Netrics Blog | netrics

Datenschutz - wie war das nochmal?

Geschrieben von Stephan A. Hofer | 05.02.2019

2018 war aus Sicht des Datenschutzes ein bedeutendes Jahr. Mit Inkrafttreten der europäischen Datenschutzverordnung am 25. Mai 2018 (kurz "DSGVO") war das Thema Datenschutz plötzlich in aller Munde, denn der neu eingeführte Bussenkatalog - gepaart mit dem Unbehagen, gar nicht recht zu wissen, was denn Datenschutz eigentlich ist und den vielen verschiedenen Meinungen zum Thema - sorgte für einige Aufmerksamkeit.

 

Viele Unternehmen, auch in der Schweiz, haben seither begonnen, sich mit dem Thema Datenschutz auseinanderzusetzen. Das merken wir schon nur deshalb, als wir mittlerweile auf praktisch jeder Homepage ein Cookie-Banner wegklicken müssen.

 

Und trotzdem, auch ein gutes halbes Jahr nach der Einführung der DSGVO ist das Unbehagen geblieben. Man befasst sich zwar mit Datenschutz - weil man muss. Aber die Begriffe und die Funktion des jeweiligen Datenschutzgesetzes - damit gemeint ist sowohl die DSGVO als auch das Schweizer Datenschutzgesetz, kurz "DSG" - wirken trotzdem noch immer wenig vertraut und schwer fassbar.

 

Als Rechtsanwalt, der sich praktisch täglich mit Datenschutz befasst, will ich zum Jahresbeginn versuchen, Ihnen die wichtigsten Grundlagen des Datenschutzgesetzes kurz zusammengefasst und möglichst unjuristisch näher zu bringen. Denn obwohl für etliche Detailfragen eine gewisse rechtliche Unterstützung wohl weiterhin notwendig sein wird, so ist das Datenschutzgesetz in seinen Grundzügen gar nicht so kompliziert. Mit meinen kurzen Inputs zu einigen grundlegenden Fragen hoffe ich, Ihnen, liebe Leserin, lieber Leser, die Berührungsängste mit dem Datenschutz nehmen zu können.

Was ist Datenschutz?

Wie der Name schon sagt, befasst sich das Datenschutzgesetz mit dem Schutz von Daten. Mit zunehmender Digitalisierung werden Daten immer zahlreicher, immer wichtiger - und immer wertvoller. Da verschiedene Akteure mit unterschiedlichen Interessen auf diese Daten greifen wollen, sind Konflikte vorprogrammiert. Und in der Mitte stehen wir als Menschen, um deren Daten es geht - je persönlicher, desto wertvoller. Genau diese Daten will das Datenschutzgesetz schützen.

Was sind Personendaten?

Personendaten sind Daten von Personen, also jede Information, die auf einen bestimmten oder bestimmbaren Menschen zurückverfolgt werden kann. Dazu gehören die ganz offensichtlichen Informationen wie der Vorname und Name, das Geschlecht, das Geburtsdatum, die Wohnadresse, Hobbies, und so weiter. Es gehören aber auch weniger offensichtliche Informationen dazu, wie z.B. der Zeitpunkt, die Dauer und die Spracheinstellungen beim Besuch einer Homepage. Alle diese Informationen erlauben Rückschlüsse auf uns als Individuum. Darum werden diese Personendaten - und nur diese - besonders geschützt.

 

Keine "Personendaten" sind zum Beispiel Vermögensstatistiken einer Bank. Diese Statistiken setzen sich zwar aus den Personendaten von uns allen als Kunden der Bank zusammen, aber die einzelnen statistischen Werte können keiner einzelnen Person mehr zugeordnet werden.

 

 

 

Gibt es besonders heikle Personendaten?

Ja. Diese werden im Schweizer Datenschutzgesetz als "besonders schützenswerte Personendaten" und in der EU als "besondere Kategorien von personenbezogenen Daten" bezeichnet. Sie umfassen jene Informationen, die wir als besonders sensibel betrachten und nicht jedermann bekanntgeben wollen. Zum Beispiel Informationen über unsere sexuellen Vorlieben, über unsere religiösen oder politischen Ansichten, über unseren Gesundheitszustand, über Vorstrafen. Ebenfalls in diese besondere Kategorie fallen auch Persönlichkeitsprofile, also eine Sammlung von Personendaten, die mit einander verknüpft Erkenntnisse über unser Leben verraten - zum Beispiel indem unser Beruf, unser Wohnort und unsere Familienangehörigen verknüpft werden, um zu erfahren, was wir uns leisten können und wo unsere persönlichen Interessen liegen könnten.

