Was bedeutet Datenschutz für Unternehmen
Autor: Dr. oec. et lic. iur. Marc Frédéric SchäferDatenschutz ist seit vielen Jahren in aller Munde. Doch was Datenschutz genau für kleine und mittelständische Unternehmen bedeutet ist oft unklar. Dies insbesondere seit am 25. Mai 2018 in der Europäischen Union die Datenschutz-Grundverordnung (EU-DSGVO), die sich auch auf Unternehmen in der Schweiz auswirken kann, in Kraft getreten ist. Es gibt allerdings einige Grundregeln, die für den Datenschutz gelten. Auf deren Einhaltung sollten Datenbearbeiter besonders achten.
Datenschutzgrundsätze
Jedes moderne Datenschutzgesetz basiert auf sogenannten Datenschutzgrundsätzen, welche das Kernstück des Datenschutzes sowohl in der Schweiz als auch in der EU darstellen. Anders als in der EU und den meisten EU-Staaten ist das Bundesgesetz über den Datenschutz (DSG; SR 135.1) in der Schweiz für natürliche und juristische Personen anwendbar. Dies bedeutet einerseits, dass bei der Bearbeitung von Personendaten auch diejenigen Daten von Unternehmen geschützt werden müssen. Andererseits können sich Unternehmen und insbesondere KMU auf Datenschutzrechte berufen.
Neben dem DSG kann in der Schweiz auch die EU-DSGVO anwendbar sein, da diese auf die Verarbeitung von Daten von Personen, die sich in der Union befinden, bezieht, unabhängig davon, wo diese bearbeitet werden. Wenn ein Schweizer Unternehmen in der EU Waren oder Dienstleistungen anbietet oder das Verhalten von Personen in der EU (soweit dieses Verhalten in der Union erfolgt) beobachtet, ist die EU-DSGVO anwendbar.
Das DSG wie auch die EU-DSGVO fasst den Begriff der Personendaten sehr weit. So werden alle Daten, die sich auf eine bestimmte oder bestimmbare Person beziehen als Personendaten qualifiziert. Dies bedeutet, dass jedes Dokument, in welchem eine bestimmte oder bestimmbare Person vorkommt, als Personendatum qualifiziert wird. So ist beispielsweise ein Internetbenutzer aufgrund seiner IP-Adresse und dem Zeitstempel unter gewissen Umständen bestimmbar, weshalb grundsätzlich die IP-Adresse und alle mit ihr verbundenen Informationen (z.B. der Logfile-Eintrag mit den einzelnen Seitenaufrufen, welche für die Benutzerstatistik verwendet werden), als Personendaten zu qualifizieren sind.
Das DSG und die EU-DSGVO unterscheidet zwischen gewöhnlichen Personendaten und besonders schützenswerten bzw. besonderen Kategorien von Personendaten. Für Letztere gelten strengere Datenschutzbestimmungen. Hierunter fallen gemäss DSG Personendaten über religiöse, weltanschauliche, politische oder gewerkschaftliche Ansichten oder Tätigkeiten, über die Gesundheit, Intimsphäre oder Rassenzugehörigkeit, über Massnahmen der sozialen Hilfe sowie über administrative oder strafrechtliche Verfolgungen und Sanktionen. Gemäss EU-DSGVO fallen Personendaten aus denen rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen sowie genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer Person, Gesundheitsdaten sowie Daten zum Sexualleben oder der sexuellen Orientierung einer Person darunter. Daneben gelten gemäss DSG auch für Persönlichkeitsprofile und gemäss EU-DSGVO für das sogenannte «Profiling» besondere Datenschutzbestimmungen. Hierunter fällt die automatisierte Bearbeitung von Personendaten, um bestimmte persönliche Aspekte zu bewerten. Dies können die Arbeitsleistung, die wirtschaftliche Lage, die Gesundheit, persönliche Vorlieben, Interessen etc. sein.
Der Datenbearbeiter muss sich über die Richtigkeit der durch ihn bearbeiteten Personendaten vergewissern und angemessene Massnahmen treffen.
