default

Datenschutzgrundsätze und Privacy by Design

FAQ

  • Welche Grundregeln müssen Unternehmen beachten, wenn sie Personendaten bearbeiten?

    Das revDSG schreibt die Einhaltung folgender Grundsätze vor:

    • Verhältnismässigkeit
    • Rechtmässigkeit und Treu und Glauben
    • Zweckbindung und Transparenz
    • Datenrichtigkeit
  • Wie lange sollten wir Daten aufbewahren? Wie und wann sollen wir die gesammelten Daten vernichten oder löschen?

    Erhobene Daten sind zu löschen, wenn ihr Zweck erfüllt ist oder sie nicht länger notwendig sind, um den definierten Zweck zu erfüllen. Personendaten dürfen nicht auf Vorrat und/oder ohne spezifischen Zweck gesammelt werden.

  • Kann ich einen Cloud-Anbieter nutzen, um die Daten unseres Unternehmens zu speichern? Können wir unsere Kundendaten auf einer Blockchain speichern?

    Die Benutzung von Clouddiensten oder Blockchain Technologien ist nicht verboten, solange die Datenschutzgrundsätze eingehalten werden. Insbesondere ist dabei der Grundsatz der Verhältnismässigkeit zu beachten.

    Zudem sind, je nach Umständen, die Voraussetzungen für "Auslanddatentransfers" und die "Auftragsdatenbearbeitung" zu beachten.

  • Können wir unrechtmässig erlangte Daten für eine interne Untersuchung von Mitarbeitern verwenden?

    Grundsätzlich dürfen Personendaten, die in Verletzung geltender Rechtsvorschriften erlangt wurden, nicht bearbeitet werden.

    Dies bedeutet beispielsweise, dass Daten, die durch einen Hackerangriff erlangt wurden, nicht in einem Gerichtsprozess verwendet werden dürfen.

  • Ich erhalte Daten, die von einem Dritten erhoben wurden. Wie kann ich sicherstellen, dass der Dritte die Daten auf rechtmässige Weise erhoben hat und dass ich diese Daten auch selbst rechtmässig nutzen kann?

    Grundsätzlich muss jeder, der Daten bearbeitet, also auch der Dritte, die Datenschutzgrundsätze einhalten. Sicherheit darüber, ob der Dritte dies auch getan hat, hat man letztlich nur, wenn man genau prüfen und nachvollziehen kann, wie und unter welchen Voraussetzungen der Dritte die Daten erhoben hat. Allerdings kann man den Risiken einer unrechtmässigen Datenerhebung durch den Dritten durch eine vertragliche Regelung begegnen. So kann der Dritte beispielsweise vertraglich garantieren, dass er befugt ist, die Daten zu teilen, und dass er sie rechtmässig erhoben hat. Es ist ebenfalls möglich, auf diesem Weg eine Haftungsregelung zu vereinbaren, d.h. dass der Dritte für etwaigen so verursachten Schaden aufzukommen hat. Letztlich verbleibt es aber dabei, dass wenn man Daten, die von einem Dritten stammen, bearbeitet, man immer ein gewisses Restrisiko trägt, weil man letztlich selber den betroffenen Datensubjekten gegenüber für die Einhaltung datenschutzrechtlicher Vorschriften verantwortlich bleibt.

  • Finanzmarktregulierte Unternehmen müssen ein ausführliches Onboarding / KYC machen. Dabei werden viele Daten gesammelt. Kann man diese Daten auch für andere Zwecke verwenden (z.B. Entwicklung neuer Produkte, Versand von Werbung etc.)?

    Grundsätzlich können Daten nur für einen vorgängig bestimmten und angegebenen Zweck bearbeitet werden. Die gesammelten Daten könnten somit nur dann weiter benutzt werden, wenn eine solche Bearbeitung dem Kunden von vornherein bekannt war und die Bearbeitung verhältnismässig ist.

Auf einen Blick

An den Datenschutzgrundsätzen ändert sich mit dem revDSG grundsätzlich nichts. Jede Bearbeitung von Personendaten muss im Einklang mit den folgenden Datenschutzgrundsätzen erfolgen:

  • Rechtmässigkeit / Treu und Glauben
  • Verhältnismässigkeit
  • Zweckbindung und Transparenz
  • Richtigkeit der Daten

Darüber hinaus müssen Unternehmen sicherstellen, dass sie den Datenschutz in der Entwicklung von neuen Geschäftsmodellen, Produkten oder Services von Anfang an berücksichtigen und ihre Produkte und Services datenschutzfreundlich voreingestellt sind (sog. Privacy by Design / Privacy by Default).

