Datenschutzerklärung für derkrieger.ch gemäss nDSG und DSGVO
1. Der massgebliche rechtliche Rahmen für den Datenschutz
Dieser Abschnitt legt die rechtliche Grundlage dar und erläutert, welche Gesetze auf die Webseite derkrieger.ch
Anwendung finden und warum eine duale Konformitätsstrategie unerlässlich ist.
1.1 Das Schweizer Bundesgesetz über den Datenschutz (nDSG)
Das revidierte Schweizer Datenschutzgesetz (nDSG), das am 1. September 2023 in Kraft getreten ist, bildet die nationale Grundlage für den Datenschutz.
- Kernpflicht: Das nDSG verpflichtet jeden Webseitenbetreiber, der Personendaten verarbeitet, eine Datenschutzerklärung bereitzustellen. Verstösse gegen diese Informationspflichten können mit empfindlichen Bussen von bis zu 250’000 CHF direkt gegen die verantwortliche natürliche Person geahndet werden.
- Grundprinzipien der Datenverarbeitung: Jede Verarbeitung von Personendaten muss den fundamentalen Grundsätzen der Rechtmässigkeit, von Treu und Glauben, der Verhältnismässigkeit und der Zweckbindung genügen. Diese Prinzipien müssen bei allen Datenumgängen beachtet werden.
- Definition von Personendaten: Der Anwendungsbereich des Gesetzes ist weit gefasst. Als Personendaten gelten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dazu gehören explizit auch IP-Adressen. Folglich unterliegt praktisch jede Webseite, einschliesslich
derkrieger.ch
, den Bestimmungen des nDSG. - Erweiterte Pflichten: Über die öffentlich zugängliche Datenschutzerklärung hinaus verlangt das nDSG von Unternehmen, ein internes «Verzeichnis der Verarbeitungstätigkeiten» zu führen. Zudem müssen Prozesse etabliert werden, um Datenschutzverletzungen «so rasch als möglich» an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) zu melden.
1.2 Die EU-Datenschutz-Grundverordnung (DSGVO)
Die DSGVO der Europäischen Union entfaltet eine Wirkung, die weit über die Grenzen der EU hinausgeht und für derkrieger.ch
von direkter Relevanz ist.
- Extraterritorialer Anwendungsbereich: Die DSGVO findet auch auf Schweizer Unternehmen Anwendung, wenn diese Personen im Europäischen Wirtschaftsraum (EWR) Waren oder Dienstleistungen anbieten oder deren Verhalten beobachten. Da die Webseite Dienstleistungen im Bereich KI-Automatisierung, Beratung und Schulungen anbietet, richtet sie sich implizit an einen internationalen, professionellen Markt, der den EWR einschliesst. Somit ist die Einhaltung der DSGVO geboten.
- Strengere Anforderungen: Die DSGVO ist in vielen Bereichen vorschriftsintensiver als das nDSG. Sie verlangt beispielsweise die explizite Angabe einer Rechtsgrundlage für jede einzelne Verarbeitungstätigkeit (gemäss Art. 6 DSGVO) und setzt eine strikte Frist von 72 Stunden für die Meldung von Datenschutzverletzungen an die zuständige Aufsichtsbehörde.
- Bedeutung für den Datenverkehr: Die EU-Kommission hat der Schweiz ein angemessenes Datenschutzniveau attestiert, was den Datenaustausch zwischen der Schweiz und der EU erheblich erleichtert. Dies entbindet Schweizer Unternehmen jedoch nicht von ihren direkten Pflichten unter der DSGVO, sobald deren Anwendungsbereich eröffnet ist.
1.3 Vergleichende Analyse und einheitliche Konformitätsstrategie: Der «Gold-Standard»-Ansatz
Eine sorgfältige Analyse zeigt, dass eine Orientierung an den strengeren Vorschriften der DSGVO die pragmatischste und sicherste Vorgehensweise darstellt.
- Begründung: Obwohl das nDSG stark an die DSGVO angeglichen wurde , gilt die DSGVO weiterhin als der «Gold-Standard» im Datenschutz. Eine Datenschutzerklärung, die den Anforderungen der DSGVO genügt, erfüllt automatisch auch die Anforderungen des nDSG.
