1 / Daten
Wen schützt das neue Datenschutzrecht und was regelt es?
-
Das Datenschutzrecht schützt Personen, über die Daten bearbeitet werden.
-
Der Schutz der Persönlichkeit sowie der informationellen Selbstbestimmung stehen im Vordergrund. Es wird die Bearbeitung von Personendaten geregelt, die Behörden des Bundes oder private natürliche oder juristische Personen (z.B. Vereine oder kaufmännische Unternehmen) vornehmen.
-
Der zentrale datenschutzrechtliche Erlass beim Bund ist das Bundesgesetz über den Datenschutz. Es gibt aber auch in vielen anderen Bundesgesetzen Datenschutzvorschriften, die zu beachten sind, z.B. im Sozialversicherungs- oder im Polizeirecht des Bundes.
​
Was sind Personendaten nach dem DSG?
Personendaten sind alle Informationen, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen.
2 / EU DS-GVO
Gilt die EU DS-GVO auch in der Schweiz?
Die DS-GVO gilt nicht unmittelbar in der Schweiz. Sie könnte aber konkret u.a. dann auch für Schweizer Unternehmen gelten, wenn diese Daten von in der EU ansässigen Personen bearbeiten, um Waren oder Dienstleistungen in der EU anzubieten, oder wenn die Daten dazu dienen, das Verhalten der Personen zu beobachten, z.B. die Analyse der Daten von Website Besuchern oder von App-Nutzern aus der EU.
​
3 / Auskunftsrecht
Eine Person will vom Verantwortlichen Auskunft darüber, ob und welche Personendaten über sie bearbeitet werden. Muss ein Auskunftsbegehren begründet sein?
Nein. Jede Person kann beim Verantwortlichen Auskunft darüber verlangen, ob und wenn ja, welche Personendaten über sie bearbeitet werden, ohne ein Interesse für die Auskunft nachzuweisen oder glaubhaft zu machen.
​
Wer muss Auskunft erteilen?
Der Verantwortliche, also die private Person oder das Bundesorgan, welche allein oder gemeinsam mit anderen Zweck und Mittel der Bearbeitung von Personendaten festlegt. Wenn mehrere Verantwortliche gemeinsam Personendaten bearbeiten, kann das Auskunftsrecht bei jedem von ihnen ausüben.
Lässt der Verantwortliche Personendaten von einem Auftragsbearbeiter bearbeiten, bleibt er totzdem auskunftspflichtig. Der Auftragsbearbeiter unterstützt den Verantwortlichen bei der Auskunftserteilung, sofern er die Anfrage nicht im Auftrag des Verantwortlichen selbst beantwortet.
​
Welche Informationen muss der Verantwortliche mitteilen?
Die betroffene Person erhält diejenigen Informationen, die erforderlich sind, damit sie ihre Rechte geltend machen kann und die transparente Datenbearbeitung gewährleistet ist.
In jedem Fall müssen folgende Informationen mitgeteilt werden:
-
die Identität und die Kontaktdaten des Verantwortlichen;
-
die bearbeiteten Personendaten als solche;
-
der Bearbeitungszweck;
-
die Aufbewahrungsdauer der Personendaten oder, falls dies nicht möglich ist, die Kriterien zur Festlegung dieser Dauer;
-
die verfügbaren Angaben über die Herkunft der Personendaten, soweit sie nicht bei der betroffenen Person beschafft wurden;
-
gegebenenfalls das Vorliegen einer automatisierten Einzelentscheidung sowie die Logik, auf der die Entscheidung beruht;
-
gegebenenfalls die Empfängerinnen und Empfänger oder die Kategorien von Empfängerinnen und Empfängern, denen Personendaten bekanntgegeben werden, sowie die Informationen nach Artikel 19 Absatz 4 des Datenschutzgesetzes (DSG).
​
Innerhalb welcher Frist muss der Verantwortliche Auskunft erteilen?
Die Auskunft wird in der Regel innerhalb von 30 Tagen nach Eingang des Begehrens erteilt.
Wenn die Auskunft nicht innerhalb von 30 Tagen erteilt werden kann, muss der Verantwortliche dies mitteilen und die Frist nennen, innerhalb derer die Auskunft erteilt wird. Wenn der Verantwortliche die Auskunft verweigert, einschränkt oder aufschiebt, muss er dies innerhalb derselben Frist mitteilen.
​
Muss einer Person immer Auskunft erteilt werden?
In der Regel hat die Person Anspruch auf eine vollständige und korrekte Auskunft darüber, welche Daten über sie bearbeitet werden. Diese Auskunft darf nur verweigert, eingeschränkt oder aufgehoben werden, wenn dies ein Gesetz im formellen Sinn vorsieht oder es aufgrund überwiegender Interessen Dritter notwendig ist.
Private Personen dürfen die Auskunft zudem verweigern, einschränken oder aufschieben, wenn eigene überwiegende Interessen es erfordern und sie die Personendaten nicht Dritten bekanntgeben.
Wenn der Datenverantwortliche aus einem der oben erwähnten Gründe die Auskunft verweigert, einschränkt oder aufschiebt, muss er die betroffene Person darüber informieren. Er muss seine Entscheidung begründen.
​
4 / Bearbeitungsreglement
Müssen KMU ein Bearbeitungsreglement erstellen?
Ein Bearbeitungsreglement muss von privaten Datenbearbeitern erstellt werden, wenn sie eine automatisierte Bearbeitung von besonders schützenswerten Personendaten in grossem Umfang vornehmen oder ein Profiling mit hohem Risiko durchführen.
​
Was steht in einem Bearbeitungsreglement?
Das Reglement (in Form eines Handbuchs oder als Dokumentation) macht Angaben zur internen Organisation, z.B. zu den Datenbearbeitungsverfahren, Datenbekanntgaben und Ausübung der Auskunftsrechte; zu den Kontrollverfahren und zu den technischen und organisatorischen Massnahmen der Datensicherheit.