Einleitung

Die Bearbeitungsgrundsätze gemäss Schweizer Recht sind zu grossem Teil mit dem Datenschutzrecht der EU identisch, es werden einzig gewisse Prinzipien in der Schweiz von anderen (bestehenden) Grundsätzen erfasst. So ist der Grundsatz der Datenminimierung in der Schweiz vom Verhältnismässigkeitsgrundsatz erfasst. Der grosse Unterschied zur EU-DSGVO ist, dass in der Schweiz Personendaten bearbeitet werden können, wenn diese Grundsätze eingehalten werden, wogegen es in der EU zudem noch explizit eines Rechtfertigungsgrundes bedarf, wie z.B. der Einwilligung einer Person, einer gesetzlichen Pflicht, die Daten zu bearbeiten, oder einer vertraglichen Beziehung, die eine Datenbearbeitung verlangt.

Rechtmässigkeit

1 Was bedeutet der Grundsatz der Rechtmässigkeit?

Dieser Grundsatz besagt, dass Personendaten nicht unrechtmässig, z.B. entgegen dem geltenden Gesetz oder für kriminelle Zwecke, bearbeitet werden dürfen.

2 Wann fehlt es an der rechtmässigen Bearbeitung?

Eine unrechtmässige Bearbeitung läge vor, wenn eine Norm des Schweizer Rechts, welche den Schutz der Persönlichkeit bezweckt, verletzt wird, oder eine Datenbearbeitung kriminellen Zwecken dient.

Beispiel:
Die Veröffentlichung eines Fotos einer Person stellt eine Datenbearbeitung dar. Sofern die betroffene Person nicht in die Veröffentlichung des Fotos eingewilligt hat, wird ihr Recht am eigenen Bild (ZGB 28) verletzt. Infolgedessen ist die Datenbearbeitung unrechtmässig.

Verhältnismässigkeit

1 Wann ist der Umgang mit Daten verhältnismässig?

Unter dem Grundsatz der Verhältnismässigkeit ist zu verstehen, dass nur die Daten beschafft oder bearbeitet werden dürfen, die auch objektiv tatsächlich benötigt werden oder für einen bestimmten Zweck notwendig sind. Der Zugriff auf Daten ist soweit als möglich einzuschränken.

Achtung: Eine Datenbearbeitung ohne Zweckbindung ist von Anfang an unverhältnismässig und somit unzulässig.

2 Was muss ein Unternehmen mindestens beachten?

  • Bearbeitung von Daten nur im Umfang des absolut Notwendigen (nur diejenigen Daten sammeln und bearbeiten, die für einen bestimmten Zweck notwendig sind)

Beispiel: Wenn für die Registrierung einer App nur E-Mail-Adresse, Alter und Name notwendig sind, sollte der App-Anbieter bei der Anmeldung nicht weitere Daten, wie z.B. Geschlecht, Hobbies, Beruf, zwingend verlangen (optional können diese von den Kunden natürlich angegeben werden).

  • Zugriff auf Personendaten nach Need-to-Know-Prinzip

Beispiel: Auf ein Personaldossier von Mitarbeitenden sollten die Arbeitskolleginnen keinen Zugriff haben. Der Zugriff sollte namentlich auf die Personalabteilung sowie die Vorgesetzten beschränkt werden.

  • Personendaten nur so lange aufbewahren, wie für den Zweck notwendig

Beispiel: Wenn sich ein Kunde für einen Newsletter des Unternehmens angemeldet hat, sollte dessen E-Mail-Adresse nur so lange aufbewahrt werden, bis er sich vom Newsletter abmeldet (ausser es besteht danach ein anderer Grund, die E-Mail-Adresse weiter aufzubewahren, weil er z.B. auch noch Kunde des Online-Shops des Unternehmens ist).

Zweckbindung und Transparenz

1 Was ist unter dem Grundsatz der Zweckbindung und Transparenz zu verstehen?

Die Beschaffung von Personendaten und deren Zwecke müssen für eine betroffene Person erkennbar sein. So kann eine Datenbearbeitung nur erfolgen, wenn dafür ein angegebener, aus den Umständen erkennbarer oder gesetzlich vorgesehener Zweck vorliegt. Dieser Zweck bleibt für den Datenbearbeiter verbindlich.

