Eine Kommentierung von Caroline Gaul
Herausgegeben von Thomas Steiner / Anne-Sophie Morand / Daniel Hürlimann
Art. 6 Grundsätze
[...]
3 Personendaten dürfen nur zu einem bestimmten und für die betroffene Person erkennbaren Zweck beschafft werden; sie dürfen nur so bearbeitet werden, dass es mit diesem Zweck vereinbar ist.
4 Sie werden vernichtet oder anonymisiert, sobald sie zum Zweck der Bearbeitung nicht mehr erforderlich sind.
5 Wer Personendaten bearbeitet, muss sich über deren Richtigkeit vergewissern. Sie oder er muss alle angemessenen Massnahmen treffen, damit die Daten berichtigt, gelöscht oder vernichtet werden, die im Hinblick auf den Zweck ihrer Beschaffung oder Bearbeitung unrichtig oder unvollständig sind. Die Angemessenheit der Massnahmen hängt namentlich ab von der Art und dem Umfang der Bearbeitung sowie vom Risiko, das die Bearbeitung für die Persönlichkeit oder Grundrechte der betroffenen Personen mit sich bringt.
In Kürze
Die Bestimmungen der Art. 6 Abs. 3 DSG (Zweckbindung und Transparenz), Art. 6 Abs. 4 DSG (zeitliche Limitierung der Datenbearbeitung) und Art. 6 Abs. 5 DSG (Richtigkeit) gehören zu den so genannten Bearbeitungsgrundsätzen, den wichtigsten materiellen Grundsätzen des Datenschutzrechts. Sie sind wesentlich für die konkrete Ausgestaltung der Datenbearbeitung.
Ein Verstoss gegen die Bearbeitungsgrundsätze stellt eine Verletzung der Persönlichkeitsrechte der Betroffenen dar. Die Persönlichkeitsverletzung kann bei privaten Datenbearbeitern aber durch Einwilligung, ein überwiegendes privates oder öffentliches Interesse oder durch Gesetz gerechtfertigt sein. Dieser wesentliche Unterschied zur DSGVO der EU, bei der jede Datenbearbeitung einer konkreten rechtlichen Grundlage bedarf, wurde auch im neuen DSG aufrechterhalten.
Eine Verletzung der hier behandelten Bearbeitungsgrundsätze ist - ebenfalls anders als unter der DSGVO der EU - nach DSG nicht bussgeldbewehrt, kann aber weitreichende Folgen nach sich ziehen, insbesondere vor dem Hintergrund der mit dem neuen DSG erweiterten Befugnisse des Eidgenössischen Datenschutzbeauftragten (EDÖB). Dieser kann verfügen, dass die Datenbearbeitung ganz oder teilweise angepasst, unterbrochen oder sogar abgebrochen wird und die Personendaten ganz oder teilweise vernichtet werden. Darüber hinaus sollten mögliche (zivilrechtliche) Rechtsansprüche der Betroffenen und insbesondere auch die Folgen eines Vertrauensverlusts und Reputationsschadens berücksichtigt werden.
I. Allgemeines
A. Vorbemerkungen
1Die Bestimmungen der Art. 6 Abs. 3 DSG (Zweckbindung und Transparenz), Art. 6 Abs. 4 DSG (zeitliche Limitierung der Datenbearbeitung) und Art. 6 Abs. 5 DSG (Richtigkeit) gehören zusammen mit Art. 6 As. 1 DSG (Rechtmässigkeit), Art. 6 Abs. 2 (Verhältnismässigkeit und Treu und Glauben), und Art. 8 DSG (Datensicherheit) zu den so genannten Bearbeitungsgrundsätzen, den wichtigsten materiellen Grundsätzen des Datenschutzes und den eigentlichen Leitideen des Gesetzes.
2Die Bearbeitungsgrundsätze des DSG gelten für private Datenbearbeiter ebenso wie für Organe des Bundes. Ein Verstoss gegen die Bearbeitungsgrundsätze stellt eine Verletzung der Persönlichkeit dar. Bei privaten Datenbearbeitern ist aber nicht jede Verletzung der Persönlichkeit widerrechtlich. Vielmehr kann sie durch Einwilligung der betroffenen Person, durch überwiegendes privates oder öffentliches Interesse oder durch Gesetz gerechtfertigt sein (Art. 31 Abs. 1 DSG). Dieser wesentliche Unterschied zur DSGVO der EU, bei der jede Datenbearbeitung eines Rechtfertigungsgrundes bedarf (Verbot mit Erlaubnisborbehalt), wurde im Zuge der Revision des DSG aufrechterhalten. Damit wird nach Schweizer Datenschutzrecht bei privaten Datenbearbeitern auch weiterhin nur dann eine Rechtsgrundlage verlangt, wenn überhaupt eine Persönlichkeitsverletzung vorliegt.
3Die Grundsätze der Datenbearbeitung gelten für den gesamten Lebenszyklus der Datenbearbeitung, unabhängig von den angewandten Mitteln und Verfahren und sind damit technologieneutral, d.h. ohne Bezugnahme auf konkrete technische oder kommerzielle Anwendungen ausgestaltet.
B. Hintergrund und Normzweck
4Der schweizerische Gesetzgeber betont von jeher, dass das Schweizer Datenschutzgesetz nicht den Zweck hat, die Entwicklungsmöglichkeiten im Bereich der Informationstechnologien zu verhindern oder einzuschränken.
C. Adressat der Pflichten
5Die sich aus den Bearbeitungsgrundsätzen ergebenden Pflichten treffen in erster Linie den Verantwortlichen (Art. 5 lit. j DSG). Der Auftragsbearbeiter bearbeitet Personendaten lediglich im Auftrag des Verantwortlichen (Art. 5 lit. k DSG) und kann sich dabei auf dieselben Rechtfertigungsgründe stützen wie der Verantwortliche (Art. 9 Abs. 4 DSG).