- Strategische Empfehlung: Um maximale Rechtssicherheit zu gewährleisten und den administrativen Aufwand zu minimieren, sollte die Datenschutzerklärung für
derkrieger.ch
nach den strengeren Massstäben der DSGVO verfasst werden. Dieser Ansatz, der in der Praxis weithin empfohlen wird, eliminiert die Notwendigkeit, zwei unterschiedliche Konformitätsniveaus zu verwalten. - Vorteile über die reine Konformität hinaus: Die proaktive Übernahme des DSGVO-Standards ist nicht nur eine Massnahme zur Risikominimierung, sondern auch ein strategischer Vorteil. Im hochtechnologischen und internationalen Feld der KI-Dienstleistungen erwarten potenzielle Kunden und Partner aus der EU von ihren Dienstleistern ein hohes Datenschutzniveau. Eine transparente und DSGVO-konforme Datenschutzerklärung signalisiert Vertrauenswürdigkeit und Professionalität und beseitigt potenzielle Hürden für eine grenzüberschreitende Geschäftstätigkeit. Die Datenschutzerklärung wird so von einer reinen Pflichtübung zu einem Instrument der Vertrauensbildung und Geschäftsanbahnung.
Die folgende Tabelle verdeutlicht die wesentlichen Unterschiede bei den Informationspflichten und unterstreicht die Notwendigkeit des «Gold-Standard»-Ansatzes.
Tabelle 1: Vergleich der zentralen Informationspflichten nach nDSG und DSGVO
Anforderung | nDSG (gem. Art. 19) | DSGVO (gem. Art. 13/14) |
Rechtsgrundlage | Muss nicht explizit genannt werden; die Bearbeitungsgrundsätze müssen eingehalten werden. | Muss für jeden Verarbeitungszweck explizit angegeben werden (z.B. Einwilligung, Vertragserfüllung). |
Speicherdauer | Angabe der Dauer oder der Kriterien für deren Festlegung ist erforderlich. | Angabe der Dauer oder der Kriterien für deren Festlegung ist zwingend erforderlich. |
EU-Vertretung | Nicht anwendbar (nur CH-Vertretung bei Bedarf). | Erforderlich, wenn sich das Angebot an Personen in der EU richtet und der Verantwortliche nicht in der EU ansässig ist. |
Beschwerderecht | Information über die Rechte der betroffenen Person ist erforderlich. | Explizite Information über das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde ist erforderlich. |
Datenübertragbarkeit | Das Recht auf Datenherausgabe ist vorgesehen. | Das Recht auf Datenübertragbarkeit ist ein zentrales, explizit zu nennendes Recht. |
2. Zwingende Bestandteile einer rechtssicheren Datenschutzerklärung
Dieser Abschnitt dient als detaillierter Bauplan für die Struktur und die Inhalte einer konformen Datenschutzerklärung, die dem «Gold-Standard»-Ansatz folgt.
2.1 Identität des für die Verarbeitung Verantwortlichen
Die Datenschutzerklärung muss unmissverständlich klarstellen, wer für die Datenverarbeitung verantwortlich ist. Dies schafft Transparenz und benennt die primäre Anlaufstelle für Betroffene. Erforderlich sind die vollständige Identität und die Kontaktdaten der verantwortlichen Person oder des Unternehmens. Dies umfasst den Namen bzw. die Firma, die vollständige Postanschrift und eine E-Mail-Adresse. Diese Angaben sollten mit denjenigen im Impressum der Webseite übereinstimmen.
2.2 Zwecke und Rechtsgrundlagen der Datenverarbeitung
Für jede Art der Datenverarbeitung muss der spezifische Zweck klar und verständlich dargelegt werden. Im Rahmen des «Gold-Standard»-Ansatzes ist es zudem zwingend, für jeden Zweck die entsprechende Rechtsgrundlage gemäss Art. 6 DSGVO anzugeben. Die relevantesten Rechtsgrundlagen für
derkrieger.ch
sind:
- Einwilligung der betroffenen Person (Art. 6 Abs. 1 lit. a DSGVO), z.B. für den Einsatz von Analyse-Cookies.
