-
- Art. 5a BV
- Art. 6 BV
- Art. 10 BV
- Art. 16 BV
- Art. 17 BV
- Art. 20 BV
- Art. 22 BV
- Art. 29a BV
- Art. 30 BV
- Art. 32 BV
- Art. 42 BV
- Art. 43 BV
- Art. 43a BV
- Art. 55 BV
- Art. 56 BV
- Art. 60 BV
- Art. 68 BV
- Art. 75b BV
- Art. 77 BV
- Art. 96 Abs. 2 lit. a BV
- Art. 110 BV
- Art. 117a BV
- Art. 118 BV
- Art. 123b BV
- Art. 136 BV
- Art. 166 BV
-
- Art. 11 OR
- Art. 12 OR
- Art. 50 OR
- Art. 51 OR
- Art. 84 OR
- Art. 143 OR
- Art. 144 OR
- Art. 145 OR
- Art. 146 OR
- Art. 147 OR
- Art. 148 OR
- Art. 149 OR
- Art. 150 OR
- Art. 701 OR
- Art. 715 OR
- Art. 715a OR
- Art. 734f OR
- Art. 785 OR
- Art. 786 OR
- Art. 787 OR
- Art. 788 OR
- Art. 808c OR
- Übergangsbestimmungen zur Aktienrechtsrevision vom 19. Juni 2020
-
- Art. 2 BPR
- Art. 3 BPR
- Art. 4 BPR
- Art. 6 BPR
- Art. 10 BPR
- Art. 10a BPR
- Art. 11 BPR
- Art. 12 BPR
- Art. 13 BPR
- Art. 14 BPR
- Art. 15 BPR
- Art. 16 BPR
- Art. 17 BPR
- Art. 19 BPR
- Art. 20 BPR
- Art. 21 BPR
- Art. 22 BPR
- Art. 23 BPR
- Art. 24 BPR
- Art. 25 BPR
- Art. 26 BPR
- Art. 27 BPR
- Art. 29 BPR
- Art. 30 BPR
- Art. 31 BPR
- Art. 32 BPR
- Art. 32a BPR
- Art. 33 BPR
- Art. 34 BPR
- Art. 35 BPR
- Art. 36 BPR
- Art. 37 BPR
- Art. 38 BPR
- Art. 39 BPR
- Art. 40 BPR
- Art. 41 BPR
- Art. 42 BPR
- Art. 43 BPR
- Art. 44 BPR
- Art. 45 BPR
- Art. 46 BPR
- Art. 47 BPR
- Art. 48 BPR
- Art. 49 BPR
- Art. 50 BPR
- Art. 51 BPR
- Art. 52 BPR
- Art. 53 BPR
- Art. 54 BPR
- Art. 55 BPR
- Art. 56 BPR
- Art. 57 BPR
- Art. 58 BPR
- Art. 59a BPR
- Art. 59b BPR
- Art. 59c BPR
- Art. 62 BPR
- Art. 63 BPR
- Art. 67 BPR
- Art. 67a BPR
- Art. 67b BPR
- Art. 73 BPR
- Art. 73a BPR
- Art. 75 BPR
- Art. 75a BPR
- Art. 76 BPR
- Art. 76a BPR
- Art. 90 BPR
-
- Vorb. zu Art. 1 DSG
- Art. 1 DSG
- Art. 2 DSG
- Art. 3 DSG
- Art. 5 lit. f und g DSG
- Art. 6 Abs. 6 und 7 DSG
- Art. 7 DSG
- Art. 10 DSG
- Art. 11 DSG
- Art. 12 DSG
- Art. 14 DSG
- Art. 15 DSG
- Art. 19 DSG
- Art. 20 DSG
- Art. 22 DSG
- Art. 23 DSG
- Art. 25 DSG
- Art. 26 DSG
- Art. 27 DSG
- Art. 31 Abs. 2 lit. e DSG
- Art. 33 DSG
- Art. 34 DSG
- Art. 35 DSG
- Art. 38 DSG
- Art. 39 DSG
- Art. 40 DSG
- Art. 41 DSG
- Art. 42 DSG
- Art. 43 DSG
- Art. 44 DSG
- Art. 44a DSG
- Art. 45 DSG
- Art. 46 DSG
- Art. 47 DSG
- Art. 47a DSG
- Art. 48 DSG
- Art. 49 DSG
- Art. 50 DSG
- Art. 51 DSG
- Art. 54 DSG
- Art. 57 DSG
- Art. 58 DSG
- Art. 60 DSG
- Art. 61 DSG
- Art. 62 DSG
- Art. 63 DSG
- Art. 64 DSG
- Art. 65 DSG
- Art. 66 DSG
- Art. 67 DSG
- Art. 69 DSG
- Art. 72 DSG
- Art. 72a DSG
-
- Art. 2 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 3 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 4 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 5 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 6 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 7 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 8 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 9 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 11 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 12 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 25 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 29 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 32 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 33 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 34 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
BUNDESVERFASSUNG
OBLIGATIONENRECHT
BUNDESGESETZ ÜBER DAS INTERNATIONALE PRIVATRECHT
LUGANO-ÜBEREINKOMMEN
STRAFPROZESSORDNUNG
ZIVILPROZESSORDNUNG
BUNDESGESETZ ÜBER DIE POLITISCHEN RECHTE
ZIVILGESETZBUCH
BUNDESGESETZ ÜBER KARTELLE UND ANDERE WETTBEWERBSBESCHRÄNKUNGEN
BUNDESGESETZ ÜBER INTERNATIONALE RECHTSHILFE IN STRAFSACHEN
DATENSCHUTZGESETZ
BUNDESGESETZ ÜBER SCHULDBETREIBUNG UND KONKURS
SCHWEIZERISCHES STRAFGESETZBUCH
CYBERCRIME CONVENTION
HANDELSREGISTERVERORDNUNG
- In Kürze
- I. Allgemeines
- II. Verpflichtete Person und Anknüpfungspunkt (Abs. 1)
- III. Inhalt der Information (Abs. 2-4)
- IV. Modalitäten der Information (Abs. 5; Art. 13 DSV)
- V. Praxishinweise
- VI. Durchsetzung und Rechtsfolgen
- VII. Normkritik
- Literaturverzeichnis
- Materialienverzeichnis
In Kürze