2 Was muss ein Unternehmen mindestens beachten?

  • Bearbeitung nur für vorgängig bestimmten und angegebenen / erkennbaren Zweck
  • Beispiel: Wenn bei der Beschaffung von Personendaten angegeben wird, dass diese Daten zur Rechnungsstellung verwendet werden, dürfen sie grundsätzlich nicht für andere Zwecke bearbeitet werden, wie z.B. dem Targeting des Kunden für Werbezwecke (Ausnahmen: [verlinken mit: "Darf man die Daten später für einen anderen Zweck verwenden?"]).
  • Genügende Bestimmbarkeit (keine vagen, nicht definierten oder unpräzisen Zwecke)

Beispiel für ungenügende Bestimmbarkeit: Wir bearbeiten Ihre Personendaten für unsere Geschäftszwecke (ohne weitere Angaben dazu).

  • Erkennbarkeit aufgrund aktiver Information, gesetzlicher Grundlage oder wenn aus den Umständen erkennbar / mit dem ursprünglichen Zweck vereinbar

Neben dem erkennbaren Zweck müssen ebenfalls die wichtigsten Parameter der Datenbearbeitung erkennbar sein, soweit für die betroffene Person an diesen ein besonderes Interesse besteht.

An welchen Informationen besteht ein besonderes Interesse?

An welchen Informationen ein besonderes Interesse besteht, ist generell einzelfallabhängig zu beurteilen. Grundsätzlich besteht aber an folgenden Informationen ein besonderes Interesse:

  • Wer ist verantwortlich für die Bearbeitung meiner Daten?

Beispiel: Name des Unternehmens, das die Daten beschafft oder das einen Newsletter versendet

  • Welche Daten werden erhoben?

Beispiele: Erkennbarkeit einer Sicherheitskamera im Gebäude oder Formular für die Daten, die ein Patient zwingend angeben muss oder optional angeben kann, wenn er das erste Mal bei einem neuen Arzt ist

  • Wem könnten diese Daten mitgeteilt werden?

Beispiele: Behörden, Gruppengesellschaften, Dienstleister

  • Der Grundsatz der Transparenz ist eng verknüpft mit der im revDSG neu eingeführten Informationspflicht, welche genau bestimmt, welche Informationen betroffenen Personen mitgeteilt werden müssen, wenn ihre Daten bearbeitet werden.

3 Darf man gesammelte Daten später für einen anderen Zweck verwenden?

Wenn der andere Zweck mit dem anfänglichen Zweck "vereinbar" ist, darf man die Daten auch für diesen anderen Zweck verwenden. Die "Vereinbarkeit" muss für die betroffene Person ebenfalls erkennbar sein.

Beispiel: Wenn die betroffene Person ihre Daten zur Auslösung einer Zahlung angegeben hat, ist ihr bewusst, dass diese Daten zur Abwicklung dieser Zahlung durch ihre eigene Bank und die Bank des Empfängers bearbeitet werden (primärer Zweck). Die Bank kann die Daten jedoch auch im Rahmen der Geldwäschereibekämpfung und zur Verhinderung von Betrugsfällen benutzen. So werden die Daten für einen sekundären Zweck benutzt, der mit dem ursprünglichen Zweck vereinbar ist (oder sogar gesetzlich vorgeschrieben wird), ohne dass ein Rechtfertigungsgrund herangezogen werden muss.

4 Wann darf man die Daten nicht für einen anderen Zweck verwenden?

Man kann Daten nicht für einen anderen (sekundären) Zweck verwenden, wenn der sekundäre Zweck mit dem primären Zweck unvereinbar ist oder wenn dies für die betroffene Person unerwartet oder unangebracht wäre. In diesen Fällen muss ein Rechtfertigungsgrund, wie z.B. die Einwilligung der betroffenen Person, eine gesetzliche Grundlage oder ein überwiegendes Interesse , vorliegen. Ansonsten verletzt dieser neue Zweck / diese Zweckänderung den Zweckbindungsgrundsatz.

Beispiel: Wenn die betroffene Person ihre Daten beim Unterschriftensammeln für eine politische Kampagne abgegeben hat, kann sie nicht erwarten, dass diese Daten später auch zu Werbezwecken benutzt werden.