- Erforderlichkeit zur Durchführung eines Vertrags oder vorvertraglicher Massnahmen (Art. 6 Abs. 1 lit. b DSGVO), z.B. bei der Beantwortung einer Anfrage über das Kontaktformular.
- Wahrung der berechtigten Interessen des Verantwortlichen (Art. 6 Abs. 1 lit. f DSGVO), z.B. für die Gewährleistung der IT-Sicherheit durch Server-Logfiles.
2.3 Datenempfänger und internationale Datenübermittlung
Die Erklärung muss offenlegen, an welche Kategorien von Empfängern Personendaten weitergegeben werden, beispielsweise an Hosting-Anbieter oder Analyse-Dienstleister. Ein besonders kritischer und streng regulierter Bereich ist die Übermittlung von Daten in Länder ausserhalb der Schweiz und des EWR (sogenannte Drittstaaten), wie die USA. In einem solchen Fall müssen die Zielländer namentlich genannt und die rechtlichen Garantien erläutert werden, die ein angemessenes Datenschutzniveau sicherstellen.
2.4 Speicherdauer und Datensicherheit
Die Datenschutzerklärung muss angeben, wie lange Personendaten gespeichert werden. Ist eine exakte Angabe der Dauer nicht möglich, müssen die Kriterien für die Festlegung der Speicherdauer genannt werden (z.B. «bis zur abschliessenden Bearbeitung Ihrer Anfrage» oder «gemäss den gesetzlichen Aufbewahrungspflichten»). Zudem sollte ein allgemeiner Hinweis auf die getroffenen technischen und organisatorischen Massnahmen (TOM) zum Schutz der Daten enthalten sein, wie beispielsweise die Verwendung einer SSL/TLS-Verschlüsselung für die Webseite.
2.5 Die Rechte der betroffenen Personen
Ein zentraler Bestandteil der Datenschutzerklärung ist die umfassende Information der Nutzer über ihre Rechte. Diese Rechte sind nicht nur eine juristische Formalität, sondern ein wesentliches Instrument zur Stärkung des Nutzervertrauens. Insbesondere im sensiblen Bereich der KI, der oft von Skepsis begleitet wird, signalisiert eine klare und zugängliche Darstellung dieser Rechte Respekt vor der Datenautonomie des Einzelnen und wirkt dem Bild einer intransparenten «Black Box» entgegen. Die Datenschutzerklärung wird so zu einer aktiven Schnittstelle für die Datenkontrolle durch den Nutzer.
Die folgenden Rechte müssen gemäss nDSG und DSGVO aufgeführt und kurz erläutert werden :
- Auskunftsrecht (Art. 25 nDSG, Art. 15 DSGVO): Das Recht zu erfahren, ob und welche Daten verarbeitet werden.
- Recht auf Berichtigung (Art. 6 nDSG, Art. 16 DSGVO): Das Recht, die Korrektur unrichtiger Daten zu verlangen.
- Recht auf Löschung (Art. 17 DSGVO): Auch bekannt als «Recht auf Vergessenwerden».
- Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO).
- Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Das Recht, die eigenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten.
- Widerspruchsrecht (Art. 21 DSGVO): Insbesondere gegen eine Verarbeitung, die auf berechtigten Interessen beruht.
- Recht auf Widerruf der Einwilligung: Eine erteilte Einwilligung kann jederzeit widerrufen werden.
- Beschwerderecht: Das Recht, eine Beschwerde bei einer Aufsichtsbehörde einzureichen, in der Schweiz beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB).
3. Analyse der spezifischen Datenverarbeitungsvorgänge auf derkrieger.ch
Dieser Abschnitt wendet die rechtlichen Prinzipien auf die konkreten Funktionen der Webseite an und bildet die Grundlage für die spezifischen Klauseln im Entwurf der Datenschutzerklärung.
3.1 Bereitstellung der Webseite und Erstellung von Server-Logfiles
- Verarbeitungsvorgang: Bei jedem Aufruf der Webseite erfasst der Hosting-Provider automatisch technische Daten in sogenannten Server-Logfiles. Dazu gehören die IP-Adresse des Besuchers, der verwendete Browsertyp, das Betriebssystem, Datum und Uhrzeit des Zugriffs sowie die aufgerufene Seite.
