Informationspflichten

Das neue schweizerische Datenschutzgesetz ("revDSG") schreibt vor, dass Du als verantwortliche Person gewisse Informationspflichten erfüllen musst, wenn Du beim Angebot Deiner Dienstleistungen Personendaten erfasst bzw. bearbeitest.

Du bist verpflichtet, die betroffenen Personen bezüglich der Beschaffung ihrer Personendaten zu informieren. Deine Information muss dem gesetzlichen Mindestinhalt entsprechen und folgendes enthalten:

• Deine Identität und Deine Kontaktdaten;

• Der Zweck, zu dem die Daten bearbeitet werden;

• Allenfalls die Empfängerinnen und Empfänger oder die Kategorien von Empfängerinnen und Empfängern, denen Du die Personendaten bekanntgibst;

• Wenn Du Personendaten ins Ausland bekannt gibst: den Empfängerstaat oder das internationale Organ und gegebenenfalls die Garantien nach Art. 16 Abs. 2 revDSG oder die Anwendung einer Ausnahme nach Art. 17 revDSG.

Die Information muss im Zeitpunkt der Datenerhebung erfolgen. Wenn Du die Daten nicht direkt bei der betroffenen Person beschafft hast, bist Du verpflichtet, diese spätestens einen Monat nach dem Erhalt ihrer Daten zu informieren.

Die Information muss nicht zwingend schriftlich erfolgen. Aus Beweisgründen ist eine schriftliche Information allerdings empfehlenswert. Die Information über die Datenerfassung auf einer Webseite oder einer App erfolgt typischerweise in Form einer Datenschutzerklärung.

Du musst die betroffenen Personen gemäss Art. 20 revDSG allerdings nicht informieren, wenn:

• Du die betroffene Person bereits informiert hast;

  Beispiel: bei einer vorgängigen identischen Datenerhebung.

• Deine Bearbeitung gesetzlich vorgesehen ist;

  Beispiel: beim Führen eines Personaldossiers oder der Weitergabe von Angaben an Sozialversicherungen im Arbeitsverhältnis.

• Du vom Gesetz aus zur Geheimhaltung verpflichtet bist;

  Beispiel: Anwaltsberuf, diverse medizinische Berufe und weitere.

• Du für ein periodisch erscheinendes Medium arbeitest und Du die Voraussetzungen von Art. 27 revDSG erfüllst;

• Du die die Personendaten nicht bei der betroffenen Person selbst beschafft hast und die Identifizierung und Lokalisierung der betroffenen Personen nicht möglich ist oder mit einem unverhältnismässigen Aufwand verbunden ist;

  Beispiel: Wenn Du eine veränderbare IP-Adresse einer anderen Person erhältst und Du weitere Informationen benötigst, um Herauszufinden, um welche Person es sich handelt.

• Sich die Information der betroffenen Person negativ auf die Interessen von unbeteiligten Dritten auswirkt;

  Beispiel: wenn der betroffenen Person dadurch Personendaten von Dritten preisgegeben werden und dadurch deren Interessen beeinträchtigt werden können.

• Eine Information der betroffenen Person den Zweck der Bearbeitung vereiteln würde;

  Beispiel: bei der Vorankündigung einer Untersuchung eines Privatdetektivs.

• Du über ein überwiegendes privates Interesse verfügst und die Personendaten nicht an Dritte bekannt gibst (dies ist allerdings nicht leichthin und nur aufgrund einer sorgfältigen Interessensabwägung anzunehmen).

Für Bundesorgane bzw. kantonale Behörden können weitere Ausnahmen gelten. Hierzu sind allenfalls noch die einschlägigen kantonalen Datenschutzgesetze zu beachten.

Als verantwortliche Person bist Du ebenfalls verpflichtet, die betroffene Person zu informieren, wenn ein automatisierter Einzelentscheid vorliegt, der eine Rechtsfolge für die betroffenen Personen auslöst oder die betroffenen Personen erheblich beeinträchtigt.

Du musst die betroffenen Personen bei automatisierten Einzelentscheiden allerdings nicht informieren, wenn die betroffene Person in die automatisierte Einzelentscheidung eingewilligt hat oder die automatisierte Einzelentscheidung in Zusammenhang mit einem Vertragsabschluss den Interessen der betroffenen Person entspricht.