Die Informationspflicht gem. Art. 19 DSG betrifft die in der Praxis bedeutsamen Datenschutzerklärungen und soll konkret die Transparenz von Datenbearbeitungen erhöhen. Sie ergänzt den allgemeinen Transparenzgrundsatz und verlangt, dass betroffene Personen bei jeder Erhebung von Personendaten über die Eckpunkte der Datenbearbeitung informiert werden. Der Katalog der mindestens mitzuteilenden Informationen ist kürzer als jener der DSGVO und umfasst Kontaktinformationen, Bearbeitungszwecke, bearbeitete Datenkategorien, Kategorien von Datenempfängern, Informationen zu Auslandstransfers sowie Angaben zu automatisierten Einzelentscheiden. Jedoch geht Art. 19 DSG in einem Punkt über die DSGVO hinaus und verlangt ausserdem die Angabe von Empfängerstaaten, wobei die Angabe von Ländergruppen oder Regionen genügt. Die Informationen müssen Betroffenen in den meisten Fällen nicht aktiv kommuniziert werden und es reicht aus, wenn sie gut zugänglich im Internet bereitgestellt werden. Die Informationspflicht gehört zu den strafbewehrten Tatbeständen des revidierten Datenschutzgesetzes: Wer die Information vorsätzlich unterlässt oder vorsätzlich falsche oder unvollständige Angaben macht, kann gebüsst werden. In Anbetracht dessen, dass Datenschutzerklärungen in der Praxis kaum je gelesen oder im Detail verstanden werden, erscheint insgesamt fraglich, ob mit der Informationspflicht das verfolgte Ziel der Erhöhung von Transparenz über Datenbearbeitungen tatsächlich erreicht wird.
I. Allgemeines
A. Normzweck
1 Art. 19 DSG normiert die Informationspflicht des Verantwortlichen bei der Beschaffung von Personendaten. Es geht um die in der Praxis bedeutsamen Datenschutzhinweise bzw. um die im Wirtschaftsleben sehr verbreiteten Datenschutzerklärungen. Die Informationspflicht gehört zu den datenschutzrechtlichen Kernbestimmungen, was sich mitunter darin zeigt, dass sie zu den strafbewehrten Bestimmungen des neuen Datenschutzgesetzes zählt.
2 Ziel der Informationspflicht ist es, die Transparenz von Datenbearbeitungen zu erhöhen. Eine transparente Bearbeitung von Personendaten ist ein Grundprinzip des Datenschutzrechts und die Erhöhung der Transparenz war ein erklärtes Ziel der DSG-Revision.
3 Transparenz von Datenbearbeitungen soll es betroffenen Personen ermöglichen, einen informierten Entscheid über die Inanspruchnahme von Angeboten und die Nutzung von Services zu treffen, und sie in die Lage versetzen, ihre vom Datenschutzrecht eingeräumten Rechte wahrzunehmen. Die Informationspflicht dient somit indirekt auch der Stärkung der Betroffenenrechte, was einem weiteren Ziel der Revision entspricht.
4 Schliesslich soll die Informationspflicht gem. Botschaft die Sensibilisierung der Bevölkerung für den Datenschutz erhöhen und damit auch generell Datenschutzanliegen fördern.
B. Entstehungsgeschichte
5 Art. 19 DSG baut die schon im bisherigen DSG enthaltene Pflicht zur Information bei der Beschaffung von Personendaten aus. Unter altem Recht mussten betroffene Personen nur im Fall einer Beschaffung von besonders schützenswerten Personendaten oder Persönlichkeitsprofilen informiert werden.
6 Die Erhöhung der Transparenz von Datenbearbeitungen gehörte zu den Hauptzielen der Revision des DSG.
C. Einordnung und Abgrenzung
7 Art. 19 DSG ergänzt das allgemeine Transparenzgebot von Art. 6 DSG.
8 Anders als das Transparenzgebot ist die Informationspflicht keine Konkretisierung des Persönlichkeitsrechts von Art. 28 ZGB, sondern öffentlich-rechtlicher Natur.
9 Art. 19 DSG wird seinerseits ergänzt durch Art. 21 DSG, welcher eine besondere Informationspflicht bei einer Vollautomatisierung von wichtigen Entscheiden vorsieht, sowie konkretisiert durch Art. 13 DSV, der Anforderungen an die Art und Weise der Information aufstellt.
10 Die Informationspflicht ist vom Konzept der Einwilligung abzugrenzen. Eine Datenschutzerklärung sorgt für gesetzlich verlangte Transparenz, stellt aber keine datenschutzrechtliche Einwilligung dar und legitimiert nicht eine nach Art. 30 f. DSG rechtfertigungsbedürftige Datenbearbeitung. Ein Zusammenhang zwischen Informationspflicht und Einwilligungen besteht aber insoweit, als einerseits mittels Datenschutzerklärung die für eine gültige Einwilligung erforderliche Informationsbasis
D. Auslegungshinweise
11 Die Informationspflicht des revidierten Datenschutzgesetzes ist an die in der DSGVO enthaltene Informationspflicht angelehnt.
12 Mit David Vasella
II. Verpflichtete Person und Anknüpfungspunkt (Abs. 1)
A. Verpflichtete Person
13 Die Informationspflicht richtet sich an den Verantwortlichen, also diejenige private Person bzw. dasjenige Bundesorgan, die oder das über den Zweck und die Mittel der Bearbeitung entscheidet. Weisungsgebundene Auftragsbearbeiter unterstehen für die im Auftrag des Verantwortlichen vorgenommenen Bearbeitungen keiner Informationspflicht.
