Wissen Sie, woher all Ihre personenbezogenen Daten stammen? Sind betroffene Personen informiert, dass Daten über sie bearbeitet werden? Holen Sie Einwilligungen für die Datenbearbeitung ein, wenn diese notwendig sind?

Fragen, die alle schon heute wichtig sind und mit Inkrafttreten des neuen Schweizer Datenschutzgesetzes weiter an Relevanz gewinnen. In dieser Blog-Reihe zeigen wir Ihnen, wo und wie der Datenschutz im Lebenszyklus von Daten zu beachten ist und welche rechtlichen Vorgaben in diesem Zusammenhang wichtig sind.

Beschaffung von Personendaten – Das verstehen wir darunter

Genau wie Systeme bewegen sich auch Daten in einem Lebenszyklus. Bei Daten beginnt dieser in der Regel mit dem Sammeln oder Erstellen – unabhängig davon, um was für Daten es sich dabei handelt. Für den Datenschutz sind aber nur die Daten zu beachten, die sich auf eine Person beziehen oder zur Identifikation dieser beitragen. Aktuell gewährt das Schweizer Recht auch den Schutz von Daten juristischer Personen. Dieser entfällt jedoch mit Inkrafttreten des neuen Datenschutzgesetzes.

Im Datenschutzgesetz der Schweiz (DSG) wird in Bezug auf das Sammeln von Daten der Begriff «Beschaffung» verwendet, während die Datenschutz-Grundverordnung (DSGVO) in der EU von der Erhebung von Daten spricht. Dabei ist zu beachten, dass Personendaten auf verschiedene Arten beschafft bzw. erhoben werden können. Zum Beispiel bei der betroffenen Person selbst, über öffentlich zugängliche Plattformen oder über Dritte, welche die Daten von betroffenen Personen bereitstellen.

Da es sich bei der Beschaffung bzw. Erhebung von Personendaten gemäss Art. 3 lit. d DSG bzw. Art. 4 Ziff. 2 DSGVO bereits um eine Bearbeitung handelt, sind in jedem Fall die Grundsätze des Datenschutzes schon zu Beginn des Lebenszyklus der Daten einzuhalten. Damit alle Betroffenen über die Bearbeitung ihrer personenbezogenen Daten Bescheid wissen, ist Transparenz besonders wichtig. Dieser gesetzlich definierte Grundsatz wird unter anderem durch die Informationspflicht sichergestellt. Um diese einhalten zu können, muss ein Unternehmen wissen, wo und auf welche Art und Weise die Daten beschafft bzw. erhoben wurden.

Informationspflicht – Das sagt die Gesetzgebung dazu

Bereits heute sieht das DSG vor, dass Personendaten nur für die Zwecke bearbeitet werden dürfen, die bereits bei der Beschaffung der Daten angegeben wurden, aus den Umständen ersichtlich sind oder einer gesetzlichen Vorgabe unterliegen (Art. 4 Abs. 3 DSG). Zudem muss für betroffene Personen erkennbar sein, ob Personendaten resp. personenbezogene Daten beschafft werden und für welche Zwecke diese Daten bearbeitet werden (Art. 4 Abs. 4 DSG). Eine Pflicht zur aktiven Information besteht im aktuell gültigen DSG nur, wenn besonders schützenswerte Personendaten oder Persönlichkeitsprofile durch Private bearbeitet werden (Art. 14 DSG) oder wenn die Beschaffung von Personendaten, unabhängig welcher Kategorie, durch Bundesorgane erfolgt (Art. 18a DSG).

Das neue Schweizer Datenschutzgesetz (nDSG) verstärkt die Informationspflicht für die Verantwortlichen, also Private wie Bundesorgane. Art. 19 Abs. 1 nDSG sieht demnach vor, dass betroffene Personen immer über die Beschaffung ihrer Daten zu informieren sind, auch wenn es sich um nicht-sensible – sprich nicht besonders schützenswerte – Daten handelt. Da aber nur noch Daten von natürlichen Personen in den Geltungsbereich des nDSG fallen, müssen juristische Personen zukünftig grundsätzlich nicht mehr informiert werden. Wie schon das aktuell gültige DSG, enthält auch das nDSG Mindestvorgaben darüber, welche Angaben den betroffenen Personen bekanntzugeben sind und in welcher Frist. Weiter finden sich in Art. 20 nDSG die Umstände und Bedingungen, unter denen gar auf die Information von Betroffenen verzichtet werden kann.