Was bedeutet "bearbeiten"?

Das Datenschutzgesetz regelt, wann, wie und unter welchen Bedingungen Personendaten bearbeitet werden dürfen. Der Begriff "bearbeiten" oder "verarbeiten" wird dabei sehr breit verstanden und umfasst nicht nur das aktive Verändern, sondern auch das Erfassen, das Abspeichern, das Versenden, das Lesen… kurzum: Sobald wir in irgendeiner Art und Weise mit Personendaten in Berührung kommen - und sei diese Berührung noch so klein, kurz und belanglos - ist die Chance gross, dass das Datenschutzgesetz Anwendung findet.

Wann darf ich Personendaten bearbeiten?

Für die Bearbeitung braucht es immer eine gesetzliche Grundlage - sonst ist die Bearbeitung von Personendaten verboten. Das klingt nun allerdings strenger, als es ist. Zuerst schafft das Datenschutzgesetz selbst allgemeine gesetzliche Grundlagen zur Bearbeitung, welche logisch aufgebaut sind und wie folgt zusammengefasst werden können:

 

Immer dann, wenn Personendaten im Rahmen der Abwicklung eines Vertrages bearbeitet werden müssen, weil sonst die Leistung gar nicht erbracht werden könnte, ist die Bearbeitung gerechtfertigt. Und diese Daten dürfen so lange aufbewahrt werden, wie es das Gesetz verlangt (z.B. die Rechnungslegung, 10 Jahre für Buchungsbelege) oder Ansprüche nicht verjährt sind (z.B. die Leistungen eines Anwalts, 5 Jahre). Daneben bietet das Datenschutzgesetz noch weitere Rechtfertigungsfälle, welche hier aber nicht weiter erläutert werden.

 

Ebenfalls ist eine Bearbeitung immer dann erlaubt, wenn ein Gesetz die Bearbeitung verlangt (z.B. der Arbeitgeber, der Personaldossiers führen muss). Auch das ist logisch. 

Brauche ich immer eine Einwilligung?

Nein. Eine Einwilligung zur Bearbeitung brauchen Sie nur dann, wenn Sie für die Bearbeitung keinen gesetzlichen Rechtfertigungsgrund haben und auch in keinem Leistungsverhältnis sind. Das ist zum Beispiel dann der Fall, wenn Sie einem Kunden Werbung für andere Produkte zukommen lassen möchten, oder wenn Sie ein erhaltenes Bewerbungsdossier trotz Absage noch behalten möchten, und so weiter. Wenn Sie nicht sicher sind, ob Sie für eine bestimmte Bearbeitung eine Einwilligung brauchen oder nicht, sind Sie aber auf der sicheren Seite, wenn Sie eine solche Einwilligung einholen.

 

Diese Einwilligung muss übrigens nicht auf Papier und unterzeichnet vorliegen. Es genügt, wenn die Erteilung der Einwilligung nachweisbar ist. Das geht auch mit einer E-Mail oder einer SMS, oder durch entsprechendes Verhalten der betroffenen Person. Ein Beispiel: Wenn Sie auf einer Homepage in der Datenschutzerklärung (ja, die sehen Sie normalerweise, wenn Sie beim lästigen Cookie-Banner nicht auf "ok" drücken, sondern auf "Datenschutzerklärung") sehen, dass Ihre Aktivitäten von Google erfasst werden, dann gilt Ihr Verbleib auf der Homepage als Einwilligung zu dieser Erfassung. Denn von da an haben Sie es selbst in der Hand, die Seite zu verlassen oder das Google-Tracking in Ihrem Browser zu deaktivieren.

Wann gilt welches Recht? 

Vereinfacht gesagt: Es gilt das Recht des Ortes, an welchem eine Bearbeitung (nach dem offensichtlichen Willen des Bearbeiters) gegenüber der betroffenen Person stattfindet oder stattfinden soll. Ist die Person in Bern, gilt das Schweizer Datenschutzgesetz (DSG). Ist die Person in Wien, gilt die EU-Datenschutzgrundverordnung (DSGVO) und das DSG, wenn sich der Bearbeiter in der Schweiz befindet. Ist die Person eine Portugiesin und werden ihre Personendaten bei einem Messebesuch in St. Gallen bearbeitet (und nur dann), gilt das DSG.

