Informationen zu Datenschutz und Sicherheit finden Sie hier. Falls Sie eine Frage haben, zögern Sie bitte nicht, uns zu kontaktieren unter [email protected]

Wissenszentrale Datenschutz

Wir haben datenschutz- und sicherheitsrelevante Themen in verschiedene Abschnitte gegliedert, um Ihnen die Suche nach den gewünschten Informationen zu erleichtern. Wenn Sie etwas Bestimmtes vermissen, schreiben Sie uns bitte eine Nachricht an  [email protected].

Datenschutz

allgemein

Was ist Datenschutz?

Gesetze nach Land

Säulen des Datenschutzes

Aufzeichnung der Verarbeitungstätigkeiten

ROPA EU

ROPA Schweiz

ROPA Brasilien

Datenschutzmanagement

Was ist ein Managementsystem?

Was ist ISO27701?

Was ist SDM?

Cybersicherheit & TOM

ISO27001

BDSG

TISAX

NIST

Alles zum Datenschutz

Was bedeutet Datenschutz?

In unserer heutigen globalisierten und digitalisierten Welt spielen Daten eine herausragende Rolle. So versteht man Daten teilweise auch als wertvollste Ressource des 21. Jahrhunderts. Insbesondere Personendaten stehen dabei im Zentrum und werden heute in vielerlei Hinsicht genutzt. Beispielsweise besteht in wirtschaftlicher Hinsicht ein materieller Wert an Personendaten, die genutzt werden, um Konsumentenverhalten zu analysieren und gestützt darauf Werbestrategien anzupassen. Hierfür werden ganze Persönlichkeitsprofile erstellt, welche umfangreiche Angaben enthalten und jedes Detail einer Person umfassen können.1

Ebenso können Personendaten auch von Arbeitgebenden genutzt werden, um das Arbeitsverhalten ihrer Arbeitnehmenden zu ermitteln, beispielsweise um Effizienz zu steigern. Der Nutzen solcher Daten ist somit enorm und ihr Wert wird nicht selten unterschätzt.
Umso wichtiger ist und wird deshalb auch der Datenschutz. Doch was bedeutet Datenschutz eigentlich und gibt es hierzu eine Definition?

Unter Datenschutz versteht man in erster Linie das Recht einer Person, dass ihre personenbezogenen Daten geschützt sind. Sodann kann Datenschutz aus verschiedenen Perspektiven betrachtet werden und enthält mehrere Teilgehalte. Ein Teil des Datenschutzrechts ist die sog. Informationelle Selbstbestimmung. Dabei kommt einer Person das Recht zu, selbst bestimmen zu können, was mit ihren Daten geschieht, d.h. selbst entscheiden zu können, wer sie erheben, sie speichern, auf sie zugreifen oder sonst wie verarbeiten kann. Datenschutz umfasst somit auch einen Schutz vor Missbrauch bei der Datenverarbeitung, wodurch eine Person vor ungerechtfertigten Verarbeitungen eigener Daten geschützt ist. Sodann wird der Datenschutz auch als Teilgehalt des Rechts auf Privatsphäre und des Rechts auf Persönlichkeitsschutz verstanden.

Somit stehen stets zwei Interessen gegenüber. Einerseits hat ein Datenverantwortlicher, d.h. jemand der für die Verarbeitung von Daten verantwortlich ist, Interesse an dieser Verarbeitung (beispielsweise ein wirtschaftliches oder aus Gründen der Meinungsäusserung). Andererseits hat die betroffene Person, deren Daten verarbeitet werden, ein Interesse an deren Schutz.

Um ein umfangreiches Bild zum Datenschutz im Allgemeinen zu erhalten, bietet es sich an, die Entstehungsgeschichte etwas näher zu betrachten. Insbesondere mit der Fülle an rechtlichen Grundlagen ist es oft schwer, einen Einstieg in das Thema zu finden, weswegen ein Querschnitt durch die Historie hier Abhilfe schaffen soll.