Für sämtliche Datenbearbeitungen gilt, dass diese nicht gegen gültiges Recht und insbesondere nicht gegen Datenschutzrecht verstossen dürfen. Zudem muss jede Datenbearbeitung nach Treu und Glauben erfolgen und muss verhältnismässig sein. Hieraus lässt sich das Prinzip der Datensparsamkeit ableiten, wonach immer nur diejenigen Personendaten bearbeitet werden dürfen, die auch tatsächlich notwendig sind. Daten, die nicht mehr benötigt werden, sind daher zu löschen.
Eng damit verbunden ist der Datenschutzgrundsatz der Zweckmässigkeit der Datenbearbeitung. So dürfen Personendaten nur zu dem Zweck bearbeitet werden, der bei der Beschaffung angegeben wurde, aus den Umständen ersichtlich oder gesetzlich vorgesehen ist. Damit soll eine Umnutzung von erhobenen Personendaten für andere Zwecke ohne Wissen der betroffenen Personen verhindert werden. In eine ähnliche Richtung geht das Erkennbarkeitsprinzip, wonach die Beschaffung von Personendaten und insbesondere der Zweck ihrer Bearbeitung erkennbar sein muss.
Grundsätzlich gilt zudem, dass eine Datenbearbeitung immer nur dann rechtmässig ist, wenn auf der einen Seite die Datenschutzgrundsätze eingehalten werden und die betroffene Person in die Datenbearbeitung eingewilligt hat oder eine besondere Rechtfertigung vorliegt, um die Daten gegen den ausdrücklichen Willen der Person zu bearbeiten.
Hinsichtlich der Einwilligung in die Datenbearbeitung von gewöhnlichen Personendaten genügt es nach DSG, wenn die Einwilligung nach angemessener Information freiwillig erfolgt. Hierbei bestehen keine Formvorschriften und auch eine stillschweigende Einwilligung kann nach DSG ausreichen. Hierbei genügt es, wenn beispielsweise über die Datenbearbeitung in angemessener Weise informiert wird und die betroffene Person den Kontakt nicht abbricht. Sie willigt in einem solchen Fall durch ihr Verhalten ein, was gemäss DSG ausreicht. Die EU-DSGVO geht hier möglicherweise einen Schritt weiter. Der Datenbearbeiter muss nämlich nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat. Dies kann bei einer stillschweigenden Einwilligung schwierig sein. Viele Betreiber von Webseiten sind aufgrund der EU-DSGVO daher dazu übergegangen, beim Erstaufruf einer Webseite eine Datenschutzerklärung anzuzeigen, welche der Nutzer zuerst aktiv anklicken muss, um auf die Seite zu gelangen. Zur Bearbeitung von besonders schützenswerten bzw. von besonderen Kategorien von Personendaten ist eine ausdrückliche Einwilligung nötig.
Weiter muss sich der Datenbearbeiter über die Richtigkeit der durch ihn bearbeiteten Personendaten vergewissern und angemessene Massnahmen treffen, um Daten zu berichtigen oder zu vernichten, die im Hinblick auf den Zweck ihrer Beschaffung oder Bearbeitung unrichtig oder unvollständig sind. Der Datenbearbeiter muss zudem die Datensicherheit gewährleisten, sodass die Personendaten gegen unbefugtes Bearbeiten geschützt werden. In diesem Rahmen empfiehlt es sich beispielsweise für Betreiber von Online-Webseiten mit einem Login, das Passwort der Benutzer immer nur verschlüsselt zu speichern.
Auch für die Übermittlung von Personendaten ins Ausland gelten erhöhte Anforderungen, insbesondere, wenn die Übermittlung an einen Staat geht, der kein angemessenes Datenschutzniveau gewährleistet. Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) veröffentlicht auf seiner Webseite eine Liste mit Staaten, die ein angemessenes Schutzniveau garantieren.