"Nichtdestotrotz"
Wenn Daten zu einem anderen oder neuen Zweck als ursprünglich erkennbar bearbeitet werden, muss die betroffene Person informiert werden, damit sie Gelegenheit hat, der Bearbeitung zu widersprechen.

Wann und wie müssen die Personendaten vernichtet werden?

Erhobene Daten sind zu vernichten, wenn ihr Zweck erfüllt ist oder sie nicht länger notwendig sind, um den definierten Zweck zu erfüllen. Personendaten dürfen nicht auf Vorrat und/oder ohne spezifischen Zweck gesammelt werden.

Statt Personendaten zu vernichten, können sie auch anonymisiert werden. Dadurch können auch keine Rückschlüsse mehr auf die betroffene Person gemacht werden. Jedoch ist hier darauf hinzuweisen, dass aufgrund technologischer Entwicklungen eine vollständige Anonymisierung nicht einfach gewährleistet / erreicht werden kann bzw. dass immer ein gewissen Risiko besteht, dass die Daten re-identifizierbar gemacht werden können. Die Pseudonymisierung von Daten ersetzt jedoch ihre Vernichtung nicht.

Achtung: Gewisse Unternehmen können jedoch einer gesetzlichen Aufbewahrungspflicht unterstehen. Dann müssen Personendaten erst nach Ablauf dieser Frist gelöscht werden.

Beispiele: Zehnjährige Aufbewahrungspflichten sind vorgesehen in:

  • Art. 958f OR: bei der kaufmännischen Buchführung;
  • Art. 7 GwG: bei Transaktionen, die dem Geldwäschereigesetz unterstehen;
  • Art. 19 FinFraG: im Rahmen von Dokumentationspflichten von Finanzmarktinfrastrukturen.

Richtigkeit der Daten

1 Was muss ein Unternehmen in Bezug auf die Richtigkeit von Daten sicherstellen?

  • Sicherstellung sachlicher Richtigkeit und Aktualität von bearbeiteten Personendaten
  • Korrektur oder Löschung unvollständiger, veralteter oder unrichtiger Personendaten

Einwilligung

Grundsätzlich bedarf die Bearbeitung von Daten keiner Einwilligung, ausser es besteht z.B. eine gesetzliche Pflicht dazu oder Daten werden z.B. in Verletzung der Datenschutzgrundsätze bearbeitet.

Können Unternehmen gebüsst werden, wenn die Datenschutzgrundsätze nicht eingehalten werden?

Im Gegensatz zum EU-Datenschutzrecht sieht das revDSG grundsätzlich keine Busse vor, wenn die Datenschutzgrundsätze nicht eingehalten werden. Jedoch bilden die Datenschutzgrundsätze die Grundlage einer rechtmässigen Datenbearbeitung, weshalb eine Verletzung eines Datenschutzgrundsatzes auch gleichzeitig eine Verletzung einer konkreten weiteren Pflicht gemäss revDSG, wie z.B. der Informationspflicht, nach sich ziehen kann. Die Verletzung solcher Pflichten können eine Busse zur Folge haben.

Ausserdem hat der EDÖB die Befugnis, eine verbindliche Anordnung gegenüber Unternehmen zu erlassen, welche die Datenschutzvorschriften verletzen. So kann der EDÖB verlangen, dass eine Bearbeitung ganz oder teilweise angepasst, unterbrochen oder abgebrochen wird oder gewisse Personendaten ganz oder teilweise gelöscht oder vernichtet werden (Art. 51 Abs. 1 revDSG). Die Nichteinhaltung einer solchen Verfügung kann mit bis zu CHF 250'000.- gebüsst werden.

Privacy by Design / Privacy by Default

Die Grundsätze "Privacy by Design" und "Privacy by Default" sollen sicherstellen, dass ein Unternehmen bei der Entwicklung von neuen Prozessen, Dienstleitungen oder Produkten von Anfang den Datenschutz miteinbezieht und per "default" datenschutzfreundliche Voreinstellungen trifft. Der Verantwortliche ist verpflichtet, rechtzeitig entsprechende technische und organisatorische Vorkehrungen zur Einhaltung der Datenschutzgrundsätze zu treffen.

Beispiele:

  • Datenminimierung
  • Pseudonymisierung
  • Datentrennung nach Zweck
  • Selektiver Passwortschutz
  • Löschkonzept
  • Verpixeln von Bilddaten

Checkliste

  • Interne Datenbearbeitungsprozesse prüfen: Sind Bearbeitungsgrundsätze berücksichtigt?

