Datenschutz Informationspflichten nach dem revDSG
Nach dem Bundesgesetz über den Datenschutz in der Fassung vor dem 01. September 2023 (DSG) waren die Inhaber einer Datensammlung lediglich dazu verpflichtet, die Betroffenen bei der Beschaffung von besonders schützenswerten Personendaten und der Erstellung von Persönlichkeitsprofilen zu informieren. Das revisionierte Datenschutzgesetz mit Gültigkeit ab dem 01. September 2023 (revDSG) legt dem Verantwortlichen weitergehende Informationspflichten auf. Künftig sind Betroffene grundsätzlich über die Beschaffung von Personendaten zu informieren, unabhängig davon, ob es sich dabei um besonders schützenswerte Daten handelt oder nicht.
Umfang der Informationspflichten nach dem revDSG:
Obligatorische Angaben
Laut Art. 19 Abs. 1 revDSG hat der Verantwortliche die betroffenen Personen angemessen über die Beschaffung von Personendaten zu informieren; diese Informationspflicht gilt auch, wenn die Personendaten nicht bei der betroffenen Person beschafft werden. Zu den obligatorischen Angaben gehört nach Art. 19 Abs. 2 ff revDSG mindestens:
- Identität und Kontaktdaten des Verantwortlichen;
- Bearbeitungszwecke;
- Die Empfänger oder Empfängerkategorien, denen Personendaten bekanntgegeben wurden;
- Die Kategorien der bearbeiteten Personendaten, sofern diese nicht direkt bei der betroffenen Person beschafft wurden;
- Werden Personendaten ins Ausland bekanntgegeben, so sind die empfangenden Staaten oder internationale Organisationen sowie ggf. die Garantien zum Schutz der Personendaten nach Art. 16 bzw. Ausnahmen nach Art. 17 revDSG mitzuteilen.
Ergänzend müssen Verantwortliche nach Art. 21 revDSG darüber informieren, ob eine Entscheidung ausschliesslich auf einer automatisierten Bearbeitung beruht und für die betroffene Person mit Rechtsfolgen verbunden ist oder erheblich beeinträchtigend ist.
Optionale Angaben
Die Datenschutzhinweise sollen alle Informationen enthalten, die die betroffene Person benötigt, um ihre Rechte nach dem revDSG geltend machen zu können. Um diesem Charakter gerecht zu werden, könnten mit den Betroffeneninformation folgende ergänzende optionale Angaben gemacht werden:
- Informationen zu den Rechten der betroffenen Personen nach dem revDSG;
- Die Kontaktdaten der Stelle beim Verantwortlichen, bei der die betroffene Person ihre Betroffenenrechte in Anspruch nehmen kann (z.B. Auskunftsbegehren, Anträge auf Berichtigung oder Löschung von Personendaten);
- Die Kontaktdaten der Stelle, bei der die betroffene Person eine manuelle Überprüfung automatisierter Einzelentscheidung beantragen kann;
- Sofern eine Datenbearbeitung auf der Einwilligung des Betroffenen basiert, alle Angaben, die die betroffene Person für eine informierte Entscheidung über die Einwilligung benötigt;
- Hinweise, wie die betroffene Person eine einmal erteilte Einwilligung widerrufen oder den Erhalt von Massenwerbung in einer bestehenden Kundenbeziehung ablehnen kann.
Angabe von Einzeldaten oder Kategorien
Art. 6 Abs. 1 und 2 revDSG formulieren für den Datenschutz den Grundsatz der Transparenz. Nach Art. 13 der Verordnung über den Datenschutz vom 31. August 2022 (VDSG) muss diese Informationen leicht zugänglich und verständlich sein. Mit dem Urteil C-154/21 zur Information über die Empfänger oder Kategorien von Empfängern bei Auskunftsersuchen stellte der Europäische Gerichtshof (EuGH) fest, dass Art. 15 Abs. 1 lit. c) DS-GVO so auszulegen ist, dass bei Auskunftsanfragen «der betroffenen Person die Identität der Empfänger mitzuteilen [ist], es sei denn, dass es nicht möglich ist, die Empfänger zu identifizieren […]; in diesem Fall kann der Verantwortliche der betroffenen Person lediglich die Kategorien der betreffenden Empfänger mitteilen.» Zudem wies der EuGH darauf hin, dass jede Verarbeitung von Personendaten mit den aufgestellten Grundsätzen im Einklang stehen müsse. Die Entscheidungen des EuGH sind in der Schweiz nicht anwendbar. Dennoch haben sich die Schweizer Bundesgerichte in der Vergangenheit an der Auslegung des EuGH zu Datenschutzfragen orientiert (vgl. bspw. Bundesgericht Urteil 136 II 508 – 08.09.2010 zu IP-Adressen als Personendaten). Somit kann es für Schweizer Verantwortliche im Interesse einer transparenten Datenschutzinformation nach dem revDSG analog zum o.g. EuGH Urteil sinnvoll sein, sich nicht auf die Benennung von Empfängerkategorien zu beschränken, sondern die Empfänger im Einzelnen benennen.