14 Der Verantwortliche muss die Informationspflicht nicht selbst ausführen. Er kann die Vornahme der Information auch an einen Auftragsbearbeiter oder einen anderen Dritten delegieren (z.B. an eine Webagentur bei Betrieb einer Webseite). Auch in solchen Fällen bleibt der Verantwortliche aber für die ordnungsgemässe Erfüllung der Informationspflicht verantwortlich.
B. Anknüpfungspunkt
15 Die Informationspflicht wird durch jede Beschaffung von Personendaten ausgelöst, und zwar unabhängig davon, ob der Verantwortliche die Daten direkt bei der betroffenen Person beschafft oder indirekt erhebt. Nur für den Zeitpunkt der Information ist die Art der Datenbeschaffung von Bedeutung.
16 Nicht informiert werden muss, wenn dem Verantwortlichen Personendaten zufällig oder sonst ohne eigenes Zutun zugehen.
17 Die Anknüpfung der Informationspflicht an das Ereignis der Datenbeschaffung bedeutet übergangsrechtlich, dass betroffene Personen bei Inkrafttreten des neuen DSG nicht über bereits laufende Datenbearbeitungen informiert werden müssen (sofern die Information nicht ohnehin schon zu einem früheren Zeitpunkt erfolgt ist).
III. Inhalt der Information (Abs. 2-4)
A. Pflichtangaben
1. Allgemeines
18 Art. 19 DSG enthält in Abs. 2-4 einen Katalog an Pflichtangaben, die betroffenen Personen zwingend mitgeteilt werden müssen: Kontaktangaben des Verantwortlichen, Bearbeitungszwecke, Datenempfänger bzw. Kategorien solcher, bearbeitete Datenkategorien sowie Empfängerstaaten bei Auslandsübermittlungen und ihre Absicherung. Wenige zusätzliche Pflichtangaben finden sich in anderen Bestimmungen des DSG, so in Art. 21 DSG betreffend automatisierte Einzelentscheidungen und in Art. 14 Abs. 3 DSG betreffend Vertretung in der Schweiz.
19 Im Vergleich zur DSGVO fällt der Katalog des DSG kurz aus. Das ist zu begrüssen und lässt immerhin ausserhalb des Geltungsbereichs der DSGVO Raum, mit Augenmass zu informieren und dem heute grassierenden «information overload» entgegenzuwirken. Die flexible Regelung des DSG erlaubt es, die Information risikobasiert auf relevante Angaben zu beschränken und unnötige Angaben wegzulassen.
2. Kontaktangaben
20 Zunächst sind Name und Kontaktdaten des Verantwortlichen anzugeben. Das Gesetz spezifiziert nicht, welche Kontaktdaten bekanntgegeben werden müssen. Naheliegend ist aber die Angabe zumindest einer Postadresse sowie einer E-Mail-Adresse. Auch die Angabe einer Telefonnummer ist denkbar, angesichts der Möglichkeit aufdringlicher Kontaktnahmen durch Querulanten aber unüblich und eher nicht zu empfehlen.
21 Im Ausland domizilierte Verantwortliche müssen auch Name und Kontaktdaten einer ggf. nach Art. 14 DSG bestellten Vertretung in der Schweiz veröffentlichen (Art. 14 Abs. 3 DSG).
22 Die Angabe der Kontaktdaten einer allfällig bestellten Datenschutzberaterin ist freiwillig. Dies im Unterschied zur DSGVO, wo die Kontaktdaten der Datenschutzbeauftragten zwingend mitzuteilen sind.
3. Bearbeitungszwecke
23 Der Verantwortliche muss die Bearbeitungszwecke angeben, für die Personendaten bearbeitet werden. Betroffene Personen sollen also in Erfahrung bringen können, wozu ihre Daten bearbeitet werden.
24 Der Detailierungsgrad, mit dem die Bearbeitungszwecke umschrieben werden, ist dem Verantwortlichen überlassen. Kurzbezeichnungen wie «Kommunikation», «Vertragsabwicklung», «Produktentwicklung» oder «Marketing» sind grundsätzlich zulässig.
25 Neben aktuellen Bearbeitungszwecken können auch mögliche künftige Bearbeitungszwecke aufgeführt werden. Das ist auch dann zulässig, wenn die betreffenden Bearbeitungen noch gar nicht konkret geplant sind, sondern nur eine Möglichkeit darstellen.
4. Datenempfänger
26 Anzugeben sind sodann die Kategorien von Empfängern, denen Personendaten weitergegeben werden. Der Einschub «gegebenenfalls» im Gesetzestext hat kaum praktische Relevanz, da zu den Empfängern auch die vom Verantwortlichen eingesetzten Auftragsbearbeiter zählen
27 Die Kategorien können vom Verantwortlichen nach eigenem Ermessen definiert werden, das Gesetz macht diesbezüglich keine Vorgaben. Denkbar wären z.B. einigermassen eng umfasste Kategorien wie «IT-Dienstleister», «Logistikunternehmen» oder «Inkassodienstleister», aber auch grobe Kategorien wie «Auftragsbearbeiter» sind zulässig.
28 Anstelle von Empfängerkategorien können auch einzelne Empfänger genannt werden. Die Nennung einzelner Empfänger ist aber freiwillig, die Angabe von Kategorien genügt.
5. Bearbeitete Personendaten
29 Anzugeben sind sodann die Kategorien der bearbeiteten Personendaten. Auch hier ist der Verantwortliche frei, die Kategorien nach eigenem Ermessen zu definieren und einen ihm sinnvoll und für die ausreichende Information der betroffenen Personen geeignet erscheinenden Detaillierungsgrad zu wählen. Denkbar wären z.B. Kategorien wie «Stammdaten», «Verhaltensdaten» oder «Präferenzdaten». Auch «besonders schützenswerte Personendaten» oder enger «Gesundheitsdaten» wären mögliche Kategorien. Hilfreich ist i.d.R. ausserdem, die teils eher wenig fassbaren Kategorien mit Beispielen von Datenarten (z.B. «Name», «E-Mail-Adresse», «Wohnort») zu konkretisieren und greifbarer zu machen. Ebenfalls hilfreich, aber nicht erforderlich, ist die Zuordnung der einzelnen Datenkategorien zu konkreten Bearbeitungszwecken.
