-
- Art. 3 BV
- Art. 5a BV
- Art. 6 BV
- Art. 10 BV
- Art. 13 BV
- Art. 16 BV
- Art. 17 BV
- Art. 20 BV
- Art. 22 BV
- Art. 29a BV
- Art. 30 BV
- Art. 32 BV
- Art. 42 BV
- Art. 43 BV
- Art. 43a BV
- Art. 55 BV
- Art. 56 BV
- Art. 60 BV
- Art. 68 BV
- Art. 75b BV
- Art. 77 BV
- Art. 96 Abs. 2 lit. a BV
- Art. 110 BV
- Art. 117a BV
- Art. 118 BV
- Art. 123b BV
- Art. 136 BV
- Art. 166 BV
-
- Art. 11 OR
- Art. 12 OR
- Art. 50 OR
- Art. 51 OR
- Art. 84 OR
- Art. 97 OR
- Art. 98 OR
- Art. 99 OR
- Art. 100 OR
- Art. 143 OR
- Art. 144 OR
- Art. 145 OR
- Art. 146 OR
- Art. 147 OR
- Art. 148 OR
- Art. 149 OR
- Art. 150 OR
- Art. 701 OR
- Art. 715 OR
- Art. 715a OR
- Art. 734f OR
- Art. 785 OR
- Art. 786 OR
- Art. 787 OR
- Art. 788 OR
- Art. 808c OR
- Übergangsbestimmungen zur Aktienrechtsrevision vom 19. Juni 2020
-
- Art. 2 BPR
- Art. 3 BPR
- Art. 4 BPR
- Art. 6 BPR
- Art. 10 BPR
- Art. 10a BPR
- Art. 11 BPR
- Art. 12 BPR
- Art. 13 BPR
- Art. 14 BPR
- Art. 15 BPR
- Art. 16 BPR
- Art. 17 BPR
- Art. 19 BPR
- Art. 20 BPR
- Art. 21 BPR
- Art. 22 BPR
- Art. 23 BPR
- Art. 24 BPR
- Art. 25 BPR
- Art. 26 BPR
- Art. 27 BPR
- Art. 29 BPR
- Art. 30 BPR
- Art. 31 BPR
- Art. 32 BPR
- Art. 32a BPR
- Art. 33 BPR
- Art. 34 BPR
- Art. 35 BPR
- Art. 36 BPR
- Art. 37 BPR
- Art. 38 BPR
- Art. 39 BPR
- Art. 40 BPR
- Art. 41 BPR
- Art. 42 BPR
- Art. 43 BPR
- Art. 44 BPR
- Art. 45 BPR
- Art. 46 BPR
- Art. 47 BPR
- Art. 48 BPR
- Art. 49 BPR
- Art. 50 BPR
- Art. 51 BPR
- Art. 52 BPR
- Art. 53 BPR
- Art. 54 BPR
- Art. 55 BPR
- Art. 56 BPR
- Art. 57 BPR
- Art. 58 BPR
- Art. 59a BPR
- Art. 59b BPR
- Art. 59c BPR
- Art. 62 BPR
- Art. 63 BPR
- Art. 67 BPR
- Art. 67a BPR
- Art. 67b BPR
- Art. 73 BPR
- Art. 73a BPR
- Art. 75 BPR
- Art. 75a BPR
- Art. 76 BPR
- Art. 76a BPR
- Art. 90 BPR
-
- Vorb. zu Art. 1 DSG
- Art. 1 DSG
- Art. 2 DSG
- Art. 3 DSG
- Art. 5 lit. d DSG
- Art. 5 lit. f und g DSG
- Art. 6 Abs. 3-5 DSG
- Art. 6 Abs. 6 und 7 DSG
- Art. 7 DSG
- Art. 10 DSG
- Art. 11 DSG
- Art. 12 DSG
- Art. 14 DSG
- Art. 15 DSG
- Art. 19 DSG
- Art. 20 DSG
- Art. 22 DSG
- Art. 23 DSG
- Art. 25 DSG
- Art. 26 DSG
- Art. 27 DSG
- Art. 31 Abs. 2 lit. e DSG
- Art. 33 DSG
- Art. 34 DSG
- Art. 35 DSG
- Art. 38 DSG
- Art. 39 DSG
- Art. 40 DSG
- Art. 41 DSG
- Art. 42 DSG
- Art. 43 DSG
- Art. 44 DSG
- Art. 44a DSG
- Art. 45 DSG
- Art. 46 DSG
- Art. 47 DSG
- Art. 47a DSG
- Art. 48 DSG
- Art. 49 DSG
- Art. 50 DSG
- Art. 51 DSG
- Art. 54 DSG
- Art. 57 DSG
- Art. 58 DSG
- Art. 60 DSG
- Art. 61 DSG
- Art. 62 DSG
- Art. 63 DSG
- Art. 64 DSG
- Art. 65 DSG
- Art. 66 DSG
- Art. 67 DSG
- Art. 69 DSG
- Art. 72 DSG
- Art. 72a DSG
-
