Fragebogen

Im Rahmen der Informations­pflicht muss veröffentlicht werden, wer datenschutz­rechtlich für die Bearbeitung von Personen­daten verantwortlich ist («Identität des Verantwortlichen»). Die «Bearbeitung» umfasst jeden Umgang mit Personendaten, unabhängig von den verwendeten Mitteln und Verfahren.

Die Verantwortung liegt bei jenen Unternehmen, Organisationen oder Einzel­personen, die entscheiden, wofür, wie und wo Personen­daten bearbeitet werden. Gemeint sind nicht einzelne Personen, die intern bei einem Unternehmen oder in einer Organisation verantwortlich sind.

Bitte gib nur die Firma («Muster AG», «Muster GmbH») oder den Namen ein («Max Muster», «Datenschutzverein Musterdorf», «Stiftung für Datenschutz»).

Wir verwenden in der erstellten Datenschutz­erklärung immer die Wir-Form.

Eine Website oder ein sonstiges Online-Angebot ist immer unter einem Domain­namen abrufbar. Bitte gib nur den Domain­namen ohne «https://» ein, zum Beispiel muster.ch, muster.com oder muster.swiss.

Sofern «www» verwendet wird und die Website nur unter Verwendung von «www» abrufbar ist, kannst Du «www» dem Domain­namen voranstellen, zum Beispiel www.muster.ch.

Wir gehen davon aus, dass Verantwortliche ihre allgemeine Datenschutz­erklärung auf ihrer Website veröffentlichen. Wir sehen in der erstellten Datenschutzerklärung vor, dass weitere Datenschutz­erklärungen für einzelne oder zusätzliche Aktivitäten und Tätigkeiten gelten können.

Wer für die Bearbeitung von Personen­daten verantwortlich ist, muss seine Kontakt­daten veröffentlichen. Die Kontakt­daten umfassen insbesondere die E-Mail-Adresse.

Bitte gib eine gültige E-Mail-Adresse ein. Du kannst eine allgemeine E-Mail-Adresse (info@muster.ch), eine besondere E-Mail-Adresse (datenschutz@muster.ch) oder eine persönliche E-Mail-Adresse (max.muster@muster.ch) verwenden.

Wir empfehlen sicherzustellen, dass E-Mail an die genannte E-Mail-Adresse zustellbar ist. Dazu gehört, dass regelmässig geprüft wird, ob E-Mails fälschlicherweise als Spam gefiltert wurden, damit keine Anfragen von betroffenen Personen versäumt werden.

Wer für die Bearbeitung von Personen­daten verantwortlich ist, muss seine Kontakt­daten veröffentlichen. Die Kontakt­daten umfassen insbesondere die Post­adresse. Die Post­adresse entspricht normalerweise dem Sitz oder Wohnsitz des Verantwortlichen und damit der Adresse gemäss Impressum.

Bitte gib die Post­adresse mehrzeilig mit Strasse und Hausnummer, Post­leitzahl und Ort sowie allenfalls Land ein, zum Beispiel wie folgt:

Musterstrasse 42
2323 Musterdorf
Schweiz

Wir empfehlen sicherzustellen, dass Brief- und Paketpost an die genannte Adresse zustellbar ist. Anfragen von Aufsichts­behörden, sonstigen Behörden, Gerichten und betroffenen Personen müssen zustellbar sein. Wir raten davon ab, eine Postfach-Adresse zu verwenden. «CH» vor der Postleitzahl wird nicht mehr verwendet.

Diese Angaben benötigen wir für das Impressum der Website.

Die Frage muss fast immer mit Ja beantwortet werden. Es kommt nur selten vor, dass keinerlei Kontaktmöglichkeiten angeboten werden.

Um Anfragen im Rahmen der angebotenen Kontaktmöglichkeiten zu beantworten und anderweitig zu bearbeiten, werden häufig Customer-Relationship-Management (CRM)- oder Kundendienst-Systeme verwendet. Solche Systeme erleichtern und verbessern die Kommunikation mit Kunden und sonstigen Personen.

