Auf einen Blick
- Das revidierte Datenschutzgesetz hat Bundesorganen wie Pensions-, Ausgleichs- und Krankenkassen sowie Unfallversicherern neue Pflichten auferlegt.
- In gewissen Fällen ist eine Datenschutz-Folgenabschätzung erforderlich.
- Zentral ist die Unterscheidung zwischen Auftraggebenden und Bearbeitenden.
Das erste Handy von Nokia mit «Snake», dessentwegen sich die Lehrer zu beklagen begannen, dass Jugendliche öfter unter die Schulbank als in Richtung Tafel schauten, kam 1997 auf den Markt. Die erste Massenproduktion von Mobiltelefonen hatte erst einige Jahre zuvor begonnen: 1992. Aus diesem Jahr stammt auch das erste Bundesgesetz über den Datenschutz.
Seitdem ist in Sachen Digitalisierung viel passiert. Unser Smartphone, die Internetnutzung und die damit einhergehenden Möglichkeiten sind aus unserem Leben nicht mehr wegzudenken. Cloud-Dienste und soziale Netzwerke sind feste Bestandteile unseres Alltags.
Um den technischen und gesellschaftlichen Gegebenheiten Rechnung zu tragen, wurde das Bundesgesetz über den Datenschutz (DSG) revidiert. Die Vorlage, die im September 2023 in Kraft trat, orientiert sich stark an der Datenschutzgrundverordnung der EU (DSGVO).
Geschützt werden Personen – nicht Daten
Dem Datenschutzgesetz unterstehen Personendaten, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen. Geschützt werden demnach nicht Daten an sich, sondern die natürlichen Personen, über die Daten bearbeitet werden. Dabei unterscheidet das Datenschutzgesetz zwischen privaten Personen und Bundesorganen.
Zu den privaten Personen gehören sowohl juristische als auch natürliche Personen. Zu den Bundesorgangen zählen im Obligatorium tätige Vorsorgeeinrichtungen, obligatorische Krankenpflegeversicherungen, Unfallversicherungen und Verbandsausgleichskassen. Sie alle vollziehen öffentliches Recht, nämlich die Bundesgesetze im Sozialversicherungsbereich (KVG, UVG, BVG und AHVG).
Bei der Datenbearbeitung ist dabei nicht die Organisationsform entscheidend, sondern ob die Datenbearbeitenden mit öffentlichen oder privatrechtlichen Aufgaben betraut sind. Somit gilt jemand, der mit öffentlichen Aufgaben des Bundes betraut ist, als Bundesorgan.
Öffentliche Organe der Gemeinden und der Kantone, wie beispielsweise die kantonalen Sozialversicherungsanstalten und die kantonalen IV-Stellen, sowie die staatlichen Pensionskassen der Kantone unterstehen den jeweiligen kantonalen Datenschutzgesetzen. Im Folgenden beschränken wir uns auf Bundesorgane.
«Profiling» nur mit gesetzlicher Grundlage
Anders als private Personen dürfen Bundesorgane als Folge des Legalitätsprinzips Personendaten grundsätzlich nicht ohne gesetzliche Grundlage bearbeiten. Für Bundesorgane gelten bei der Bearbeitung von besonders schützenswerten Personendaten sowie bei einem sogenannten Profiling – also der automatisierten Bewertung von Eigenschaften einer natürlichen Person – relativ hohe Vorgaben.
Stellt beispielsweise eine Versicherung eine Liste derjenigen Personen zusammen, die möglicherweise an einem bestimmten Angebot interessiert sind, liegt ein Profiling vor. Besteht dafür keine gesetzliche Grundlage, ist diese Datenbearbeitung grundsätzlich unzulässig.
Ein anderes Beispiel: Während private Unternehmen frei sind, nach Personal in den sozialen Medien zu suchen sowie Assessments durchzuführen, benötigen Bundesorgane dafür eine Grundlage in einem Gesetz im formellen Sinn. Die Folge davon ist die Einführung einer gesetzlichen Grundlage im Bundespersonalgesetz für das Profiling.
Wer trägt die Verantwortung?
«Verantwortliche» sind gemäss dem Datenschutzgesetz natürliche oder juristische Personen, die über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheiden. Sie müssen nachweisen, dass sie die Datenschutzvorschriften einhalten und dafür geeignete technische und organisatorische Massnahmen ergreifen. Sie stellen sicher, dass die Rechte der betroffenen Personen – natürliche Personen, über die Personendaten bearbeitet werden – wie das Auskunftsrecht, das Recht auf Berichtigung, Löschung, Einschränkung der Verarbeitung und Datenübertragbarkeit eingehalten werden.
Beispiele für typische Verantwortliche sind etwa Arbeitgebende (hinsichtlich der Daten von Mitarbeitenden), unabhängige Personalvermittler (Klienten erteilen zwar den Auftrag, die Personalvermittler entscheiden aber über den Zweck der Datenbearbeitung), Fluggesellschaften, Telekommunikationsbetreiber oder Anwaltskanzleien.