- Art. 2 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 3 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 4 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 5 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 6 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 7 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 8 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 9 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 11 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 12 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 25 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 29 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 32 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 33 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 34 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
-
- Art. 2 Abs. 1 GwG
- Art. 2a Abs. 1-2 und 4-5 GwG
- Art. 3 GwG
- Art. 7a GwG
- Art. 8a GwG
- Art. 8 GwG
- Art. 14 GwG
- Art. 15 GwG
- Art. 20 GwG
- Art. 23 GwG
- Art. 24 GwG
- Art. 24a GwG
- Art. 25 GwG
- Art. 26 GwG
- Art. 26a GwG
- Art. 27 GwG
- Art. 28 GwG
- Art. 29 GwG
- Art. 29b GwG
- Art. 30 GwG
- Art. 31 GwG
- Art. 31a GwG
- Art. 32 GwG
- Art. 38 GwG
BUNDESVERFASSUNG
OBLIGATIONENRECHT
BUNDESGESETZ ÜBER DAS INTERNATIONALE PRIVATRECHT
LUGANO-ÜBEREINKOMMEN
STRAFPROZESSORDNUNG
ZIVILPROZESSORDNUNG
BUNDESGESETZ ÜBER DIE POLITISCHEN RECHTE
ZIVILGESETZBUCH
BUNDESGESETZ ÜBER KARTELLE UND ANDERE WETTBEWERBSBESCHRÄNKUNGEN
BUNDESGESETZ ÜBER INTERNATIONALE RECHTSHILFE IN STRAFSACHEN
DATENSCHUTZGESETZ
BUNDESGESETZ ÜBER SCHULDBETREIBUNG UND KONKURS
SCHWEIZERISCHES STRAFGESETZBUCH
CYBERCRIME CONVENTION
HANDELSREGISTERVERORDNUNG
MEDIZINPRODUKTEVERORDNUNG
GELDWÄSCHEREIGESETZ
In Kürze
Die Bestimmungen der Art. 6 Abs. 3 DSG (Zweckbindung und Transparenz), Art. 6 Abs. 4 DSG (zeitliche Limitierung der Datenbearbeitung) und Art. 6 Abs. 5 DSG (Richtigkeit) gehören zu den so genannten Bearbeitungsgrundsätzen, den wichtigsten materiellen Grundsätzen des Datenschutzrechts. Sie sind wesentlich für die konkrete Ausgestaltung der Datenbearbeitung.
Ein Verstoss gegen die Bearbeitungsgrundsätze stellt eine Verletzung der Persönlichkeitsrechte der Betroffenen dar. Die Persönlichkeitsverletzung kann bei privaten Datenbearbeitern aber durch Einwilligung, ein überwiegendes privates oder öffentliches Interesse oder durch Gesetz gerechtfertigt sein. Dieser wesentliche Unterschied zur DSGVO der EU, bei der jede Datenbearbeitung einer konkreten rechtlichen Grundlage bedarf, wurde auch im neuen DSG aufrechterhalten.
Eine Verletzung der hier behandelten Bearbeitungsgrundsätze ist - ebenfalls anders als unter der DSGVO der EU - nach DSG nicht bussgeldbewehrt, kann aber weitreichende Folgen nach sich ziehen, insbesondere vor dem Hintergrund der mit dem neuen DSG erweiterten Befugnisse des Eidgenössischen Datenschutzbeauftragten (EDÖB). Dieser kann verfügen, dass die Datenbearbeitung ganz oder teilweise angepasst, unterbrochen oder sogar abgebrochen wird und die Personendaten ganz oder teilweise vernichtet werden. Darüber hinaus sollten mögliche (zivilrechtliche) Rechtsansprüche der Betroffenen und insbesondere auch die Folgen eines Vertrauensverlusts und Reputationsschadens berücksichtigt werden.