6 Der Auftragsbearbeiter ist als solcher nicht ausdrücklich als Adressat der Bearbeitungsgrundsätze von Art. 6 DSG aufgeführt, anders ist dies der Fall beim (strafbewehrten) Bearbeitungsgrundsatz der Datensicherheit (Art. 8 DSG, Art. 61 lit. c DSG) und bei weiteren Pflichten aus dem DSG, bspw. Art. 12 Abs. 1 DSG, Art. 17 Abs. 2 DSG und beim 3. Kapitel des DSG, welche jeweils explizit den Verantwortlichen und/oder den Auftragsbearbeiter in die Pflicht nehmen.
D. Rechtliche und wirtschaftliche Folgen einer Verletzung
7 Die Bestimmungen der Art. 6 Abs. 3 DSG (Zweckbindung und Transparenz), Art. 6 Abs. 4 DSG (zeitliche Limitierung der Datenbearbeitung) und Art. 6 Abs. 5 DSG (Richtigkeit) sind nicht in dem abschliessenden Katalog der strafbaren Handlungen (Art 60 ff. DSG) aufgeführt. Ein Verstoss gegen diese Bearbeitungsgrundsätze ist für sich genommen selbst dann nicht nach dem DSG strafbar, wenn er nicht gerechtfertigt ist. Trotz umfassender Überarbeitung der strafrechtlichen Bestimmungen wurde im Zuge der Revision des DSG daran nichts geändert.
8 Von ganz erheblicher Bedeutung sind die sich aus dem neuen Datenschutzgesetz ergebenden weiteren Befugnisse des EDÖB, welche bei einer Verletzung von Datenschutzvorschriften unter anderem bis hin zu einem Verbot der Bearbeitungstätigkeiten oder einer Verfügung zur Vernichtung der Daten führen können. Der EDÖB hat in diesem Zusammenhang in seinem Tätigkeitsbericht 2022/2023 bereits angekündigt, seine aufsichtsrechtliche Tätigkeit zu intensivieren und die Anzahl der Untersuchungen zu erhöhen.
9 Zudem kann eine Verletzung Rechtsansprüche nach dem DSG (vor allem nach Art. 32 DSG und Art. 41 DSG) sowie zivilrechtliche Ansprüche wegen Verletzung der Persönlichkeit auslösen (Art. 32 Abs. 2 DSG).
10 Abgesehen von den potenziellen rechtlichen Folgen einer Verletzung der Bearbeitungsgrundsätze sind in der Praxis vor allem der mögliche Vertrauensverlust und Reputationsschaden zu berücksichtigen, der mit einer Verletzung der Bearbeitungsgrundsätze einher geht und sich langfristig negativ auf die Geschäftsentwicklung auswirken kann.
E. Entstehungsgeschichte der einzelnen Bearbeitungsgrundsätze
1. Grundsatz der Zweckbindung und Transparenz, Art. 6 Abs. 3 DSG
11 Art. 6 Abs. 3 DSG verbindet die Grundsätze der Zweckbindung und der Erkennbarkeit, welche im aDSG in zwei getrennten Absätzen (Art. 4 Abs. 3 aDSG und Art. 4 Abs. 4 aDSG) enthalten waren. Die neue Formulierung soll dem Wortlaut des Art. 5 Abs. 4 lit. b des Übereinkommens 108 plus
2. Zeitliche Limitierung der Datenbearbeitung, Art. 6 Abs. 4 DSG
12 Mit Art. 6 Abs. 4 DSG wurde neu ausdrücklich die Pflicht aufgenommen, Personendaten zu vernichten oder zu anonymisieren, sobald sie zum Zweck der Bearbeitung nicht mehr erforderlich sind. Dies entspricht den Anforderungen des Übereinkommens 108 plus
3. Grundsatz der Richtigkeit, Art. 6 Abs. 5 DSG
13 Während der Grundsatz der Richtigkeit der Daten bislang in einem eigenständigen Artikel (Art. 5 aDSG) hervorgehoben war, wurde er neu als Absatz 5 in Artikel 6 DSG integriert, um die wichtigsten Datenschutzgrundsätze in einem Artikel zu vereinen.
II. Gegenstand der Bestimmungen
A. Grundsatz der Zweckbindung und Transparenz, Art. 6 Abs. 3 DSG
1. Anforderungen
14 Nach dem Grundsatz der Zweckbindung und Transparenz dürfen Personendaten nur zu einem bestimmten und für die betroffene Person erkennbaren Zweck beschafft werden. Sie dürfen nur so bearbeitet werden, dass es mit diesem Zweck vereinbar ist, Art. 6 Abs. 3 DSG.
15 Zweckidentität ist nach dem neuen Wortlaut des Gesetzes explizit nicht mehr erforderlich. Die Bearbeitung muss lediglich (fortlaufend) mit dem anfänglichen Zweck vereinbar sein. Eine Weiterverarbeitung zu anderen Zwecken ist nur dann zulässig, wenn sie nicht unerwartet ist und nicht als unangebracht oder beanstandbar erachtet werden kann.
16 Den Grundsatz der Zweckbindung hatte das Bundesgericht schon vor dem Inkrafttreten des neuen DSG, mit Urteil vom 18. März 2021,
17 Die weitere Voraussetzung der Erkennbarkeit muss sowohl hinsichtlich der Beschaffung der Personendaten als auch hinsichtlich des Zwecks ihrer Bearbeitung gegeben sein.
18 Die Anforderungen an die Erkennbarkeit sind im Einzelfall unter Berücksichtigung der Grundsätze der Verhältnismässigkeit sowie nach Treu und Glauben zu bestimmen, Art. 6 Abs. 2 DSG. Vage, nicht definierte oder unpräzise Bearbeitungszwecke genügen grundsätzlich nicht, wobei diese Eigenschaft wiederum nach dem Umständen beurteilt werden und dabei ein Ausgleich zwischen den Interessen der betroffenen Personen und denen des Verantwortlichen bzw. des Auftragsbearbeiters und der Gesellschaft erfolgen muss.