Modalitäten der Informationspflicht:
Die Information nach Art. 19 revDSG ist bei der Beschaffung von Personendaten zu erteilen, also zu Beginn einer Datenbearbeitung, wenn Personendaten erhoben/erfasst werden. Eine einmalige Information genügt: Laut Art. 20 Abs. 1 lit. a revDSG muss dann nicht erneut informiert werden, wenn die betroffene Person bereits über die entsprechenden Informationen verfügt. Art. 13 VDSG weist darauf hin, dass der Verantwortliche die Betroffeneninformation „in präziser, transparenter, verständlicher und leicht zugänglicher Form mitteilen“ muss.
Ausnahmen der Informationspflicht:
In bestimmten Fällen entfällt die Informationspflicht. Zum Beispiel nach Art. 20 revDSG, wenn die Datenbearbeitung gesetzlich vorgesehen ist, der Verantwortliche gesetzlich zur Geheimhaltung verpflichtet ist oder das Medienprivileg nach Art. 27 revDSG in Anspruch nehmen kann und die Personendaten ausschliesslich zur Veröffentlichung im redaktionellen Teil eines periodisch erscheinenden Mediums verarbeitet werden oder in diesem Zusammenhang ausschliesslich als persönliches Arbeitsinstrument dienen.
Eine Informationspflicht besteht ebenso nicht, wenn Personendaten über Dritte erhoben wurden und die Information der Betroffenen unmöglich ist oder einen unverhältnismässig großen Aufwand erfordert.
Auf die Mitteilung der Information kann ausserdem verzichtet werden, wenn dies die Zwecke der Datenbearbeitung vereiteln würde oder überwiegende Interessen des Verantwortlichen oder eines Dritten gegen die Mitteilung sprechen.
Informationspflicht und Auskunftsanfragen nach Art. 25 revDSG:
Die Betroffeneninformationen nach Art. 19 revDSG sind proaktiv bei jeder Beschaffung von Personendaten zu erteilen. Auskunftsanfragen nach Art. 25 revDSG werden hingegen nur auf Anfrage der betroffenen Person erteilt, sind jedoch weitreichender als die Betroffeneninformationen. Ergänzend zu den Angaben nach Art. 19 revDSG sind daher bei Beantwortung einer Auskunftsanfrage u.a. folgende weitere Angaben zu machen:
- die Aufbewahrungsdauer der Personendaten oder, falls dies nicht möglich ist, die Kriterien zur Festlegung dieser Dauer;
- die verfügbaren Angaben über die Herkunft der Personendaten, soweit sie nicht bei der betroffenen Person beschafft wurden;
- gegebenenfalls das Vorliegen einer automatisierten Einzelentscheidung sowie die Logik, auf der die Entscheidung beruht.
Folgen bei der Verletzung von Informationspflichten:
Die vorsätzliche Verletzung von Informations- und Auskunftspflichten nach dem revDSG ist eine Straftat, die auf Antrag verfolgt wird. Demnach kann mit Busse bis zu 250’000 Franken bestraft werden, wer die Pflichten nach Art. 19 revDSG (Informationspflicht), Art. 21 revDSG (Informationspflicht bei automatisierten Einzelentscheidungen) und Artt. 25–27 revDSG (Auskunftspflichten) verletzt, indem vorsätzlich falsche oder unvollständige Auskünfte erteilt werden. Bestraft werden kann auch, wer es vorsätzlich unterlässt, die betroffene Person nach den Art. 19 Abs. 1 und Art. 21 Abs. 1 revDSG zu informieren, oder es unterlässt die Angaben nach Art. 19 Abs. 2 revDSG zu liefern.