I. Allgemeines
A. Vorbemerkungen
1Die Bestimmungen der Art. 6 Abs. 3 DSG (Zweckbindung und Transparenz), Art. 6 Abs. 4 DSG (zeitliche Limitierung der Datenbearbeitung) und Art. 6 Abs. 5 DSG (Richtigkeit) gehören zusammen mit Art. 6 As. 1 DSG (Rechtmässigkeit), Art. 6 Abs. 2 (Verhältnismässigkeit und Treu und Glauben), und Art. 8 DSG (Datensicherheit) zu den so genannten Bearbeitungsgrundsätzen, den wichtigsten materiellen Grundsätzen des Datenschutzes und den eigentlichen Leitideen des Gesetzes.
2Die Bearbeitungsgrundsätze des DSG gelten für private Datenbearbeiter ebenso wie für Organe des Bundes. Ein Verstoss gegen die Bearbeitungsgrundsätze stellt eine Verletzung der Persönlichkeit dar. Bei privaten Datenbearbeitern ist aber nicht jede Verletzung der Persönlichkeit widerrechtlich. Vielmehr kann sie durch Einwilligung der betroffenen Person, durch überwiegendes privates oder öffentliches Interesse oder durch Gesetz gerechtfertigt sein (Art. 31 Abs. 1 DSG). Dieser wesentliche Unterschied zur DSGVO der EU, bei der jede Datenbearbeitung eines Rechtfertigungsgrundes bedarf (Verbot mit Erlaubnisborbehalt), wurde im Zuge der Revision des DSG aufrechterhalten. Damit wird nach Schweizer Datenschutzrecht bei privaten Datenbearbeitern auch weiterhin nur dann eine Rechtsgrundlage verlangt, wenn überhaupt eine Persönlichkeitsverletzung vorliegt.
3Die Grundsätze der Datenbearbeitung gelten für den gesamten Lebenszyklus der Datenbearbeitung, unabhängig von den angewandten Mitteln und Verfahren und sind damit technologieneutral, d.h. ohne Bezugnahme auf konkrete technische oder kommerzielle Anwendungen ausgestaltet.
B. Hintergrund und Normzweck
4Der schweizerische Gesetzgeber betont von jeher, dass das Schweizer Datenschutzgesetz nicht den Zweck hat, die Entwicklungsmöglichkeiten im Bereich der Informationstechnologien zu verhindern oder einzuschränken.
C. Adressat der Pflichten
5Die sich aus den Bearbeitungsgrundsätzen ergebenden Pflichten treffen in erster Linie den Verantwortlichen (Art. 5 lit. j DSG). Der Auftragsbearbeiter bearbeitet Personendaten lediglich im Auftrag des Verantwortlichen (Art. 5 lit. k DSG) und kann sich dabei auf dieselben Rechtfertigungsgründe stützen wie der Verantwortliche (Art. 9 Abs. 4 DSG).
6 Der Auftragsbearbeiter ist als solcher nicht ausdrücklich als Adressat der Bearbeitungsgrundsätze von Art. 6 DSG aufgeführt, anders ist dies der Fall beim (strafbewehrten) Bearbeitungsgrundsatz der Datensicherheit (Art. 8 DSG, Art. 61 lit. c DSG) und bei weiteren Pflichten aus dem DSG, bspw. Art. 12 Abs. 1 DSG, Art. 17 Abs. 2 DSG und beim 3. Kapitel des DSG, welche jeweils explizit den Verantwortlichen und/oder den Auftragsbearbeiter in die Pflicht nehmen.
D. Rechtliche und wirtschaftliche Folgen einer Verletzung
7 Die Bestimmungen der Art. 6 Abs. 3 DSG (Zweckbindung und Transparenz), Art. 6 Abs. 4 DSG (zeitliche Limitierung der Datenbearbeitung) und Art. 6 Abs. 5 DSG (Richtigkeit) sind nicht in dem abschliessenden Katalog der strafbaren Handlungen (Art 60 ff. DSG) aufgeführt. Ein Verstoss gegen diese Bearbeitungsgrundsätze ist für sich genommen selbst dann nicht nach dem DSG strafbar, wenn er nicht gerechtfertigt ist. Trotz umfassender Überarbeitung der strafrechtlichen Bestimmungen wurde im Zuge der Revision des DSG daran nichts geändert.
