Teil 4 unserer Serie zum Datenschutzrecht in der Schweiz
In diesem Teil unserer Serie zum revidierten Schweizer Datenschutzgesetz (DSG) beleuchten wir eine zentrale Frage der Compliance: Wann braucht es eine Rechtsgrundlage für die Bearbeitung von Personendaten nach Schweizer Recht? Die Antwort hängt davon ab, wer die Daten bearbeitet – eine Bundesstelle oder eine Privatperson – und ob durch die Bearbeitung Persönlichkeitsrechte verletzt werden.
Obligatorische Rechtsgrundlage für Bundesorgane
Gemäss DSG benötigen Bundesorgane – wie etwa Bundesbehörden oder Verwaltungseinheiten – immer eine gesetzliche Grundlage, um Personendaten rechtmässig zu bearbeiten. Diese Anforderung spiegelt den verfassungsrechtlichen Grundsatz wider, dass staatliches Handeln, das in Grundrechte eingreift, gesetzlich abgestützt sein muss.
Damit unterscheidet sich die Rechtslage klar von jener im Privatsektor, der einem anderen rechtlichen Standard unterliegt.
Erlaubnis mit Verbotsvorbehalt" für Privatpersonen
Im Gegensatz zu Bundesstellen benötigen Privatpersonen – darunter Unternehmen, Organisationen und Einzelpersonen – nicht für jede Datenbearbeitung eine gesetzliche Grundlage.
Sie dürfen Personendaten grundsätzlich frei bearbeiten, sofern dadurch keine Persönlichkeitsrechte unrechtmässig verletzt werden.
Nach dem Modell der Erlaubnis mit Verbotsvorbehalt" ist eine Bearbeitung nur dann unzulässig, wenn:
- Sie gegen die datenschutzrechtlichen Grundprinzipien (Art. 6 und 8 DSG) verstösst – etwa gegen die Grundsätze der Verhältnismässigkeit, Zweckbindung oder Transparenz (vgl. Teil 3 unserer Serie);
- sie dem ausdrücklichen Willen der betroffenen Person zuwiderläuft; oder
- besonders schützenswerte Personendaten an Dritte weitergegeben
Wichtig: Keine Persönlichkeitsverletzung liegt vor, wenn die betroffene Person die Daten selbst öffentlich zugänglich gemacht hat, ohne deren Nutzung einzuschränken.
Rechtfertigung bei Persönlichkeitsverletzung
Liegt durch die Bearbeitung eine Persönlichkeitsverletzung vor, ist diese gemäss Art. 31 DSG nur rechtmässig, wenn ein Rechtfertigungsgrund vorliegt. Dazu zählen:
- Einwilligung der betroffenen Person
- Überwiegendes privates oder öffentliches Interesse
- Gesetzliche Verpflichtung
Art. 31 Abs. 2 DSG nennt beispielhafte Situationen, in denen ein überwiegendes Interesse bestehen kann – etwa bei der Bearbeitung im Zusammenhang mit dem Abschluss oder der Erfüllung eines Vertrags mit der betroffenen Person.
Diese Beispiele sind jedoch nicht abschliessend. Laut der Botschaft des Bundesrats zum revidierten DSG bleibt das entscheidende Kriterium eine Interessenabwägung im Einzelfall – wie schon unter dem bisherigen Datenschutzrecht.
Diese Auslegung wurde vom EDÖB in seinem Schlussbericht zur Untersuchung der Auktionsplattform Ricardo1 bestätigt: Verantwortliche Stellen dürfen sich grundsätzlich auf jedes schutzwürdige Interesse stützen – auch wirtschaftlicher Natur – sofern sie darlegen können, dass dieses Interesse das Recht der betroffenen Person auf informationelle Selbstbestimmung überwiegt.
Praxistipp:
Vor dem Rückgriff auf ein überwiegendes privates Interesse als Rechtfertigungsgrund sollten Unternehmen ihre Einschätzung sorgfältig prüfen und dokumentieren.
Eine fundierte Interessenabwägung ist oft entscheidend für den Nachweis der DSG-Compliance. Ein solcher Test sollte unter anderem die Art der bearbeiteten Daten, den Bearbeitungszweck, die möglichen Auswirkungen auf die betroffene Person und die getroffenen Schutzmassnahmen berücksichtigen.
Vorschau auf Teil 5
In Teil 5 unserer Serie betrachten wir die dokumentarischen Pflichten nach dem DSG: Wann müssen Bearbeitungstätigkeiten erfasst werden – und welche Informationen sind im Verzeichnis erforderlich?
Footnote
1 https://www.newsd.admin.ch/newsd/message/attachments/90124.pdf
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.
