«Privacy Protection» bzw. «Data Protection» ist das Key Issue der digitalen Welt; nicht nur wegen des Datenschutz-Hypes betreffend Social Media, Internet-Communitys, wie Facebook und AI-Tools, wie ChatGPT. Privacy ist aber keine Erfindung des digitalen Zeitalters, sondern wurde bereits im ersten Zivilgesetzbuch (ZGB) der Schweiz von 1907 in den Art. 27 ff., unter dem Titel des Schutzes der Persönlichkeit, reguliert. Mit dem Einzug der Informationstechnologie (IT) in den 80er-Jahren des 20. Jahrhunderts wurde es immer einfacher, Daten zu sammeln und Daten zu verarbeiten. Damit nahm auch die Gefahr der Persönlichkeitsverletzungen gemäss ZGB enorm zu und der Gesetzgeber sah sich veranlasst, den Persönlichkeitsschutz im Bereich der Datenverarbeitung spezifisch zu regeln. Mit der in technologischen Fragen regelmässigen Verzögerung trat am 1. Juli 1993 das erste Datenschutzgesetz (DSG) in Kraft. Um die Jahrtausendwende nahmen dann die Entwicklungen des Internets und der Digitalisierung Fahrt auf. Damit erreichte die Datenbearbeitung wiederholt eine neue Dimension. Das Datenschutzgesetz musste dieser Entwicklung angepasst werden. Nach entsprechenden, mehrere Jahre dauernden Arbeiten ist das revidierte Datenschutzgesetz am 1. September 2023 in Kraft getreten.
Das DSG wird auf die Datenerhebung und die Datenbearbeitung durch Private (natürliche und juristische Personen), wie auch durch den Bund angewendet. Die Datenerhebung und Datenverarbeitung der Kantone wird separat in entsprechenden kantonalen Datenschutzgesetzen reguliert. In diesem Kapitel 06.01 Data Protection wird nur die Datenerhebung und Datenverarbeitung durch Private behandelt.
Unter den gesetzlichen Datenschutz fallen lediglich Daten, die sich auf eine bestimmte oder bestimmbare (s. dazu insb. BGE 136 II 508, E. 3.2) Person beziehen, sogenannte Personendaten. Unter «Person» ist mit dem revidierten DSG nur noch eine natürliche Person zu verstehen (Art. 5 lit. a DSG). Die Daten von juristischen Personen bleiben weiterhin über Art. 28 ZGB (allgemeines Persönlichkeitsrecht) sowie über das Fabrikations- und Geschäftsgeheimnis, insb. gemäss Art. 162 StGB und Art. 6 UWG geschützt. Eine Teilmenge der Personendaten sind die «besonders schützenswerten» Personendaten nach Art. 5 lit. c DSG. Zu diesen Daten gehören u.a. solche über religiöse, weltanschauliche, politische Ansichten sowie über die Gesundheit und die Intimsphäre; unter dem revidierten DSG neu auch genetische und biometrische Daten. Der besondere Schutz findet sich in speziellen Bestimmungen zur Erhebung und Bearbeitung dieser Daten (s. Art. 6 Abs. 7 lit. a DSG, Art. 22 Abs. 2 lit. a DSG, Art. 30 Abs. 2 lit. c DSG, Art. 31 Abs. 2 lit. c Ziff. 1 und lit. e Ziff. 2 DSG).
Im revidierten DSG neu eingeführt wird der Begriff des «Profiling» (Art. 5 lit. f und g DSG). Profiling im Sinne des Gesetzes ist jede Art der automatisierten Bearbeitung von Personendaten, die darin besteht, dass diese Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftlicher Lage, Gesundheit, persönlicher Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen. Birgt dieser Vorgang ein hohes Risiko, handelt es sich um die qualifizierte Form eines «Profiling mit hohem Risiko». Ein solches erfolgt dann, wenn das Profiling ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringt, indem es zu einer Verknüpfung von Daten führt, die eine Beurteilung wesentlicher Aspekte der Persönlichkeit einer natürlichen Person erlaubt. Relevant ist das Profiling im privatrechtlichen Teil des DSG bei der Einwilligung gemäss Art. 6 Abs. 7 DSG und beim Rechtfertigungsgrund der Kreditwürdigkeitsprüfung nach Art. 31 Abs. 2 lit. c DSG.