19 Das Erfordernis der Erkennbarkeit hängt eng zusammen mit der Informationspflicht nach Art. 19 ff. DSG. Sie ist damit aber nicht zu verwechseln. Während es sich bei dem Erfordernis der Erkennbarkeit um einen Bearbeitungsgrundsatz handelt, bei dem ein Verstoss allenfalls gerechtfertigt sein kann (Art. 31 DSG), ist dies bei Verletzung der Informationspflicht nicht der Fall.
2. Beispiele
20 Eine Weiterverarbeitung von Adressen zum Werbeversand verstösst gegen den Grundsatz der Zweckbindung und Transparenz, wenn die Adressen ursprünglich in einem ganz anderen Zusammenhang, z.B. im Rahmen einer politischen Kampagne gesammelt wurden. Unzulässig ist auch die Analyse von Personendaten in Bezug auf Konsumgewohnheiten (zu anderen Zwecken als der Betrugsbekämpfung) auf Basis von Zahlungen mittels Kredit- oder Kundenkarte ohne Einwilligung der betroffenen Person.
21 Datenschutzrechtlich zulässig hingegen ist die Verwendung einer Adresse zu Werbezwecken, wenn die betroffene Person ihre Adresse im Hinblick auf den Erhalt einer Kundenkarte oder für eine Bestellung (online oder nicht) im Rahmen einer anfänglich erkennbaren Zweckbestimmung übermittelt hat.
22 Bei der Versendung von Werbe-Newslettern müssen darüber hinaus, die sich aus dem Gesetz gegen den unlauteren Wettbewerb ergebenden Voraussetzungen, namentlich Art. 3 Abs. 1 lit. o UWG («Spam-Artikel») erfüllt werden. Ein Verstoss dagegen kann zu strafrechtlichen Sanktionen führen. Beim Versand von Newslettern ins Ausland sind zudem das jeweilige nationale Recht und die dortigen Usancen zu beachten, aus denen sich noch strengere Anforderungen ergeben können.
23 Eine Datenbearbeitung «auf Vorrat» im Sinne einer Datenbearbeitung ohne Zweck, verstösst sowohl gegen den Grundsatz der Verhältnismässigkeit als auch gegen den Grundsatz der Zweckbindung und Transparenz und ist daher rechtswidrig.
24 Bei der Weitergabe von Daten an Dritte ist besonders zu berücksichtigen, ob diese Bekanntgabe noch vom ursprünglichen Zweck umfasst ist. Das gilt gerade auch für den Austausch von Daten innerhalb von Konzernunternehmen. Mangels eines umfassenden Konzernprivilegs
25 Vor besonderen Herausforderungen in Bezug auf die Zweckbindung und Transparenz stehen Big Data-Anwendungen
26 Big Data ist auch die wichtigste Grundlage für künstliche Intelligenz (KI), welche damit ebenfalls in ein Spannungsverhältnis mit dem Grundsatz der Zweckbindung und Transparenz rückt. Die Zulässigkeit entsprechender Anwendungen ist im Einzelfall zu prüfen.
Examples of purposes considered to be explicit and specified:
Development of a large language model (LLM) able to answer questions, generate text according to context (emails, letters, reports, including computer code), perform translations, summaries and corrections of text, perform text classification, analysis of feelings, etc.;
Development of a voice recognition model capable of identifying a speaker, his or her language, age, gender, etc.;
Development of a computer vision model capable of detecting different objects such as vehicles (cars, trucks, scooters, etc.), pedestrians, street furniture (dumpsters, public benches, bicycle shelters, etc.), road signs, tricolor lights, road signs, etc.
Conversely, the purpose would not be considered as specified enough if it only referred to the type of AI system, without mentioning the technically feasible functionalities and capabilities.
Examples of purposes that are not considered explicit and specified:
Development of a generative AI model (possible capabilities are not defined);
Development and improvement of an AI system (neither the type of model nor the possible capabilities are defined);
Development of a model to identify a person’s age (the type is not defined).
Die CNIL empfiehlt aus Gründen der Transparenz in diesem Fall darüber hinaus, dass der Verantwortliche in die Lage sein soll, im Vorfeld die vorhersehbaren Fähigkeiten des KI-Systems zu ermitteln, die die grössten Risiken bergen, der Zweck sich auf die Funktionalitäten bezieht, die von vornherein ausgeschlossen sind und der Zweck so weit wie möglich die Bedingungen für die Nutzung des KI-Systems festlegt.
Gerade auch hinsichtlich Transparenzanforderungen ist zudem der gegebenenfalls auch für Schweizer Unternehmen anwendbare AI Act
27 Das Potential der Wiederverwendung von Daten für sekundäre Nutzungszwecke wurde auch vom Schweizer Gesetzgeber erkannt. Der Nationalrat hat als Zweitrat am 12. Juni 2023 eine Motion zur Schaffung eines Rahmengesetzes für die Sekundärnutzung von Daten angenommen. Damit wird der Bundesrat zur Ausarbeitung eines Gesetzes beauftragt, welches das Spannungsfeld zwischen Datenschutz und Datennutzung auflösen und vertrauenswürdige Datenräume schaffen soll.
28 Auf europäischer Ebene sind zudem insbesondere der Data Governance Act
3. Empfehlungen zur Umsetzung
29 Die Zwecke der Datenbearbeitung müssen festgelegt, dauerhaft eingehalten und transparent gemacht werden. Letzteres lässt sich in der Praxis in der Regel im Rahmen der ohnehin erforderlichen Datenschutzerklärung, je nach Fallgestaltung zumindest teilweise über Allgemeine Geschäftsbedingungen oder im Wege individueller Kommunikation/Hinweise erreichen. Dabei ist darauf zu achten, dass vage, nicht definierte oder unpräzise Bearbeitungszwecke nicht ausreichend sind.