8 Von ganz erheblicher Bedeutung sind die sich aus dem neuen Datenschutzgesetz ergebenden weiteren Befugnisse des EDÖB, welche bei einer Verletzung von Datenschutzvorschriften unter anderem bis hin zu einem Verbot der Bearbeitungstätigkeiten oder einer Verfügung zur Vernichtung der Daten führen können. Der EDÖB hat in diesem Zusammenhang in seinem Tätigkeitsbericht 2022/2023 bereits angekündigt, seine aufsichtsrechtliche Tätigkeit zu intensivieren und die Anzahl der Untersuchungen zu erhöhen.
9 Zudem kann eine Verletzung Rechtsansprüche nach dem DSG (vor allem nach Art. 32 DSG und Art. 41 DSG) sowie zivilrechtliche Ansprüche wegen Verletzung der Persönlichkeit auslösen (Art. 32 Abs. 2 DSG).
10 Abgesehen von den potenziellen rechtlichen Folgen einer Verletzung der Bearbeitungsgrundsätze sind in der Praxis vor allem der mögliche Vertrauensverlust und Reputationsschaden zu berücksichtigen, der mit einer Verletzung der Bearbeitungsgrundsätze einher geht und sich langfristig negativ auf die Geschäftsentwicklung auswirken kann.
E. Entstehungsgeschichte der einzelnen Bearbeitungsgrundsätze
1. Grundsatz der Zweckbindung und Transparenz, Art. 6 Abs. 3 DSG
11 Art. 6 Abs. 3 DSG verbindet die Grundsätze der Zweckbindung und der Erkennbarkeit, welche im aDSG in zwei getrennten Absätzen (Art. 4 Abs. 3 aDSG und Art. 4 Abs. 4 aDSG) enthalten waren. Die neue Formulierung soll dem Wortlaut des Art. 5 Abs. 4 lit. b des Übereinkommens 108 plus
2. Zeitliche Limitierung der Datenbearbeitung, Art. 6 Abs. 4 DSG
12 Mit Art. 6 Abs. 4 DSG wurde neu ausdrücklich die Pflicht aufgenommen, Personendaten zu vernichten oder zu anonymisieren, sobald sie zum Zweck der Bearbeitung nicht mehr erforderlich sind. Dies entspricht den Anforderungen des Übereinkommens 108 plus
3. Grundsatz der Richtigkeit, Art. 6 Abs. 5 DSG
13 Während der Grundsatz der Richtigkeit der Daten bislang in einem eigenständigen Artikel (Art. 5 aDSG) hervorgehoben war, wurde er neu als Absatz 5 in Artikel 6 DSG integriert, um die wichtigsten Datenschutzgrundsätze in einem Artikel zu vereinen.
II. Gegenstand der Bestimmungen
A. Grundsatz der Zweckbindung und Transparenz, Art. 6 Abs. 3 DSG
1. Anforderungen
14 Nach dem Grundsatz der Zweckbindung und Transparenz dürfen Personendaten nur zu einem bestimmten und für die betroffene Person erkennbaren Zweck beschafft werden. Sie dürfen nur so bearbeitet werden, dass es mit diesem Zweck vereinbar ist, Art. 6 Abs. 3 DSG.
15 Zweckidentität ist nach dem neuen Wortlaut des Gesetzes explizit nicht mehr erforderlich. Die Bearbeitung muss lediglich (fortlaufend) mit dem anfänglichen Zweck vereinbar sein. Eine Weiterverarbeitung zu anderen Zwecken ist nur dann zulässig, wenn sie nicht unerwartet ist und nicht als unangebracht oder beanstandbar erachtet werden kann.
16 Den Grundsatz der Zweckbindung hatte das Bundesgericht schon vor dem Inkrafttreten des neuen DSG, mit Urteil vom 18. März 2021,
17 Die weitere Voraussetzung der Erkennbarkeit muss sowohl hinsichtlich der Beschaffung der Personendaten als auch hinsichtlich des Zwecks ihrer Bearbeitung gegeben sein.
