Das Bundesgesetz über den Datenschutz bezweckt den Schutz der Persönlichkeit und der Grundrechte von natürlichen Personen, über die Personendaten bearbeitet werden. Insbesondere das Beschaffen, Speichern, Aufbewahren, Verwenden, Verändern, Bekanntgeben, Archivieren, Löschen und Vernichten von Daten sind Bearbeitungen im Sinne des Datenschutzes.
Neuerungen für Bundesorgane und Private
Verschiedene Anpassungen bezüglich Personendaten und Informationspflicht betreffen Bundesbehörden und Private wie Unternehmen.
- Ausweitung der Informationspflicht: Es muss unter anderen eine Datenschutzerklärung mit folgenden vier Mindestangaben erstellt werden:
- Bearbeitungszweck
- Identität und Kontaktdaten der verantwortlichen Person. Bei der verantwortlichen Person handelt es sich um eine private Person oder ein Bundesorgan, die über den Zweck und die Mittel der Bearbeitung entscheidet (allein oder gemeinsam mit anderen).
- Bekanntgabe, an wen Personendaten übermittelt werden
- Beim Übermitteln oder Zugänglichmachen der Daten ins Ausland: Nennung des Landes und allenfalls der Garantien zum Schutz der Personendaten
- Bearbeitungsverzeichnis: Neu gibt es für Private und Bundesorgane eine Pflicht, ein Verzeichnis der Datenbearbeitungen zu erstellen (Ausnahmen für Unternehmen: Beschäftigung von weniger als 250 Mitarbeitenden und falls die Datenbearbeitung ein geringes Risiko von Persönlichkeitsverletzung mit sich bringt). Die Mindestangaben im Bearbeitungsverzeichnis sind gemäss Datenschutzgesetz etwas umfassender als in der Datenschutzerklärung. Beispielsweise muss die Aufbewahrungsdauer der Personendaten angegeben werden. Welche Informationen im Bearbeitungsverzeichnis erfasst werden müssen, listet der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) auf.
- Verschärfte Sanktionen: Es gibt neue Sanktionen, unter anderem Bussen von bis zu CHF 250'000. Umso wichtiger ist es, Auskunftsbegehren korrekt zu beantworten, die Regeln für die Datenbekanntgabe ins Ausland oder bei einer Auftragsdatenbearbeitung zu beachten.
- Meldung einer Datensicherheitsverletzung: Bei Verletzung der Datensicherheit mit voraussichtlich hohem Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person (z.B. wenn Personendaten Unbefugten zugänglich gemacht werden), muss der EDÖB so rasch wie möglich informiert werden. Auch besteht eine Informationspflicht gegenüber den betroffenen Personen. Ein Risiko wird anhand seiner Ursachen, der Gefahren, der ergriffenen oder vorgesehenen Massnahmen zur Risikominderung und der Wahrscheinlichkeit oder Schwere einer Verletzung der Datensicherheit trotz der ergriffenen oder vorgesehenen Massnahmen bewertet.
- Datenschutz-Folgenabschätzung (DSFA): Eine DSFA wird vorgängig benötigt, wenn eine vorgesehene Datenbearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen mit sich bringen kann. Eine DSFA ist ein Instrument, mit dem potenzielle Risiken erfasst, eingeschätzt sowie entsprechende Massnahmen aufgezeigt werden können. Ausführliche Informationen sowie ein Merkblatt zu einer DSFA stellt der EDÖB zur Verfügung.
- Auftragsbearbeitung: Wenn die Unternehmen oder Bundesbehörden eine Auftragsbearbeitung in Anspruch nehmen (z.B. Outsourcing in die Cloud), muss der Auftragnehmer die Datensicherheit genauso gewährleisten können wie der Auftraggeber. Allenfalls ist ein Auftragsbearbeitungsvertrag abzuschliessen.
Wichtige Unterscheidung zwischen Bundes- und Kantonsrecht im Bereich des Datenschutzes
Das revidierte Datenschutzgesetz des Bundes gilt – wie das bisherige Datenschutzgesetz – nur für das Bearbeiten von Daten durch Bundesbehörden und private Personen, nicht jedoch durch kantonale und kommunale Stellen. Für öffentliche Schulen gilt wie bis anhin das jeweilige kantonale Datenschutzgesetz. Auch den Folgen des neuen Datenschutzgesetzes für öffentliche Schulen sind wir nachgegangen.