​
5 / Bearbeitungsverzeichnis
Müssen KMU ein Bearbeitungsverzeichnis führen?
Unternehmen und sonstige privatrechtliche Organisationen mit mehr als 250 Mitarbeitenden sowie Bundesorgane müssen ein Verzeichnis der Bearbeitungstätigkeiten führen.
Kleinere Unternehmen und privatrechtliche Organisationen sowie natürliche Personen müssen ebenfalls ein Bearbeitungsverzeichnis führen, wenn sie besonders schützenswerte Personendaten in grossem Umfang bearbeiten oder ein Profiling mit hohem Risiko durchgeführt wird.
Achtung: Auch wenn ein Unternehmen von der Pflicht zur Führung eines Bearbeitungsverzeichnisses ausgenommen ist, gelten die übrigen Bestimmungen des Datenschutzgesetzes, insbesondere Auskunfts- und Informationspflichten, trotzdem.
​
Was steht in einem Bearbeitungsverzeichnis?
Aus dem Verzeichnis des Verantwortlichen sollten folgende Angaben ersichtlich sein:
-
Bearbeitungsvorgang – z.B. HR, Kundenbetreuung, Finanzen, Marketing…
-
Zweck der Bearbeitung – warum werden die Daten benötigt?
-
Kategorien betroffener Personen – z.B. Kunden, Mitarbeitende
-
Kategorien bearbeiteter Personendaten – z.B. Adressdaten, Zahlungsdaten, Bilder
-
Kategorien Empfängerinnen – z.B. Werbeagentur, Hosting, Inkasso
-
Bekanntgabe ins Ausland – in welche Staaten und – wo nötig – mit welchen Garantien?
-
Aufbewahrungsdauer
-
Massnahmen der Datensicherheit
​
6 / Datenschutzerklärung
Wozu dienen Datenschutzerklärungen?
Datenschutzerklärungen sollen die Nutzenden einer Website darüber informieren, welche Personendaten erfasst und zu welchen Zwecken sie bearbeitet werden. Zudem sollte daraus ersichtlich sein, ob und welche Daten zur Bearbeitung an Dritte weitergegeben werden. Die Datenschutzerklärung konkretisiert die Informationspflichten der Verantwortlichen nach Art. 19 DSG. Hiernach müssen die Nutzenden ausreichend und verständlich informiert werden, um frei entscheiden zu können, ob und wie sie ihre Daten bearbeiten lassen möchten. Zudem müssen die notwendigen Informationen mitgeteilt werden, damit die Nutzenden ihre Rechte geltend machen können. Deshalb muss die Erklärung mit der erforderlichen Sorgfalt und Genauigkeit sowie zielgruppengerecht verfasst werden. Wenn das Angebot auf der Website in mehreren Sprachen angeboten wird, dann sollte die Datenschutzerklärung auch in diesen Sprachen bereitgestellt werden. Eine transparente Information über die praktizierten Datenbearbeitungen ist wesentlich, um das Vertrauen der Nutzenden zu gewinnen.
​
Was muss bei der Ausarbeitung einer Datenschutzerklärung berücksichtigt werden?
Zunächst sind die Datenprozess im Unternehmen zu analysieren und klare Regelungen im Umgang mit Personendaten zu erlassen. Aufgrund dieser Angaben kann die Datenschutzerklärung verfasst werden. Die Erklärung muss die Bestimmungen des Datenschutzgesetzes berücksichtigen und mit den tatsächlich vorgenommenen Datenbearbeitungen übereinstimmen. Zu unbestimmte Formulierungen sollten vermieden werden.
​
Was muss zunächst geklärt werden?
-
Welche Personendaten werden gesammelt?
-
Welche Personendaten sind für die Erbringung der Dienstleistung erforderlich?
-
Wie und woher (interne oder externe Quellen) werden Personendaten beschafft?
-
Zu welchen Zwecken werden Personendaten verwendet?
-
Wer ist für die Kontrolle der gesammelten Personendaten verantwortlich?
-
Wer hat Zugang zu den Daten?
-
Wie, wo und wie lange werden Personendaten gespeichert?
-
Werden Daten ins Ausland übertragen?
-
Werden Personendaten Dritten bekanntgegeben und zu welchem Zweck?
-
Werden Dienstleistungen oder Produkte von Dritten in die Webseite eingebunden und welche Daten an diese übertragen (Analysetools, Social Plugins, Maps, etc.)?
-
Existieren interne Richtlinien oder Vorschriften für das Sammeln, das Bearbeiten und die Weitergabe dieser Daten?
-
An wen und wie können sich die betroffenen Personen wenden, um Einsicht, Löschung oder Berichtigung der Daten zu verlangen bzw. einer Datenbearbeitung zu widersprechen?
​
Wie muss eine Datenschutzerklärung aussehen?
Die Erklärung sollte Nutzende über folgende Punkte informieren:
-
Wer ist verantwortlich für die Datenbearbeitung?
-
Welche Personendaten werden gesammelt?
-
Zu welchen Zwecken werden die gesammelten Personendaten bearbeitet?
-
Wie lange werden diese gesammelten Personendaten aufbewahrt?
-
Welche Wahlmöglichkeiten zur Bearbeitung ihrer Daten stehen den Nutzenden zu?
-
Welche Daten werden an Dritte weitergegeben und für welche Zwecke?
-
Welche Dienstleistungen oder Produkte auch von Dritten werden eingebunden und wie können die Nutzenden der damit verbundenen Datenübermittlung widersprechen?
-
Über welche Kontaktadresse können Fragen zur Datenbearbeitung gestellt werden bzw. wo können Datenschutzechte (z.B. Auskunft, Berichtigung, Löschung, Widerspruch, Portabilität) geltend gemacht werden?
-
Welchen Gesetzen untersteht die Datenbearbeitungspraxis des Anbieters?
​
Die Datenschutzerklärung sollte zielgruppengerecht gestaltet werden. Eine mehrstufige Information hat sich hierzu bewährt.