 

In komplexen Fällen kann es schwierig sein, das anwendbare Recht zu bestimmen, weil nicht ganz klar ist, wann und wo die Bearbeitung genau stattfindet.

 

Übrigens: Die DSGVO gilt nicht nur in der EU, sondern im gesamten Europäischen Wirtschaftsraum. Wenn Sie also Personendaten von Personen in Liechtenstein bearbeiten, ist die DSGVO anwendbar.

Was sollte ich in meinem Betrieb umsetzen?

Wenn Sie eine Homepage haben, sollten Sie eine Datenschutzerklärung erstellen und publizieren, in welcher Sie Auskunft darüber geben, wie Sie mit den Besucherdaten umgehen und was für Daten Sie erfassen, z.B. durch die Nutzung von Analysetools wie Google Analytics oder Anwendungen wie Youtube oder Google Maps. Achten Sie bei der Umsetzung darauf, dass die Datenschutzerklärung auf der Homepage separat abrufbar ist, z.B. im Kopf- oder Fussbereich unter einer Rubrik "Datenschutz".

 

Intern sollten Sie sich Gedanken machen, wo Sie Personendaten bearbeiten und wie. Durch das Führen eines Verzeichnisses und den Erlass eines Datenschutzreglements (und sei es noch so simpel) können Sie sicherstellen, dass Sie betriebsintern mit Personendaten korrekt umgehen und auf Anfragen von Personen vorbereitet sind.

 

Je nachdem, wie Sie Personendaten bearbeiten, kann es sinnvoll sein, auch Ihre Vertragsvorlagen mit Kunden zu überarbeiten bzw. Kunden und Mitarbeiter über die Art und den Umfang der Datenbearbeitung zu informieren und eine Kontaktperson für Fragen oder Beschwerden zu nennen.

 

Welcher rechtliche Standard sinnvoll ist, da scheiden sich die Geister. Ich empfehle Ihnen den DSGVO-Standard. Weshalb? Weil die DSGVO die aktuellste Datenschutzregelung ist, viele Informationen hierüber (online) verfügbar sind, sie auf ein grosses Gebiet (den gesamten Europäischen Wirtschaftsraum) Anwendung findet, sich das in Revision befindende Schweizer Datenschutzgesetz voraussichtlich an der DSGVO orientieren wird, und weil die DSGVO ein eher strenger Erlass ist. Wenn Sie die Anforderungen der DSGVO erfüllen, ist die Chance relativ klein, dass Sie dem Schweizer Datenschutzgesetz, dem DSG, nicht entsprechen.

 

 

 

Kann ich Mustervorlagen verwenden?

Ja und nein. Ja, Sie können im Internet auffindbare Mustervorlagen als Grundlage verwenden, und nein, Sie sollten diese nicht einfach kopieren, ohne den Inhalt genau überprüft zu haben. Denn Sie sollten es vermeiden, Bereiche oder Tools zu erwähnen, welche es bei Ihnen gar nicht gibt oder die Sie gar nicht verwenden. Ebenfalls sollten Sie es vermeiden, jemandem Rechte zu gewähren, welche Sie nicht erfüllen können. Ein oft gesehenes Beispiel: In der Datenschutzerklärung auf der Homepage eines Schweizer Unternehmens (welches nur Schweizer Kunden bedient) steht, dass die betroffene Person das Recht hat, sich bei der zuständigen Aufsichtsbehörde über Datenschutzverletzungen zu beschweren. Das Problem: In der Schweiz gibt es eine solche Aufsichtsbehörde (noch) nicht. Das ist ein typischer Copy-Paste-Fehler einer Datenschutzerklärung eines Unternehmens aus der EU - regelmässig ist sogar noch der Link zur Übersicht der Aufsichtsbehörden der deutschen Bundesländer drin.