30 Die bearbeiteten Datenkategorien müssen gemäss Art. 19 Abs. 3 DSG nur dann angegeben werden, wenn die Daten nicht direkt bei der betroffenen Person beschafft werden. Dem liegt der Gedanke zugrunde, dass die betroffene Person nur in diesem Fall ein Informationsbedürfnis hat. Gibt sie ihre Personendaten hingegen selbst bekannt (z.B. indem sie ein Online-Formular oder einen Gewinnspieltalon ausfüllt oder eine Stellenbewerbung übermittelt), kennt sie die vom Verantwortlichen bearbeiteten Daten bereits.
31 Diesem Gedanken folgend ist die Einschränkung eng auszulegen und auf Fälle zu beschränken, in denen die betroffene Person bewusst Daten bekanntgibt. Hingegen sind die bearbeiteten Datenkategorien z.B. auch dann anzugeben, wenn die Daten zwar direkt bei der betroffenen Person erhoben werden, dies aber ohne ihr aktives Zutun erfolgt und sie sich deshalb ggf. nicht bewusst ist, dass Daten über sie bearbeitet werden.
6. Empfängerstaaten
32 Bei Bekanntgabe von Personendaten ins Ausland sind die Empfängerstaaten anzugeben. Als Bekanntgabe gilt gem. Art. 5 lit. e DSG neben der Übermittlung auch schon jeder aus dem Ausland erfolgende Zugriff auf Personendaten.
33 Mit der Pflicht zur Angabe der Empfängerstaaten ist das DSG ohne Not strenger als die DSGVO, wo lediglich über die Auslandsbekanntgabe selbst, nicht aber über die Empfängerstaaten informiert werden muss.
34 Befinden sich unter den Empfängerstaaten auch Staaten ohne angemessenes Datenschutzniveau müssen zusätzliche Angaben gemacht werden: Mitzuteilen sind in solchen Konstellationen die gem. Art. 16 Abs. 2 DSG zur Gewährleistung eines geeigneten Datenschutzes getroffenen Garantien bzw. die gem. Art. 17 DSG beanspruchte Ausnahme. Hier genügt z.B. der Hinweis auf den Abschluss der von der Europäischen Kommission und dem EDÖB anerkannten Standardvertragsklauseln, welche das weitaus gebräuchlichste Instrument zur Absicherung von Auslandsübermittlungen sind.
7. Automatisierte Einzelentscheidungen
35 Sofern der Verantwortliche automatisierte Einzelentscheidungen einsetzt, hat er betroffene Personen darüber sowie über die Möglichkeit, den Entscheid auf Verlangen der betroffenen Person einer menschlichen Überprüfung unterziehen zu lassen, zu informieren (Art. 21 DSG). Als automatisierte Einzelentscheidung gelten Entscheidungen, die vollständig automatisiert erfolgen und die rechtliche Konsequenzen für die betroffenen Personen haben oder sie in anderer Weise erheblich beeinträchtigen.
B. Weitere Angaben
36 In der Unternehmenspraxis werden viele Unternehmen über die oben dargestellten Pflichtangaben hinausgehen und sich dabei meist am umfassenderen Katalog der DSGVO orientieren.
37 Gesetzlich vorgeschrieben ist die Aufnahme von solchen zusätzlichen Angaben unter dem DSG aber meist nicht. Über den Mindestkatalog hinausgehende Angaben müssen nur dann gemacht werden, wenn sie im konkreten Fall zur Gewährleistung einer angemessen transparenten Datenbearbeitung erforderlich sind (Art. 19 Abs. 2 DSG). Dies wird nur selten der Fall sein und ist desto eher anzunehmen, je sensibler die bearbeiteten Daten, je umfangreicher die Bearbeitung, je kritischer die Modalitäten der Bearbeitung, je grösser die Kritikalität des Bearbeitungszwecks und je neuartiger die für die Bearbeitung eingesetzten Technologien sind. Richtschnur ist gem. Art. 19 Abs. 2 DSG jeweils, was betroffene Personen wissen müssen, um ihre Rechte wahrnehmen zu können.
38 Der Katalog der DSGVO dürfte dabei eine Art Obergrenze darstellen. Es sind kaum Fälle denkbar, in denen es unter dem DSG erforderlich sein könnte, sogar noch über die von der DSGVO verlangten Angaben hinauszugehen.
39 Die Regelung des DSG lässt theoretisch auch Raum dafür, in einem Verhaltenskodex gem. Art. 11 DSG die Handhabung der Informationspflicht für eine bestimmte Branche zu konkretisieren.
IV. Modalitäten der Information (Abs. 5; Art. 13 DSV)
A. Zeitpunkt
40 Je nachdem, ob die Personendaten direkt bei der betroffenen Person beschafft oder indirekt erhoben werden, muss zu unterschiedlichen Zeitpunkten informiert werden. Eine direkte Beschaffung liegt vor, wenn die betroffene Person ihre Daten dem Verantwortlichen von sich aus bekanntgibt (z.B. durch Ausfüllen eines Formulars oder Erstellen eines Nutzeraccounts) oder der Verantwortliche die Daten durch Beobachtung selbst oder automatisiert erhebt (z.B. durch Aufzeichnung von Kauftransaktionen oder Erhebung von Bewegungsdaten durch einen Fitnesstracker). Eine indirekte Beschaffung liegt demgegenüber vor, wenn der Verantwortliche Daten aus öffentlichen Quellen erhebt (z.B. aus Medienberichten oder öffentlichen Registern), von Dritten erhält (z.B. von einem Adresshändler oder einer Wirtschaftsauskunftei) oder aus vorhandenen Datenbeständen neue Daten ableitet (z.B. Ableitung von Präferenzen durch Analyse von Transaktionsdaten).