Auf oberster Stufe sollten knappe und einfach verständliche Informationen, z.B. stichwortartig, einen ersten Überblick über die wesentlichen Aspekte der Datenbearbeitung vermitteln, damit die Nutzenden leicht und schnell verstehen können, welche Daten über sie erhoben und wie diese verwendet werden. Gegebenenfalls mittels Verlinkung sollten dann den Nutzenden die Möglichkeit gegeben werden, auf die ausführliche Datenschutzerklärung zu gelangen.
Stichworte können in der Übersicht direkt mit den relevanten Passagen in der ausführlichen Datenschutzerklärung verlinkt werden.
Auf einer dritten Stufe können vertiefte und detailliertere Informationen angeboten werden.
Wenn eine Webseite auf ein internationales Publikum abzielt, müssen internationale Vorschriften, die weitere Informationen erforderlich machen, geprüft werden.
Die Erklärung muss auf der Website so zu platziert werden, dass sie für Nutzende von jeder Seite aus leicht zugänglich ist (oberste Ebene).
​
7 / Persönlichkeitsverletzungen
Wer Personendaten bearbeitet, darf die Persönlichkeit der betroffenen Personen nicht widerrechtlich verletzen.
Was sind Persönlichkeitsverletzungen?
Eine Persönlichkeitsverletzung liegt insbesondere vor, wenn:
-
Personendaten entgegen den Grundsätzen nach den Artikeln 6 und 8 DSG bearbeitet werden;
-
Personendaten entgegen der ausdrücklichen Willenserklärung der betroffenen Person bearbeitet werden;
-
Dritten besonders schützenswerte Personendaten bekanntgegeben werden.
In der Regel liegt keine Persönlichkeitsverletzung vor, wenn die betroffene Person die Personendaten allgemein zugänglich gemacht und eine Bearbeitung nicht ausdrücklich untersagt hat.
​
7.1 / Rechtfertigungsgründe
Eine Persönlichkeitsverletzung ist widerrechtlich, wenn sie nicht durch Einwilligung der betroffenen Person, durch ein überwiegendes privates oder öffentliches Interesse oder durch Gesetz gerechtfertigt ist.
​
Wann liegt ein berechtigtes Interesse des Verantwortlichen vor?
Ein überwiegendes Interesse des Verantwortlichen liegt insbesondere in folgenden Fällen vor:
-
Der Verantwortliche bearbeitet die Personendaten über die Vertragspartnerin oder den Vertragspartner in unmittelbarem Zusammenhang mit dem Abschluss oder der Abwicklung eines Vertrags.
-
Der Verantwortliche steht mit einer anderen Person in wirtschaftlichem Wettbewerb oder wird in wirtschaftlichen Wettbewerb treten und bearbeitet zu diesem Zweck Personendaten, die Dritten nicht bekanntgegeben werden; Anmerkung: Nicht als Dritte im Rahmen dieser Bestimmung gelten Unternehmen, die zum selben Konzern gehören wie der Verantwortliche.
​
Wie sieht das im Zusammenhang der Prüfung der Kreditwürdigkeit aus?
Hierzu müssen die folgenden Voraussetzungen erfüllt sein:
-
Es handelt sich weder um besonders schützenswerte Personendaten noch um ein Profiling mit hohem Risiko.
-
Die Daten werden Dritten nur bekanntgegeben, wenn diese die Daten für den Abschluss oder die Abwicklung eines Vertrags mit der betroffenen Person benötigen.
-
Die Daten sind nicht älter als zehn Jahre.
-
Die betroffene Person ist volljährig.
​
Unter welchen weiteren Umständen liegt ein berechtigtes Interesse vor?
-
Der Verantwortliche bearbeitet die Personendaten beruflich und ausschliesslich zur Veröffentlichung im redaktionellen Teil eines periodisch erscheinenden Mediums oder die Daten dienen ihm, falls keine Veröffentlichung erfolgt, ausschliesslich als persönliches Arbeitsinstrument.
-
Der Verantwortliche sammelt Personendaten über eine Person des öffentlichen Lebens, die sich auf das Wirken dieser Person in der Öffentlichkeit beziehen.
-
Der Verantwortliche bearbeitet die Personendaten für nicht personenbezogene Zwecke, insbesondere für Forschung, Planung oder Statistik, wobei die folgenden Voraussetzungen erfüllt sind:
-
​Er anonymisiert die Daten, sobald der Bearbeitungszweck dies erlaubt; ist eine Anonymisierung unmöglich oder erfordert sie einen unverhältnismässigen Aufwand, so trifft er angemessene Massnahmen, um die Bestimmbarkeit der betroffenen Person zu verhindern.
-
Handelt es sich um besonders schützenswerte Personendaten, so gibt er diese Dritten so bekannt, dass die betroffene Person nicht bestimmbar ist; ist dies nicht möglich, so muss gewährleistet sein, dass die Dritten die Daten nur zu nicht personenbezogenen Zwecken bearbeiten.
-
Die Ergebnisse werden so veröffentlicht, dass die betroffenen Personen nicht bestimmbar sind.
-
​
8 / Rechtsansprüche Betroffener
Die betroffene Person kann verlangen, dass unrichtige Personendaten berichtigt werden, es sei denn:
-
eine gesetzliche Vorschrift verbietet die Änderung;
-
die Personendaten werden zu Archivzwecken im öffentlichen Interesse bearbeitet.
​
Was ist bei Klagen zu beachten?
Klagen zum Schutz der Persönlichkeit richten sich nach den Artikeln 28, 28a sowie 28g–28l des Zivilgesetzbuchs. Die klagende Partei kann insbesondere verlangen, dass:
-
eine bestimmte Datenbearbeitung verboten wird;
-
eine bestimmte Bekanntgabe von Personendaten an Dritte untersagt wird;
-
Personendaten gelöscht oder vernichtet werden.