- Zweck: Die Erfassung dieser Daten dient der Gewährleistung der Stabilität und Sicherheit des Webservers, beispielsweise zur Erkennung und Abwehr von Cyberangriffen.
- Rechtsgrundlage (DSGVO): Das berechtigte Interesse (Art. 6 Abs. 1 lit. f DSGVO) am sicheren und funktionsfähigen Betrieb der eigenen Webseite.
- Empfänger und Vertrag: Empfänger der Daten ist der Hosting-Provider. Mit diesem muss zwingend ein Auftragsverarbeitungsvertrag (AVV, engl. DPA) abgeschlossen werden, der den Provider zur weisungsgebundenen und sicheren Verarbeitung der Daten verpflichtet.
3.2 Kontaktaufnahme durch Nutzer (via Kontaktformular)
- Verarbeitungsvorgang: Wenn ein Nutzer über das Kontaktformular eine Anfrage zu den angebotenen Dienstleistungen (AI Automation, Beratung, Schulungen) stellt, werden die von ihm eingegebenen Daten wie Name, E-Mail-Adresse und der Inhalt der Nachricht erfasst.
- Grundsatz der Datenminimierung: Das Kontaktformular sollte so gestaltet sein, dass nur die für eine Antwort zwingend notwendigen Felder (in der Regel Name und E-Mail) als Pflichtfelder markiert sind. Weitere Angaben, wie eine Telefonnummer, sollten optional sein.
- Zweck und Zweckbindung: Der Zweck der Verarbeitung ist ausschliesslich die Bearbeitung der konkreten Anfrage und gegebenenfalls die Erstellung eines Angebots. Die Daten dürfen nicht für andere Zwecke, wie beispielsweise den Versand von Werbung, verwendet werden, es sei denn, es liegt eine separate, ausdrückliche Einwilligung vor.
- Rechtsgrundlage (DSGVO): Die Verarbeitung ist zur Durchführung vorvertraglicher Massnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen (Art. 6 Abs. 1 lit. b DSGVO).
- Sicherheit: Die Übertragung der Formulardaten muss zwingend durch eine SSL/TLS-Verschlüsselung (erkennbar an «https://» in der Adresszeile) geschützt sein.
3.3 Webanalyse mittels Google Analytics 4
Der Einsatz von Google Analytics stellt den komplexesten Verarbeitungsvorgang dar und erfordert eine besonders sorgfältige Darstellung in der Datenschutzerklärung. Die grösste rechtliche Herausforderung war lange Zeit die Datenübermittlung in die USA. Eine jüngste Entwicklung hat hier jedoch eine stabile rechtliche Grundlage geschaffen.
3.3.1 Von Google Analytics 4 (GA4) verarbeitete Personendaten
GA4 verarbeitet eine Reihe von Daten, die als Personendaten zu qualifizieren sind. Dazu gehören die IP-Adresse des Nutzers, geräte- und browserspezifische Informationen, Interaktionen auf der Webseite (z.B. Klicks, Verweildauer) und eine eindeutige Client-ID, die in einem Cookie gespeichert wird. Die in GA4 standardmässig aktivierte IP-Anonymisierung reduziert das Risiko, eliminiert es aber nicht vollständig. Dabei wird die volle IP-Adresse zunächst von Google-Servern in der EU empfangen, zur groben Geolokalisierung genutzt und erst dann gekürzt, bevor sie weiterverarbeitet und in die USA übermittelt wird. Da die volle IP-Adresse zumindest temporär verarbeitet wird und weitere eindeutige Kennungen existieren, bleibt der Vorgang relevant für den Datenschutz.
3.3.2 Die Rechtsgrundlage für transatlantische Datenübermittlungen: Eine moderne Lösung
Die USA gelten datenschutzrechtlich als Drittstaat ohne ein generelles, von der EU anerkanntes angemessenes Schutzniveau. Jahrelang war die Rechtsgrundlage für Datenübermittlungen an US-Dienstleister wie Google prekär, nachdem der Europäische Gerichtshof den «Privacy Shield» für ungültig erklärt hatte. Dies führte zu erheblicher Rechtsunsicherheit.