41 Bei direkter Beschaffung muss die Information zeitgleich mit der Beschaffung erfolgen. Praktisch bedeutet dies, dass die erforderlichen Angaben im Zeitpunkt der Beschaffung einfach zugänglich abrufbar sein müssen, bspw. auf der Webseite des Verantwortlichen.
42 Bei indirekter Beschaffung muss nicht sofort, sondern erst innert eines Monats nach Erhalt der Daten informiert werden (Art. 19 Abs. 5 DSG). Die einmonatige Karenzfrist setzt jedoch voraus, dass die Personendaten durch den Verantwortlichen keinem weiteren Empfänger bekanntgegeben werden. Gibt der Verantwortliche die Personendaten hingegen vor Fristablauf bekannt, entfällt die Karenzfrist und die Information muss spätestens zum Zeitpunkt der Bekanntgabe erfolgen. Da auch Bekanntgaben an Auftragsbearbeiter darunterfallen (z.B. eine Speicherung in der Cloud), hat der Informationsaufschub wenig praktische Bedeutung und es muss auch bei indirekten Beschaffungen meist unmittelbar informiert werden, was häufig eine aktive Kommunikation erfordert.
B. Form
43 Das DSG enthält keine Formvorschriften für die Mitteilung der Informationen. Auch eine mündliche Information ist ausreichend, z.B. in Form von Tonbandansagen. In der Praxis empfiehlt sich aber meist Textform, allein schon aus Beweisgründen.
44 In der Praxis weitaus am verbreitetsten ist die Erfüllung der Informationspflicht mittels Datenschutzerklärungen («Privacy Notice» oder «Privacy Policy»). Einem üblichen Vorgehen entspricht es, in einer allgemeinen Datenschutzerklärung eine breite Palette an Datenbearbeitungen zu beschreiben (vom Kundengeschäft über Personalrekrutierungen bis zur Zusammenarbeit mit Geschäftspartnern) und diese mit produkt- oder servicespezifischen besonderen Datenschutzerklärungen zielgerichtet zu ergänzen. In der Praxis verbreitet sind auch besondere Online-Datenschutzerklärungen («Cookie Notice» oder «Cookie Policy») für Datenbearbeitungen im Zusammenhang mit dem Besuch einer Webseite oder einer App.
45 Datenschutzerklärungen stellen eine einseitige Information des Verantwortlichen dar und können als solche flexibel angepasst werden, um v.a. der dynamischen Natur vieler Datenbearbeitungen Rechnung zu tragen. Aus praktischer Sicht bedeutet die einseitige Information zudem, dass keine aktive Bestätigung oder Akzeptanz der Datenschutzerklärung durch die betroffenen Personen erforderlich ist und daher in den meisten Fällen auf die in Online-Formularen oder Bestellprozessen häufig anzutreffenden Checkboxen verzichtet werden kann.
46 Denkbar ist auch die Aufnahme von Datenschutzhinweisen in Allgemeine Geschäftsbedingungen (AGB). Anders als Datenschutzerklärungen werden in AGB enthaltene Datenschutzhinweise aber Vertragsbestandteil und können deshalb nur über eine Vertragsanpassung geändert werden, was sich in der Praxis häufig als zu schwerfällig erweist. Hinzu kommt, dass mittels AGB die Informationspflicht nur gegenüber Vertragspartnern (aber nicht gegenüber anderen betroffenen Personen) erfüllt werden kann.
47 Datenschutzhinweise werden nach der Ungewöhnlichkeits- und Unklarheitenregel ausgelegt, d.h. auf Ungewöhnliches ist besonders hinzuweisen und unklare Formulierungen werden zum Nachteil des Verfassers ausgelegt.
C. Bereitstellung
48 Die Pflichtangaben müssen für betroffene Personen leicht zugänglich sein (Art. 13 DSV). Nicht erforderlich ist, dass die Betroffenen die Informationen tatsächlich zur Kenntnis nehmen. Es gilt nicht das Zugangsprinzip, sondern es genügt, wenn Betroffene die Möglichkeit haben, ohne grossen Aufwand auf die Informationen zuzugreifen.
49 Die vom Betroffenen für eine Kenntnisnahme vorzunehmenden Schritte müssen aber zumutbar sein. Nicht mehr leicht zugänglich und somit nicht ausreichend wäre z.B. die blosse Bezeichnung einer Kontaktperson oder die Zusendung der Datenschutzerklärung nur auf Anfrage.
50 Eine Information im Internet genügt grundsätzlich selbst dann, wenn die Datenbearbeitung offline erfolgt. Betroffene Personen sind es sich heute gewohnt, Datenschutzhinweise auf der Webseite des Unternehmens vorzufinden, und sie setzen dies sogar voraus. Im Internet bereitgestellte Datenschutzhinweise bieten zudem verschiedene Vorteile wie eine vereinfachte Navigation und erweiterte Möglichkeiten zur nutzerfreundlichen Gestaltung.
51 Ein zur Erleichterung des Medienwechsels sinnvolles Mittel ist die Darstellung von QR-Codes, die mit dem Mobiltelefon gescannt werden können und zur Datenschutzerklärung im Internet führen. Solche QR-Codes sind in der Praxis immer häufiger anzutreffen (z.B. bei der Ausschilderung von Videoüberwachung), rechtlich erforderlich sind sie aber nicht.
52 Nicht nur zulässig, sondern i.d.R. auch an den Bedürfnissen betroffener Personen ausgerichtet, ist eine mehrstufige Information, bei der auf einer ersten Stufe nur eine initiale Übersicht zur Datenbearbeitung gegeben wird und die volle Information erst auf einer weiteren Stufe erfolgt.