18 Die Anforderungen an die Erkennbarkeit sind im Einzelfall unter Berücksichtigung der Grundsätze der Verhältnismässigkeit sowie nach Treu und Glauben zu bestimmen, Art. 6 Abs. 2 DSG. Vage, nicht definierte oder unpräzise Bearbeitungszwecke genügen grundsätzlich nicht, wobei diese Eigenschaft wiederum nach dem Umständen beurteilt werden und dabei ein Ausgleich zwischen den Interessen der betroffenen Personen und denen des Verantwortlichen bzw. des Auftragsbearbeiters und der Gesellschaft erfolgen muss.
19 Das Erfordernis der Erkennbarkeit hängt eng zusammen mit der Informationspflicht nach Art. 19 ff. DSG. Sie ist damit aber nicht zu verwechseln. Während es sich bei dem Erfordernis der Erkennbarkeit um einen Bearbeitungsgrundsatz handelt, bei dem ein Verstoss allenfalls gerechtfertigt sein kann (Art. 31 DSG), ist dies bei Verletzung der Informationspflicht nicht der Fall.
2. Beispiele
20 Eine Weiterverarbeitung von Adressen zum Werbeversand verstösst gegen den Grundsatz der Zweckbindung und Transparenz, wenn die Adressen ursprünglich in einem ganz anderen Zusammenhang, z.B. im Rahmen einer politischen Kampagne gesammelt wurden. Unzulässig ist auch die Analyse von Personendaten in Bezug auf Konsumgewohnheiten (zu anderen Zwecken als der Betrugsbekämpfung) auf Basis von Zahlungen mittels Kredit- oder Kundenkarte ohne Einwilligung der betroffenen Person.
21 Datenschutzrechtlich zulässig hingegen ist die Verwendung einer Adresse zu Werbezwecken, wenn die betroffene Person ihre Adresse im Hinblick auf den Erhalt einer Kundenkarte oder für eine Bestellung (online oder nicht) im Rahmen einer anfänglich erkennbaren Zweckbestimmung übermittelt hat.
22 Bei der Versendung von Werbe-Newslettern müssen darüber hinaus, die sich aus dem Gesetz gegen den unlauteren Wettbewerb ergebenden Voraussetzungen, namentlich Art. 3 Abs. 1 lit. o UWG («Spam-Artikel») erfüllt werden. Ein Verstoss dagegen kann zu strafrechtlichen Sanktionen führen. Beim Versand von Newslettern ins Ausland sind zudem das jeweilige nationale Recht und die dortigen Usancen zu beachten, aus denen sich noch strengere Anforderungen ergeben können.
23 Eine Datenbearbeitung «auf Vorrat» im Sinne einer Datenbearbeitung ohne Zweck, verstösst sowohl gegen den Grundsatz der Verhältnismässigkeit als auch gegen den Grundsatz der Zweckbindung und Transparenz und ist daher rechtswidrig.
24 Bei der Weitergabe von Daten an Dritte ist besonders zu berücksichtigen, ob diese Bekanntgabe noch vom ursprünglichen Zweck umfasst ist. Das gilt gerade auch für den Austausch von Daten innerhalb von Konzernunternehmen. Mangels eines umfassenden Konzernprivilegs
25 Vor besonderen Herausforderungen in Bezug auf die Zweckbindung und Transparenz stehen Big Data-Anwendungen
26 Big Data ist auch die wichtigste Grundlage für künstliche Intelligenz (KI), welche damit ebenfalls in ein Spannungsverhältnis mit dem Grundsatz der Zweckbindung und Transparenz rückt. Die Zulässigkeit entsprechender Anwendungen ist im Einzelfall zu prüfen.
Examples of purposes considered to be explicit and specified:
Development of a large language model (LLM) able to answer questions, generate text according to context (emails, letters, reports, including computer code), perform translations, summaries and corrections of text, perform text classification, analysis of feelings, etc.;
Development of a voice recognition model capable of identifying a speaker, his or her language, age, gender, etc.;
Development of a computer vision model capable of detecting different objects such as vehicles (cars, trucks, scooters, etc.), pedestrians, street furniture (dumpsters, public benches, bicycle shelters, etc.), road signs, tricolor lights, road signs, etc.
Conversely, the purpose would not be considered as specified enough if it only referred to the type of AI system, without mentioning the technically feasible functionalities and capabilities.
Examples of purposes that are not considered explicit and specified:
Development of a generative AI model (possible capabilities are not defined);
Development and improvement of an AI system (neither the type of model nor the possible capabilities are defined);
Development of a model to identify a person’s age (the type is not defined).
