Personenbezogene Daten

Die Definition von „personenbezogene Daten“ ist in Art. 5 lit. b DSGneu zu finden bzw. in Art. 4 Abs. 1 DSGVO. Beide Artikel bringen identisch zum Ausdruck, dass es sich um Daten einer identifizierten oder identifizierbaren Person handeln muss.

In der digitalen Welt des Internets sind personenbezogene Daten nicht nur da zu finden, wo sie von einer Person aktiv z. B. mittels eines Formulars oder einer Bestellung eingegeben und übermittelt werden; nur schon der Besuch auf einer Internetseite hinterlässt eine IP-Adresse, welche – zumindest für eine gewisse Zeit – einem Gerät und somit wahrscheinlich auch einer Person zugeordnet werden kann. 

Wobei hier – vor allem unter der DSGVO und der Meinung der Datenschutzaufsichtsbehörden – Rechtsunsicherheit besteht. Nehmen die Datenschutzaufsichtsbehörden nämlich regelmässig an, dass IP-Adressen Personendaten sind, stellt sich hingegen der EuGH dagegen. 

Zusammenfassend ist die Datenbearbeitung betreffend Internetseiten auf folgende Möglichkeiten beschränkt: 

Es kommen nur Datenbearbeitungen in Frage, welche der Benutzer mit seinem Besuch hinterlässt, welche er aktiv eingibt oder welche der Seitenbetreiber veröffentlicht und bearbeitet sowie weitergegebene Daten an Auftragsverarbeiter (Outsourcing-Dienstleister) oder Daten, die durch einen Service von Drittanbietern (vgl. Kapitel Social Media und andere Plugins) in dessen Machtbereich fliessen. 

Personenbezogene Daten

Art. 5 lit. c DSGneu definiert besonders schützenswerte Personendaten wie folgt:

  • Daten über religiöse, weltanschauliche, politische oder gewerkschaftliche Ansichten oder Tätigkeiten;
  • Daten über die Gesundheit, die Intimsphäre oder die Zugehörigkeit zu einer Rasse oder Ethnie;
  • Genetische Daten;
  • Biometrische Daten, die eine natürliche Person eindeutig identifizieren;
  • Daten über verwaltungs- und strafrechtliche Verfolgungen oder Sanktionen;
  • Daten über Massnahmen der sozialen Hilfe.

Werden Daten der Kategorie besonders schützenswerter Personendaten bearbeitet, muss eine Einwilligung nur gegeben sein, wenn Art. 30 DSGneu erfüllt ist, d.h. die Grundprinzipien des Gesetzes bei der Datenbearbeitung «nicht» eingehalten werden. In diesem Fall muss eine ausdrückliche Einwilligung vorliegen. Die Einwilligung ist nur gültig, wenn sie für eine oder mehrere bestimmte Bearbeitungen nach angemessener Information freiwillig erteilt wird (Art. 6 Abs. 6 und 7 lit. a DSGneu).

Unter Art. 9 Abs. 1 DSGVO werden dieselben besonders schützenswerten Personendaten gelistet wie im DSGneu. Diese zu bearbeiten ist aber grundsätzlich untersagt, um sie dann mit Art. 9 Abs. 2 DSGVO durch vielseitige Ausnahmen wieder zu erlauben. Zusammengefasst kann gesagt werden, dass es sich um eine berechtigte Bearbeitung handelt, wenn für die festgelegten Zwecke ausdrücklich eingewilligt wurde, es sich um eine Verarbeitung im Rahmen einer Stiftung, Vereinigung oder sonstige Organisation ohne Gewinnerzielungsabsicht handelt oder die besonders schützenswerten Personendaten von der betroffenen Person offensichtlich bereits öffentlich gemacht wurden.

Werden besonders schützenswerte Personendaten erhoben und ist die Bearbeitung mit einem hohen Risiko für die betroffene Person verbunden, ist eine profunde Datenschutz-Folgenabschätzung (DSFA; vgl. Kapitel Daten-schutz-Folgenabschätzung) und genaue Prüfung der Rechtsgrundlage uner-lässlich (Art. 22 DSGneu und Art. 35 DSGVO).

Rechte der betroffenen Person

Art. 32 DSGneu regelt die Rechtsansprüche betroffener Personen, die im Verhältnis zur DSGVO (Art. 12 – 23 DSGVO) weniger weitreichend sind, den-noch nach beiden Gesetzen eine zentrale Säule des Datenschutzes bilden. Es handelt sich um folgende Rechte:

  • „Recht auf Berichtigung;
  • Recht auf Löschung / Vergessen;
  • Recht auf Einschränkung;
  • Recht auf Widerspruch;
  • Recht auf Datenübertragbarkeit;
  • Pflicht, Dritte über die erfolgte Ausübung dieser Rechte zu informieren.“

Anfragen von betroffenen Personen, die ihre Daten berichtigt, gelöscht oder vernichtet haben wollen, oder einfach eine Auskunft darüber wollen, welche Daten bearbeitet werden, müssen unbedingt ernst genommen werden und in angemessener Zeit beantwortet werden. Siehe zum Auskunftsrecht Art. 25 – 29 DSGneu und Art. 15 DSGVO. Von den deutschen Datenschutz- aufsichtsbehörden werden Verstösse gegen die Betroffenenrechte kritisch gesehen. Es ist nicht auszuschliessen, dass in Zukunft auch bei uns vermehrt mit Sanktionen zu rechnen sein wird, schliesslich ist gemäss Art. 60 DSGneu – wie bisher – die vorsätzliche Verletzung des Rechts gemäss Art. 25 ff. DSGneu unter Strafe gestellt.