53 Eine Versionierung oder Datierung der Datenschutzerklärung kann sinnvoll sein, ist aber gesetzlich ebenso wenig verlangt wie das in der Praxis z.T. anzutreffende Archivieren und Zugänglichmachen früherer Versionen.
D. Kommunikation
54 Die Bereitstellung der erforderlichen Informationen genügt i.d.R. und es ist keine aktive Kommunikation an betroffene Personen erforderlich. Auch die in der Praxis z.T. anzutreffenden Hinweise auf die Datenschutzerklärung in Formularen, in E-Mail-Signaturen, auf Briefpapier sowie in Telefongesprächen und ähnlichen Kommunikationen sind nach der hier vertretenen Auffassung nicht erforderlich; selbst in Verträgen scheint ein ausdrücklicher Verweis auf die Datenschutzerklärung häufig verzichtbar. Bei Videoüberwachung genügt i.d.R. ein bei Betreten der Verkaufsfläche gut sichtbares Piktogramm zur Herstellung der erforderlichen Grundtransparenz, sofern der Betreiber nach den Umständen erkennbar ist.
55 Eine aktive Kommunikation an betroffene Personen ist nur dann erforderlich, wenn die betroffene Person nicht weiss (und auch nicht wissen muss), dass das betreffende Unternehmen Daten über sie bearbeitet.
56 Aus den gleichen Überlegungen müssen in Dauerschuldverhältnissen Änderungen der Datenschutzerklärung an Bestandskunden kommuniziert werden, jedenfalls wenn Bearbeitungszwecke erweitert werden und die Änderung deshalb einer erneuten Beschaffung gleichkommt. Ansonsten hätten Betroffene gar keinen Anhaltspunkt, dass die Datenschutzerklärung geändert haben könnte und es deshalb angezeigt sein könnte, die Webseite zu besuchen. In der Praxis erfolgt eine solche Information meist per E-Mail-Versand oder über das Ausspielen von Pop-up Banners in einem Onlineshop oder beim Login in ein Kundenkonto. Auch ein Hinweis in einem Rechnungsversand ist denkbar.
V. Praxishinweise
A. Vorgehen und Hilfsmittel
57 Die Erstellung von Datenschutzhinweisen sollte in enger Zusammenarbeit mit den Business- und Fachverantwortlichen der Bereiche erfolgen, die die Datenbearbeitungen durchführen, da diese Funktionen am besten Bescheid wissen, welche Daten wie für welche Zwecke genutzt werden. Häufig sind relevante Wissensträger in Unternehmensbereichen verortet, die für datenintensive Bearbeitungen verantwortlich sind, so z.B. Marketingabteilungen, Data Analytics und HR-Bereiche. Bewährt hat sich in der Praxis ein partizipatives, Workshop-basiertes Vorgehen unter Einbindung dieser Wissensträger. Möglich ist aber auch die Informationserhebung über strukturierte Fragebögen oder Interviews.
58 Auch das Bearbeitungsverzeichnis gem. Art. 12 DSG bzw. Art. 30 DSGVO gibt einen ersten Überblick über Bearbeitungsvorgänge und bietet häufig eine gute Basis für die Identifizierung der relevanten Datenbearbeitungen. Des Weiteren enthält das Bearbeitungsverzeichnis in den meisten Fällen Informationen, die zur Aufbereitung der Pflichtangaben verwendet werden können, wie z.B. Angaben zu den bearbeiteten Datenarten, dem Bearbeitungszweck und den (Kategorien von) Empfängern.
59 In der Praxis gibt es verschiedene Hilfsmittel, die Unternehmen bei der Erstellung von Datenschutzhinweisen unterstützen, darunter Muster-Datenschutzerklärungen, die als Ausgangspunkt genutzt und für eigene Bedürfnisse angepasst werden können. Zu nennen sind bspw. folgende, verbreitet zum Einsatz kommende Angebote:
Vorlage für eine allgemeine Datenschutzerklärung, die zahlreiche Standard-Bearbeitungstätigkeiten abdeckt und sowohl am Schweizer DSG als auch an der DSGVO ausgerichtet ist, erarbeitet von zwei renommierten Schweizer Anwaltskanzleien und abrufbar unter https://dsat.ch/download/ (kostenfrei);
Datenschutz-Generator von Datenschutzpartner zur Erstellung einer Datenschutzerklärung für Webseiten mit Musterformulierungen für zahlreiche gängige Webtools, abrufbar unter https://www.datenschutzpartner.ch/angebot-datenschutz-generator/ (kostenpflichtig);
Muster-Datenschutzerklärung des deutschen Universitätsprofessors Thomas Hoeren für Betreiber von Webseiten, abrufbar unter https://www.itm.nrw/wp-content/uploads/Musterdatenschutzerkaerung-nach-der-DSGVO_Stand_September_2022-1.docx (kostenfrei).
60 Die inhaltliche Freigabe der Datenschutzerklärung sollte nach gängigem Governance-Verständnis durch die für die Datenbearbeitungen zuständigen Leitungsgremien erfolgen, z.B. die Geschäftsleitung. Die Rolle der Datenschutzbeauftragten bzw. des Datenschutzberaters sowie anderer Rechts- und Compliance-Funktionen sollte – auch mit Blick auf die Sanktionsordnung
B. Aufbereitung und Gestaltung
61 Die Ausführungsverordnung zum Datenschutzgesetz verlangt eine präzise und verständliche Information (Art. 13 DSV). Das sind aber kaum justiziable (und auch nicht strafbewehrte) Kriterien und in der Praxis dominieren nach wie vor juristisch anmutende Fliesstexte.