B. Zeitliche Limitierung der Datenbearbeitung, Art. 6 Abs. 4 DSG
1. Anforderungen
30 Nach dem Grundsatz der zeitlichen Limitierung der Datenbearbeitung müssen Personendaten vernichtet oder anonymisiert werden, sobald sie zum Zweck der Bearbeitung nicht mehr erforderlich sind.
31 Gleichwohl kann eine weitere Datenbearbeitung gerechtfertigt sein, Art. 31 Abs. 1 DSG. Das ist insbesondere dann der Fall, wenn Aufbewahrungspflichten, beispielsweise die zehnjährige Aufbewahrungspflicht für Geschäftsbücher, Buchungsbelege, den Geschäfts- und Revisionsbericht
32 Vernichten bedeutet im eigentlichen Sinne die unwiederbringliche Zerstörung bzw. Entfernung der Daten.
33 Vernichten erfordert danach mehr als Löschen.
34 Dem Grundsatz der zeitlichen Limitierung kann auch durch Anonymisierung Genüge getan werden. Unter Anonymisierung ist jede Massnahme zu verstehen, die bewirkt, dass die Identität der betroffenen Personen nicht mehr oder nur noch mit ausserordentlichem Aufwand festgestellt werden kann.
2. Empfehlungen zur Umsetzung
35 Die Pflicht zur Vernichtung oder Anonymisierung von Daten kann die Verantwortlichen in der Praxis vor grosse Herausforderungen stellen. In einem ersten Schritt empfiehlt es sich, eine Übersicht über die üblichen Datenbearbeitungen in den jeweiligen Geschäftsbereichen zu gewinnen. Sodann sollten die jeweiligen Aufbewahrungs- und Löschfristen festgelegt werden. Praktischerweise erfolgt dies in übersichtlichen Listen, welche gleichzeitig als interne Richtlinien ausgestaltet sind («Aufbewahrungsrichtlinie»/«Data Retention Policy»).
36 Hilfreich für die Umsetzung ist es, wenn die zur Datenverarbeitung verwendete Software bereits entsprechende Funktionalitäten zur automatisierten Löschung anbietet, wobei zum einen darauf geachtet werden sollte, dass diese in technischer Hinsicht den datenschutzrechtlichen Anforderungen genügen, zum anderen, dass die Pflicht zur Löschung im Rahmen von Auftragsdatenbearbeitungsverträgen mit dem IT-Provider/Cloud-Anbieter auch vertraglich hinreichend abgedeckt wird.
C. Grundsatz der Richtigkeit, Art. 6 Abs. 5 DSG
1. Richtigkeit der Daten
a. Anforderungen
37 Personendaten sind richtig, wenn sie die Umstände und Tatsachen, bezogen auf die betroffene Person, sachgerecht wiedergeben. Sie müssen im Gesamtzusammenhang richtig sein, wobei der Zweck und die Art der Bearbeitung zu berücksichtigen sind.
38 Auch richtige Personendaten können im Gesamtzusammenhang und unter Berücksichtigung des Bearbeitungszwecks im datenschutzrechtlichen Sinne unrichtig sein, beispielsweise wenn eine Person in einer Datensammlung über die Kreditwürdigkeit als «Betriebene» gespeichert wird, obschon sie während Jahren ihre Rechnungen fristgerecht und korrekt bezahlt hat und es nur zu einer Betreibung gekommen ist, weil die Rechnung an eine falsche Adresse zugestellt worden ist.
39 Die Richtigkeit von Daten kann sich grundsätzlich nur auf Tatsachen beziehen, die auch objektiv festgestellt werden können. Werturteile sind subjektiv und lassen sich kaum als richtig oder falsch einordnen.
40 Vor besonderen Herausforderungen steht die Einhaltung des Grundsatzes der Datenrichtigkeit in Bezug auf KI-Systeme. Gerade bei KI-Systemen, bei denen die Trainingsdaten aus öffentlich zugänglichen Quellen, insbesondere dem Internet bezogen werden, lässt sich die Richtigkeit der Daten oft nicht wirksam überprüfen. Auch die Ergebnisse der Datenbearbeitungen von KI-Systemen («Output») können unrichtig sein. Einerseits kann wohl nicht davon ausgegangen werden, dass eine «statistische Richtigkeit» bei Datenbearbeitungen im Zusammenhang mit KI-Systemen grundsätzlich ausreichend ist.
41 Allgemein gilt: Das Bearbeiten unrichtiger Daten ist nicht per se eine Persönlichkeitsverletzung. Nur wenn die inkorrekten Angaben durch deren Bearbeitung zu einer Persönlichkeitsverletzung führen, sind sie zu berichtigen oder zu vernichten.
b. Beispiele
42 Im Fall der Bearbeitung von Verdachtsinformationen über die Begehung möglicher Straftaten steht Art. 6 Abs. 5 DSG einer Bearbeitung so lange nicht entgegen, als die Aussagekraft der entsprechenden Information bekannt ist und der Verdacht nicht als gesicherte Erkenntnis erscheint.
2. Vergewisserungspflicht, Berichtigungs- und Löschungspflicht
a. Anforderungen
43 Nach dem Grundsatz der Richtigkeit muss sich jede Person, die Personendaten bearbeitet, über deren Richtigkeit vergewissern, Art. 6 Abs. 5 S.1 DSG. Art. 6 Abs. 5 S. 2 DSG hält zudem neu explizit fest, dass alle angemessenen Massnahmen getroffen werden müssen, um unrichtige Daten zu berichtigen, löschen oder zu vernichten. Diese Pflicht vervollständigt die Vergewisserungspflicht, welche ansonsten keinen Sinn machen würde.