​
Kann weder die Richtigkeit noch die Unrichtigkeit der betreffenden Personendaten festgestellt werden, so kann die klagende Partei verlangen, dass ein Bestreitungsvermerk angebracht wird.
Die klagende Partei kann zudem verlangen, dass die Berichtigung, die Löschung oder die Vernichtung, das Verbot der Bearbeitung oder der Bekanntgabe an Dritte, der Bestreitungsvermerk oder das Urteil Dritten mitgeteilt oder veröffentlicht wird.
​
9 / Datenschutz-Folgenabschätzung
Wann muss das Unternehmen eine DSFA durchführen?
Der Verantwortliche erstellt vorgängig eine Datenschutz-Folgenabschätzung, wenn eine Bearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringen kann. Sind mehrere ähnliche Bearbeitungsvorgänge geplant, so kann eine gemeinsame Abschätzung erstellt werden.
​
Woraus ergibt sich ein hohes Risiko?
Ein hohes Risiko ergibt sich, insbesondere bei Verwendung neuer Technologien, aus der Art, dem Umfang, den Umständen und dem Zweck der Bearbeitung. Es liegt vor:
-
bei der umfangreichen Bearbeitung besonders schützenswerter Personendaten;
-
wenn systematisch umfangreiche öffentliche Bereiche überwacht werden.
​
Was muss die DSFA enthalten?
Die Datenschutz-Folgenabschätzung enthält eine Beschreibung der geplanten Bearbeitung, eine Bewertung der Risiken für die Persönlichkeit oder die Grundrechte der betroffenen Person sowie die Massnahmen zum Schutz der Persönlichkeit und der Grundrechte.
Gibt es Ausnahmen?
Von der Erstellung einer Datenschutz-Folgenabschätzung ausgenommen sind private Verantwortliche, wenn sie gesetzlich zur Bearbeitung der Daten verpflichtet sind.
Der private Verantwortliche kann von der Erstellung einer Datenschutz-Folgenabschätzung absehen, wenn er ein System, ein Produkt oder eine Dienstleistung einsetzt, das oder die für die vorgesehene Verwendung nach Artikel 13 zertifiziert ist oder wenn er einen Verhaltenskodex nach Artikel 11 einhält.
​
Welche Anforderungen muss der Verhaltenskodex erfordern?
-
Der Verhaltenskodex beruht auf einer Datenschutz-Folgenabschätzung.
-
Er sieht Massnahmen zum Schutz der Persönlichkeit und der Grundrechte der betroffenen Person vor.
-
Er wurde dem EDÖB vorgelegt.
​
Konsultation EDÖB
Wenn sich aus der Datenschutz-Folgenabschätzung ergibt, dass die geplante Bearbeitung trotz der vom Verantwortlichen vorgesehenen Massnahmen noch ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person zur Folge hat, so muss er vorgängig die Stellungnahme des EDÖB einholen.
Der EDÖB teilt dem Verantwortlichen innerhalb von zwei Monaten seine Einwände gegen die geplante Bearbeitung mit. Diese Frist kann um einen Monat verlängert werden, wenn es sich um eine komplexe Datenbearbeitung handelt.
​
Was passiert bei Einwänden des EDÖB?
Hat der EDÖB Einwände gegen die geplante Bearbeitung, so schlägt er dem Verantwortlichen geeignete Massnahmen vor.
​
Gibt es Erleichterungen im Verfahren?
Der private Verantwortliche kann von der Konsultation des EDÖB absehen, wenn er die Datenschutzberaterin oder den Datenschutzberater nach Artikel 10 konsultiert hat.
​
10 / Datenschutzberaterin und -berater
Was machen Datenschutzberaterin und -berater?
Das Datenschutzgesetz ermöglicht den Unternehmen die Selbstregulierung. Wenn sie eine Datenschutzberaterin oder einen Datenschutzberater ernennen und dem EDÖB melden, profitieren sie von Erleichterungen bei der Datenschutz-Folgenabschätzung. Position und Person der Datenschutzberaterin oder des Datenschutzberaters müssen jedoch gewissen Kriterien genügen. Die Datenschutzberaterin oder der Datenschutzberater überwacht die Einhaltung der Datenschutzvorschriften innerhalb eines Unternehmens und berät den Verantwortlichen in Datenschutzbelangen.
​
Ist der Datenschutzberater den strafrechtlichen Sanktionen des DSG ausgesetzt?
Die Strafbestimmungen zielen vor allem auf die Handlungen (und Unterlassungen) der leitenden Personen ab. Eine Datenschutzberaterin hat in erster Linie die Aufgabe, die Datenverarbeitungsprozesse ihrer Organisation zu kontrollieren und zu überwachen. Sie sollte jedoch keine Entscheidungsbefugnis über diese Prozesse haben und auch nicht für ein Informationssystem verantwortlich sein. Sie ist also weder diejenige, die über eine Datenverarbeitung entscheidet, noch diejenige, die sie durchführt. Unter diesen Bedingungen - sofern sie strikt eingehalten werden - ist sie a priori nicht dem Risiko einer strafrechtlichen Verfolgung ausgesetzt. Darüber hinaus ist zu betonen, dass das DSG nur vorsätzliche Verstösse - im Unterschied zu Fahrlässigkeit - unter Strafe stellt.
​
11 / Meldepflicht bei einem Datenvorfall
Wann und wie muss eine Datenpanne, ein Datenvorfall dem EDÖB gemeldet werden?
Der Verantwortliche meldet dem EDÖB so rasch als möglich eine Verletzung der Datensicherheit, die voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person führt.
​
Was muss die Meldung beinhalten?
In der Meldung nennt der Verantwortliche mindestens die Art der Verletzung der Datensicherheit, deren Folgen und die ergriffenen oder vorgesehenen Massnahmen.
​
Gibt es weitere Meldevorgaben?
Der Auftragsbearbeiter meldet dem Verantwortlichen so rasch als möglich eine Verletzung der Datensicherheit.