62 Dabei hilft auch nicht, dass das Datenschutzrecht Anreize setzt, Datenschutzhinweise in erster Linie als defensives Instrument zu sehen und nicht als kundenzentrierte Kommunikation: Zum einen sind Unternehmen angesichts verschärfter aufsichtsrechtlicher Mittel
63 Trotz dieser unglücklichen Anreizstruktur gibt es in der Praxis verschiedene vielversprechende Ansätze, um Datenschutzhinweise leserfreundlicher zu gestalten und stärker an Bedürfnissen von Adressatinnen auszurichten:
Mehrstufige Information («layered approach»), bei der zunächst relevante Hauptaspekte der Datenbearbeitung übersichtlich dargestellt werden und detaillierte Informationen erst auf einer weiteren Ebene folgen. Zu einer mehrstufigen Information zählen auch Aufklapptexte und greifbare Beispiele zur Illustration der teils eher abstrakten Ausführungen.
Einsatz von Datenschutzpiktogrammen, die es betroffenen Personen erlauben, sich schnell einen ersten Überblick über die Art und Weise der Bearbeitung ihrer Daten zu verschaffen.
Botschaft DSG, S. 7050. Die im Entwurf der Datenschutzverordnung noch enthaltene Vorgabe, wonach Piktogramme maschinenlesbar sein müssen, wurde nach Kritik in der Vernehmlassung fallengelassen. Das Erfordernis der Maschinenlesbarkeit hätte für Unternehmen die Verwendung von Piktogrammen unnötigerweise erschwert. Siehe zu Piktogrammen auch Art. 12 Abs. 7 DSGVO und Erwägungsgrund 60. Ein Beispiel sind die vom Verein Privacy Icons herausgegebenen, standardisierten Piktogramme, die bestimmte für betroffene Personen typischerweise relevante Aspekte auf einen Blick erkennbar machen und bereits von verschiedenen prominenten Schweizer Unternehmen eingesetzt werden.Privacy Icons, abrufbar unter www.privacy-icons.ch, besucht am 25.5.2023. S. zu den Privacy Icons Thouvenin/Glatthaar/Hotz/Ettlinger/Tschudin, N. 3 ff.; Maric, N. 20 ff.
Datenschutz-Dashboards, die einen leichten Einstieg bieten und es betroffenen Personen ermöglichen, selbst Schwerpunkte zu setzen und zielgerichtet Informationen über die wesentlichen Punkte zu erhalten.
Erklärvideos, die betroffene Personen ins Thema einführen und ihnen die wichtigsten Inhalte leicht verständlich näher bringen.
Gamification Elemente, die betroffenen Personen zentrale Aspekte der Datenbearbeitung auf spielerische Weise vermitteln.
64 Solche «Legal Design» Ansätze können die Zugänglichkeit und Leserfreundlichkeit von Datenschutzhinweisen massgeblich erhöhen und sind deshalb im Sinne einer transparenten Datenbearbeitung zu begrüssen.
VI. Durchsetzung und Rechtsfolgen
A. Verwaltungsrecht
65 Wurden betroffene Personen nicht ordnungsgemäss über die Datenbearbeitung informiert, kann der EDÖB eine Untersuchung eröffnen und die Vornahme einer rechtskonformen Information als Verwaltungsmassnahme anordnen (Art. 51 Abs. 3 lit. c DSG). Der EDÖB kann dabei von Amtes wegen oder auf Anzeige hin tätig werden.
66 Auch die Untersagung der Datenbearbeitung oder die Anordnung einer Anpassung durch den EDÖB ist grundsätzlich denkbar (Art. 51 Abs. 1 DSG). Allein gestützt auf eine nicht ordnungsgemäss vorgenommene Information dürfte eine derart einschneidende Massnahme in den meisten Fällen aber nicht verhältnismässig sein.
B. Strafrecht
67 Die Informationspflicht gehört zu den strafbewehrten Pflichten des DSG. Wer die Information nach Art. 19 DSG unterlässt oder falsche oder unvollständige Angaben macht, kann mit Busse bis zu CHF 250'000 belangt werden (Art. 60 Abs. 1 DSG).
68 Teilweise wird in Frage gestellt, ob Art. 19 DSG dem strafrechtlichen Bestimmtheitsgebot von Art. 1 StGB genügt und eine Verletzung der Informationspflicht deshalb überhaupt strafrechtlich sanktioniert werden darf.
69 Strafbar ist grundsätzlich nicht das Unternehmen, sondern die für die Verletzung verantwortliche(n) natürliche(n) Person(en) (Art. 64 Abs. 1 DSG i.V.m. Art. 6 VStrR). Das können Leitungspersonen sein, die eine gesetzliche Pflicht zur Sicherstellung der Datenschutz-Compliance haben, oder Personen, die im Unternehmen operative Prozessverantwortung haben und zu Fragen der Informationspflicht entscheidungsbefugt sind.
70 Bestraft wird nur vorsätzliches Handeln. Dazu zählt auch Eventualvorsatz, also die billigende Inkaufnahme. Die fahrlässige Tatbegehung bleibt hingegen straflos. Wer eine Angabe vergisst, etwas unpräzise formuliert oder etwas bewusst weglässt, weil es seiner Ansicht nach nicht zu den Pflichtangaben gehört, handelt nicht vorsätzlich und bleibt straffrei.
71 Art. 60 Abs. 1 DSG ist ein Antragsdelikt. Eine Verletzung der Informationspflicht wird somit nur auf Antrag, nicht aber von Amtes wegen verfolgt. Strafantrag kann jede betroffene Person, nicht aber der EDÖB stellen.
C. Zivilrecht
72 Die Verletzung von Art. 19 DSG als öffentlich-rechtliche Vorschrift bewirkt für sich gesehen keine Persönlichkeitsverletzung und kann folglich von betroffenen Personen nicht auf dem Klageweg geltend gemacht werden.
73 Betroffene Personen können ggf. aber eine Verletzung des allgemeinen Transparenzgebots als Bearbeitungsgrundsatz geltend machen und gestützt darauf beim zuständigen Zivilgericht Klage erheben.