44 Die Durchführung von Massnahmen zur Vergewisserung kann auch delegiert werden, zum Beispiel an die Datenquelle oder einen Auftragsbearbeiter.
b. Beispiele
45 Basiert die Datenbearbeitung zu Marketingzwecken auf eigenen Angaben der betroffenen Person, hat der Verantwortliche sich nicht über die Richtigkeit zu vergewissern.
3. Empfehlungen zur Umsetzung
46 Die Anforderungen an die nach Art. 6 Abs. 5 DSG erforderlichen Massnahmen sollten im Verhältnis zu den Risiken und Folgen der konkreten Nutzung stehen. Beispiele zu treffender Massnahmen, welche gleichzeitig zentrale Aspekte im Rahmen der Technikgestaltung nach den Grundsätzen von Privacy by Design und Privacy by Default darstellen, können sein:
Überprüfung der Verlässlichkeit der Datenquelle
Bestimmung des Grads der Richtigkeit anhand der Gesamtumstände des Einzelfalles
Allenfalls erneute Überprüfungen der Daten in Abhängigkeit der Gesamtumstände und der verschiedenen Phasen der Datenbearbeitung
Reduzierung falscher Positivergebnisse / falscher Negativergebnisse, um z.B. Fehler bei automatisierter Entscheidungsfindung und beim Einsatz künstlicher Intelligenz zu reduzieren
Aktualisierung der Daten, falls es für den Zweck der Bearbeitung erforderlich ist
Implementierung von «self-service» Lösungen, bei denen die betroffenen Personen ihre Daten selbst überprüfen und falls nötig korrigieren können
Einführung von Plausibilitätskontrollen und Qualitätschecks
Implementierung automatischer Eingabeüberprüfungen, bspw. zur Vermeidung falscher Eingaben von Postleitzahlen
Drop-Down Menüs statt Freitexteingaben
47 Aus Sicht der Verantwortlichen empfiehlt es sich zudem, betroffenen Personen vertraglich die Pflicht aufzuerlegen, ihre Daten korrekt anzugeben und aktuell zu halten und eine diesbezügliche Haftung, soweit es möglich ist, auszuschliessen. Grundsätzlich sollte bei externen Datenquellen auch eine Verpflichtung zur Schadloshaltung in Betracht gezogen werden. Je nach Fallgestaltung kann dies im Rahmen eines Gesamtkonzepts, welches die Zuordnung von Daten und Verantwortlichkeiten sowie weitere diesbezügliche Rechte und Pflichten umfasst, berücksichtigt werden.
Literaturverzeichnis
Basler Kommentar zum Datenschutzgesetz und Öffentlichkeitsgesetz, 3. Auflage, Basel 2014 (zit. BSK DSG-Bearbeiter:in [3. Auflage]) sowie 4. Auflage, Basel 2024 (zit. BSK DSG-Bearbeiter:in).
Basler Kommentar zum Geldwäschereigesetz, Basel 2021 (zit. BSK GWG-Bearbeiter:in).
Fischer Joel A./Bornhauser Jonas, Elektronische Board Portale: Hosted in Switzerland als neuer rechtlicher Qualitätsstandard, GesKR 2016, S. 425-448.
Gola/Heckmann, Datenschutzgrundverordnung/Bundesdatenschutzgesetz, 3. Auflage 2022 (zit. Gola/Heckmann DS-GVO/BDSG-Bearbeiter:in).
Hartmann Damian, Text and Data Mining and Copyright in Switzerland and the European Union, sic! 2023, S. 157-167.
Lobsiger Adrian, Hohes Risiko – kein Killerargument gegen Vorhaben der digitalen Transformation, SJZ 119 (2023), S. 311-319.
Orell Füssli Kommentar zum Schweizerischen Datenschutzgesetz mit weiteren Erlassen, 2023 (zit. OFK DSG- Bearbeiter:in).
Rosenthal David, Controller oder Processor: Die datenschutzrechtliche Gretchenfrage, Jusletter vom 17.6.2019.
Rosenthal David, Löschen und doch nicht löschen, digma 2019, S. 190-197.
Rosenthal David/Jöhri Yvonne, Handkommentar zum Datenschutzgesetz sowie weiteren, ausgewählten Bestimmungen, Zürich 2008.
Rossnagel Alexander, Pseudonymisierung personenbezogener Daten, ZD 2018, 243 ff.; Stämpflis Handkommentar zum Datenschutzgesetz, 2. Auflage (zit. SHK DSG- Bearbeiter:in).
Specht/Mantz, Handbuch Europäisches und deutsches Datenschutzrecht, 2019 (zit. Specht/Mantz DSGVO/BDSG-Bearbeiter:in).
Materialienverzeichnis
Botschaft zum Bundesgesetz über den Datenschutz (DSG) vom 23.3.1988, BBl 1988 II 413 ff. (zit. Botschaft DSG 1988).
Botschaft zur Änderung des Bundesgesetzes über den Datenschutz (DSG) und zum Bundesbeschluss betreffend den Beitritt der Schweiz zum Zusatzprotokoll vom 8.11.2001 zum Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten bezüglich Aufsichtsbehörden und grenzüberschreitende Datenübermittlung vom 19.2.2003 BBl 2002 2101 ff. (zit. Botschaft DSG 2003).
Botschaft zum Bundesgesetz über die Totalrevision des Bundesgesetzes über den Datenschutz und die Änderung weiterer Erlasse zum Datenschutz vom 15.12.2017, BBl 2017 6941 ff. (zit. Botschaft DSG 2017).
Fussnoten
- Botschaft DSG 1988, S. 433 und 449.