Der Verantwortliche informiert die betroffene Person, wenn es zu ihrem Schutz erforderlich ist oder der EDÖB es verlangt.
​
Kann man von einer Information von Betroffenen absehen?
Der Verantwortliche kann die Information an die betroffene Person einschränken, aufschieben oder darauf verzichten, wenn:
-
ein Grund nach Artikel 26 Absatz 1 Buchstabe b oder Absatz 2 Buchstabe b vorliegt oder eine gesetzliche Geheimhaltungspflicht dies verbietet;
-
die Information unmöglich ist oder einen unverhältnismässigen Aufwand erfordert; oder
-
die Information der betroffenen Person durch eine öffentliche Bekanntmachung in vergleichbarer Weise sichergestellt ist.
-
Eine Meldung, die aufgrund dieses Artikels erfolgt, darf in einem Strafverfahren gegen die meldepflichtige Person nur mit deren Einverständnis verwendet werden.
​
12 / Datenportabilität
Kann man die Herausgabe, Mitnahme von Daten verlangen?
Jede Person kann vom Verantwortlichen die Herausgabe ihrer Personendaten, die sie ihm bekanntgegeben hat, in einem gängigen elektronischen Format verlangen, wenn:
-
der Verantwortliche die Daten automatisiert bearbeitet; und
-
die Daten mit der Einwilligung der betroffenen Person oder in unmittelbarem Zusammenhang mit dem Abschluss oder der Abwicklung eines Vertrags zwischen dem Verantwortlichen und der betroffenen Person bearbeitet werden.
​
Kann die Übertragung zu einem anderen Verantwortlichen verlangt werden?
Die betroffene Person kann vom Verantwortlichen verlangen, dass er ihre Personendaten einem anderen Verantwortlichen überträgt, wenn die gesetzlichen Voraussetzungen erfüllt sind und dies keinen unverhältnismässigen Aufwand erfordert.
Dürfen Verantwortliche dafür Kosten geltend machen?
Der Verantwortliche muss die Personendaten kostenlos herausgeben oder übertragen. Der Bundesrat kann Ausnahmen vorsehen, namentlich wenn der Aufwand unverhältnismässig ist.
​
13 / Durchführung des Arbeitsverhältnisses
Ist es erlaubt, Fotos von Angestellten im Intra- oder Internet zu veröffentlichen?
Die fotografische Abbildung einer Mitarbeiterin oder eines Mitarbeiters lässt Rückschlüsse z. B. auf Religion, Rassenzugehörigkeit oder eine körperliche Beeinträchtigung zu und ist in der Regel gar nicht nötig. Sie darf nur mit dem Einverständnis der betroffenen Person im Inter- oder Intranet abgebildet werden. Das gilt auch für Fotos von Anlässen (z. B. Weihnachtsfeiern, Betriebsausflüge etc.). Grundsätzlich sollte im Vorfeld evaluiert werden, ob die Veröffentlichung der Fotografien der Angestellten für die Aufgabenerfüllung erforderlich ist oder nicht.
​
Welche Zugriffsrechte hat das HR auf Beurteilungsformulare?
Personalbeurteilungen sind arbeitsplatzrelevant und dürfen sowohl während als auch nach Beendigung des Arbeitsverhältnisses im Personaldossier aufbewahrt werden. Die Bearbeitung und Aufbewahrung der Beurteilung ist insbesondere für die Angestellten von grossem Interesse, da sie bis zum Ablauf der Verjährungsfrist einen Anspruch auf ein Schlusszeugnis haben. Die Verjährungsfrist beträgt nach vorherrschender Auffassung 10 Jahre (Art. 127 Obligationenrecht, OR). Dies bedeutet, dass der oder die Arbeitnehmende ein Zeugnis 10 Jahre nach seiner Ausstellung noch gerichtlich anfechten kann. Beim Verfassen eines Arbeitszeugnisses kommen in der Regel nur die zwei letzten Mitarbeiterbeurteilungen in Frage. Frühere Beurteilungen sind regelmässig aus dem Personaldossier zu entfernen und zu vernichten.
Der Personaldienst benötigt in der Regel für die Erfüllung seiner üblichen Geschäfte die Gesamtheit der Beurteilung (Persönlichkeitsprofil) nicht. Aus Lohnbewirtschaftungsgründen ist er jedoch berechtigt, das Endresultat einer Mitarbeiterbeurteilung beizuziehen. Er darf darüber hinaus in Ausnahmefällen und aufgrund besonderer Pflichten weitere Informationen aus dem Qualifikationsgespräch benutzen, sofern dies aus organisatorischen Gründen nötig ist.
Mitarbeiterbeurteilungen müssen demzufolge grundsätzlich in einem verschlossenen Couvert im Personaldossier aufbewahrt werden. Was die informatikunterstützte Bewirtschaftung der Mitarbeiterbeurteilungen betrifft, wird die Verschlüsselung der elektronischen Qualifikationsformulare sowohl bei der Übermittlung als auch in der entsprechenden Datenbank empfohlen.
​
Darf der Arbeitgeber den privaten Gebrauch von Informations- und Kommunikationsmitteln (PC, Telefon) einschränken bzw. ganz verbieten?
Ja. Der Arbeitgeber kann beispielsweise die Weisung ausgeben, dass die Angestellten das Telefon und/oder die E-Mail nur für geschäftliche Zwecke verwenden dürfen. Die Einschränkung privater Surftouren kann mittels Sperrung unerwünschter Internetangebote (Börse, Erotikseiten etc.) oder Festlegung eines Zeitpunktes ab dem eine Private Internetnutzung erlaubt ist (z.B. während Pausen, oder ab 18.00 Uhr), erfolgen.
​
Wie kann der Arbeitgeber auf datenschutzfreundliche Weise verhindern, dass seine Angestellten mit den Kommunikations- und Informationsmitteln missbräuchlich umgehen?
Hauptsächlich mit technischen Schutzmassnahmen. Es gibt keine absolute technische Sicherheit. Technische Schutzmassnahmen können jedoch die Risiken im Zusammenhang mit der Internet- und E-Mail-Nutzung reduzieren.