Die CNIL empfiehlt aus Gründen der Transparenz in diesem Fall darüber hinaus, dass der Verantwortliche in die Lage sein soll, im Vorfeld die vorhersehbaren Fähigkeiten des KI-Systems zu ermitteln, die die grössten Risiken bergen, der Zweck sich auf die Funktionalitäten bezieht, die von vornherein ausgeschlossen sind und der Zweck so weit wie möglich die Bedingungen für die Nutzung des KI-Systems festlegt.
Gerade auch hinsichtlich Transparenzanforderungen ist zudem der gegebenenfalls auch für Schweizer Unternehmen anwendbare AI Act
27 Das Potential der Wiederverwendung von Daten für sekundäre Nutzungszwecke wurde auch vom Schweizer Gesetzgeber erkannt. Der Nationalrat hat als Zweitrat am 12. Juni 2023 eine Motion zur Schaffung eines Rahmengesetzes für die Sekundärnutzung von Daten angenommen. Damit wird der Bundesrat zur Ausarbeitung eines Gesetzes beauftragt, welches das Spannungsfeld zwischen Datenschutz und Datennutzung auflösen und vertrauenswürdige Datenräume schaffen soll.
28 Auf europäischer Ebene sind zudem insbesondere der Data Governance Act
3. Empfehlungen zur Umsetzung
29 Die Zwecke der Datenbearbeitung müssen festgelegt, dauerhaft eingehalten und transparent gemacht werden. Letzteres lässt sich in der Praxis in der Regel im Rahmen der ohnehin erforderlichen Datenschutzerklärung, je nach Fallgestaltung zumindest teilweise über Allgemeine Geschäftsbedingungen oder im Wege individueller Kommunikation/Hinweise erreichen. Dabei ist darauf zu achten, dass vage, nicht definierte oder unpräzise Bearbeitungszwecke nicht ausreichend sind.
B. Zeitliche Limitierung der Datenbearbeitung, Art. 6 Abs. 4 DSG
1. Anforderungen
30 Nach dem Grundsatz der zeitlichen Limitierung der Datenbearbeitung müssen Personendaten vernichtet oder anonymisiert werden, sobald sie zum Zweck der Bearbeitung nicht mehr erforderlich sind.
31 Gleichwohl kann eine weitere Datenbearbeitung gerechtfertigt sein, Art. 31 Abs. 1 DSG. Das ist insbesondere dann der Fall, wenn Aufbewahrungspflichten, beispielsweise die zehnjährige Aufbewahrungspflicht für Geschäftsbücher, Buchungsbelege, den Geschäfts- und Revisionsbericht
32 Vernichten bedeutet im eigentlichen Sinne die unwiederbringliche Zerstörung bzw. Entfernung der Daten.
33 Vernichten erfordert danach mehr als Löschen.
34 Dem Grundsatz der zeitlichen Limitierung kann auch durch Anonymisierung Genüge getan werden. Unter Anonymisierung ist jede Massnahme zu verstehen, die bewirkt, dass die Identität der betroffenen Personen nicht mehr oder nur noch mit ausserordentlichem Aufwand festgestellt werden kann.
2. Empfehlungen zur Umsetzung
35 Die Pflicht zur Vernichtung oder Anonymisierung von Daten kann die Verantwortlichen in der Praxis vor grosse Herausforderungen stellen. In einem ersten Schritt empfiehlt es sich, eine Übersicht über die üblichen Datenbearbeitungen in den jeweiligen Geschäftsbereichen zu gewinnen. Sodann sollten die jeweiligen Aufbewahrungs- und Löschfristen festgelegt werden. Praktischerweise erfolgt dies in übersichtlichen Listen, welche gleichzeitig als interne Richtlinien ausgestaltet sind («Aufbewahrungsrichtlinie»/«Data Retention Policy»).
36 Hilfreich für die Umsetzung ist es, wenn die zur Datenverarbeitung verwendete Software bereits entsprechende Funktionalitäten zur automatisierten Löschung anbietet, wobei zum einen darauf geachtet werden sollte, dass diese in technischer Hinsicht den datenschutzrechtlichen Anforderungen genügen, zum anderen, dass die Pflicht zur Löschung im Rahmen von Auftragsdatenbearbeitungsverträgen mit dem IT-Provider/Cloud-Anbieter auch vertraglich hinreichend abgedeckt wird.