Des einen Recht des anderen Pflicht
Das Datenschutzrecht basiert auf dem verfassungsmässigen Recht der informationellen Selbstbestimmung. Um dieses wahrnehmen zu können, sehen das DSG und die EU-DSGVO ein umfassendes Auskunftsrecht für betroffene Personen vor. Demnach kann jede Person vom Inhaber einer Datensammlung Auskunft darüber verlangen, ob Daten über sie bearbeitet werden. Ausserdem kann die betroffene Person eine Kopie sämtlicher in der Datensammlung über sie vorhandenen Daten einschliesslich der verfügbaren Angaben über die Herkunft der Daten, den Zweck, die Rechtsgrundlage des Bearbeitens, die Kategorien der bearbeiteten Personendaten sowie Angaben über die an der Sammlung beteiligten und der Datenempfänger verlangen. Das Auskunftsrecht ist zudem kostenlos. Wie bereits eingangs erwähnt, können sich nicht nur natürliche, sondern auch juristische Personen auf das DSG und damit auf das Auskunftsrecht berufen. Dies gibt insbesondere KMU ein wirksames Instrument an die Hand, um festzustellen, welche Daten andere Unternehmen über einen bearbeiten. Der EDÖB stellt auf seiner Webseite entsprechende Musterschreiben zur Verfügung, um sein Auskunftsrecht geltend machen zu können.
Das Auskunftsrecht bedeutet, dass sich Personendaten bearbeitende Unternehmen intern so organisieren müssen, dass sie jederzeit ohne unangemessene Verzögerung einem solchen Auskunftsersuchen nachkommen können. Daher sollten sich Unternehmen beim Design ihrer IT-Infrastruktur bereits frühzeitig Gedanken machen, wie einem möglichen Auskunftsersuchenden möglichst effizient und kostengünstig Auskunft erteilt werden kann.
Neben dem Auskunftsrecht hat eine betroffene Person auch das Recht, falsche Daten berichtigen zu lassen, dem Datenbearbeiter die Datenbearbeitung zu untersagen, die Daten löschen zu lassen oder ihn dazu anzuweisen, eine Löschung zu unterlassen sowie die Übermittlung an Dritte zu verbieten. Gemäss EU-DSGVO haben die betroffenen Personen zudem das Recht, dass sie nicht einer ausschliesslich auf einer automatisierten Verarbeitung beruhenden Entscheidung unterworfen werden. Dies bedeutet beispielsweise, dass die betroffene Person das Recht hat, dass der Entscheid über den Abschluss eines Vertrages (z.B. ein Kreditvertrag) nicht alleine durch ein Computerprogramm getroffen wird.
Für die Bearbeitung von besonders schützenswerten Personendaten oder Persönlichkeitsprofilen sowie die regelmässige Bekanntgabe von Personendaten an Dritte besteht gemäss DSG die Pflicht, die Datensammlung, welche diese Kategorien von Daten enthält, dem EDÖB zu melden. Über die Datensammlungen führt der EDÖB ein Register.2 Gemäss EU-DSGVO haben Unternehmen, welche diese Art von Daten bearbeiten, die Pflicht, einen Datenschutzbeauftragten, der die interne Personendatenbearbeitung überwacht, zu benennen.
Schlussbemerkungen
Datenschutz ist ein umfassendes Thema, welches von Unternehmen und insbesondere von KMU nicht vernachlässigt werden sollte. Dies gilt insbesondere seit der Einführung der EU-DSGVO, die für die meisten Unternehmen Wirkung in der Schweiz entfaltet.
Das DSG gibt heute Unternehmen wirksame Instrumente an die Hand, um sich gegen unzulässige Datenbearbeitungen zur Wehr zu setzen. Mit der geplanten Revision des DSG sollen diese Rechte für juristische Personen allerdings abgeschafft werden. Meiner Meinung nach geht dies insbesondere zulasten von KMUs, da sie sich dann nicht mehr auf die Auskunfts-, Berichtigungs- und Löschungsmöglichkeiten gemäss DSG berufen können. Es wäre daher schade, wenn der Gesetzgeber in der Schweiz diese Möglichkeiten abschafft, während KMUs in anderen EU-Ländern sich gerade für die Schaffung solcher Möglichkeiten einsetzen.
Neben dem Auskunftsrecht hat eine betroffene Person auch das Recht, falsche Daten berichtigen zu lassen.