Wann und wie die Informationspflicht einzuhalten ist, hängt auch von der Herkunft der Daten ab. Wie die DSGVO in Art. 13 und 14, unterscheidet zukünftig auch das nDSG in Art. 19 stärker zwischen der direkten Beschaffung bei betroffenen Personen und der Beschaffung von Daten durch Dritte. Die DSGVO definiert in Art. 12 zudem ausführlich, was in Bezug auf die Transparenz erwartet wird und welche Informationen in welcher Form bereitzustellen sind. So sieht der Art. 12 DSGVO unter anderem vor, dass die Information über die Erhebung von Personendaten offensichtlich und in einfacher Sprache an die betroffenen Personen herangetragen werden muss.

Unsere Empfehlungen – Das sollten Sie tun

Um die Transparenz über die Datenbeschaffung, die damit verbundenen Bearbeitungen und die Konformität mit den gesetzlichen Grundlagen zu gewährleisten, ist ein systematisches Vorgehen hilfreich. Wir haben Ihnen eine Empfehlung zusammengestellt, wie Sie das Thema in vier Phasen angehen können.

1. Übersicht verschaffen

Verschaffen Sie sich einen Überblick über die gesetzlichen Grundlagen und Ihre Beschaffungsvorgänge. Konkret sollten Sie dabei prüfen,

• welche gesetzlichen Grundlagen für Sie gelten (z. B. das DSG, die DSGVO oder kantonale Gesetze)
• auf welche Art und Weise bzw. über welchen Kanal und bei wem die Daten beschafft werden
• ob die betroffenen Personen über die Beschaffung aktiv informiert werden (z. B. in einem Gespräch) oder die Möglichkeit haben, sich selbstständig zu erkundigen (z. B. über eine Datenschutzerklärung)
• ob eine Einwilligung der betroffenen Personen für die weitere Bearbeitung notwendig ist und ob diese bereits eingeholt wird (z. B. via Opt-in bzw. aktive Bestätigung auf einer Website oder durch Unterschrift eines Formulars)

2. Informationen erarbeiten

Nun gilt es, aufgedeckte Lücken zu schliessen. Dabei ist zu empfehlen, dass nicht nur neue Informationen erarbeitet werden, sondern auch bestehende Informationsmittel (z. B. die Datenschutzerklärung) geprüft und gegebenenfalls aktualisiert werden. Die Informationen und die gewählten Kanäle sollten auf die betroffenen Personen ausgerichtet sein.

3. Prozesse einführen

Mit der Einführung von Prozessen können Sie sicherstellen, dass benötigte Einwilligungen konsequent eingeholt und Informationsmittel aktuell gehalten werden. Für die Einholung von Einwilligungen ist es zudem empfehlenswert, dass diese in bereits bestehende Abläufe integriert und einfache, sinnvolle Mittel eingesetzt werden. Das kann beispielsweise eine Opt-in-Funktion auf einer Website oder eine Klausel in einem ohnehin zu unterzeichnendem Formular sein. Beachten Sie dabei aber, dass auch bei einer Einwilligung die Grundsätze des Datenschutzes einzuhalten und Kopplungsverbote zu berücksichtigen sind. So können Sie bei der Einwilligung etwa auch zukünftig geplante Bearbeitungszwecke aufführen, sollten aber darauf verzichten, nicht notwendige Bearbeitungen an eine notwendige Leistungserbringung zu knüpfen.

4. Informationsmittel und Einwilligungen verwalten

Die Informationsmittel für Betroffene sowie eingeholte Einwilligungen sollten Sie systematisch verwalten. Hierfür kann der Einsatz von Tools hilfreich sein, wie zum Beispiel Datenschutzmanagement-Software, Tools für Governance, Risk und Compliance (kurz GRC) oder Consent Tools für die Verwaltung von Einwilligungen.

Wenn Sie den Wald vor lauter Bäumen nicht sehen

Sie finden sich im Dschungel gesetzlicher Vorgaben nicht zu recht oder haben noch immer Fragezeichen bei Begriffen wie Beschaffung, Informationspflicht oder Einwilligung? Wir beraten und unterstützen Sie gerne bei der Evaluation der relevanten Anforderungen und der Ausarbeitung unternehmensspezifischer Verfahren.

Vorschau

Teil zwei unserer Datenschutz Blog-Reihe erscheint in einer Woche mit dem Thema “Umgang mit Personendaten im Alltag”.

Lesen Sie die gesamte Blogreihe

Datenschutz (1 / 4): Beschaffung von Personendaten
Datenschutz (2 / 4): Umgang mit Personendaten
Datenschutz (3 / 4): Aufbewahrung und Löschung
Datenschutz (4 / 4): Datenschutz-Managementsystem (DSMS)