Viele CRM- und Kundendienst-Systeme werden als Cloud-Dienste beziehungs­weise als Software-as-a-Service (SaaS)-Angebot genutzt. Beispiele sind Freshworks, Help Scout, HubSpot, Salesforce und Zendesk.

Viele Unternehmen und andere Verantwortliche nutzen spezialisierte Online-Dienste für die Vereinbarung von Terminen, insbesondere für Besprechungen. Ein beliebter Dienst aus den USA ist Calendly, eine Alternative aus Europa ist SimplyMeet.

Viele Unternehmen und andere Verantwortliche nutzen einen spezialisierten Dienst für die Online-Zusammenarbeit. Solche Dienste ermöglichen beispielsweise den Austausch bei Besprechungen, gemeinsamen Projekten und Schulungen. Ein beliebter Dienst ist die Whiteboard-Plattform Miro.

Viele Unternehmen, aber auch Bildungseinrichtungen und andere Verantwortliche, nutzen spezialisierte Dienste für Audio- und Video-Konferenzen. Mit solchen Diensten können unter anderem virtuelle Besprechungen abgehalten oder Online-Unterricht und Webinare durchgeführt werden. Beispiele sind Microsoft Teams, Skype und Zoom.

Viele Unternehmen und sonstige Verantwortliche versenden Newsletter oder vergleichbare Mitteilungen. Es handelt sich normalerweise um eine Form von Marketing beziehungsweise Werbung. E-Mail ist der häufigste Kommunikationskanal, aber es können auch andere Kommunikationskanäle wie beispielsweise Instant Messaging oder SMS verwendet werden. Solche Mitteilungen können selbst oder über spezialisierte Dienstleister versendet werden.

Wir gehen für die erstellte Datenschutzerklärung davon aus, dass beim Versand von Mitteilungen eine Erfolgsmessung erfolgt, das heisst, es wird nach Möglichkeit gemessen, ob eine Mitteilung geöffnet wird und welche Weblinks dabei angeklickt werden.

Für den Versand und die Verwaltung von Benachrichtigungen und Mitteilungen wie E-Mail-Newsletter oder Transaktions-E-Mails werden häufig spezialisierte Dienstleister verwendet. Solche Dienstleister sind beispielsweise Amazon Simple Email Service (SES), Brevo, CleverReach, Mailchimp, Mailjet, MailPoet und SendGrid.

Viele Unternehmen und andere Verantwortliche sind auf einer Social Media-Plattform oder einer sonstigen Online-Plattform präsent. Bekannte Social Media-Plattformen sind Facebook, Instagram, LinkedIn, TikTok, Twitter und YouTube.

Wir empfehlen, die Frage im Zweifelsfall mit Ja zu beantworten.

Viele Websites verwenden Dienste, um gezielt Werbung bei Dritten wie beispielsweise Social Media-Plattformen und Suchmaschinen anzeigen zu lassen. Beispiele sind insbesondere Facebook Ads (auch mit Facebook Pixel), Google Ads (ehemals Google AdWords) und LinkedIn Ads.

Viele Websites werden genutzt, um direkte Einnahmen zu erzielen (E-Commerce). Im Vordergrund stehen das Angebot von kostenpflichtigen Dienstleistungen und Waren (Onlineshop) sowie die Anzeige von Werbung für Dritte. Hingegen dienen Websites, die lediglich über Dienstleistungen und Waren informieren, ohne diese anzubieten, nicht der Erzielung von direkten Einnahmen. Es genügt, wenn versucht wird, Einnahmen zu erzielen. Ob der Versuch erfolgreich ist, spielt datenschutzrechtlich gesehen keine Rolle.

Viele Arbeitgeberinnen und Arbeitgeber ermöglichen spontane Bewerbungen oder schreiben Stellen aus, auch über digitale Kommunikationskanäle wie beispielsweise ihre Website. Im Zweifelsfall empfehlen wir, die Frage mit ja zu beantworten, da Spontan-Bewerbungen immer denkbar sind.