- Botschaft DSG 2003, S. 2127; Botschaft DSG 2017, S. 6952; Gaspare T. Loderer, Kommentierung zu Art. 6 Abs. 6 und 7 DSG, in: Thomas Steiner/Anne-Sophie Morand/Daniel Hürlimann (Hrsg.), Onlinekommentar zum Bundesgesetz über den Datenschutz, N. 5 – Version: 8.1.2024: https://onlinekommentar.ch/de/kommentare/art6abs6und7 (besucht am 6.5.2024), DOI: 10.17176/20240127-143131-0; OFK DSG Steiner/Laux, Art. 30 DSG N. 12.
- Auch der EDÖB scheint seine bisherige Praxis, nach der er für jede Datenbearbeitung eine rechtliche Grundlage BSK DSG- Bühlmann/Reinle, Art. 6 DSG N. 7 mit Verweis z.B. auf EDÖB, Schlussbericht Microsoft Windows 10 vom 19.8.2016, 18) gemäss seinem neueren Tätigkeitsbericht aufgegeben zu haben (Tätigkeitsbericht 2023/2024 des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten, Seite 8).
- Ausnahmen finden sich in Art. 34 Abs. 4 und Art. 36 Abs. 2 DSG.
- Vgl. Esther Zysset, Kommentierung zu Art. 34 DSG, in: Thomas Steiner/Anne-Sophie Morand/Daniel Hürlimann (Hrsg.), Onlinekommentar zum Bundesgesetz über den Datenschutz – Version: 16.8.2023: https://onlinekommentar.ch/de/kommentare/dsg34 (besucht am 6.5.2024), DOI: 10.17176/20230816-145546-0, N 14 f.
- Botschaft DSG 1988, S. 449; BSK DSG-Maurer-Lambrou/Steiner, Art. 4 aDSG N. 4 [3. Auflage].
- BVGer, 10.4.2022, A-4467/2011, E.8.1.1; DSG-Rosenthal/Jöhri, Art. 4 N. 4.
- Vgl. hierzu die weite Definition des Begriffs „Bearbeiten“ in Art. 5 lit. d DSG; Lobsiger, S. 311; vgl. in diesem Zusammenhang auch die Klarstellung des EDÖBs, dass das geltende Datenschutzgesetz auf KI-gestützte Datenbearbeitungen direkt anwendbar ist, abrufbar unter: https://www.edoeb.admin.ch/de/09112023-geltendes-dsg-ist-auf-ki-anwendbar.
- Botschaft DSG 1988, S. 417.
- Botschaft DSG 2017, S. 6956.
- Lobsiger, S. 311 ff.
- Vgl. zu den Änderungen der strafrechtlichen Bestimmungen Botschaft DSG 2017, S. 7098. Der Bundesrat äusserte im Zusammenhang mit Ausführungen zum Umfang der Verfügungskompetenzen des EDÖB die allgemeine Auffassung, dass die Möglichkeit des Beauftragten, eine von einem Bundesorgan durchgeführte Datenbearbeitung zu untersagen oder auszusetzen, sowie die Stärkung der strafrechtlichen Bestimmungen des DSG wirksam genug seien (Botschaft DSG 2017, S. 6966).
- Z.B. ein Urkundendelikt (Art. 251 StGB) oder ein strafbarer Verstoss gegen das Gesetz gegen den unlauteren Wettbewerb (vgl. Art. 23 ff. UWG).
- Tätigkeitsbericht 2022/2023 des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten, Seite 21.
- Protokoll zur Änderung des Übereinkommens zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten, BBl 2020, S. 599 ff., welches am 11.10.2023 in Kraft treten wird.
- Botschaft DSG 2017, S. 7025.
- Vgl. Art. 5 Abs. 4 lit. e Übereinkommen 108 plus.
- Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27.4.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates, ABl L 119/89 vom 4.5.2016.
- Botschaft DSG 2017, S. 7026.
- Botschaft DSG 2017, S. 7026.
- Botschaft DSG 2017, S. 7025.
- BGE 147 II 227.
- Vgl. BGE 147 II 227 E. 6.4.2.
- Botschaft DSG 2017, S. 7025.
- Botschaft DSG 2017, S. 7025.
- Botschaft DSG 2017, S. 7025.
- BGE 138 II 346 E. 9.1 («Google Street View»).
- Es können aber Ausnahmen und Einschränkungen bzgl. der Informationspflicht bestehen (vgl. Art. 20 und 21 DSG).
- Botschaft DSG 2017, S. 7025.
- VPB 69.106 E. 5.6.
- BGE 136 II 508 E. 4 und 6.3 («Logistep»).
- Botschaft 2017, S. 7025.
- In Deutschland bspw. das so genannte Double-Opt-In- Verfahren, wobei die Nachweis-Anforderungen des BGH zum UWG (BGH I ZR 164/09 Urteil vom 10.2.2011) bei der Protokollierung zu berücksichtigen sind, vgl. auch aktualisierte Fassung der Orientierungshilfe der Datenschutzkonferenz (DSK) vom Februar 2022 zur Verarbeitung von personenbezogenen Daten für Zwecke der Direktwerbung unter Geltung der Datenschutz-Grundverordnung (DS-GVO).
- BGE 125 II 473, 476.
- BGE 144 I 126 E. 5, siehe hierzu aber die aktuelle Beschwerde der Digitalen Gesellschaft vor dem Europäischen Gerichtshof für Menschrechte (EGMR), deren Fortgang verfolgt werden sollte, vgl. hierzu die Webseite der Digitalen Gesellschaft: Vorratsdatenspeicherung in der Schweiz steht vor der Beurteilung durch den Europäischen Gerichtshof für Menschenrechte - Digitale Gesellschaft (digitale-gesellschaft.ch).
- BGE 133 I 77.
- BGE 147 I 346, 354 E. 5.5.3.
- Vgl. aber das neue eingeführte «kleine Konzernprivileg» in Art. 20 Abs. 4 DSG.