Diese Situation hat sich grundlegend geändert. Mit dem Swiss-U.S. Data Privacy Framework (DPF) wurde ein neuer Angemessenheitsbeschluss geschaffen, der Datenübermittlungen an zertifizierte US-Unternehmen erlaubt. Die entscheidende Information für
derkrieger.ch
ist, dass Google LLC unter diesem Framework aktiv zertifiziert ist. Diese Zertifizierung stellt eine valide und robuste Rechtsgrundlage für die Übermittlung der Analysedaten an Google in den USA dar. Sie ist der wichtigste risikomindernde Faktor und ermöglicht den rechtssicheren Einsatz von Google Analytics, sofern die weiteren Schutzmassnahmen eingehalten werden. Die Datenschutzerklärung muss explizit auf das DPF als Garantie für den Datentransfer hinweisen.
3.3.3 Unerlässliche vertragliche und technische Schutzmassnahmen
- Auftragsverarbeitungsvertrag (AVV/DPA): Der Betreiber von
derkrieger.ch
muss die «Google Ads Data Processing Terms» akzeptieren. Für Nutzer in der Schweiz sind diese Bedingungen in der Regel bereits in die allgemeinen Nutzungsbedingungen integriert, dies sollte jedoch im Google-Analytics-Konto überprüft und dokumentiert werden. Dieser Vertrag verpflichtet Google rechtlich, die Daten nur gemäss den Weisungen des Webseitenbetreibers zu verarbeiten. - Datenschutzfreundliche Einstellungen: In den GA4-Einstellungen sollten die datenschutzfreundlichsten Optionen gewählt werden. Dazu gehört, die Datenspeicherung auf den kürzestmöglichen Zeitraum (2 Monate) zu begrenzen, es sei denn, eine längere Aufbewahrung kann sachlich begründet werden. Zudem sollten Funktionen wie «Google Signals» und andere Optionen zur Datenweitergabe an andere Google-Dienste deaktiviert werden, da diese eine erweiterte Einwilligung erfordern würden.
3.3.4 Einwilligungserfordernis: Das Cookie-Banner
Trotz der genannten Schutzmassnahmen ist der Einsatz von Google Analytics nur mit der vorgängigen, aktiven und informierten Einwilligung der Nutzer zulässig (Opt-in). Dies ergibt sich aus zwei Gründen:
- Cookie-Einwilligung: Nach der ePrivacy-Richtlinie, deren Grundsätze auch in der Schweiz und der EU gelten, erfordert das Setzen von nicht technisch notwendigen Cookies (wie die von Google Analytics) eine explizite Einwilligung.
- Einwilligung in die Verarbeitung: Obwohl theoretisch das «berechtigte Interesse» als Rechtsgrundlage für die Datenverarbeitung dienen könnte, ist es für ein so umfassendes Tracking-Tool wie Google Analytics rechtlich schwach. Die Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) ist die einzig robuste und rechtssichere Grundlage.
In der Praxis bedeutet dies, dass die Webseite ein Cookie-Consent-Banner (oder eine Consent-Management-Plattform, CMP) implementieren muss, das die Google-Analytics-Skripte so lange blockiert, bis der Nutzer aktiv seine Zustimmung erteilt hat.
4. Entwurf: Datenschutzerklärung für derkrieger.ch
Bitte beachten Sie: Dieser Entwurf ist eine auf den bereitgestellten Informationen basierende Mustervorlage. Er muss mit Ihren spezifischen Unternehmensdaten ergänzt werden. Dieser Text ersetzt keine individuelle Rechtsberatung im Einzelfall.
Datenschutzerklärung
Stand:
1. Einleitung und Kontaktdaten des Verantwortlichen
Wir freuen uns über Ihren Besuch auf unserer Webseite derkrieger.ch
. Der Schutz Ihrer persönlichen Daten ist uns ein wichtiges Anliegen. Nachfolgend informieren wir Sie ausführlich über den Umgang mit Ihren Daten.
