Einleitung

Der Schutz von Personendaten ist in der Schweiz ein zentrales Anliegen. Mit dem revidierten Datenschutzgesetz (DSG), das am 1. September 2023 in Kraft getreten ist, werden die Rechte von Personen gestärkt und die Pflichten von Unternehmen und Organisationen präzisiert. Die Schweizer Datenschutzverordnung regelt die Bearbeitung von Personendaten und dient dem Schutz der Privatsphäre, der Selbstbestimmung und der Verhinderung von Missbrauch.

Geltungsbereich und Grundsätze

Das Datenschutzgesetz gilt für sämtliche Unternehmen, Behörden und Organisationen, die Personendaten von natürlichen Personen in der Schweiz bearbeiten, unabhängig von deren Grösse oder Branche. Die Bearbeitung umfasst jeden Umgang mit Personendaten – von der Erhebung über die Speicherung und Nutzung bis zur Weitergabe oder Löschung.

Personendaten: Alle Angaben, die sich auf eine bestimmte oder bestimmbare Person beziehen. Dazu zählen Name, Adresse, E-Mail, Telefonnummer, Geburtsdatum, Kundennummer, IP-Adresse etc.
Besonders schützenswerte Personendaten: Angaben über die religiöse, weltanschauliche, politische oder gewerkschaftliche Zugehörigkeit, die Gesundheit, die Intimsphäre oder die ethnische Herkunft, biometrische Daten, Daten zu strafrechtlichen Verurteilungen und Massnahmen.
Prinzip der Transparenz: Die Bearbeitung von Personendaten muss für betroffene Personen nachvollziehbar und verständlich sein.
Verhältnismässigkeit: Die Bearbeitung darf nur im Rahmen des erforderlichen Zwecks erfolgen und muss auf das notwendige Minimum beschränkt werden.
Zweckbindung: Personendaten dürfen nur zu dem Zweck bearbeitet werden, der bei der Erhebung angegeben wurde oder aus den Umständen ersichtlich ist.
Datensicherheit: Technische und organisatorische Massnahmen müssen getroffen werden, um Personendaten vor Verlust, unbefugtem Zugriff, Missbrauch oder Offenlegung zu schützen.

Informationspflichten der datenbearbeitenden Stelle

Jede Organisation, die Personendaten bearbeitet, ist verpflichtet, die betroffenen Personen klar und transparent über die Datenbearbeitung zu informieren. Die Informationspflicht umfasst:

Identität und Kontaktdaten der datenbearbeitenden Stelle
Zweck der Datenbearbeitung
Kategorien der bearbeiteten Personendaten
Empfänger*innen oder Kategorien von Empfänger*innen der Daten
Gegebenenfalls die Übermittlung ins Ausland und die dortigen Datenschutzgarantien
Dauer der Speicherung oder die Kriterien zur Festlegung der Dauer
Hinweis auf die Rechte der betroffenen Personen

Rechte der betroffenen Personen

Das DSG gewährt Personen diverse Rechte, die sie gegenüber datenbearbeitenden Stellen geltend machen können:

Auskunftsrecht: Betroffene Personen können jederzeit Auskunft über die sie betreffenden Personendaten verlangen: Zweck der Bearbeitung, Kategorien der Daten, Herkunft, Empfänger*innen.
Recht auf Berichtigung: Die Berichtigung unrichtiger oder unvollständiger Daten kann verlangt werden.
Recht auf Löschung: Unter bestimmten Voraussetzungen (z.B. Zweck entfällt, Einwilligung widerrufen) können Personen die Löschung ihrer Daten verlangen.
Recht auf Einschränkung der Bearbeitung: Die betroffene Person kann verlangen, dass die Datenbearbeitung unter bestimmten Bedingungen eingeschränkt wird.
Recht auf Widerspruch: Die Bearbeitung von Personendaten kann jederzeit widersprochen werden, insbesondere bei Direktmarketing.
Recht auf Datenherausgabe oder -übertragung: Auf Verlangen müssen Personendaten in einem gängigen elektronischen Format herausgegeben oder an eine andere verantwortliche Stelle übermittelt werden (Datenportabilität).

