(gültig ab ca. Mitte 2022)

Welche Datenbearbeitungen werden unter dem neuen Datenschutzgesetz geregelt?

Die Bearbeitung von Personendaten von natürlichen Personen, welche durch private Personen oder auch Bundesorgane erfasst werden. Personendaten, welche zum persönlichen Gebrauch bearbeitet werden, sind vom Gesetz nicht geregelt.

Übrigens: Im  neuen Datenschutzgesetz ist die Bearbeitung von Daten über juristische Personen nicht mehr geschützt, wohl aber gilt nach wie vor ein Schutz über andere Gesetze.

Unter das Gesetz fallen Datenbearbeitungen, welche in der Schweiz und im Ausland erfolgen, sofern diese sich auch in der Schweiz auswirkt. 

(Art. 2 und 3 DSG)

Was sind Personendaten?

Darunter fallen alle Informationen, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen.

  • Bestimmte Person: Wenn es sich aus der Information selbst ergibt, dass es sich genau um diese Person handelt.
  • Bestimmbare Person: Wenn aufgrund zusätzlicher Informationen auf sie geschlossen werden kann.
(BGE 136 II 598 E. 3.2)

Was fällt unter die «Bearbeitung» von Daten?

Darunter fällt jeder Umgang mit Daten, wie das Beschaffen, das Speichern, Aufbewahren, Verwenden, Verändern, Bekanntgeben oder Archivieren von Daten. Aber auch das Löschen oder Vernichten der Daten fällt darunter. 

(Art. 5 lit. d DSG)

Welche Grundsätze müssen bei der Bearbeitung eingehalten werden?

Bei der Bearbeitung müssen folgende Grundsätze eingehalten werden:

  • Die Bearbeitung muss rechtmässig erfolgen, muss nach Treu und Glauben erfolgen und verhältnismässig sein.
  • Personendaten dürfen nur zu einem bestimmten Zweck beschafft werden. Dieser Zweck muss für die betroffene Person bei der Beschaffung erkennbar sein. Die Daten dürfen danach nur in dem Sinn bearbeitet werden, als dies vom Zweck erfasst ist.
  • Sobald für die Verfolgung des Zwecks die Aufbewahrung der Daten nicht mehr erforderlich ist, sind sie vernichten oder zu anonymisieren.
  • Wer Personendaten bearbeitet, muss sich über die Richtigkeit der Daten vergewissern. Sind die Daten für einen bestimmten Zweck unrichtig oder unvollständig erfasst, müssen diese berichtigt, gelöscht oder vernichtet werden.
  • Eine Einwilligung zur Datenverarbeitung ist nur gültig, wenn sie freiwillig erteilt wird.
 
(Art. 6 DSG)

Wann muss für die Bearbeitung von Personendaten von den betroffenen Personen eine Einwilligung eingeholt werden?

Eine Einwilligung muss nur in bestimmten Fällen eingeholt werden, nämlich

  • wenn es für um die Bearbeitung von besonders schützenswerten Personendaten handelt, oder
  • bei einem Profiling mit hohem Risiko durch eine Privatperson, oder
  • ein Profiling durch ein Bundesorgan

(Art. 6 DSG)

Mit welchen Massnahmen muss die Datenbearbeitung umgesetzt werden?

Die Datenbearbeitung muss mit technischen und organisatorischen Massnahmen so umgesetzt werden, dass sie folgende Kriterien berücksichtigt:

  • der Stand der Technik,
  • die Art und der Umfang der Datenbearbeitung,
  • dem Risiko angemessen, welches die Datenbearbeitung für die Persönlichkeit oder die Grundrechte der betroffenen Personen mit sich bringt.


Es ist dabei auch von Privacy by Design die Rede.

(Art. 7 DSG)

Mit welchen Voreinstellungen muss ein Verantwortlicher gegenüber den betroffenen Personen die Bearbeitung der Personendaten anbieten?