Ist die Datenbearbeitung geeignet, um den geplanten Zweck zu erreichen (Verhältnismässigkeitsgrundsatz)?
Ist die Datenbearbeitung das mildeste Mittel und für die Erreichung des Zwecks erforderlich (Verhältnismässigkeitsgrundsatz)?

  • Könnte man die Dauer der Speicherung der Personendaten beschränken?
  • Könnte man weniger Personendaten sammeln um den Zweck zu erreichen?
  • Könnte man die Daten anonymisieren / pseudonymisieren?
  • Löschen wir Daten, wenn wir sie nicht länger benötigen (Zweckbindungsgrundsatz / Speicherbegrenzung)? Haben wir dafür ein internes Archivierungs- und Löschkonzept?
  • Schränken wir den Zugriff auf Daten entsprechend ein (Verhältnismässigkeitsgrundsatz)? Haben wir dafür eine interne Access-Management Policy erlassen?
  • Sind unsere Mitarbeitenden in Bezug auf die Datenschutzgrundsätze geschult?
  • Sind IT / Software-Produkte auf datenschutzfreundlich eingestellt?
  • Ermöglichen unsere Produkte / Dienstleistungen unseren Kunden, Betroffenenrechte ihrer End-Kunden / Mitarbeitenden zu gewähren (z.B. können Daten auf Wunsch gelöscht werden, können Kunden alle Daten über ihre End-Kunden abrufen, die in unsere Produkte eingespeist werden, wenn ein End-Kunde sein Auskunftsrecht geltend macht etc.)?
  • Ermöglichen unsere Produkte unseren Kunden ein datenschutzkonformes Access-Management festzulegen (z.B. in dem in unseren Produkten verschiedene Zugriffsrechte definiert werden können)?

Gesetzestext

Art. 6 Grundsätze

1 Personendaten müssen rechtmässig bearbeitet werden.

2 Die Bearbeitung muss nach Treu und Glauben erfolgen und verhältnismässig sein.

3 Personendaten dürfen nur zu einem bestimmten und für die betroffene Person erkennbaren Zweck beschafft werden; sie dürfen nur so bearbeitet werden, dass es mit diesem Zweck vereinbar ist.

4 Sie werden vernichtet oder anonymisiert, sobald sie zum Zweck der Bearbeitung nicht mehr erforderlich sind.

5 Wer Personendaten bearbeitet, muss sich über deren Richtigkeit vergewissern. Sie oder er muss alle angemessenen Massnahmen treffen, damit die Daten berichtigt, gelöscht oder vernichtet werden, die im Hinblick auf den Zweck ihrer Beschaffung oder Bearbeitung unrichtig oder unvollständig sind. Die Angemessenheit der Massnahmen hängt namentlich ab von der Art und dem Umfang der Bearbeitung sowie vom Risiko, das die Bearbeitung für die Persönlichkeit und Grundrechte der betroffenen Personen mit sich bringt.

6 Ist die Einwilligung der betroffenen Person erforderlich, so ist diese Einwilligung nur gültig, wenn sie für eine oder mehrere bestimmte Bearbeitungen nach angemessener Information freiwillig erteilt wird.

7 Die Einwilligung muss ausdrücklich erfolgen für:

a. die Bearbeitung von besonders schützenswerten Personendaten;
b. ein Profiling mit hohem Risiko durch eine private Person; oder
c. ein Profiling durch ein Bundesorgan.

Art. 7 Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen

1 Der Verantwortliche ist verpflichtet, die Datenbearbeitung technisch und organisatorisch so auszugestalten, dass die Datenschutzvorschriften eingehalten werden, insbesondere die Grundsätze nach Artikel 6. Er berücksichtigt dies ab der Planung.

2 Die technischen und organisatorischen Massnahmen müssen insbesondere dem Stand der Technik, der Art und dem Umfang der Datenbearbeitung sowie dem Risiko, das die Bearbeitung für die Persönlichkeit oder die Grundrechte der betroffenen Personen mit sich bringt, angemessen sein.

3 Der Verantwortliche ist verpflichtet, mittels geeigneter Voreinstellungen sicherzustellen, dass die Bearbeitung der Personendaten auf das für den Verwendungszweck nötige Mindestmass beschränkt ist, soweit die betroffene Person nicht etwas anderes bestimmt.