Wie Viel Transparenz Ist Bei Der Bearbeitung Von Personendaten Erforderlich?

Teil 12 unserer Serie zum Datenschutzrecht in der Schweiz

In diesem Teil unserer Serie beleuchten wir die Transparenzanforderungen gemäss dem Bundesgesetz über den Datenschutz (DSG) und den Mindestinhalt einer Datenschutzerklärung.

Informationspflicht bei der Erhebung von Personendaten

Die Pflicht zur Information bei der Erhebung von Personendaten ist in den Artikeln 19 bis 21 DSG geregelt.

Mindestinhalt einer Datenschutzerklärung

Gemäss Art. 19 DSG ist der Verantwortliche verpflichtet, die betroffene Person angemessen über die Beschaffung von Personendaten zu informieren, um ihr die Ausübung ihrer Rechte zu ermöglichen und eine transparente Datenbearbeitung zu gewährleisten.

Mindestens muss die Datenschutzerklärung folgende Informationen enthalten:

• Die Identität und die Kontaktangaben des Verantwortlichen;
• Den Bearbeitungszweck;
• die Empfängerinnen oder Empfänger oder die Kategorien von Empfängerinnen und Empfängern, denen Personendaten bekanntgegeben werden;
• Werden die Daten nicht direkt bei der betroffenen Person beschafft, die Kategorien der bearbeiteten Personendaten;
• Sofern Personendaten ins Ausland übermittelt werden – auch in Staaten mit angemessenem Datenschutz – die Bezeichnung des Staates oder der internationalen Organisation sowie die anwendbaren Garantien oder gesetzlichen Ausnahmen.

Zusätzlich verpflichtet Art. 21 DSG den Verantwortlichen zur Information, wenn eine betroffene Person einer automatisierten Einzelentscheidung unterliegt. In solchen Fällen muss der betroffenen Person die Möglichkeit gegeben werden, ihren Standpunkt zur Entscheidung darzulegen und zu verlangen, dass diese von einer natürlichen Person überprüft wird.

Formale Anforderungen

Die Information muss präzise, transparent, verständlich und leicht zugänglich sein.

• Werden die Daten direkt bei der betroffenen Person erhoben, ist die Information zum Zeitpunkt der Erhebung
• Werden die Daten indirekt erhoben, muss die betroffene Person innerhalb eines Monats nach Erhalt der Daten oder zum Zeitpunkt der Weitergabe an Dritte (sofern diese vor Ablauf der Frist erfolgt) informiert werden.

Ausnahmen

Art. 20 DSG sieht bestimmte Ausnahmen von der Informationspflicht bei der Erhebung von Personendaten vor, etwa wenn:

• die betroffene Person bereits über die Informationen verfügt;
• die Datenbearbeitung gesetzlich vorgeschrieben ist;
• ein überwiegendes öffentliches oder privates Interesse besteht.

Wenn die Personendaten nicht direkt bei der betroffenen Person erhoben werden, entfällt die Informationspflicht zudem, wenn es unmöglich ist, die Information bereitzustellen, oder wenn dies mit einem unverhältnismässigen Aufwand verbunden wäre.

Laut einer Stellungnahme auf der Website des EDÖB¹ sind diese Ausnahmen eng auszulegen.

In Bezug auf automatisierte Einzelentscheidungen entfällt die Informationspflicht, wenn:

• die Entscheidung in direktem Zusammenhang mit dem Abschluss oder der Abwicklung eines Vertrags zwischen dem Verantwortlichen und der betroffenen Person steht und dem Antrag der betroffenen Person stattgegeben wird (z.  ein Vertrag zu den gewünschten Bedingungen abgeschlossen wird); oder
• die betroffene Person ausdrücklich in die automatisierte Entscheidung eingewilligt hat.

Vorschau auf Teil 13

In Teil 13 unserer Serie beleuchten wir die Anforderungen des DSG im Hinblick auf die Datensicherheit.

Footnote

1 https://www.edoeb.admin.ch/de/informationspflicht

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.