Durch den Einsatz von solchen Schutzmassnahmen soll der Arbeitgeber frühzeitig mögliche Gefahren für die Sicherheit und Funktionstüchtigkeit des elektronischen Systems verhindern. Die präventive Wirkung dieser Massnahmen soll den Einsatz repressiver Mittel wie die Überwachung weitgehend ersetzen. Zu den wichtigsten technischen Schutzmassnahmen gehören Passwort- und Zugriffsschutz, Antivirus- und Diskquotamanagers, Backups und Firewalls. Zusätzlich sollen die Surf- und Mailprogramme nach dem letzten Stand der Technik installiert und in einer sicherheitsmässigen Form konfiguriert und regelmässig aktualisiert werden.
Darf der Arbeitgeber die E-Mails seiner Angestellten lesen?
Der Arbeitgeber darf den Inhalt von als privat gekennzeichneten oder erkennbaren E-Mails selbst dann nicht lesen, wenn die private Nutzung von E-Mail laut Nutzungsreglement verboten ist. Er darf eine Einhaltung des Nutzungsverbots überwachen, jedoch nur aufgrund der Adressierungselemente. Eine systematische Überwachung von E-Mails durch Spionprogramme (Content Scanner) ist nicht zulässig.
Erlaubt ist dem Arbeitgeber die Leistungs- und Geschäftskontrolle. Das systematische Auswerten von geschäftlichen und nicht ausdrücklich als privat gekennzeichneten E-Mail muss jedoch gerechtfertigt und verhältnismässig sein und den Angestellten im Voraus mitgeteilt werden.
Wo verläuft die Grenze zwischen geschäftlicher und privater Post?
Der private Charakter eines Briefs, Pakets oder E-Mails kann aus verschiedenen Elementen hervorgehen: Der Brief, das Paket oder die E-Mail kann ausdrücklich als «privat» gekennzeichnet sein oder anhand der Adressierung als solcher erkennbar sein. Es genügt allerdings nicht, bei einem Brief den Personennamen vor dem Firmennamen voranzustellen, ihn als privat zu kennzeichnen. Es muss noch der ausdrückliche Vermerk (persönlich, privat, c/o etc.) stehen. Wenn allerdings äussere Merkmale darauf schliessen lassen, dass der Brief privater Natur ist (Farbe, Format, etc.), ist der Brief ungeöffnet an die betreffende Person weiterzuleiten. Bei Zweifeln nicht öffnen, sondern (evtl. mit entsprechendem Vermerk) weiterleiten.
Bei E-Mails ist es in der Regel schwieriger, ohne weiteres den privaten Charakter einer Nachricht zu erkennen. Auch hier gilt die Regel: Im Zweifelsfall nicht lesen, da der private Postverkehr einen uneingeschränkten Schutz (Postgeheimnis) geniesst, sondern den Empfänger auf das Problem aufmerksam machen und ihn fragen, ob die betreffende Post privat ist oder nicht.
Unter welchen Bedingungen darf der Arbeitgeber auf das elektronische Postfach eines Angestellten, der die Firma verlassen hat, zugreifen?
Wenn ein Angestellter die Firma verlässt, muss ihm die Möglichkeit gegeben werden, alle privaten Elemente aus seinem Postfach mitzunehmen (genauso wie alle anderen persönlichen Daten). Die geschäftlichen Elemente, die weiterhin benötigt werden oder noch in Bearbeitung sind, sind an den Stellvertreter oder zuständigen Vorgesetzten weiterzuleiten. Am Ende des letzten Arbeitstags des betreffenden Angestellten wird sein Postfach geleert und blockiert.
Unter welchen Bedingungen darf der Arbeitgeber auf das elektronische Postfach eines Angestellten, der wegen Krankheit oder sonstigen vorhersehbaren oder unvorhersehbaren Gründen abwesend ist, zugreifen?
Im Falle einer vorhersehbaren Abwesenheit kann der betroffene Angestellte eine entsprechende Abwesenheitsmeldung festlegen, mit der jede eingehende Nachricht automatisch beantwortet wird. Ausserdem kann eine automatische Weiterleitungsregel definiert werden, die jede eingehende Nachricht an den Stellvertreter übermittelt. Diese Massnahme ist allerdings problematisch, weil erstens nicht ohne weiteres sichergestellt werden kann, dass nicht auch private Elemente weitergeleitet werden, und weil zweitens der Absender keine Möglichkeit hat, die Weiterleitung zu verhindern. Sinnvoller ist daher eine Abwesenheitsmeldung, die die E-Mail-Adresse des Stellvertreters angibt. Auf diese Weise steht es dem Absender frei, die Mail an den Stellvertreter zu senden oder nicht.
Ferner sollte erwogen werden, ob als Ergänzung zu einer personenbezogenen E-Mail-Adresse (hans.meier@firma.ch) die Schaffung einer funktionsbezogenen unpersönlichen Adresse (verkaufsleitung@firma.ch) sinnvoll wäre. Diese Lösung hat mehrere Vorteile: Zum einen ist der geschäftliche Charakter der an diese Adresse gesandten E-Mail sofort ersichtlich; zum anderen haben Personalfluktuationen keine negativen Auswirkungen auf den E-Mail-Verkehr, sofern nur eine bestimmte Person, nicht aber deren Funktion innerhalb der Firma wegfällt.
Unter welchen Bedingungen darf das Sekretariat in einem Unternehmen oder einer Verwaltung die Post eines Angestellten öffnen?