Verantwortlicher für die Datenverarbeitung auf dieser Webseite im Sinne des Datenschutzgesetzes ist:
[Ihr vollständiger Name / Firmenname]
[Ihre PLZ und Ort] Schweiz E-Mail:
2. Ihre Rechte als betroffene Person
Sie haben bezüglich Ihrer von uns verarbeiteten Personendaten umfassende Rechte. Sie können jederzeit von diesen Rechten Gebrauch machen, indem Sie uns unter der oben genannten Adresse kontaktieren.
- Auskunftsrecht: Sie haben das Recht, von uns eine Bestätigung darüber zu verlangen, ob wir Personendaten von Ihnen verarbeiten. Ist dies der Fall, haben Sie ein Recht auf Auskunft über diese Personendaten und auf weitere Informationen, wie z.B. die Verarbeitungszwecke, die Empfänger und die geplante Speicherdauer.
- Recht auf Berichtigung: Sie haben das Recht, die unverzügliche Berichtigung unrichtiger Personendaten zu verlangen.
- Recht auf Löschung («Recht auf Vergessenwerden»): Sie haben das Recht, die Löschung Ihrer Personendaten zu verlangen, sofern keine rechtlichen Aufbewahrungspflichten oder andere berechtigte Gründe unsererseits der Löschung entgegenstehen.
- Recht auf Einschränkung der Verarbeitung: Sie haben das Recht, die Einschränkung der Verarbeitung Ihrer Daten zu verlangen.
- Widerspruchsrecht: Sofern wir Ihre Daten zur Wahrung berechtigter Interessen verarbeiten, können Sie dieser Verarbeitung jederzeit aus Gründen, die sich aus Ihrer besonderen Situation ergeben, widersprechen.
- Recht auf Widerruf der Einwilligung: Haben Sie uns eine Einwilligung zur Verarbeitung Ihrer Daten erteilt (z.B. für den Einsatz von Google Analytics), können Sie diese Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen.
- Recht auf Datenübertragbarkeit: Sie haben das Recht, Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten oder die Übermittlung an einen anderen Verantwortlichen zu verlangen.
- Beschwerderecht: Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht Ihnen das Recht auf Beschwerde bei einer Aufsichtsbehörde zu. Die zuständige Datenschutzbehörde in der Schweiz ist der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB).
3. Datenverarbeitung beim Besuch unserer Webseite (Server-Logfiles)
Bei jedem Aufruf unserer Webseite erfasst unser System automatisiert Daten und Informationen vom Computersystem des aufrufenden Rechners. Folgende Daten werden hierbei erhoben:
- IP-Adresse des anfragenden Rechners
- Datum und Uhrzeit des Zugriffs
- Name und URL der abgerufenen Datei
- Webseite, von der aus der Zugriff erfolgt (Referrer-URL)
- Verwendeter Browser und ggf. das Betriebssystem Ihres Rechners sowie der Name Ihres Access-Providers
Diese Daten werden von unserem Hosting-Provider temporär in sogenannten Logfiles gespeichert. Die Verarbeitung dieser Daten erfolgt auf der Grundlage unserer berechtigten Interessen gemäss Art. 6 Abs. 1 lit. f DSGVO zur Gewährleistung eines reibungslosen Verbindungsaufbaus und einer sicheren Nutzung der Webseite. Die Daten werden gelöscht, sobald sie für die Erreichung des Zweckes ihrer Erhebung nicht mehr erforderlich sind. Mit unserem Hosting-Provider haben wir einen Auftragsverarbeitungsvertrag abgeschlossen.
4. Kontaktaufnahme
Wenn Sie uns per Kontaktformular oder E-Mail kontaktieren, werden die von Ihnen übermittelten Daten (z.B. Name, E-Mail-Adresse, Inhalt Ihrer Anfrage) zur Bearbeitung Ihrer Anfrage und für den Fall von Anschlussfragen bei uns gespeichert.
Die Verarbeitung dieser Daten erfolgt zur Durchführung vorvertraglicher Massnahmen, die auf Ihre Anfrage hin erfolgen, oder falls Sie bereits Kunde sind, zur Durchführung des Vertrages (Art. 6 Abs. 1 lit. b DSGVO). Die in diesem Zusammenhang anfallenden Daten löschen wir, nachdem die Speicherung nicht mehr erforderlich ist, oder schränken die Verarbeitung ein, falls gesetzliche Aufbewahrungspflichten bestehen. Eine Weitergabe dieser Daten an Dritte findet ohne Ihre Einwilligung nicht statt.
