generatoren gehen normalerweise davon aus, dass die DSGVO und allenfalls das deutsche Bundesdatenschutzgesetz (BDSG) vollumfänglich anwendbar sind. Wer eine entsprechende Datenschutzerklärung veröffentlicht, riskiert, die eigene Website freiwillig und vollumfänglich der DSGVO zu unterstellen, ohne dazu verpflichtet zu sein. In der Folge verfügen betroffene Personen über wesentlich mehr Rechte im Vergleich zum schweizerischen Datenschutzrecht. Zum Teil versprechen deutsche Datenschutz-Generatoren, auch für die Schweiz zu funktionieren, doch zeigen sich im Ergebnis meistens Fehler.

Datenschutz-Generatoren, die nicht aktuell gehalten werden oder nicht zur Schweiz passen, waren für mich der Anlass, mich mit meiner Anwaltskanzlei am Datenschutz-Generator von Datenschutzpartner zu beteiligen. Dieser Datenschutz-Generator richtet sich ausdrücklich an Website-Betreiber in der Schweiz (und nur in der Schweiz) und berücksichtigt das tatsächlich anwendbare Datenschutzrecht für die jeweilige Website. Erstellte Datenschutzerklärungen können geändert, ergänzt oder neu erstellt werden.

Die Veröffentlichung einer erstellten Datenschutzerklärung sollte auf einer eigenen Seite erfolgen und nicht gemeinsam mit dem Impressum oder gar in Allgemeinen Geschäftsbedingungen (AGB). Die Datenschutzerklärung sollte auf jeder einzelnen Seite der betreffenden Website verlinkt werden, üblicherweise als «Datenschutz» oder «Datenschutzerklärung» in der Fusszeile. Es sollten alle Sprachen unterstützt werden, in denen die Website abrufbar ist.

Auf einleitende Texte im Stil von «Der Schutz Ihrer Daten ist uns wichtig» oder «Gemäss Artikel 13 der Bundesverfassung» sollte man verzichten. Solche Texte haben rechtlich keine Bedeutung und wirken auf die meisten Besucher einer Website nicht glaubwürdig.

Was sind häufige Fehler bei Datenschutzerklärungen?

Wer nicht weiss, was er tut, begeht zwangsläufig Fehler beim Erstellen von Datenschutzerklärungen. Jenseits vom Fall, dass noch gar keine Datenschutzerklärung besteht, sind insbesondere folgende Fehler häufig zu beobachten:

  • Schweizerische Websites unterstellen sich freiwillig und vollständig der DSGVO und sonstigem ausländischem Recht, halten aber die entsprechenden Pflichten nicht ein
  • Inhalt der Datenschutzerklärung ist sichtbar veraltet, allenfalls allein schon aufgrund einer Datumsangabe
  • Weblink zur Datenschutzerklärung ist nicht auffindbar, zum Beispiel, weil der Weblink in einem Menü versteckt ist
  • Weblink zur Datenschutzerklärung wird verdeckt, zum Beispiel durch ein Banner oder ein responsives Layout-Element
  • Inhalt der Datenschutzerklärung ist unvollständig, häufig betroffen sind eingebundene Dritt-Dienste
  • Inhalt der Datenschutzerklärung ist falsch, zum Beispiel wird eine Anonymisierung von IP-Adressen behauptet, die gar nicht erfolgt
  • Datenschutzerklärung behauptet Einwilligungen, die nicht erteilt wurden und allein durch die Erwähnung in der Datenschutzerklärung auch nicht rechtswirksam erteilt werden können
  • Ausdrückliche Einwilligung in die Datenschutzerklärung, wodurch diese zu einem Vertrag wird und Anpassungen, wie sie bei einer gepflegten Datenschutzerklärung regelmässig vorkommen, wie Vertragsänderungen behandelt werden müssen
  • Widerspruchsmöglichkeiten funktionieren nicht, zum Beispiel bei Google Analytics, wo das frühere «Opt-out» mit einem JavaScript-Weblink nicht mehr verfügbar ist
  • Facebook-Seiten und andere Social Media-Präsenz werden nicht erwähnt oder es geht vergessen, die Datenschutzerklärung auf der Facebook-Seite zu verlinken
  • Schweizerische Websites, die tatsächlich teilweise die DSGVO einhalten müssen, haben keinen EU-Datenschutz-Vertreter benannt
  • Die Datenschutzerklärung wird einmal erstellt und danach nicht mehr gepflegt, so dass sie im Lauf der Zeit Fehler enthält, unvollständig ist und veraltet wirkt

Datenschutzerklärungen: Don’t panic!

«Don’t panic!» gilt auch für Datenschutzerklärungen. So führt zwar für die meisten Websites kein Weg daran vorbei, eine Datenschutzerklärung zu erstellen, zu veröffentlichen und zu pflegen. Die Datenschutzerklärung ist ein wichtiger Bestandteil, um das Datenschutzrecht einzuhalten. Die perfekte Datenschutzerklärung gibt es aber leider nicht, denn dafür ist das Datenschutzrecht zu ausufernd und widersprüchlich.

Datenschutzerklärungen dienen der Information der betroffenen Personen. Sie sollen wissen, wer ihre Personendaten beschafft sowie wie, wofür und wo diese bearbeitet. Sie sollen ausserdem ihre Rechte kennen, zum Beispiel das Recht auf Auskunft.

Um diese Informationspflichten zu erfüllen, müssen Website-Betreiber wissen, wie Personendaten auf ihren Websites beschafft und bearbeitet werden. Mit diesem Wissen kann eine Datenschutzerklärung erstellt werden, die üblicherweise gut genug ist, sofern die Empfehlungen in diesem Betrag beherzigt und typische Fehler vermieden werden. Wer die Rechtssicherheit verbessern möchte, lässt seine Datenschutzerklärung durch eine qualifizierte Fachperson erstellen oder zumindest überprüfen.

Hinweis: Für Abklärungen im Einzelfall, bei Unklarheiten und im Zweifelsfall empfiehlt sich die Beratung durch eine erfahrene und qualifizierte Fachperson wie beispielsweise einen Rechtsanwalt.