C. Grundsatz der Richtigkeit, Art. 6 Abs. 5 DSG
1. Richtigkeit der Daten
a. Anforderungen
37 Personendaten sind richtig, wenn sie die Umstände und Tatsachen, bezogen auf die betroffene Person, sachgerecht wiedergeben. Sie müssen im Gesamtzusammenhang richtig sein, wobei der Zweck und die Art der Bearbeitung zu berücksichtigen sind.
38 Auch richtige Personendaten können im Gesamtzusammenhang und unter Berücksichtigung des Bearbeitungszwecks im datenschutzrechtlichen Sinne unrichtig sein, beispielsweise wenn eine Person in einer Datensammlung über die Kreditwürdigkeit als «Betriebene» gespeichert wird, obschon sie während Jahren ihre Rechnungen fristgerecht und korrekt bezahlt hat und es nur zu einer Betreibung gekommen ist, weil die Rechnung an eine falsche Adresse zugestellt worden ist.
39 Die Richtigkeit von Daten kann sich grundsätzlich nur auf Tatsachen beziehen, die auch objektiv festgestellt werden können. Werturteile sind subjektiv und lassen sich kaum als richtig oder falsch einordnen.
40 Vor besonderen Herausforderungen steht die Einhaltung des Grundsatzes der Datenrichtigkeit in Bezug auf KI-Systeme. Gerade bei KI-Systemen, bei denen die Trainingsdaten aus öffentlich zugänglichen Quellen, insbesondere dem Internet bezogen werden, lässt sich die Richtigkeit der Daten oft nicht wirksam überprüfen. Auch die Ergebnisse der Datenbearbeitungen von KI-Systemen («Output») können unrichtig sein. Einerseits kann wohl nicht davon ausgegangen werden, dass eine «statistische Richtigkeit» bei Datenbearbeitungen im Zusammenhang mit KI-Systemen grundsätzlich ausreichend ist.
41 Allgemein gilt: Das Bearbeiten unrichtiger Daten ist nicht per se eine Persönlichkeitsverletzung. Nur wenn die inkorrekten Angaben durch deren Bearbeitung zu einer Persönlichkeitsverletzung führen, sind sie zu berichtigen oder zu vernichten.
b. Beispiele
42 Im Fall der Bearbeitung von Verdachtsinformationen über die Begehung möglicher Straftaten steht Art. 6 Abs. 5 DSG einer Bearbeitung so lange nicht entgegen, als die Aussagekraft der entsprechenden Information bekannt ist und der Verdacht nicht als gesicherte Erkenntnis erscheint.
2. Vergewisserungspflicht, Berichtigungs- und Löschungspflicht
a. Anforderungen
43 Nach dem Grundsatz der Richtigkeit muss sich jede Person, die Personendaten bearbeitet, über deren Richtigkeit vergewissern, Art. 6 Abs. 5 S.1 DSG. Art. 6 Abs. 5 S. 2 DSG hält zudem neu explizit fest, dass alle angemessenen Massnahmen getroffen werden müssen, um unrichtige Daten zu berichtigen, löschen oder zu vernichten. Diese Pflicht vervollständigt die Vergewisserungspflicht, welche ansonsten keinen Sinn machen würde.
44 Die Durchführung von Massnahmen zur Vergewisserung kann auch delegiert werden, zum Beispiel an die Datenquelle oder einen Auftragsbearbeiter.
b. Beispiele
45 Basiert die Datenbearbeitung zu Marketingzwecken auf eigenen Angaben der betroffenen Person, hat der Verantwortliche sich nicht über die Richtigkeit zu vergewissern.