Grundsätze und Rechtfertigungsgründe für die Verarbeitung

In der Schweiz braucht man – anders als in der EU – keine Rechtfertigungsgründe, damit man Personendaten bearbeiten darf, sondern man muss einfach die sog. Bearbeitungsgrundsätze einhalten. Die Bearbeitungsgrundsätze entsprechen materiell dem bisherigen Recht, sie sind nur sprachlich etwas umgestaltet worden. Grundsätzlich muss die Bearbeitung von Personendaten ihre Rechtmässigkeit haben, nach Treu und Glauben erfolgen und verhältnismässig sein.

Ganz zentral ist ebenfalls die Zweckmässigkeit: Die Personendaten dürfen nur zum bestimmten und für die betroffene Person erkennbaren Zweck beschafft werden, ebenso soll nur das nötige Mindestmass an Daten erhoben werden (Art. 6 DSGneu). Dies dürfte in der Praxis leicht umzusetzen sein und muss unbedingt Berücksichtigung finden.

Beispiel: Wird bei einer Bestellung im Online-Shop das Geburtsdatum des Kunden erhoben, sollte dieses erstens nur eine optionale Angabe darstellen und zweitens sollte das Geburtsdatum nur dann erhoben werden, wenn dann tatsächlich am Geburtstag eine dem Zweck entsprechende Aktion ausgeführt wird, bspw. ein Gutschein per Mail versandt wird.

In Art. 5 Abs. 1 DSGVO finden wir die gleichen Bearbeitungsgrundsätze: Transparenz, Zweckbindung, Fairness, Datenminimierung, begrenzte Speicherfristen, Datenrichtigkeit und Datensicherheit. Wichtig zu wissen: Art. 5 Abs. 2 DSGVO verlangt einen Nachweis der Einhaltung der Bear-beitungsgrundsätze, die sog. „Rechenschaftspflicht“ oder auch „accountability-Prinzip“.

Art. 6 DSGVO regelt die Rechtmässigkeit der Verarbeitung. Sollen Daten bearbeitet werden, braucht es einen der folgenden Rechtfertigungen:

  • Einwilligung der betroffenen Person; 
  • Zur Erfüllung eines Vertrages oder im Rahmen vorvertraglicher Massnahmen;
  • Zur Erfüllung einer rechtlichen Verpflichtung;
  • Um lebenswichtige Interessen einer Person zu schützen;
  • Gestützt auf ein öffentliches Interesse;
  • Zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten.

Bezüglich der Rechtfertigungsgründe geht das DSGneu weniger weit mit Art. 31 DSGneu. Wie gesagt ist in der Schweiz im Normalfall kein Rechtfertigungsgrund erforderlich, sofern keine andere Norm des Schweizer Rechts verletzt wird, welche den Schutz der Persönlichkeit bezweckt. Es darf sich aber weder um Weitergabe besonders schützenswerter Personendaten handeln (Art. 6 Abs. 7 lit. a DSGneu), noch ist die Bearbeitung zulässig, wenn die betroffene Person widerspricht (Art. 31 Abs. 1 DSGneu). In diesen beiden Fällen muss auch in der Schweiz bei der betroffenen Person eine Einwilligung eingeholt werden.

In der DSGVO ist das Thema der Einwilligung kompliziert. Die Einwilligung ist nur gültig nach vorgängiger Information, für den konkreten Fall und wenn sie freiwillig und unmissverständlich ist. Zudem besteht ein sog. Kopplungsverbot: man darf bspw. die Einwilligung nicht an etwas anderess koppeln. Weiter braucht es zwingend einen Hinweis auf das Recht und die Widerrufsmöglichkeit; der Widerruf ist jederzeit gültig (Art. 9 DSGVO). Summa summarum ist dies schwierig rechtssicher umsetzbar. In der Praxis bedeutet dies bspw. konkret, dass vorangekreuzte Kontrollkästchen (auch sog. Checkboxen) nicht verwendet werden dürfen. 

Art. 6 Abs. 6 und 7 DSGneu definieren, wie eine rechtsgültige Einwilligung aussieht. Grundsätzlich entspricht die Einwilligung im DSGneu weiterhin dem Konzept, wie es im gesamten Schweizer Recht gültig und vorgesehen ist. Vorangekreuzte Checkboxen sind also zulässig. Trotzdem empfiehlt es sich, die Checkboxen nicht voranzukreuzen, so kann einer Uneinigkeit zwischen Nutzer und Seitenbetreiber vorgebeugt werden. Das im letzten Absatz erwähnte Kopplungsverbot existiert gemäss Art. 7 Abs. 3 DSGneu nicht.

Fragen zur Revision des Schweizer Datenschutzgesetzes?

Nutzen Sie die Chance und vereinbaren Sie einen Termin