Das Sekretariat darf die Geschäftspost öffnen. Die private Post, die ein Angestellter an seinem Arbeitsplatz erhält, geniesst einen uneingeschränkten Schutz. Dabei ist es natürlich erforderlich, dass der private Charakter eines Briefes oder Pakets ohne weiteres ersichtlich ist. Der private Charakter eines Briefes oder Pakets kann aus verschiedenen Elementen hervorgehen: Der Brief bzw. das Paket kann ausdrücklich als «privat» gekennzeichnet sein oder anhand der Adressierung als solcher erkennbar sein (Hans Meier, c/o Firma AG). Es genügt allerdings nicht, bei einem Brief den Personennamen vor dem Firmennamen voranzustellen, ihn als privat zu kennzeichnen. Es muss noch der ausdrückliche Vermerk (persönlich, privat, c/o etc.) stehen. Wenn allerdings äussere Merkmale darauf schliessen lassen, dass der Brief privater Natur ist (Farbe, Format, etc.), ist der Brief ungeöffnet an die betreffende Person weiterzuleiten. Bei Zweifeln nicht öffnen, sondern (evtl. mit entsprechendem Vermerk) weiterleiten.
Unter welchen Bedingungen darf der Arbeitgeber die Telefongespräche seiner Angestellten mithören und/oder aufzeichnen?
Der Inhalt von Telefongesprächen darf nur aus Gründen der Leistungskontrolle oder aus Sicherheitsgründen aufgezeichnet werden, und auch in diesen Fällen nur dann, wenn die Personen, deren Gespräch aufgezeichnet wird, damit einverstanden sind und jeweils darüber eindeutig und rechtzeitig in Kenntnis gesetzt werden. Ein Verbot, Privatgespräche zu führen, ist mit anderen Mitteln als durch Überwachung von Telefongesprächen durchzusetzen (zum Beispiel, indem Aussenverbindungen durch eine Zentrale vermittelt werden oder nur von bestimmten Anschlüssen aus möglich sind).
Unter welchen Bedingungen ist die Videoüberwachung im Unternehmen oder der Verwaltung erlaubt?
Überwachungs- und Kontrollsysteme dürfen nicht zum Zweck eingesetzt werden, das Verhalten der Arbeitnehmer am Arbeitsplatz zu überwachen. Sind Überwachungs- oder Kontrollsysteme aus anderen Gründen (Produktions- oder Sicherheitskontrollen) erforderlich, sind sie insbesondere so zu gestalten und anzuordnen, dass die Gesundheit und die Bewegungsfreiheit der Arbeitnehmer dadurch nicht beeinträchtigt werden.
​
14 / Datenbekanntgabe ins Ausland
Dürfen Personendaten ins Ausland übermittelt werden?
Die Übermittlung von Personendaten ins Ausland durch private Unternehmen oder Bundesorgane ist nur unter gewissen Voraussetzungen möglich. Es kommt darauf an, in welches Land die Daten übermittelt werden sollen, und es müssen, je nach Land, gewisse Vorkehrungen getroffen werden.
Zur Prüfung, ob das Land, in welches Daten übermittelt werden, einen angemessenen Datenschutz bietet, dient Anhang 1 DSV.
​
Was ist ein angemessener Schutz durch eine Gesetzgebung im ausländischen Staat?
Es dürfen Daten ins Ausland bekannt gegeben werden, wenn die Gesetzgebung des Empfängerstaates einen angemessenen Schutz gewährleistet (Art. 16 Abs. 1 DSG). Welche Länder diese Voraussetzung erfüllen, wird vom Bundesrat festgelegt und im Anhang 1 der Datenschutzverordnung publiziert. Die Verordnung sagt auch, welche Kriterien der Bundesrat bei seiner Einschätzung anwendet (Art. 8 DSV). Ist ein angemessener Schutz gewährleistet, können Personendaten aus der Schweiz frei in diesen Staat übermittelt werden, sowohl durch private Unternehmen wie auch durch Bundesorgane.
​
Dürfen Personendaten auch ohne angemessenen Schutz ins Ausland transferiert werden?
Angemessener Schutz durch geeignete Garantien
Liegt kein solcher Angemessenheitsbeschluss vor, kann ein Transfer ins Ausland trotzdem zulässig sein, wenn der Datenschutz auf andere Weise sichergestellt wird. Dabei kommen insbesondere vertragliche Garantien zum Einsatz:
-
Datenschutzklauseln in einem spezifischen Vertrag:
Der Verantwortliche und sein Vertragspartner vereinbaren in ihrem Vertrag spezifische Datenschutzklauseln, die einen angemessenen Schutz der übermittelten Daten gewährleisten. Vor dem Transfer ins Ausland müssen diese Klauseln dem EDÖB mitgeteilt werden. Trotz Mitteilung bleibt die Verantwortung für den Nachweis, dass alle erforderlichen Massnahmen zum Schutz der Daten getroffen wurden, beim Verantwortlichen. Im Gegensatz zu den Standarddatenschutzklauseln gelten die Datenschutzklauseln in einem Vertrag nur für die Bekanntgabe, die im entsprechenden Vertrag vorgesehen ist. -
Standarddatenschutzklauseln:
Standarddatenschutzklauseln können von Privaten, interessierten Kreisen oder Bundesorganen erarbeitet werden. Solche Klauseln müssen vorgängig vom EDÖB genehmigt werden. Es dürfen keine Daten ins Ausland bekanntgegeben werden, bis der EDÖB seinen Entscheid zu den Klauseln gefällt hat, ausser der Transfer kann sich auf einen anderen Rechtsgrund stützen. Der EDÖB entscheidet innerhalb von 90Tagen (Art. 10 Abs. 2 DSV). Standarddatenschutzklauseln können aber auch vom EDÖB selber ausgestellt oder anerkannt werden. Die Liste dieser Klauseln finden Sie in unserer Infothek. Die Verwendung solcher Klauseln muss dem EDÖB nicht gemeldet werden.
​
Ist mit einem entsprechenden Vertrag alles erledigt?