- Unter Big Data ist die Auswertung großer, aus einer Vielzahl unterschiedlicher Quellen stammender unstrukturierter Daten zum Zwecke der Erkennung von Gesetzmäßigkeiten, Korrelationen und Kausalitäten und der Generierung von neuen Informationen und Kontextwissen zu verstehen (Gola/Heckmann DS-GVO/BDSG-Schulz, Art. 6 Rn. 151).
- Beim Data Warehousing werden über einen längeren Zeitraum Daten aus unterschiedlichen Quellen gesammelt, nutzungsbezogen aufbereitet und zeit- sowie funktionsgerecht zur Verfügung gestellt, vgl. Fischer/Bornhauser, S. 433 Fn. 63.
- Beim Data Mining werden Daten miteinander kombiniert, mit dem Ziel noch nicht vorhandene Informationen zu gewinnen, vgl. Hartmann, S. 158.
- Specht/Mantz-DSGVO/BDSG-Specht, § 9 Rn. 91.
- Vgl. hierzu Mitteilung des EDÖB vom 9.11.2023 «Geltendes Datenschutzgesetz ist auf KI direkt anwendbar», abrufbar unter: https://www.edoeb.admin.ch/de/09112023-geltendes-dsg-ist-auf-ki-anwendbar sowie im Hinblick auf die DSGVO der EU die Checkliste des Bayerischen Landesamts für Datenschutzaufsicht, das Positionspapier der DSK zu empfohlenen technischen und organisatorischen Massnahmen bei der Entwicklung und dem Betrieb von KI-Systemen und den Self-assessment Guide for artificial intelligence (AI) systems der französischen Datenschutzaufsichtsbehörde CNIL, allesamt abrufbar unter: https://www.lda.bayern.de/de/ki.html.
- Vgl. hierzu auch das Diskussionspapier: Rechtsgrundlagen im Datenschutz beim Einsatz von Künstlicher Intelligenz des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg.
- Mitteilung des EDÖB vom 9.11.2023 «Geltendes Datenschutzgesetz ist auf KI direkt anwendbar» abrufbar unter: https://www.edoeb.admin.ch/de/09112023-geltendes-dsg-ist-auf-ki-anwendbar.
- CNIL, «Defining a purpose» vom 7.6.2024, abrufbar unter: https://www.cnil.fr/en/defining-purpose.
- VERORDNUNG (EU) 2024/1689 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 13.6.2024 zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz und zur Änderung der Verordnungen (EG) Nr. 300/2008, (EU) Nr. 167/2013, (EU) Nr. 168/2013, (EU) 2018/858, (EU) 2018/1139 und (EU) 2019/2144 sowie der Richtlinien 2014/90/EU, (EU) 2016/797 und (EU) 2020/1828 (Verordnung über künstliche Intelligenz).
- Motion 22.3890, aufrufbar unter: https://www.parlament.ch/de/ratsbetrieb/suche-curia-vista/geschaeft?AffairId=20223890, vgl. zur Veröffentlichung von Daten der öffentlichen Verwaltung auch Art. 10 (Open Government Data) des Bundesgesetz über den Einsatz elektronischer Mittel zur Erfüllung von Behördenaufgaben (EMBAG) sowie das entsprechende Portal der Schweizer Behörden für offene Verwaltungsdaten „opendata.swiss“ (abrufbar unter https://opendata.swiss/de).
- VERORDNUNG (EU) 2022/868 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 30.5.2022 über europäische Daten-Governance und zur Änderung der Verordnung (EU) 2018/1724 (Daten-Governance-Rechtsakt), abrufbar unter: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32022R0868.
- VERORDNUNG (EU) 2023/2854 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 13.12.2023 über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung sowie zur Änderung der Verordnung (EU) 2017/2394 und der Richtlinie (EU) 2020/1828 (Datenverordnung), abrufbar unter: https://eur-lex.europa.eu/eli/reg/2023/2854/oj?locale=de.
- Zum Zeitpunkt der Verfassung dieser Kommentierung erst im Entwurfsstadium: Vorschlag für eine VERORDNUNG DES EUROPÄISCHEN PARLAMENTS UND DES RATES über den europäischen Raum für Gesundheitsdaten vom 3.5.2022, abrufbar unter: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex%3A52022PC0197.
- Vgl. bspw. für den Data Act den Magazinbeitrag Gaul, Der Data Act der EU – und die Schweiz, abrufbar unter: https://www.mme.ch/de-ch/magazin/artikel/der-data-act-der-eu-und-die-schweiz.
- Botschaft DSG 2017, S. 7025.
- Botschaft DSG 2003, S. 2106.
- Art. 958f des Bundesgesetzes betreffend die Ergänzung des Schweizerischen Zivilgesetzbuches vom 30.3.1911 (SR 220).
- Vgl. bspw. die 20-jährige Aufbewahrungspflicht gem. Art. 70 Abs. 3 des Bundesgesetzes über die Mehrwertsteuer vom 12.6.2009 (SR 641.20).
- Botschaft DSG 2017, S. 7073.
- BVGE 2015/13, Erw. 3.3.4.
- Botschaft DSG 2017, S. 7021 mit Verweis auf BVGE 2015/13, E. 3.3.4.
- Botschaft DSG 2017, S. 7021.
- Rosenthal, digma 2019, S. 190 f.
- Rosenthal, digma 2019, S. 191.
- Botschaft DSG 2017, S. 7019; BGE 136 II 508 E. 3 («Logistep»).
- Rosenthal, digma, S. 195 f.
- Botschaft DSG 1988, S. 473; Botschaft DSG 2017, S. 7019.
- BSK DSG-Bühler, Art. 21 aDSG N. 21 [3. Auflage].
- HGer ZH HG190107-O vom 4.5.2021 E. 3.2.3.; Rossnagel, S. 245 mit Verweis auf EuGH Breyer, C-582/14, ECLI:EU:C:2016:779, 19.10.2016 mit Anm. Moos/Rothkegel, MMR, 2016, 842, 845; bestätigt wurde der relative Ansatz auch vom EuG, T-557/20, ECLI:EU:T:2023:219, 26.4.2023; Rosenthal, Jusletter vom 17.6.2019, S. 40.
