Aufbau und Inhalt einer Datenschutzerklärung

06 Data Protection

Nachdem das DSG keine konkreten Vorschriftungen für eine Datenschutzerkärung enhält, jedoch die DSGVO und es sinnvoll ist, dass sich auch Schweizer Unternehmen bei aktuellen Datenschutz-Massnahmen daran orientieren, wird hier explizit darauf Bezug genommen.

Der Inhalt einer Datenschutzerklärung ergibt sich im Wesentlichen aus den Informationspflichten des Datenschutzverantwortlichen, also des Unternehmens, gemäss Art. 12 ff. DSGVO. Dabei muss konkret bezogen auf die jeweilige Datenerfassung bzw. Datenverarbeitung informiert werden. Wichtig ist, dass eine Datenschutzerklärung klar und verständlich formuliert wird, andernfalls sie möglicherweise gar keine rechtliche Wirkung hat.

Vorab muss ein Unternehmen darüber informieren, dass es für die Datenverfassung und die Datenverarbeitung verantwortlich ist. Dabei muss es seine Kontaktdaten sowie die Kontaktdaten seines allfälligen Datenschutzbeauftragten (unternehmensintern oder -extern) publizieren.

In der Folge muss den betroffenen Personen mitgeteilt werden, welche personenbezogenen Daten erfasst werden und zu welchem Zweck. Zu dieser Information gehört auch, auf welcher rechtlichen Grundlage die Datenerfassung und die folgende Datenverarbeitung erfolgt. Rechtliche Grundlage können im Wesentlichen die Einwilligung der betroffenen Person, die Notwendigkeit für die Abwicklung einer Rechtsbeziehung (z.B. Kaufvertrag), ein Gesetz oder berechtigte Interessen des Unternehmens oder eines Dritten sein, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen.

Fällt die rechtliche Grundlage für die Datenverarbeitung weg, müssen die entsprechenden personenbezogenen Daten ohne Verzug mit entsprechenden adäquaten technischen Mitteln dauerhaft gelöscht werden. Auch darüber ist in der Datenschutzerklärung zu informieren.

Sofern personenbezogene Daten nicht vom nämlichen Unternehmen selbst verarbeitet, sondern dafür an Dritte übermittelt werden, muss über diese Empfänger oder Kategorien von Empfängern informiert werden.

Werden personenbezogene Daten ins Ausland transferiert, ist dies insbesondere in der Datenschutzerklärung zu deklarieren und es ist darüber zu informieren, wie diesbezüglich das hohe Datenschutzniveau der Schweiz bzw. der EU auch im Ausland gewährleistet ist.

Ebenfalls müssen die betroffenen Personen über ihre Rechte in Bezug auf die Erfassung und Verarbeitung ihrer personenbezogenen Daten informiert werden. Dazu gehören gemäss DSGVO insbesondere folgende Rechte:
– Recht auf Auskunft
– Recht auf Berichtigung
– Recht auf Löschung
– Recht auf Einschränkung der Verarbeitung
– Recht auf Widerspruch gegen die Verarbeitung
– Recht auf Datenübertragbarkeit
– Recht auf Beschwerden bei den Aufsichtsbehörden
– Recht auf Widerruf der Einwilligung

Schlussendlich müssen die betroffenen Personen darüber informiert werden, ob die Überlassung bzw. Erfassung ihrer personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten zur Verfügung zu stellen und welche mögliche Folge die nicht Zurverfügungstellung hätte (z.B. eingeschränkte Nutzung einer Website, wenn Cookies verweigert werden).

Überwachung von Internet-Aktivitäten von Mitarbeitenden

Wenn Mitarbeitende im Internet Surfen oder E-Mails versenden, werden die entsprechenden Aktivitäten in der Regel vom System in sogenannten Logfiles protokolliert. Diese Protokollierung und vor allem eine allfällige personenbezogene Auswertung ist nur im Rahmen des Datenschutzes und dessen Prinzipien zulässig. Zudem dürfen gemäss Art. 26 der Verordnung 3 zum Arbeitsgesetz (ArGV 3 zum Gesundheitsschutz) keine Überwachungs- und Kontrollsysteme, die das Verhalten von Mitarbeitenden überwachen sollen, eingesetzt werden.

Grundsätzlich dürfen sogenannte Randdaten, die Auskunft darüber geben, wer wann was getan hat, im genannten Sinne und vorab anonymisiert protokolliert werden. Der Arbeitgeber hat ein entsprechendes überwiegendes Interesse daran, insbesondere um die Sicherheit des Systems zu gewährleisten, sich vor Verantwortlichkeiten gegenüber Dritten sowie Reputationsschäden zu schützen. Zudem darf er im Rahmen des arbeitsrechlichen Weisungsrechts gemäss Art. 321d OR Regeln betreffend der Nutzung der IT-Infrastruktur erlassen, die er in diesem Kontext ebenfalls vorab anonymisiert überwachen darf. Wegen dem datenschutzrechlichen Prinzip der Transparenz muss der Arbeitgeber jedoch über diese Protokollierung z.B. im Rahmen eines Mitarbeiterreglements informieren. Darin können dann auch gleich die Nutzungsvorschriften erwähnt werden. Wenn sich aus der anonymisierten Protokollierung ein konkreter Verdacht ergibt, darf der Arbeitgeber unter diesen Bedingungen die nämlichen Randaten nunmehr personenbezogen auswerten.

In jedem Fall nicht erlaubt sind Überwachungsprogramme, die auf dem Computer des Mitarbeitenden selbst installiert sind und es z.B. erlauben, in E-Mails Einsicht zu nehmen oder Screenshots zu erstellen.

Der Eidg. Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) publiziert unter folgendem Link einen umfassenden Leitfaden zur Internet- und E-Mail-Überwachung von Mitarbeitenden: www.edoeb.admin.ch/edoeb/de/home/datenschutz/arbeitsbereich/ueberwachung-am-arbeitsplatz/internet–und-e-mail-ueberwachung.html.

06 Data Protection