Pflichten der datenbearbeitenden Stelle

Organisationen und Unternehmen, die Personendaten bearbeiten, sind zu besonderer Sorgfalt verpflichtet:

Datenschutz durch Technik und Organisation: Es müssen geeignete technische und organisatorische Vorkehrungen getroffen werden, um die Daten vor Verlust, Zugriff, Missbrauch oder Offenlegung zu schützen (z.B. Verschlüsselung, Zugriffsbeschränkungen).
Führen eines Verzeichnisses der Datenbearbeitungen: Unternehmen müssen ein aktuelles Verzeichnis aller Datenbearbeitungen führen, das Angaben zu Zweck, Kategorien von Daten und Empfänger*innen enthält.
Durchführung einer Datenschutz-Folgenabschätzung (DSFA): Wenn voraussichtlich ein hohes Risiko für die betroffenen Personen besteht, ist eine DSFA durchzuführen.
Meldung von Datenschutzverletzungen: Verstösse gegen die Datensicherheit müssen unverzüglich gemeldet werden – an die betroffenen Personen und gegebenenfalls an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB).
Vertragliche Absicherung bei Drittbezug: Wird die Datenbearbeitung an Dritte ausgelagert, müssen die Datenschutzanforderungen vertraglich geregelt und kontrolliert werden.

Übermittlung von Personendaten ins Ausland

Die Übermittlung von Personendaten ins Ausland ist nur zulässig, wenn das Zielland einen angemessenen Datenschutz gewährleistet. Falls das nicht gegeben ist, sind zusätzliche Massnahmen oder Garantien erforderlich, etwa:

Standardvertragsklauseln oder andere geeignete Datenschutzverträge
Einwilligung der betroffenen Person
Genehmigung durch die zuständige Behörde

Eine Liste der Staaten mit angemessenem Datenschutzniveau wird vom EDÖB publiziert.

Besondere Regelungen: Profiling und automatisierte Einzelentscheidungen

Das DSG enthält spezifische Vorschriften zu Profiling und automatisierten Einzelentscheidungen:

Profiling ist die automatisierte Bearbeitung von Personendaten zur Analyse oder Vorhersage von Verhaltensweisen, Präferenzen oder Interessen.
Automatisierte Einzelentscheidungen, die rechtliche oder erhebliche Auswirkungen haben, dürfen nur unter bestimmten Voraussetzungen getroffen werden, insbesondere muss die betroffene Person informiert werden und Einspruchsmöglichkeiten erhalten.

Datenschutzbeauftragte*r

Unternehmen können freiwillig eine*n Datenschutzbeauftragte*n ernennen. Diese Person hat beratende und kontrollierende Funktionen und ist Ansprechperson für betroffene Personen und Behörden.

Aufsicht und Sanktionen

Die Einhaltung des DSG wird vom Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) überwacht. Bei Verstössen gegen das DSG können Sanktionen verhängt werden, etwa Busse bis zu CHF 250’000. Besonders gravierende Verstösse werden strafrechtlich verfolgt.

Datenschutz im Internet und bei digitalen Angeboten

Auch bei Webseiten, Online-Shops, Apps und Social Media gelten die Datenschutzregeln. Die Datenschutzerklärung muss klar und verständlich sein und die Nutzer*innen über die Bearbeitung ihrer Daten informieren. Tracking, Cookies und Analyse-Tools bedürfen der Einwilligung und müssen transparent gemacht werden.

Schlussbemerkung

Datenschutz ist ein grundlegendes Recht, das in der digitalen Gesellschaft immer wichtiger wird. Unternehmen, Vereine und Behörden in der Schweiz sind verpflichtet, die gesetzlichen Vorgaben einzuhalten, ihre Prozesse zu überprüfen und einen verantwortungsvollen Umgang mit Personendaten zu gewährleisten.