- BGer 1C_187/2023 vom 31.10.2024 E. 4.2; BGer 2C_726/2018 vom 14.10.2019 E. 3.4.
- BSK DSG- Bühlmann/Reinle, Art. 6 DSG N. 247.
- BSK DSG-Maurer-Lambrou/Schönbächler, Art. 5 N. 5 f. aDSG [3. Auflage].
- BSK GWG-Gaul/Isler/Vasella, Art. 33 N. 20.
- BGer 1A.6/2001 vom 2.5.2001 E. 2c; so auch DSG-Rosenthal/Jöhri, Art. 5 N. 2; BSK DSG- Bühlmann/Reinle, Art. 6 DSG N. 257; a.A. wohl aber noch BSK DSG-Maurer-Lambrou/Schönbächler, Art. 5 aDSG N. 6 [3. Auflage], wonach eine Berichtigung von falschen Einzeltatsachen immer möglich sein müsse.
- Vgl. Fn. 72.
- Botschaft DSG 2017, S. 7026 f.
- Philip Glass, Datenschutzrecht für künstliche Intelligenz in der öffentlichen Verwaltung: Eine Auslegeordnung am Beispiel des Kantons Zürich, S. 216, abrufbar unter: https://digitalcollection.zhaw.ch/handle/11475/26658.
- BGer 2C_726/2018 vom 14.10.2019 E. 3.4.
- BGer 1C_187/2023 vom 31.10.2024 E. 4.2; SHK DSG-Baeriswyl, Art. 6 N. 66.
- Vgl. zur Richtigkeit von Prognosen und Wahrscheinlichkeitsaussagen BSK DSG- Bühlmann/Reinle, Art. 6 DSG N. 251, vgl. zu der Frage, wann eine statistische Richtigkeit ausreichend sein kann, auch die Ausführungen der englischen Aufsichtsbehörde (ICO), What do we need to know about accuracy and statistical accuracy?, abrufbar unter: https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/artificial-intelligence/guidance-on-ai-and-data-protection/what-do-we-need-to-know-about-accuracy-and-statistical-accuracy/#:~:text=Improving%20the%20%27statistical%20accuracy%27%20of,an%20output%20of%20the%20system.
- SHK DSG-Baeriswyl, Art. 6 N. 64, BSK DSG-Bühlmann/Reinle, Art. 6 DSG N. 275.
- BSK GWG-Gaul/Isler/Vasella, Art. 33 N. 20.
- DSG-Rosenthal/Jöhri, Art. 5 N. 2 mit Verweis auf BGer 1A.6/2001 vom 2.5.2001, E. 2a und 2c.
- SHK DSG-Baeriswyl, Art. 6 N. 64.
- SHK DSG-BAERISWYL, Art. 6 N. 73.
- BVGer A-4232/2015 vom 18.4.2017 i.S. Moneyhouse, E. 7.1.
- BGer 2C_726/2018 vom 14.10.2019, E. 3.4.
- BVGer A-4232/2015 vom 18.4.2017 i.S. Moneyhouse, E. 7.1; BSK DSG- Bühlmann/Reinle, Art. 6 DSG N. 254.
- Botschaft DSG 2017, S. 7026.
- SHK DSG-Baeriswyl, Art. 6 N. 72, BSK DSG- Bühlmann/Reinle, Art. 6 DSG N. 255.
- DSG-Rosenthal/Jöhri, Art. 5 N. 6.
- SHK DSG-Baeriswyl, Art. 6 N. 71; DSG-Rosenthal/Jöhri, Art. 5 N. 4.
- Vgl. SHK DSG-Baeriswyl, Art. 6 N. 74; BSK DSG- Bühlmann/Reinle, Art. 6 DSG N. 259. Dies gilt auch in Bezug auf die Frage, ob eine Informationspflicht gegenüber Dritten, welchen die Daten übermittelt wurden, besteht (BSK DSG- Bühlmann/Reinle, Art. 6 DSG N. 264, wonach eine allgemeine Informationspflicht gegenüber Dritten abgelehnt wird. vgl. zum Meinungsstreit bzgl. des alten DSG aber auch N. 263). Eine Informationspflicht gegenüber Dritten besteht aber für Bundesorgane, soweit sich diese Informationen nicht aus den Daten selbst oder aus den Umständen ergeben, Art. 29 DSV.
- Botschaft DSG 2017. S. 7026.
- SHK DSG-Baeriswyl, Art. 6 N. 70.
- DSG-Rosenthal/Jöhri, Art. 5 N. 11.
- SHK DSG-Baeriswyl, Art. 6 N. 72.
- SHK DSG-Baeriswyl, Art. 6 N. 72.
- Vgl. BVGer A-4232/2015 vom 18.4.2017 i.S. Moneyhouse, E. 7.3.2, wonach der Betreiber der Auskunftei unter Berücksichtigung der konkreten Umstände des dortigen Falls zu einer Überprüfung des Datenbestandes betreffend Richtigkeit in einem Verhältnis von 5% zu den auf der Plattform getätigten Abfragen verurteilt wurde, wobei die Wahl der Massnahmen freigestellt wurde und als denkbares Beispiel die Überprüfung jeder zwanzigsten Abfrage aufgeführt wurde.
- Vgl. Leitlinien 4/2019 des Europäischen Datenschutzausschusses zu Artikel 25 Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen, Version 2.0, S. 28.
Kommentar drucken
DOI (Digital Object Identifier)
Creative Commons Lizenz
Onlinekommentar.ch, Kommentierung zu Art. 6 Abs. 3-5 DSG ist lizenziert unter einer Creative Commons Namensnennung 4.0 International Lizenz.