Sofern der betroffenen Person vor der Datenbearbeitung eine Auswahlmöglichkeit vorsieht, so muss er die Voreinstellungen so wählen, dass diese auf das nötige Mindestmass der Datenbearbeitung beschränkt ist, der vorgesehene Zweck für die Datenbearbeitung noch sichergestellt ist (Privacy by Default). Die betroffene Person muss es also selbst überlassen sein, ob sie dem Verantwortlichen weitere Befugnisse für eine Datenbearbeitung einräumen will, als dies für den Verwendungszweck notwendig ist.

(Art. 7 Abs. 3 DSG)

Welche Aufgaben hat ein Datenschutzberater in einem Unternehmen?

Ein Datenschutzberater in einem Unternehmen hat folgende Funktionen:

  • Anlaufstelle für die betroffene Personen und die Behörden
  • Zuständig für die Schulung und Beratung des Unternehmen in datenschutzrechtlichen Fragen
  • Mitwirkung bei de Anwendung des Datenschutzes


(Art. 10 DSG)

Welche Vorteile kann die Bestimmung eines Datenschutzberaters haben?

Kann ein Unternehmen bei der Erstellung der Datenschutz-Folgenabschätzung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen nicht vermeiden, kann er anstelle des EDÖB, seinen eingesetzten Datenschutzberater konsultieren.

Dies setzt aber voraus, der Datenschutzberater seine Funktion fachlich unabhängig und weisungsungebunden wahrnimmt und keine Tätigkeiten ausübt, welche mit seinen Aufgaben als Datenschutzbeauftragter unvereinbar sind.

Das Unternehmen muss die Kontaktdaten des Datenschutzbeauftragten an den EDÖB melden.

(Art. 10 Abs. 3, 23 Abs. 4 DSG)

Wie müssen Auftragsbearbeiter und Verantwortliche bei der Bearbeitung von Personendaten vorgehen?

Sie haben ein Verzeichnis über die Bearbeitungstätigkeiten zu erstellen.

Das Verzeichnis des Verantwortlichen hat folgendes zu enthalten:

  • die Identität des Verantwortlichen
  • den Bearbeitungszweck
  • Beschreibung der Kategorien betroffener Personen und der Kategorien der bearbeiteten Personendaten
  • die Kategorien der Empfängerinnen und Empfänger
  • wenn möglich die Aufbewahrungsdauer der Personendaten oder die Kriterien zur Festlegung dieser Dauer
  • wenn möglich eine allgemeine Beschreibung der Massnahmen zur Gewährleistung der Datensicherheit
  • falls die Daten ins Ausland bekanntgegeben werden, die Angabe des Staates sowie die Garantien
 
Das Verzeichnis des Auftragsbearbeiters enthält Angaben zu:
  • Identität des Auftragsbearbeiters und des Verantwortlichen
  • zu den Kategorien von Bearbeitungen, die im Auftrag des Verantwortlichen durchgeführt werden
  • sowie Angaben zur Gewährleistung der Datensicherheit und zu den Garantien, wenn die Daten ins Ausland bekannt gegeben werden.


(Art. 12 DSG)

Wann muss ein Unternehmen aus dem Ausland eine Vertretung in der Schweiz bestimmen?

Wenn Personendaten von Personen in der Schweiz bearbeitet werden und folgende Voraussetzungen erfüllt sind:

  • Es werden Waren oder Dienstleistungen an Personen in der Schweiz angeboten
  • Das Verhalten von Personen in der Schweiz wird beobachtet
  • Die Bearbeitung ist umfangreich
  • Die Beabeitung erfolgt regelmässig
  • für die betroffenen Personen bringt die Bearbeitung ein hohes Risiko mit sich


(Art. 14 DSG)

Welche Aufgaben muss eine Vertretung in der Schweiz erfüllen?

Sie muss ein Verzeichnis mit den Bearbeitungstätigkeiten erstellen. Sollte der EDÖB nachfragen, muss sie dieses Verzeichnis nachweisen.

Gegenüber den betroffenen Personen muss sie Auskunft erteilen können, wie sie ihre Rechte geltend machen kann.

(Art. 15 DSG)