Das Bundesgesetz über den Datenschutz bezweckt den Schutz der Persönlichkeit und der Grundrechte von natürlichen Personen, über die Personendaten bearbeitet werden. Insbesondere das Beschaffen, Speichern, Aufbewahren, Verwenden, Verändern, Bekanntgeben, Archivieren, Löschen und Vernichten von Daten sind Bearbeitungen im Sinne des Datenschutzes.

Neuerungen für Bundesorgane und Private

Verschiedene Anpassungen bezüglich Personendaten und Informationspflicht betreffen Bundesbehörden und Private wie Unternehmen.

  • Ausweitung der Informationspflicht: Es muss unter anderen eine Datenschutzerklärung mit folgenden vier Mindestangaben erstellt werden:
    • Bearbeitungszweck
    • Identität und Kontaktdaten der verantwortlichen Person. Bei der verantwortlichen Person handelt es sich um eine private Person oder ein Bundesorgan, die über den Zweck und die Mittel der Bearbeitung entscheidet (allein oder gemeinsam mit anderen).
    • Bekanntgabe, an wen Personendaten übermittelt werden
    • Beim Übermitteln oder Zugänglichmachen der Daten ins Ausland: Nennung des Landes und allenfalls der Garantien zum Schutz der Personendaten
  • Bearbeitungsverzeichnis: Neu gibt es für Private und Bundesorgane eine Pflicht, ein Verzeichnis der Datenbearbeitungen zu erstellen (Ausnahmen für Unternehmen: Beschäftigung von weniger als 250 Mitarbeitenden und falls die Datenbearbeitung ein geringes Risiko von Persönlichkeitsverletzung mit sich bringt). Die Mindestangaben im Bearbeitungsverzeichnis sind gemäss Datenschutzgesetz etwas umfassender als in der Datenschutzerklärung. Beispielsweise muss die Aufbewahrungsdauer der Personendaten angegeben werden. Welche Informationen im Bearbeitungsverzeichnis erfasst werden müssen, listet der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) auf.
  • Verschärfte Sanktionen: Es gibt neue Sanktionen, unter anderem Bussen von bis zu CHF 250'000. Umso wichtiger ist es, Auskunftsbegehren korrekt zu beantworten, die Regeln für die Datenbekanntgabe ins Ausland oder bei einer Auftragsdatenbearbeitung zu beachten.
  • Meldung einer Datensicherheitsverletzung: Bei Verletzung der Datensicherheit mit voraussichtlich hohem Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person (z.B. wenn Personendaten Unbefugten zugänglich gemacht werden), muss der EDÖB so rasch wie möglich informiert werden. Auch besteht eine Informationspflicht gegenüber den betroffenen Personen. Ein Risiko wird anhand seiner Ursachen, der Gefahren, der ergriffenen oder vorgesehenen Massnahmen zur Risikominderung und der Wahrscheinlichkeit oder Schwere einer Verletzung der Datensicherheit trotz der ergriffenen oder vorgesehenen Massnahmen bewertet.
  • Datenschutz-Folgenabschätzung (DSFA): Eine DSFA wird vorgängig benötigt, wenn eine vorgesehene Datenbearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen mit sich bringen kann. Eine DSFA ist ein Instrument, mit dem potenzielle Risiken erfasst, eingeschätzt sowie entsprechende Massnahmen aufgezeigt werden können. Ausführliche Informationen sowie ein Merkblatt zu einer DSFA stellt der EDÖB zur Verfügung.
  • Auftragsbearbeitung: Wenn die Unternehmen oder Bundesbehörden eine Auftragsbearbeitung in Anspruch nehmen (z.B. Outsourcing in die Cloud), muss der Auftragnehmer die Datensicherheit genauso gewährleisten können wie der Auftraggeber. Allenfalls ist ein Auftragsbearbeitungsvertrag abzuschliessen.

Wichtige Unterscheidung zwischen Bundes- und Kantonsrecht im Bereich des Datenschutzes

Das revidierte Datenschutzgesetz des Bundes gilt – wie das bisherige Datenschutzgesetz – nur für das Bearbeiten von Daten durch Bundesbehörden und private Personen, nicht jedoch durch kantonale und kommunale Stellen. Für öffentliche Schulen gilt wie bis anhin das jeweilige kantonale Datenschutzgesetz. Auch den Folgen des neuen Datenschutzgesetzes für öffentliche Schulen sind wir nachgegangen.

ähnliche Beiträge

Durch die Zusammenarbeit mit Datennutzungsprojekten können wir anhand von konkreten Fällen aus der Praxis das Ökosystem «Bildungsdaten» ausleuchten und Lösungsansätze im Spannungsfeld der verschiedenen Anspruchsgruppen testen. Die bisherigen Erfahrungen zeigen: Trotz aller Heterogenität beschäftigen die gleichen Fragen.

Für eine Datennutzungspolitik, die auch Fragen der Bildungsgerechtigkeit berücksichtigt, braucht es den Dialog mit allen Beteiligten: der Forschung, dem schulischen Umfeld, EdTech-Unternehmen und der Bildungsverwaltung. Warum das zentral ist, erläutert Prof. Dr. Kenneth Horvath Leiter des Forschungsprojekts «Algorithmic Sorting in Education» an der PH Zürich in seinem Gastbeitrag.

Um die künftige Datennutzungspolitik für den Bildungsraum Schweiz zu entwickeln, haben wir ein Programm für Datennutzungsprojekte geschaffen. Wir haben die Beteiligten gefragt, warum sie Interesse haben an unserem Programm mitzuwirken.

Was hat der Schweizer Föderalismus mit Blockchain gemein? Beide stellen die Selbstbestimmung kleiner Einheiten ins Zentrum. An unserer Fachtagung 2023 zum Thema «Blockchains in der Bildung» widmen wir uns diesem Trend zur Selbstbestimmung und möglichen Bedeutungen für das föderalismuserprobte Bildungssystem.