Das Bundesgesetz über den Datenschutz bezweckt den Schutz der Persönlichkeit und der Grundrechte von natürlichen Personen, über die Personendaten bearbeitet werden. Insbesondere das Beschaffen, Speichern, Aufbewahren, Verwenden, Verändern, Bekanntgeben, Archivieren, Löschen und Vernichten von Daten sind Bearbeitungen im Sinne des Datenschutzes.

Neuerungen für Bundesorgane und Private

Verschiedene Anpassungen bezüglich Personendaten und Informationspflicht betreffen Bundesbehörden und Private wie Unternehmen.

  • Ausweitung der Informationspflicht: Es muss unter anderen eine Datenschutzerklärung mit folgenden vier Mindestangaben erstellt werden:
    • Bearbeitungszweck
    • Identität und Kontaktdaten der verantwortlichen Person. Bei der verantwortlichen Person handelt es sich um eine private Person oder ein Bundesorgan, die über den Zweck und die Mittel der Bearbeitung entscheidet (allein oder gemeinsam mit anderen).
    • Bekanntgabe, an wen Personendaten übermittelt werden
    • Beim Übermitteln oder Zugänglichmachen der Daten ins Ausland: Nennung des Landes und allenfalls der Garantien zum Schutz der Personendaten
  • Bearbeitungsverzeichnis: Neu gibt es für Private und Bundesorgane eine Pflicht, ein Verzeichnis der Datenbearbeitungen zu erstellen (Ausnahmen für Unternehmen: Beschäftigung von weniger als 250 Mitarbeitenden und falls die Datenbearbeitung ein geringes Risiko von Persönlichkeitsverletzung mit sich bringt). Die Mindestangaben im Bearbeitungsverzeichnis sind gemäss Datenschutzgesetz etwas umfassender als in der Datenschutzerklärung. Beispielsweise muss die Aufbewahrungsdauer der Personendaten angegeben werden. Welche Informationen im Bearbeitungsverzeichnis erfasst werden müssen, listet der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) auf.
  • Verschärfte Sanktionen: Es gibt neue Sanktionen, unter anderem Bussen von bis zu CHF 250'000. Umso wichtiger ist es, Auskunftsbegehren korrekt zu beantworten, die Regeln für die Datenbekanntgabe ins Ausland oder bei einer Auftragsdatenbearbeitung zu beachten.
  • Meldung einer Datensicherheitsverletzung: Bei Verletzung der Datensicherheit mit voraussichtlich hohem Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person (z.B. wenn Personendaten Unbefugten zugänglich gemacht werden), muss der EDÖB so rasch wie möglich informiert werden. Auch besteht eine Informationspflicht gegenüber den betroffenen Personen. Ein Risiko wird anhand seiner Ursachen, der Gefahren, der ergriffenen oder vorgesehenen Massnahmen zur Risikominderung und der Wahrscheinlichkeit oder Schwere einer Verletzung der Datensicherheit trotz der ergriffenen oder vorgesehenen Massnahmen bewertet.
  • Datenschutz-Folgenabschätzung (DSFA): Eine DSFA wird vorgängig benötigt, wenn eine vorgesehene Datenbearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen mit sich bringen kann. Eine DSFA ist ein Instrument, mit dem potenzielle Risiken erfasst, eingeschätzt sowie entsprechende Massnahmen aufgezeigt werden können. Ausführliche Informationen sowie ein Merkblatt zu einer DSFA stellt der EDÖB zur Verfügung.
  • Auftragsbearbeitung: Wenn die Unternehmen oder Bundesbehörden eine Auftragsbearbeitung in Anspruch nehmen (z.B. Outsourcing in die Cloud), muss der Auftragnehmer die Datensicherheit genauso gewährleisten können wie der Auftraggeber. Allenfalls ist ein Auftragsbearbeitungsvertrag abzuschliessen.

Wichtige Unterscheidung zwischen Bundes- und Kantonsrecht im Bereich des Datenschutzes

Das revidierte Datenschutzgesetz des Bundes gilt – wie das bisherige Datenschutzgesetz – nur für das Bearbeiten von Daten durch Bundesbehörden und private Personen, nicht jedoch durch kantonale und kommunale Stellen. Für öffentliche Schulen gilt wie bis anhin das jeweilige kantonale Datenschutzgesetz. Auch den Folgen des neuen Datenschutzgesetzes für öffentliche Schulen sind wir nachgegangen.

ähnliche Beiträge

Die zweite Folge unserer Podcast-Serie «Daten im digitalen Bildungsraum» befasst sich mit künstlicher Intelligenz in der Bildungsverwaltung. Wird KI bereits eingesetzt? Was sind die Fragen und (schwierigen) Antworten, die man darauf geben kann?

Schulen bearbeiten, speichern und verwalten viele schützenswerte (Personen-) Daten. Unser neues Dossier «Datenschutzkonforme Schule» unterstützt Schulen mit praxisnahen Hilfsmitteln im Umgang mit Personendaten. So soll Vertrauen in Schulen gestärkt und der Datenschutz verbessert werden. 

Bei digitalen Lehrmitteln und Lernapplikationen gibt es im föderalen Bildungssystem unterschiedliche Zuständigkeiten beim Datenschutz. Dies führt zu Unsicherheiten bei den Verantwortlichkeiten, wie das Datennutzungsprojekt im Kanton Aargau zeigt. Notwendig sind klare Verantwortlichkeiten und Sensibilisierung.

Aufgrund des rasanten technologischen Fortschritts sind die Rahmenbedingungen von KI-Technologien auch im Bildungsbereich oft unklar. Das Projekt «Innovation-Sandbox für KI» will regulatorische Klarheit schaffen. Raphael von Thiessen, Leiter des Sandbox-Projekts Kanton Zürich, erläutert die Vorgehensweise.