06.09 Informationspflicht – Datenschutzerklärung

06 Data Protection

Nach DSG

Die Informationspflicht gemäss Art. 19 ff. DSG ist ein wichtiger Teil des Grundsatzes der Transparenz gemäss Art. 6 Abs. 3 DSG. Die betroffene Person muss wissen, welche mit ihrer Person verbundenen Daten zu welchem Zweck erhoben und bearbeitet werden. Selbstredend muss dies vor der Beschaffung der Daten erfolgen.

Der Anbieter bzw. Verantwortliche wird seiner Informationspflicht in der Regel mittels einer Datenschutzerklärung nachkommen. Das Gesetz enthält keine entsprechenden Formvorschriften. Ebenfalls gibt es keine konkrete Vorschrift, wo die entsprechenden Informationen publiziert werden müssen. Sie müssen einfach von der betroffenen Person vor der Beschaffung der Daten wahrgenommen werden können. Mittlerweile wird eine Publikation auf einer Website als Best Practice angesehen. Wie Allgemeine Geschäftsbedingungen (AGB) müssen auch Datenschutzerklärungen klar und verständlich formuliert sein. Die entsprechende Unklarheits- und Ungewöhnlichkeitsregel dürfte auch bei der Auslegung bzw. Interpretation von Datenschutzerklärungen zur Anwendung kommen; in diesem Kontext basierend auf dem Grundsatz der Transparenz. Während die EU-Datenschutz-Grundverordnung (DSGVO) den Inhalt der Datenschutzerklärung umfassend regelt (s. dazu nachfolgend), schreibt Art. 19 DSG nur wenig Informationen vor. Mitgeteilt werden müssen die Identität und die Kontaktdaten (elektronisch und physisch) der Verantwortlichen, der Bearbeitungszweck sowie die Kategorien von Empfängerinnen und Empfängern (nicht zwingend die einzelnen Empfängerinnen und Empfänger), denen Personendaten allenfalls bekanntgegeben werden. Werden die Daten nicht bei der betroffenen Person beschafft, so müssen die Verantwortlichen im Moment der Weitergabe der Personendaten, spätestens jedoch einen Monat nach Erhalt der Daten die Kategorien der bearbeiteten Personendaten mitteilen. Bei Vorliegen der entsprechenden gesetzlichen Voraussetzungen müssen die Verantwortlichen auch über einen allfälligen Datenschutzberater gemäss Art. 10 DSG oder einen Schweizer Vertreter nach Art. 14 DSG informieren. Ist eine Bekanntgabe ins Ausland vorgesehen (insbesondere auch die Speicherung auf ausländischen Servern bzw. Clouds), sind die entsprechenden Länder oder Ländergruppen (z.B. EU; einzelne Länder müssen mindestens bestimmbar sein) zu nennen; inklusive entsprechender Datenschutzgarantien gemäss Art. 16 Abs. 2 DSG bzw. Ausnahmen nach Art. 17 DSG. Mehr Informationen müssen nur dann vermittelt werden, wenn diese minimalen Informationen der betroffenen Person nicht reichen, ihre Rechte nach DSG geltend zu machen bzw. wenn eine transparente Datenbearbeitung damit noch nicht gewährleistet ist (Art. 19 Abs. 2 DSG).

Die Ausnahmen von der Informationspflicht gemäss Art. 20 DSG sowie die Informationspflicht bei einer automatisierten Einzelentscheidung (insb. bei Einsatz von Künstlicher Intelligenz [KI]) nach Art. 21 DSG werden hier nicht im Detail beschrieben. Es wird auf die entsprechenden Artikel verwiesen.

Nach EU-DSGVO

Schweizer Unternehmen, die auf dem Markt der Europäischen Union (EU) tätig sind, dort insbesondere Daten erheben oder Marktteilnehmer beobachten, müssen die Informationspflichten gemäss EU-Datenschutz-Grundverordnung (DSGVO) erfüllen, die über die Informationspflichten des schweizerischen DSG hinaus gehen und viel detaillierter geregelt sind.

In der DSGVO sind die Informationspflichten der Datenschutzverantwortlichen in Art. 12 ff. geregelt.

Vorab muss ein Unternehmen darüber informieren, dass es für die Datenverfassung und die Datenverarbeitung verantwortlich ist. Dabei muss es seine Kontaktdaten sowie die Kontaktdaten seines allfälligen Datenschutzbeauftragten (unternehmensintern oder -extern) publizieren.

In der Folge muss den betroffenen Personen mitgeteilt werden, welche personenbezogenen Daten erfasst werden und zu welchem Zweck. Zu dieser Information gehört auch, auf welcher rechtlichen Grundlage die Datenerfassung und die folgende Datenverarbeitung erfolgt. Rechtliche Grundlage können im Wesentlichen die Einwilligung der betroffenen Person, die Notwendigkeit für die Abwicklung einer Rechtsbeziehung (z.B. Kaufvertrag), ein Gesetz oder berechtigte Interessen des Unternehmens oder eines Dritten sein, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen.

Fällt die rechtliche Grundlage für die Datenverarbeitung weg, müssen die entsprechenden personenbezogenen Daten ohne Verzug mit entsprechenden adäquaten technischen Mitteln dauerhaft gelöscht werden. Auch darüber ist in der Datenschutzerklärung zu informieren.

Sofern personenbezogene Daten nicht vom nämlichen Unternehmen selbst verarbeitet, sondern dafür an Dritte übermittelt werden, muss über diese Empfänger oder Kategorien von Empfängern informiert werden.

Werden personenbezogene Daten ins Ausland transferiert, ist dies insbesondere in der Datenschutzerklärung zu deklarieren und es ist darüber zu informieren, wie diesbezüglich das hohe Datenschutzniveau der Schweiz bzw. der EU auch im Ausland gewährleistet ist.

Ebenfalls müssen die betroffenen Personen über ihre Rechte in Bezug auf die Erfassung und Verarbeitung ihrer personenbezogenen Daten informiert werden. Dazu gehören gemäss DSGVO insbesondere folgende Rechte:
– Recht auf Auskunft
– Recht auf Berichtigung
– Recht auf Löschung
– Recht auf Einschränkung der Verarbeitung
– Recht auf Widerspruch gegen die Verarbeitung
– Recht auf Datenübertragbarkeit
– Recht auf Beschwerden bei den Aufsichtsbehörden
– Recht auf Widerruf der Einwilligung

Schlussendlich müssen die betroffenen Personen darüber informiert werden, ob die Überlassung bzw. Erfassung ihrer personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten zur Verfügung zu stellen und welche mögliche Folge die nicht Zurverfügungstellung hätte (z.B. eingeschränkte Nutzung einer Website, wenn Cookies verweigert werden).

06 Data Protection