5. Webanalyse mit Google Analytics
Diese Webseite benutzt, Ihre Einwilligung vorausgesetzt, Google Analytics, einen Webanalysedienst. Anbieter ist die Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland. Die Datenverarbeitung erfolgt durch Google Ireland als unser Auftragsverarbeiter, wobei Daten auch an die Muttergesellschaft Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA, übermittelt werden können.
- Zweck der Verarbeitung: Der Einsatz von Google Analytics dient dem Zweck, die Nutzung unserer Webseite zu analysieren, Reports über die Webseitenaktivitäten zusammenzustellen und um unsere Webseite bedarfsgerecht zu gestalten und fortlaufend zu optimieren.
- Rechtsgrundlage: Die Datenverarbeitung durch Google Analytics erfolgt ausschliesslich auf Grundlage Ihrer ausdrücklichen Einwilligung gemäss Art. 6 Abs. 1 lit. a DSGVO, die Sie über unser Cookie-Consent-Banner erteilen. Ohne Ihre Einwilligung wird Google Analytics nicht aktiviert.
- Datenübermittlung in die USA: Für die Übermittlung von Daten von Google Ireland an Google LLC in den USA stützen wir uns auf den Angemessenheitsbeschluss der Europäischen Kommission und der Schweiz für die USA im Rahmen des Swiss-U.S. Data Privacy Framework (DPF). Google LLC ist unter dem DPF zertifiziert, wodurch ein angemessenes Datenschutzniveau für die übermittelten Daten sichergestellt wird.
- IP-Anonymisierung: Wir haben auf dieser Webseite die Funktion IP-Anonymisierung aktiviert. Dadurch wird Ihre IP-Adresse von Google innerhalb von Mitgliedstaaten der Europäischen Union oder in anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum vor der Übermittlung in die USA gekürzt. Nur in Ausnahmefällen wird die volle IP-Adresse an einen Server von Google in den USA übertragen und dort gekürzt.
- Auftragsverarbeitung: Wir haben mit Google einen Vertrag zur Auftragsverarbeitung abgeschlossen und setzen die strengen Vorgaben der Datenschutzbehörden bei der Nutzung von Google Analytics vollständig um.
- Speicherdauer: Die von Google Analytics erfassten Daten werden nach einer Frist von 2 Monaten automatisch gelöscht.
- Widerruf Ihrer Einwilligung: Sie können Ihre einmal erteilte Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen, indem Sie die Cookie-Einstellungen auf unserer Webseite anpassen. Zudem können Sie die Erfassung der durch das Cookie erzeugten und auf Ihre Nutzung der Webseite bezogenen Daten (inkl. Ihrer IP-Adresse) an Google sowie die Verarbeitung dieser Daten durch Google verhindern, indem Sie das unter dem folgenden Link verfügbare Browser-Add-on herunterladen und installieren: https://tools.google.com/dlpage/gaoptout?hl=de.
Weitere Informationen zum Umgang mit Nutzerdaten bei Google Analytics finden Sie in der Datenschutzerklärung von Google: https://support.google.com/analytics/answer/6004245?hl=de.
6. Datensicherheit
Wir verwenden innerhalb des Website-Besuchs das verbreitete SSL/TLS-Verfahren in Verbindung mit der jeweils höchsten Verschlüsselungsstufe, die von Ihrem Browser unterstützt wird. Ob eine einzelne Seite unseres Internetauftrittes verschlüsselt übertragen wird, erkennen Sie an der geschlossenen Darstellung des Schlüssel- beziehungsweise Schloss-Symbols in der Adressleiste Ihres Browsers.
7. Aktualität und Änderung dieser Datenschutzerklärung
Diese Datenschutzerklärung ist aktuell gültig. Durch die Weiterentwicklung unserer Webseite und Angebote oder aufgrund geänderter gesetzlicher beziehungsweise behördlicher Vorgaben kann es notwendig werden, diese Datenschutzerklärung zu ändern. Die jeweils aktuelle Datenschutzerklärung kann jederzeit auf der Webseite von Ihnen abgerufen und ausgedruckt werden.
