Das Bundesgesetz über den Datenschutz bezweckt den Schutz der Persönlichkeit und der Grundrechte von natürlichen Personen, über die Personendaten bearbeitet werden. Insbesondere das Beschaffen, Speichern, Aufbewahren, Verwenden, Verändern, Bekanntgeben, Archivieren, Löschen und Vernichten von Daten sind Bearbeitungen im Sinne des Datenschutzes.

Neuerungen für Bundesorgane und Private

Verschiedene Anpassungen bezüglich Personendaten und Informationspflicht betreffen Bundesbehörden und Private wie Unternehmen.

  • Ausweitung der Informationspflicht: Es muss unter anderen eine Datenschutzerklärung mit folgenden vier Mindestangaben erstellt werden:
    • Bearbeitungszweck
    • Identität und Kontaktdaten der verantwortlichen Person. Bei der verantwortlichen Person handelt es sich um eine private Person oder ein Bundesorgan, die über den Zweck und die Mittel der Bearbeitung entscheidet (allein oder gemeinsam mit anderen).
    • Bekanntgabe, an wen Personendaten übermittelt werden
    • Beim Übermitteln oder Zugänglichmachen der Daten ins Ausland: Nennung des Landes und allenfalls der Garantien zum Schutz der Personendaten
  • Bearbeitungsverzeichnis: Neu gibt es für Private und Bundesorgane eine Pflicht, ein Verzeichnis der Datenbearbeitungen zu erstellen (Ausnahmen für Unternehmen: Beschäftigung von weniger als 250 Mitarbeitenden und falls die Datenbearbeitung ein geringes Risiko von Persönlichkeitsverletzung mit sich bringt). Die Mindestangaben im Bearbeitungsverzeichnis sind gemäss Datenschutzgesetz etwas umfassender als in der Datenschutzerklärung. Beispielsweise muss die Aufbewahrungsdauer der Personendaten angegeben werden. Welche Informationen im Bearbeitungsverzeichnis erfasst werden müssen, listet der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) auf.
  • Verschärfte Sanktionen: Es gibt neue Sanktionen, unter anderem Bussen von bis zu CHF 250'000. Umso wichtiger ist es, Auskunftsbegehren korrekt zu beantworten, die Regeln für die Datenbekanntgabe ins Ausland oder bei einer Auftragsdatenbearbeitung zu beachten.
  • Meldung einer Datensicherheitsverletzung: Bei Verletzung der Datensicherheit mit voraussichtlich hohem Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person (z.B. wenn Personendaten Unbefugten zugänglich gemacht werden), muss der EDÖB so rasch wie möglich informiert werden. Auch besteht eine Informationspflicht gegenüber den betroffenen Personen. Ein Risiko wird anhand seiner Ursachen, der Gefahren, der ergriffenen oder vorgesehenen Massnahmen zur Risikominderung und der Wahrscheinlichkeit oder Schwere einer Verletzung der Datensicherheit trotz der ergriffenen oder vorgesehenen Massnahmen bewertet.
  • Datenschutz-Folgenabschätzung (DSFA): Eine DSFA wird vorgängig benötigt, wenn eine vorgesehene Datenbearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen mit sich bringen kann. Eine DSFA ist ein Instrument, mit dem potenzielle Risiken erfasst, eingeschätzt sowie entsprechende Massnahmen aufgezeigt werden können. Ausführliche Informationen sowie ein Merkblatt zu einer DSFA stellt der EDÖB zur Verfügung.
  • Auftragsbearbeitung: Wenn die Unternehmen oder Bundesbehörden eine Auftragsbearbeitung in Anspruch nehmen (z.B. Outsourcing in die Cloud), muss der Auftragnehmer die Datensicherheit genauso gewährleisten können wie der Auftraggeber. Allenfalls ist ein Auftragsbearbeitungsvertrag abzuschliessen.

Wichtige Unterscheidung zwischen Bundes- und Kantonsrecht im Bereich des Datenschutzes

Das revidierte Datenschutzgesetz des Bundes gilt – wie das bisherige Datenschutzgesetz – nur für das Bearbeiten von Daten durch Bundesbehörden und private Personen, nicht jedoch durch kantonale und kommunale Stellen. Für öffentliche Schulen gilt wie bis anhin das jeweilige kantonale Datenschutzgesetz. Auch den Folgen des neuen Datenschutzgesetzes für öffentliche Schulen sind wir nachgegangen.

ähnliche Beiträge

21.3.2023

Die Regelung der Zugänge zu oder die Löschung von Daten sind entscheidende Governance-Fragen. Unternehmen und Institutionen ermöglichen mit einer guten Data-Governance-Strategie eine effektive Nutzung von Informationen zur Zielerreichung. Ziele, die je nach Akteur im Bildungssystem stark variieren. Hier muss Datennutzungspolitik vermitteln.

23.5.2023

Was hat der Schweizer Föderalismus mit Blockchain gemein? Beide stellen die Selbstbestimmung kleiner Einheiten ins Zentrum. An unserer Fachtagung 2023 zum Thema «Blockchains in der Bildung» widmen wir uns diesem Trend zur Selbstbestimmung und möglichen Bedeutungen für das föderalismuserprobte Bildungssystem.

15.12.2022

In der vierten Episode des Audio-Podcasts zum Bericht «Digitalisierung in der Bildung» analysieren wir, wie die Schweiz im Vergleich zu anderen Ländern abschneidet. Was sind die Voraussetzungen und Hindernisse, wenn man solche Vergleiche anstellt? Und was können wir daraus lernen?

23.1.2023

Seit dem Start unserer Anlaufstelle für Datennutzung und Datenschutz haben wir uns mit ganz unterschiedlichen Fragen aus der Praxis auseinandergesetzt: zum Beispiel zu digitalen Lehrmitteln, Personendaten oder Cloud-Diensten. Dabei sammeln wir erste Erfahrungen, die in die Entwicklung einer schweizweiten Datennutzungspolitik einfliessen.