Demgegenüber sind «Auftragsbearbeitende» natürliche oder juristische Personen, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeiten, typischerweise etwa Cloud-Anbieter, Webhoster, Callcenter oder IT-Support-Unternehmen.
Sie dürfen personenbezogene Daten nach dokumentierter Weisung des Verantwortlichen verarbeiten und ohne schriftliche Genehmigung des Verantwortlichen keine anderen Auftragsbearbeitenden hinzuziehen. Nach Beendigung des Auftrags müssen Auftragsbearbeitende die personenbezogenen Daten entweder löschen oder zurückgeben.
Somit lässt sich sagen: Werden Personendaten bearbeitet, gibt es mindestens einen Verantwortlichen. Dieser muss aber nicht zwingend einen Zugang zu Personendaten haben.
Entscheidungen über den Zweck der Datenbearbeitung treffen immer die Verantwortlichen – geht es hingegen darum, wie die Datenbearbeitung stattfindet und welche Hard- oder Software für die Datenanalyse genutzt werden soll, ist die Abgrenzung zwischen Verantwortlichen und Auftragsbearbeitenden schwieriger (siehe Kasten).
Wer trägt die Verantwortung?
Um zu bestimmen, ob jemand als «Verantwortlicher» oder als «Auftragsbearbeiter» gilt, sind folgende Fragen hilfreich:
- Warum werden die Daten bearbeitet?
- Wer zieht den Nutzen aus der Datenbearbeitung?
- Käme es ohne den Verantwortlichen zu dieser Datenbearbeitung?
- Wann und wie oft werden die Daten erfasst?
- Wie werden die Daten analysiert und präsentiert?
- Wie und wie lange werden die Daten gespeichert?
Wer haftet?
Die Unterscheidung zwischen Verantwortlichen und Auftragsbearbeitenden ist insbesondere für die Schadenshaftung bei den privaten Personen – das heisst Personen, welche Personendaten aufgrund einer privatrechtlichen Rechtsbeziehung bearbeiten – wichtig. So haften Verantwortliche auch für Verstösse, die die Auftragsbearbeitenden verursachen. Die Auftragsbearbeitenden wiederum haften, wenn sie gegen die Anweisungen der Verantwortlichen verstossen. In der Schweiz können Verstösse mit persönlichen Bussen bis zu 250 000 Franken geahndet werden. Mittlerweile sind denn auch in der Schweiz mehrere Anzeigen hängig.
Für Bundesorgane gelten diese Sanktionen im strafrechtlichen Sinne nicht. Mitarbeitende von Bundesorganen können jedoch mit disziplinarrechtlichen Mitteln zur Rechenschaft gezogen werden. Zudem unterliegen Bundesorgane der Aufsicht durch den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB), der Empfehlungen aussprechen und im Falle von Verstössen die Angelegenheit an die zuständigen Behörden oder Gerichte weiterleiten kann. Ebenfalls kann er Untersuchungen eröffnen sowie den Zugang zu Räumlichkeiten einfordern oder Zeugeneinvernahmen anordnen.
Datenschutz-Folgenabschätzung als Knacknuss
Wenn eine geplante Datenbearbeitung ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen mit sich bringt, müssen Bundesorgane eine Datenschutz-Folgenabschätzung durchführen. Damit sollen die Risiken für die Grundrechte der betroffenen Person bewertet, die Massnahmen zum Schutz der Grundrechte identifiziert und die Auswirkungen der vorgesehenen Massnahmen beurteilt werden.
Bisher haben Bundesorgane allerdings erst vereinzelt eine Datenschutz-Folgenabschätzung durchgeführt, da dies spezifische Kenntnisse und oft auch erhebliche Ressourcen erfordert. Bei den meisten Bundesorganen besteht diesbezüglich ein erheblicher Schulungs- und Sensibilisierungsbedarf. Als herausfordernd empfunden werden insbesondere die Risikobewertung und die Identifizierung geeigneter Massnahmen zur Minderung der Risiken. Insbesondere bei IT-Projekten wird es schwierig, die Risiken zu beziffern. Es liegt auch auf der Hand, dass diese nie bei «null» sein können.
Derzeit sind viele Bundesorgane bestrebt, die Datenschutz-Folgenabschätzung in bestehende Prozesse und Systeme zu integrieren. Dies umfasst die Entwicklung und die Implementierung von Standardverfahren und Softwaretools, um die Datenschutz-Folgenabschätzung effizienter und konsistenter zu gestalten.
In der ersten Säule hat das Bundesamt für Sozialversicherungen eine Vorlage entwickelt, anhand derer die Durchführungsstellen falls erforderlich eine Datenschutz-Folgenabschätzung durchführen können. Die Vorlage kann auch für andere Bundesorgane hilfreich sein.