Verantwortlich für die Daten gemäss DSG ist derjenige oder diejenige, der oder die allein oder zusammen mit anderen (gemeinsame Verantwortliche) über den Zweck und die Mittel der Bearbeitung der Personendaten entscheidet (Art. 5 lit. j DSG), also darüber, wann, wo und wie Daten erhoben und Daten verarbeitet werden.
Neben dem Verantwortlichen kann es auch noch eine/n Auftragsbearbeiter/in geben, der oder die im Auftrag bzw. auf Weisung des Verantwortlichen Personendaten bearbeitet (Art. 5 lit. k DSG). Detailliert wird die Bearbeitung durch Auftragsbearbeiter/innen in Art. 9 DSG geregelt. Insbesondere muss der Verantwortliche der Auftragsbearbeiterin in einem Vertrag Weisungen zur Bearbeitung der Personendaten geben.
Private Verantwortliche können gemäss Art. 10 DSG eine/n Datenschutzberater/in ernennen. Der bzw. die Datenschutzberater/in ist Anlaufstelle für die betroffenen Personen und für die Behörden, die in der Schweiz für den Datenschutz zuständig sind. Sie oder er hat namentlich folgende Aufgaben: Schulung und Beratung des privaten Verantwortlichen in Fragen des Datenschutzes; Mitwirkung bei der Anwendung der Datenschutzvorschriften. Hat ein privater Verantwortlicher eine/n Datenschutzbeauftragte/n ernannt, ist er unter Umständen von einer Konsultation des Eidg. Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) im Rahmen der Datenschutz-Folgeabschätzung (DSFA) gemäss Art. 22 bzw. 23 DSG entbunden.
Private Verantwortliche mit Sitz oder Wohnsitz im Ausland müssen gemäss Art. 14 f. DSG eine Vertretung in der Schweiz bezeichnen, wenn sie Personendaten von Personen in der Schweiz bearbeiten und die Datenbearbeitung die folgenden Voraussetzungen kumulativ erfüllt: Die Bearbeitung steht im Zusammenhang mit dem Angebot von Waren und Dienstleistungen oder der Beobachtung des Verhaltens von Personen in der Schweiz; es handelt sich um eine umfangreiche Bearbeitung; es handelt sich um eine regelmässige Bearbeitung; die Bearbeitung bringt ein hohes Risiko für die Persönlichkeit der betroffenen Personen mit sich. Insbesondere letztere Voraussetzung dürfte dazu führen, dass nur sehr wenige ausländische Verantwortliche in der Schweiz eine Vertretung bezeichnen müssen. Die Vertretung dient als Anlaufstelle für die betroffenen Personen und den EDÖB.
Die Basis des Datenschutzrechts bilden dessen Grundsätze, die sich in Art. 6 ff. DSG finden und die sich auch mit dem revidierten DSG nicht wesentlich ändern. Auch wenn die Materie kompliziert zu sein scheint, geht es in der Praxis eigentlich einfach darum, die Datenschutzgrundsätze auf den Data Lifecycle (dt. Datenkreislauf) anzuwenden. Der Data Lifecycle beginnt beim Sammeln bzw. der Erhebung von Daten, geht weiter über jegliches Verarbeiten von Daten, bis zu deren Vernichtung bzw. Löschung. Von den nachfolgenden Grundsätzen sind in der digitalen Praxis die Verhältnismässigkeit und die Zweckgebundenheit besonders wichtig.
Beaufsichtigt wird die Anwendung der bundesrechtlichen Datenschutzvorschriften durch den Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) (s. dazu Art. 4 DSG und Art. 43 ff. DSG, www.edoeb.admin.ch sowie Kapitel 06.16 Eidg. Datenschutz- und Öffentlichkeitsbeauftragter).
Quelle für dieses Kapitel und Literaturempfehlung u.a. David Rosenthal, Das neue Datenschutzgesetz, in Jusletter 16. November 2020