Bei der Verwendung aller vertraglichen Garantien gilt zusätzlich:​
-
Der Verantwortliche muss sicherstellen, dass sich der Empfänger an die vereinbarten Klauseln hält und dass die Gesetzgebung des Drittlandes es dem Empfänger erlaubt, seinen Verpflichtungen nachzukommen;
-
Es gilt die Vermutung, dass der Verantwortliche alle notwendigen Massnahmen getroffen hat, um sich eines angemessenen Schutzes zu vergewissern. Allerdings befreit ihn diese Vermutung nicht von der Haftung für Nachteile, die sich aus einer Verletzung dieser Klauseln insbesondere durch den Empfänger der Daten ergeben können;
Da Datenschutzklauseln lediglich die Vertragsparteien binden, kann es im Einzelfall nötig sein, sie mit technischen Massnahmen zu ergänzen, wenn das für den Empfänger geltende Recht unverhältnismässige Behördenzugriffe erlaubt;
​
Gibt es Ausnahmen?
Liegt kein Angemessenheitsbeschluss vor und kommt keines der oben beschriebenen Instrumente zum Einsatz, ist eine Übermittlung von Personendaten ins Ausland allenfalls unter den in Art. 17 DSG aufgezählten Ausnahmen zulässig.
Bestehen Informationspflichten zur Auslandsdatenübermittlung?
Über eine Datenbekanntgabe ins Ausland muss die betroffene Person informiert werden (Art. 19 Abs. 4 DSG).
Gibt es Strafbarkeitsregelungen zum Auslandstransfer?
Werden Daten ins Ausland bekanntgegeben, ohne dass die Voraussetzungen von Art. 16 und 17 DSG erfüllt sind, kann dies strafrechtliche Konsequenzen haben (Art. 61 lit. a DSG).
Was muss sonst noch beachtet werden?
Die Länder und Garantien sind Pflichtangaben des Verzeichnisses der Bearbeitungstätigkeiten gemäss Art. 12 DSG.
​
15 / Werbung
Per E-Mail
Bei der kommerziellen Kundenakquirierung per E-Mail werden Personendaten bearbeitet. Das Datenschutzgesetz (DSG) findet Anwendung, soweit Personendaten (E-Mail-Adressen) beschafft und für den Versand von Werbung verwendet werden.
Das Bundesgesetz gegen den unlauteren Wettbewerb (UWG) enthält eine besondere Bestimmung: Art. 3 Bst. o UWG. Bei der fernmeldetechnischen Sendung von Massenwerbung, insbesondere via E-Mail, müssen folgende Bedingungen erfüllt sein:
​
Grundsätze zur E-Mail-Werbung
E-Mail-Werbung ist möglich unter der Bedingung, dass die Personen ihre ausdrückliche Einwilligung geben, bevor sie angegangen werden (Opt-in). Die Einwilligung ist nur gültig, wenn sie freiwillig und nach hinreichender Aufklärung erfolgt; die betroffene Person muss über die Verwendung ihrer E-Mail-Adresse zu Werbezwecken informiert worden sein und ihre ausdrückliche Einwilligung gegeben haben, zum Beispiel, indem sie ein entsprechendes leeres Feld mit folgendem Wortlaut ankreuzt: «Ich stimme zu, dass meine Daten zu Werbezwecken verwendet werden». Die Einwilligung muss freiwillig erfolgen und darf jederzeit widerrufen werden. Die Annahme der allgemeinen Geschäftsbedingungen ist nicht ausreichend.
​
Ausnahme (ohne Einwilligung)
Die angegangene Person ist Kundin oder Kunde des Unternehmens, und die Werbung betrifft ähnliche Produkte oder Dienstleistungen desselben Unternehmens. Zudem kann die Person die Werbung jederzeit ablehnen (Opt-out). Diese Ausnahme ist nur gültig, wenn ein Verkauf stattgefunden hat oder eine Dienstleistung in Anspruch genommen wurde. Es genügt nicht, lediglich ein Onlinekonto eröffnet zu haben. In jedem Fall muss die Identität des Absenders angegeben werden, und es muss eine einfache und kostenlose Möglichkeit bestehen, weitere Werbung abzulehnen, in der Regel mit einem Abmeldelink.
​
Verstoss gegen UWG
Wenn die E-Mail-Werbung gegen das UWG verstösst, macht sich der Absender des unlauteren Wettbewerbs schuldig und muss mit zivil- oder strafrechtlichen Sanktionen rechnen. Für alle Fälle, die nicht spezialgesetzlich geregelt sind, ist das Datenschutzrecht anwendbar, soweit Personendaten behandelt werden.
​
Werbung per Post oder Telefon
Persönlich adressierte Werbung per Post oder per Telefon ist unter bestimmten Voraussetzungen datenschutzkonform. Dies ist z.B. grundsätzlich der Fall, wenn Sie Ihre Adresse und Telefonnummer veröffentlicht haben. Wer keine Werbung erhalten will, hat diverse Möglichkeiten, um diese zu verhindern.
​
Wann ist die Verwendung von Adresse und Telefonnummer zu Werbezwecken datenschutzkonform?
Nach dem Bundesgesetz über den Datenschutz ist die Verwendung von Adresse und Telefonnummer zu Werbezwecken grundsätzlich zulässig, wenn die betroffene Person ihre Adresse und Telefonnummer der Öffentlichkeit zugänglich gemacht hat und die Verwendung für Werbezwecke nicht untersagt hat. Öffentlich zugänglich sind Adresse und Telefonnummer zum Beispiel,
-
wenn sie im Telefonverzeichnis eingetragen sind;
-
wenn sie in einem anderen Verzeichnis eingetragen sind (Branchenverzeichnis, von einer privaten Firma oder Vereinigung herausgegebenes Adressbuch usw.).
Wenn die Adresse oder Telefonnummer nicht publiziert worden ist, können Betroffene bei der Unternehmung anfragen, wie dieses an Ihre Adresse oder Telefonnummer gelangt ist.
​
​
(Quelle: https://www.edoeb.admin.ch/edoeb/de/home/deredoeb/kontakt/faq_beratung1.html#1705593458)
Weitere Fragen und Antworten rund um den Datenschutz erhalten Sie unter: info@cropro.ch