16
RECHT & UNTERNEHMUNG
2-2018 mandat
werden), als Personendaten
zu qualifi zieren sind.
Das DSG und die EU-DSGVO
unterscheidet zwischen gewöhnlichen
Personendaten
und besonders schützenswerten
bzw. besonderen Kategorien
von Personendaten.
Für Letztere gelten strengere
Datenschutzbestimmungen.
Hierunter fallen gemäss DSG
Personendaten über religiöse,
weltanschauliche, politische
oder gewerkschaftliche Ansichten
oder Tätigkeiten, über
die Gesundheit, Intimsphäre
oder Rassenzugehörigkeit,
über Massnahmen der sozialen
Hilfe sowie über administrative
oder strafrechtliche
Verfolgungen und Sanktionen.
Gemäss EU-DSGVO
fallen Personendaten
aus denen rassische
und ethnische
Herkunft, politische
Meinungen, religiöse
oder weltanschauliche
Überzeugungen
oder die Gewerkschaftszugehörigkeit
hervorgehen sowie
genetische Daten, biometrische
Daten zur eindeutigen
Identifi zierung einer Person,
Gesundheitsda ten sowie Daten
zum Sexualleben oder der
sexuellen Orientierung einer
Person darunter. Daneben
gelten gemäss DSG auch für
Persönlichkeitsprofi le und gemäss
EU-DSGVO für das sogenannte
«Profi ling» besondere
Datenschutzbestimmungen.
Hierunter fällt die automatisierte
Bearbeitung von Personendaten,
um bestimmte persönliche
Aspekte zu bewerten. Dies
können die Arbeitsleistung, die
wirtschaftliche Lage, die Gesundheit,
persönliche Vorlieben,
Interessen etc. sein.
Für sämtliche Datenbearbeitungen
gilt, dass diese nicht
gegen gültiges Recht und insbesondere
nicht gegen Datenschutzrecht
verstossen dürfen.
Zudem muss jede Datenbearbeitung
nach Treu und Glauben
erfolgen und muss verhältnismässig
sein. Hieraus lässt sich
das Prinzip der Datensparsamkeit
ableiten, wonach immer
nur diejenigen Personendaten
bearbeitet werden dürfen, die
auch tatsächlich notwendig
sind. Daten, die nicht mehr
benötigt werden, sind daher
zu löschen.
Eng damit verbunden ist der
Datenschutzgrundsatz der
Zweckmässigkeit der Datenbearbeitung.
So dürfen Personendaten
nur zu dem Zweck
bearbeitet werden, der bei
der Beschaffung angegeben
wurde, aus den Umständen
ersichtlich oder gesetzlich vorgesehen
ist. Damit soll eine
Umnutzung von erhobenen
Personendaten für andere
Zwecke ohne Wissen der betroffenen
Personen verhindert
werden. In eine ähnliche Richtung
geht das Erkennbarkeitsprinzip,
wonach die Beschaffung
von Personendaten und
insbesondere der Zweck ihrer
Bearbeitung erkennbar sein
muss.
Grundsätzlich gilt zudem, dass
eine Datenbearbeitung immer
nur dann rechtmässig ist,
wenn auf der einen Seite die
Datenschutzgrundsätze eingehalten
werden und die betroffene
Person in die Datenbearbeitung
eingewilligt hat oder
eine besondere Rechtfertigung
vorliegt, um die Daten gegen
den ausdrücklichen Willen der
Person zu bearbeiten.
Hinsichtlich der Einwilligung
in die Datenbearbeitung von
gewöhnlichen Personendaten
genügt es nach DSG, wenn
die Einwilligung nach angemessener
Information freiwillig
erfolgt. Hierbei bestehen keine
Formvorschriften und auch
eine stillschweigende Einwilligung
kann nach DSG ausreichen.
Hierbei genügt es, wenn
beispielsweise über die Datenbearbeitung
in angemessener
Weise informiert wird und die
betroffene Person den Kontakt
nicht abbricht. Sie willigt
in einem solchen Fall durch ihr
Verhalten ein, was gemäss
DSG ausreicht. Die EU-DSGVO
geht hier möglicherweise
einen Schritt weiter. Der Datenbearbeiter
muss nämlich
nachweisen können, dass die
betroffene Person in die Verarbeitung
ihrer personenbezogenen
Daten eingewilligt hat.
Dies kann bei einer stillschweigenden
Einwilligung schwierig
sein. Viele Betreiber von Webseiten
sind aufgrund der EUDSGVO
daher dazu übergegangen,
beim Erstaufruf einer
Webseite eine Datenschutzer
klärung anzuzeigen, welche
der Nutzer zuerst aktiv anklicken
muss, um auf die Seite
zu gelangen. Zur Bearbeitung
von besonders schützenswerten
bzw. von besonderen Kategorien
von Personendaten
ist eine ausdrückliche Einwilligung
nötig.
Weiter muss sich der Datenbearbeiter
über die Richtigkeit
der durch ihn bearbeiteten
Personendaten vergewissern
und angemessene Massnahmen
treffen, um Daten zu
berichtigen oder zu vernichten,
die im Hinblick auf den
Zweck ihrer Beschaffung oder
Bearbeitung unrichtig oder
unvollständig sind. Der Datenbearbeiter
muss zudem die
Datensicherheit gewährleisten,
sodass die Personendaten
gegen unbefugtes Bearbeiten
geschützt werden. In diesem
Rahmen empfi ehlt es sich beispielsweise
für Betreiber von
Der Datenbearbeiter muss
sich über die Richtigkeit
der durch ihn bearbeiteten
Personendaten vergewissern
und angemessene
Massnahmen treffen.
Datenschutzgrundsätze im Überblick