 

Darum gilt bei der Verwendung von Mustervorlagen immer, folgendes zu beachten:

  1. Stammt die Mustervorlage von einem seriösen Anbieter?
  2. Ist die Mustervorlage auf das Recht meines Landes gemünzt?
  3. Verstehe ich jede einzelne Klausel der Mustervorlage?
  4. Stimmt die Mustervorlage für mein Unternehmen / meine Homepage?
  5. Weiss ich, wo und wie in meinem Unternehmen bzw. über meine Homepage Personendaten bearbeitet werden?

Wenn Sie alle fünf Fragen klar und überzeugt mit JA beantworten können, steht der Verwendung und Anpassung einer Mustervorlage nichts im Weg. Andernfalls sollten Sie sich Gedanken zu Ihrem Risikoprofil machen. Bearbeiten Sie viele Personendaten? Bearbeiten Sie Personendaten auch ausserhalb des Bereiches, welcher für die Erbringung einer vertraglichen Leistung absolut notwendig ist? Sind für Sie Personendaten nur eine (notwendige) Begleiterscheinung, oder haben diese einen eigenständigen Wert?


Selbst wenn Sie kein Datenschutzprofi sind, werden Sie nach der Lektüre dieses Beitrags und der Beantwortung dieser Fragen ein "Bauchgefühl" haben, ob Sie in Ihrem Betrieb ein eher grosses oder ein eher kleines Risiko haben, gegen ein Datenschutzgesetz zu verstossen. Wenn Sie sich nach dieser Analyse unwohl fühlen, holen Sie eine unverbindliche Zweitmeinung von einem professionellen Berater ein und lassen sich die Umsetzung von Massnahmen offerieren. So gelangen Sie zu einem fairen Kosten-Nutzen-Vergleich, auf dessen Basis Sie einen unternehmerischen Entscheid treffen können.

 

Ich hoffe, dass ich Ihnen mit diesem Beitrag einige Inputs und etwas Komfort geben konnte, um den Datenschutz für Sie fassbarer zu machen, und Sie darin unterstützen konnte, sich selbst ein besseres Bild über ihre Anforderungen und Bedürfnisse nach dem Datenschutzgesetz zu machen. Datenschutz ist kein Buch mit sieben Siegeln, sondern im Gegenteil ein faszinierendes und sehr umfassendes Rechtsgebiet mit einem enormen Potential und Mehrwert - nicht nur für mich als beratenden Anwalt, sondern ganz besonders für die modernen Unternehmen und Unternehmer, welche den Datenschutz nicht als Problem betrachten, sondern als Bereicherung und Chance erkennen.

In eigener Sache

Dieser Beitrag beinhaltet eine stark vereinfachte Erläuterung der wichtigsten Begriffe im jeweiligen Datenschutzgesetz - der DSGVO wie auch dem DSG. Die Inhalte sind weder vollständig noch auf einen bestimmten Einzelfall gemünzt. Dieser Beitrag ist unverbindlich und stellt insbesondere keine Rechtsberatung dar.

 

Die 1992 gegründete GHR Rechtsanwälte AG mit Standorten in Bern und Zürich gehört zu den anerkannten, international tätigen Wirtschaftsanwaltskanzleien der Schweiz. Unsere Kompetenz ist das Ergebnis einer klaren Fokussierung auf ausgewählte Bereiche des Wirtschaftsrechts. Wir verfügen über ausgewiesene Erfahrung auf den Gebieten Arbeitsrecht, Ansiedlungen und Lex Koller, Bank-/Finanz-/Kapitalmarktrecht, Energierecht/öffentliches Wirtschaftsrecht, Gesellschaftsrecht/M&A, Handels-/Vertragsrecht, IP/IT/Datenschutzrecht, Kartell-/Wettbewerbsrecht, Prozesse/Schiedsgerichtsverfahren, Restrukturierungen/Insolvenz und Steuern. Wir beraten lokal und global tätige, börsenkotierte und private Unternehmen, öffentliche Betriebe sowie Unternehmer und Privatkunden.

 

 

Stephan Hofer ist seit 2016 bei GHR Rechtsanwälte tätig. Davor arbeitete er bei einem führenden Vertreter ausländischer Anlagefonds in Genf und der UBS Fund Management (Switzerland) AG. Stephan Hofer berät nationale und internationale Klienten im Vertrags-, Gesellschafts- und Finanzmarktrecht sowie in M&A-Transaktionen. Weiter begleitet Herr Hofer Unternehmer und Unternehmen im Bereich von datenschutzrechtlichen Vorkehrungen.