D. DSGVO
74 Im Geltungsbereich der DSGVO können Verstösse gegen die Informationspflicht mit Geldbusse bis zu EUR 20 Mio. oder 4% des gesamten weltweiten Jahresumsatzes geahndet werden (Art. 83 Abs. 5 DSGVO).
75 Eine Verletzung der Informationspflicht kann unter der DSGVO ggf. auch die für die Bearbeitung erforderliche Rechtsgrundlage entfallen lassen und die Datenbearbeitung somit rechtswidrig werden lassen.
VII. Normkritik
76 Die Informationspflicht ist Ausdruck eines auf informationeller Selbstbestimmung beruhenden Grundverständnisses des Datenschutzrechts. Grundidee ist, dass betroffene Personen sich über eine Datenbearbeitung informieren und darauf basierend einen informierten Entscheid treffen, ob sie mit der entsprechenden Bearbeitung ihrer Daten einverstanden sind und ob sie eines der ihnen eingeräumten Datenschutzrechte ausüben möchten.
77 In der heutigen digitalisierten und datenbasierten Welt werden zunehmend die Grenzen dieses Grundverständnisses sichtbar.
78 Es stellt sich deshalb die Frage, ob die Informationspflicht das ihr zugedachte Ziel überhaupt noch erreicht und die mit ihr verbundenen Aufwände rechtfertigt.
Literaturverzeichnis
Article 29 Working Party, Guidelines on transparency under Regulation 2016/679, WP260 rev.01, adopted on 29 November 2017, as last revised and adopted on 11 April 2018, abrufbar unter https://ec.europa.eu/newsroom/article29/items/622227/en, besucht am 25.5.2023.
Bäcker Matthias, Kommentierung zu Art. 13 und 14 DSGVO, in: Kühling Jürgen/Buchner Benedikt (Hrsg.), Datenschutz-Grundverordnung, 3. Aufl., München 2020.
Bergt Matthias, Kommentierung zu Art. 83 DSGVO, in: Kühling Jürgen/Buchner Benedikt (Hrsg.), Datenschutz-Grundverordnung, 3. Aufl., München 2020.
Bieri Adrian/Powell Julian, Informationspflicht nach dem totalrevidierten Datenschutzgesetz, AJP 2020, S. 1533 ff.
Bühlmann Lukas/Lagler Marion, Informationspflichten und Auskunftsrecht nach dem neuen Datenschutzrecht, SZW 2021, S. 16 ff.
Bühlmann Lukas/Schüepp Michael, Information, Einwilligung und weitere Brennpunkte im (neuen) Schweizer Datenschutzrecht, in: Jusletter 15. März 2021.
Ettlinger Claudius, Die Informationspflicht gemäss neuem Datenschutzgesetz, in Jusletter IT 16. Dezember 2021.
Franck Lorenz, Kommentierung zu Art. 13 DSGVO, in: Gola Peter/Heckmann Dirk (Hrsg.), Datenschutz-Grundverordnung – Bundesdatenschutzgesetz, 3. Aufl., München 2022.
Kohlmeier Astrid/Klemola Meera, Das Legal Design Buch, Hürth 2021.
Maric Antonio, Legal Design im Kontext von Datenschutzerklärungen, in: Jusletter IT 20. Juli 2023.
Paal Boris/Hennemann Moritz, Kommentierung zu Art. 13 DSGVO, in: Paal Boris/Pauly Daniel (Hrsg.), Datenschutz-Grundverordnung – Bundesdatenschutzgesetz, 3. Aufl., München 2021.
Pärli Kurt/Flück Nathalie, Kommentierung zu Art. 19 DSG, in: Baeriswyl Bruno/Pärli Kurt/Blonski Dominika (Hrsg.), Stämpflis Handkommentar zum DSG, 2. Aufl., Bern 2023.
Rampini Corrado/Fuchs Philippe, Kommentierung zu Art. 14 DSG, in: Maurer-Lambrou Urs/Blechta Gabor P. (Hrsg.), Basler Kommentar zum Datenschutzgesetz/Öffentlichkeitsgesetz, 3. Aufl., Basel 2014.
Rosenthal David, Das neue Datenschutzgesetz, in: Jusletter 16. November 2020.
Rosenthal David/Gubler Seraina, Die Strafbestimmungen des neuen DSG, SZW 2021, S. 52 ff.
Schweikard Christine/Vasella David, Datenschutzerklärungen und AGB, digma 2020, S. 88 ff.
Steiner Thomas, Zwischen Autonomie und Angleichung: Eine Analyse zur Anwendung des neuen DSG im Lichte der DSGVO, in: Widmer Michael (Hrsg.), Datenschutz: Rechtliche Schnittstellen, Zürich 2023, S. 51 ff.
Thouvenin Florent, Datenschutz auf der Intensivstation, digma 2019, S. 206 ff. (zit. Intensivstation).
Thouvenin Florent, Informationelle Selbstbestimmung: Intuition, Illusion, Implosion (noch nicht erschienen) (zit. Informationelle Selbstbestimmung).
Thouvenin Florent/Glatthaar Matthias/Hotz Juliette/Ettlinger Claudius/Tschudin Michael, Privacy Icons: Transparenz auf einen Blick, in: Jusletter 30. November 2020.
Vasella David, Zu den Anforderungen an die Erfüllung der Informationspflicht nach dem revDSG, datenrecht.ch, 28. Oktober 2022, abrufbar unter https://datenrecht.ch/zu-den-anforderungen-an-die-erfuellung-der-informationspflicht-nach-dem-revdsg, besucht am 25.5.2023 (zit. Informationspflicht).
Materialienverzeichnis
Botschaft zum Bundesgesetz über die Totalrevision des Bundesgesetzes über den Datenschutz und die Änderung weiterer Erlasse zum Datenschutz vom 15.7.2017, BBl 2017 S. 6941 ff., abrufbar unter https://www.fedlex.admin.ch/eli/fga/2017/2057/de, besucht am 25.5.2023 (zit. Botschaft DSG).