Video-Überwachung wird häufig genutzt, um das Hausrecht zu wahren sowie Straftaten vorzubeugen und – wenn es trotzdem zu Straftaten kommt – Beweise sichern zu können. Wir gehen für die generierte Datenschutzerklärung davon aus, dass die Video-Überwachung diesem Zweck dient.

Bei Video-Überwachung muss insbesondere die Information der betroffenen Personen gewährleistet werden. Wir gehen für die generierte Datenschutzerklärung davon aus, dass zweistufig informiert wird:
Vor Ort wird mit einem Hinweisschild über die Video-Überwachung informiert. Alle weiteren Informationen über die Video-Überwachung finden sich in der allgemeinen, auf der Website veröffentlichten Datenschutzerklärung.

Gemeint sind Personen, die sich im Europäischen Wirtschaftsraum (EWR) aufhalten. Zum EWR zählen die Europäische Union (EU) sowie das Fürstentum Liechtenstein, Island und Norwegen. EU-Mitglieder sind beispielsweise Deutschland und Österreich.

Es spielt keine Rolle, ob das Angebot kostenpflichtig oder kostenlos erfolgt. Das Angebot kann zum Beispiel kostenlose E-Books, Newsletter oder Whitepaper für Empfänger in Deutschland und anderswo im EWR umfassen. Die Absicht genügt, das heisst, es kommt nicht auf den Angebotserfolg an. Indizien sind beispielsweise der Versand an Personen im EWR, Werbung mit Ausrichtung auf Personen im EWR, die Nutzung von EWR-bezogenen Top-Level-Domains (TLD) wie .at, .de, .eu oder .li, die Erwähnung von Kundschaft im EWR oder die Verwendung von fremden Sprachen sowie Währungen.

Verantwortliche in der Schweiz, die teilweise der europäischen Datenschutz-Grundverordnung (DSGVO) unterliegen, müssen in fast allen Fällen eine sogenannte Datenschutz-Vertretung in der Europäischen Union (EU) benennen.

Die EU-Datenschutz-Vertretung dient betroffenen Personen und Behörden in der Europäischen Union (EU) und im übrigen Europäischen Wirtschaftsraum (EWR) als zusätzliche Anlaufstelle für Anfragen im Zusammenhang mit der DSGVO.

Der Sitz der EU-Datenschutz-Vertretung muss sich in einem EU-Mitgliedstaat mit betroffenen Personen, deren Daten bearbeitet werden, befinden. Aus schweizerischer Sicht steht normalerweise Deutschland als Mitgliedstaat im Vordergrund.

Die EU-Datenschutz-Vertretung kann nicht gleichzeitig als Datenschutzbeauftragter oder Datenschutzberaterin tätig sein.

Eine allfällige Datenschutz­beraterin oder ein allfälliger Datenschutz­beauftragter muss in der Datenschutz­erklärung genannt werden.

«Datenschutz­beraterin» bzw. «Datenschutz­berater» ist die schweizerische Bezeichnung für die «Datenschutz­beauftragte» bzw. den «Datenschutz­beauftragten» gemäss europäischer Datenschutz-Grundverordnung (DSGVO). Die frühere schweizerische Bezeichnung lautete «betriebliche Datenschutz­verantwortliche» bzw. «betrieblicher Datenschutz­verantwortlicher».

Eine Datenschutz­beraterin bzw. ein Datenschutz­beauftragter muss unter anderem über die erforderlichen Fach­kenntnisse verfügen, darf keinen Interessen­konflikten unterliegen und muss die Tätigkeit fachlich unabhängig wie auch weisungsungebunden ausüben können.

Wir empfehlen zu prüfen, ob es erforderlich ist, eine Datenschutz­beraterin bzw. einen Datenschutz­beauftragten zu ernennen. Beratung, Schulung und weitere Aufgaben im Zusammenhang mit dem Datenschutz können allenfalls auch von Personen wahrgenommen werden, die nicht als Datenschutz­beraterinnen bzw. Datenschutz­beauftragte im datenschutz­rechtlichen Sinn tätig sind.