5. Empfehlungen für die Implementierung und laufende Konformität
Eine Datenschutzerklärung ist ein notwendiger, aber nicht hinreichender Schritt zur Einhaltung der Datenschutzgesetze. Die wahre Konformität zeigt sich in den gelebten Prozessen und der technischen Umsetzung. Die folgenden Massnahmen sind für den rechtssicheren Betrieb von derkrieger.ch
unerlässlich.
5.1 Technische Implementierung
- Integration der Datenschutzerklärung: Erstellen Sie auf Ihrer Webseite eine eigene Unterseite mit dem Titel «Datenschutz» oder «Datenschutzerklärung». Platzieren Sie den obenstehenden Text auf dieser Seite. Verlinken Sie diese Seite gut sichtbar und von jeder Unterseite aus erreichbar im Footer Ihrer Webseite.
- Cookie-Consent-Banner: Implementieren Sie eine professionelle Consent-Management-Plattform (CMP). Es ist von entscheidender Bedeutung, dass diese Plattform eine echte «Opt-in»-Logik umsetzt. Das bedeutet, dass die Skripte von Google Analytics (und anderen nicht notwendigen Diensten) erst dann geladen und ausgeführt werden dürfen, wenn der Nutzer aktiv und informiert seine Einwilligung erteilt hat. Eine blosse Hinweisanzeige genügt nicht.
5.2 Verzeichnis der Verarbeitungstätigkeiten
Sowohl das nDSG (Art. 12) als auch die DSGVO (Art. 30) verpflichten Sie zur Führung eines internen Verzeichnisses aller Verarbeitungstätigkeiten. Dieses Dokument dient als Nachweis Ihrer Konformität gegenüber den Aufsichtsbehörden.
- Pflicht: Diese interne Dokumentation ist zwingend erforderlich.
- Inhalt: Die Informationen, die für die Erstellung der Datenschutzerklärung gesammelt wurden (z.B. Verarbeitungszwecke, Datenkategorien, Empfänger, Rechtsgrundlagen, Speicherdauer), bilden den Kern dieses Verzeichnisses.
- Vorlage: Nutzen Sie eine Vorlage, wie sie beispielsweise von Behörden oder Fachverbänden zur Verfügung gestellt wird, um dieses Verzeichnis zu erstellen und aktuell zu halten.
5.3 Prozessuale Bereitschaft für Betroffenenrechte
Der wahre Test der Konformität erfolgt nicht bei der Veröffentlichung der Datenschutzerklärung, sondern wenn die erste Anfrage zur Ausübung von Betroffenenrechten eintrifft.
- Handlungsempfehlung: Sie müssen darauf vorbereitet sein, auf Anfragen (z.B. auf Auskunft oder Löschung) innerhalb der gesetzlichen Frist von 30 Tagen zu reagieren. Definieren Sie einen internen Prozess:
- Wer empfängt die Anfrage (z.B. die oben genannte E-Mail-Adresse)?
- Wie wird die Identität der anfragenden Person überprüft, um Datenmissbrauch zu verhindern?
- Wie wird die Anfrage (z.B. das Löschen von Daten aus dem E-Mail-Verkehr) technisch umgesetzt?
- Wie wird die Erledigung der Anfrage dokumentiert?
5.4 Das Prinzip der Rechenschaftspflicht: Ein lebendiger Prozess
Datenschutz ist kein einmaliges Projekt, sondern ein kontinuierlicher Prozess. Die Datenschutzerklärung und das Verarbeitungsverzeichnis müssen regelmässig (z.B. jährlich) und bei jeder wesentlichen Änderung Ihrer Datenverarbeitung (z.B. bei der Einführung eines neuen Tools wie eines Newsletters) überprüft und angepasst werden. Diese proaktive Verwaltung ist der Kern des Prinzips der Rechenschaftspflicht und der Schlüssel zur langfristigen Risikominimierung und zur Aufrechterhaltung des Vertrauens Ihrer Nutzer und Kunden.