Aus dem Unterricht des CAS Digital Risk Management zum Thema Datenschutz mit Dr. iur. Bruno Baeriswyl, dem Datenschutzbeauftragten des Kantons Zürich, berichtet Tanja Hegi:

Das Schweizer Datenschutzgesetz (DSG) schützt die Person und nicht die Daten!

Das Datenschutzgesetz bezweckt den Schutz der Persönlichkeit und der Grundrechte von Personen, über die Daten bearbeitet werden. (DSG, Art. 1)

Was beinhaltet der Persönlichkeitsschutz “The Right of Privacy”?

  • Wahrung der Privatsphäre
  • Informationelle Selbstbestimmung
  • Vertraulichkeit und Integrität
  • Schutz vor Missbrauch von Daten

Was ist das Grundrecht?

Persönliche Freiheit (Privatsphäre, sich unbeobachtet bewegen können)

Personendaten vs. Sachdaten

Personendaten sind bestimmte oder bestimmbare Daten:

  • Besonders schützenswerte Daten
  • IP-Adresse
  • Verschlüsselte Daten
  • Pseudonymisierte Daten

Anonymisierte Daten oder Daten, die keinen Personenbezug haben, fallen nicht unter diese Kategorie. Für den Schutz von Personendaten ist das Bundesgesetz (DSG) zuständig. Werden die Daten durch den Staat bearbeitet sind die kantonalen Gesetze mit Verordnungen entscheidend.

Sieben Grundprinzipien des Schweizer Datenschutzes
Es gelten sieben Grundprinzipien einzuhalten (DSG, Art. 4):

  • Rechtmässigkeit: Zur Bearbeitung von Daten braucht es einen Rechtfertigungsgrund (von Gesetzeswegen, durch Einwilligung der betroffenen Person oder überwiegendes Interesse).
  • Verhältnismässigkeit: Es gilt: „So viel wie nötige, so wenig wie möglich“
  • Zweckbindung: Die Daten dürfen nur zu dem Zweck, der bei der Erhebung transparent war, verwendet werden.
  • Erkennbarkeit: Die Beschaffungsart und der Zweck der Datenerhebung und -nutzung müssen klar erkennbar sein.
  • Verantwortlichkeit: Der Verantwortliche muss bekannt und die Datenbearbeitung nachvollziehbar sein.
  • Informationssicherheit: Es müssen organisatorische und technische Massnahmen zum Schutz der Daten getroffen werden. Vertraulichkeit, Integrität, Verfügbarkeit, Authentizität und Nachvollziehbarkeit müssen gewährleistet sein.
  • Kontrolle: Jede Person kann ein Auskunfts-, Widerspruchsrecht und das Recht auf Berichtigung und Vernichtung ohne Begründung ausüben.

Entstehung der “Privatsphäre” 

1890:     “The Right of Privacy” wurde das 1. Mal definiert und in die rechtliche Literatur aufgenommen (Samuel D. Warren/Louis D. Brandeis, Harvard Law Review 1890, 193 ff.)

1950:     Art. 8 EMRK (Europäische Menschenrechtskonvention)

1999:     Art. 13 BV (Bundesverfassung)

2019:     Änderungen im DSG (Totalrevision) – die wichtigsten Neuerungen:

  • Art. 3 Begriffe: Besonders schützenswerte Personendaten werden auf biometrische und genetische Daten ausgeweitet.
  • Art. 8 Ausarbeitung von Empfehlungen der guten Praxis:  Eidg. Datenschutzbeauftragte soll bereichsspezifische Standards definieren können
  • Art. 13 Informationspflicht bei der Beschaffung von Daten:  Es gilt neu eine einheitliche Regelung für die Datenbearbeitung durch Bundesorgane und private Verantwortliche.
  • Art. 15 Informations- und Anhörungspflicht bei einer automatisierten Einzelentscheidung: Die betroffene Person ist über eine automatisierte Einzelentscheidung zu informieren und die Möglichkeit haben, sich zur automatisierten Einzelentscheidung und zu den bearbeiteten Daten zu äussern.
  • Art. 16 Datenschutz-Folgenabschätzung: Neu ist eine Risikoabschätzung mit deren Auswirkungen durchzuführen und aufzuzeigen wie diese Risiken minimiert werden können.
  • Art. 17 Meldung von Verletzungen des Datenschutzes: Neu soll eine Meldepflicht bei Verletzungen des Datenschutzes eingeführt werden.
  • Art. 18 Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen: Neu soll die Pflicht zum sogenannten «Datenschutz durch Technik» (Privacy by Design) eingeführt werden.
  • Art. 19 Weitere Pflichten (“Dokumentation”): Datenbearbeitungsvorgänge und Einhaltung des Datenschutzes müssen dokumentiert werden.
  • Art. 41 Untersuchung: Die Untersuchungskompetenzen des EDÖB werden erweitert.
  • Strafbestimmungen (Art. 50 ff.): Aufsicht erhält Sanktionsmöglichkeiten

Mit der Totalrevision des DSG enfällt der Schutz für juristische Personen.

Datenschutz im globalen Umfeld

Im europäischen Raum sind Personendaten ein wertvolles Gut und gelten als schützenswert. Nicht so in den USA, wo der Datenschutz einen geringen Stellenwert hat und die Sicherheit der Daten vorgeht. In den USA gibt es keine Rahmenbedingungen bzgl. Privacy, kein spezifisches Datenschutzgesetz wie auch keine institutionelle Aufsichtsbehörde.

Im Mai 2018 (25.05) tritt die neue EU-Datenschutz-Grundverordnung (DSGVO) in Kraft. Die vorgängig aufgeführten Neuerungen im DSG sind notwendig, um eine Angleichung an das höhere EU-Niveau zu gewährleisten. Ansonsten werden keine Datenlieferungen in die EU mehr möglich sein.

Im internationalen Datenverkehr wird der Schweiz – als sogenanntes Drittland – ein angemessenes Datenschutzniveau attestiert. Die Schweiz ist den Ländern der EU gleichgestellt ist.