3. Empfehlungen zur Umsetzung
46 Die Anforderungen an die nach Art. 6 Abs. 5 DSG erforderlichen Massnahmen sollten im Verhältnis zu den Risiken und Folgen der konkreten Nutzung stehen. Beispiele zu treffender Massnahmen, welche gleichzeitig zentrale Aspekte im Rahmen der Technikgestaltung nach den Grundsätzen von Privacy by Design und Privacy by Default darstellen, können sein:
Überprüfung der Verlässlichkeit der Datenquelle
Bestimmung des Grads der Richtigkeit anhand der Gesamtumstände des Einzelfalles
Allenfalls erneute Überprüfungen der Daten in Abhängigkeit der Gesamtumstände und der verschiedenen Phasen der Datenbearbeitung
Reduzierung falscher Positivergebnisse / falscher Negativergebnisse, um z.B. Fehler bei automatisierter Entscheidungsfindung und beim Einsatz künstlicher Intelligenz zu reduzieren
Aktualisierung der Daten, falls es für den Zweck der Bearbeitung erforderlich ist
Implementierung von «self-service» Lösungen, bei denen die betroffenen Personen ihre Daten selbst überprüfen und falls nötig korrigieren können
Einführung von Plausibilitätskontrollen und Qualitätschecks
Implementierung automatischer Eingabeüberprüfungen, bspw. zur Vermeidung falscher Eingaben von Postleitzahlen
Drop-Down Menüs statt Freitexteingaben
47 Aus Sicht der Verantwortlichen empfiehlt es sich zudem, betroffenen Personen vertraglich die Pflicht aufzuerlegen, ihre Daten korrekt anzugeben und aktuell zu halten und eine diesbezügliche Haftung, soweit es möglich ist, auszuschliessen. Grundsätzlich sollte bei externen Datenquellen auch eine Verpflichtung zur Schadloshaltung in Betracht gezogen werden. Je nach Fallgestaltung kann dies im Rahmen eines Gesamtkonzepts, welches die Zuordnung von Daten und Verantwortlichkeiten sowie weitere diesbezügliche Rechte und Pflichten umfasst, berücksichtigt werden.
Literaturverzeichnis
Basler Kommentar zum Datenschutzgesetz und Öffentlichkeitsgesetz, 3. Auflage, Basel 2014 (zit. BSK DSG-Bearbeiter:in [3. Auflage]) sowie 4. Auflage, Basel 2024 (zit. BSK DSG-Bearbeiter:in).
Basler Kommentar zum Geldwäschereigesetz, Basel 2021 (zit. BSK GWG-Bearbeiter:in).
Fischer Joel A./Bornhauser Jonas, Elektronische Board Portale: Hosted in Switzerland als neuer rechtlicher Qualitätsstandard, GesKR 2016, S. 425-448.
Gola/Heckmann, Datenschutzgrundverordnung/Bundesdatenschutzgesetz, 3. Auflage 2022 (zit. Gola/Heckmann DS-GVO/BDSG-Bearbeiter:in).
Hartmann Damian, Text and Data Mining and Copyright in Switzerland and the European Union, sic! 2023, S. 157-167.
Lobsiger Adrian, Hohes Risiko – kein Killerargument gegen Vorhaben der digitalen Transformation, SJZ 119 (2023), S. 311-319.
Orell Füssli Kommentar zum Schweizerischen Datenschutzgesetz mit weiteren Erlassen, 2023 (zit. OFK DSG- Bearbeiter:in).
Rosenthal David, Controller oder Processor: Die datenschutzrechtliche Gretchenfrage, Jusletter vom 17.6.2019.
Rosenthal David, Löschen und doch nicht löschen, digma 2019, S. 190-197.
Rosenthal David/Jöhri Yvonne, Handkommentar zum Datenschutzgesetz sowie weiteren, ausgewählten Bestimmungen, Zürich 2008.
Rossnagel Alexander, Pseudonymisierung personenbezogener Daten, ZD 2018, 243 ff.; Stämpflis Handkommentar zum Datenschutzgesetz, 2. Auflage (zit. SHK DSG- Bearbeiter:in).
Specht/Mantz, Handbuch Europäisches und deutsches Datenschutzrecht, 2019 (zit. Specht/Mantz DSGVO/BDSG-Bearbeiter:in).
Materialienverzeichnis
Botschaft zum Bundesgesetz über den Datenschutz (DSG) vom 23.3.1988, BBl 1988 II 413 ff. (zit. Botschaft DSG 1988).
Botschaft zur Änderung des Bundesgesetzes über den Datenschutz (DSG) und zum Bundesbeschluss betreffend den Beitritt der Schweiz zum Zusatzprotokoll vom 8.11.2001 zum Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten bezüglich Aufsichtsbehörden und grenzüberschreitende Datenübermittlung vom 19.2.2003 BBl 2002 2101 ff. (zit. Botschaft DSG 2003).
Botschaft zum Bundesgesetz über die Totalrevision des Bundesgesetzes über den Datenschutz und die Änderung weiterer Erlasse zum Datenschutz vom 15.12.2017, BBl 2017 6941 ff. (zit. Botschaft DSG 2017).