Historischer Hintergrund und Entwicklung des Datenschutzes in Europa 2

Mit dem Ende des Zweiten Weltkriegs und den Gräueltaten, die dabei stattfanden, entstand insbesondere in Europa ein Bedürfnis danach, grundlegende Rechte des Individuums zu verankern. Ausdruck dieses Bedürfnisses ist die am 10. Dezember 1948 von der Generalversammlung der Vereinten Nationen verabschiedete Allgemeine Erklärung der Menschenrechte (AEMR). Als Erklärung ist die AEMR zwar keine rechtlich bindende Grundlage, nichtsdestotrotz war ihre Entstehung ein Meilenstein für die Entwicklung der Menschenrechte weltweit. In Europa wurde, um die Ideale der AEMR umzusetzen, am 4. November 1950 die Europäische Menschenrechts Konvention (EMRK) unterzeichnet. Als Völkerrechtlicher Vertrag bindet die EMRK die 46 Mitglieder des Europarats. Dies umfasst alle Mitgliedstaaten der EU sowie beinahe alle Länder in Europa (mit den Ausnahmen Weissrussland und Russland).

Sowohl die AEMR als auch die EMRK, welche stark an die Erstere angelehnt ist, erfassen das Recht auf ein Privatleben (Art. 12 AEMR sowie Art. 8 EMRK). Aus diesem Recht auf Privatleben und Privatsphäre leitet sich auch der Schutz der persönlichen Daten ab (vgl. oben). Dieser Schutz beruht auf der Tatsache, dass insbesondere auch persönliche Daten genutzt wurden, um die Verbrechen des Zweiten Weltkriegs zu verüben.

Im Verlauf des 20. Jahrhunderts wuchs die Bedeutung des Datenschutzes stetig. Durch die Verbesserung der Leistungsfähigkeit von Computern, erhöhte sich auch das Volumen an Daten, die verarbeitet werden konnten. Während anfangs nur eine Handvoll Computer weltweit existierten, verbreiteten sich Computer zudem rapide, sodass bald jeder einen PC besass und heute jeder ein Smartphone mit sich trägt. Durch die heutigen Dienstleistungen wie Cloud-Computing und dgl. wird der Fluss von Daten und deren Verarbeitung immer komplexer, sodass der Schutz der Privatsphäre und der Datenschutz ebenfalls komplexer und schwieriger einzuhalten wird.

Um diesen Entwicklungen zu begegnen, entstanden in den 1980er Jahren die ersten Bestrebungen den Datenschutz zu gewährleisten. Neben den unverbindlichen von der OECD formulierten Leitlinien für den Schutz des Persönlichkeitsbereichs und den grenzüberschreitenden Verkehr personenbezogener Daten, vereinbarte der Europarat die Europäische Datenschutzkonvention (Konvention SEV 108). Hiermit verpflichteten sich die unterzeichneten Staaten die Grundsätze der Konvention in ihr nationales Recht zu überführen. Ziel war es, ein einheitliches Datenschutzniveau zu schaffen und den grenzüberschreitenden Datenverkehr zu regeln. Doch die SEV 108 wurde nur vereinzelt von gewissen Staaten ratifiziert und oftmals wurde dabei ein fragmentarischer Ansatz gewählten. Im Anbetracht dessen erliess die EU in den 1990er Jahren die Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr. Dadurch verpflichteten sich die EU-Mitgliedstaaten die darin beschriebenen Mindeststandards durch nationales Gesetz sicherzustellen.

Der Datenschutz wurde in Europa im Laufe der Zeit immer weiter ausgebaut. So wurde der Schutz personenbezogener Daten in Art. 8 der EU-Grundrechtscharta verankert, die Ende der 90er Jahre entstand, im Jahr 2000 vom Europäischen Rat und Europäischen Parlament Zustimmung erhielt und 2009 durch den Vertrag von Lissabon rechtliche Wirkung erhielt. Eine weitere wichtige Rechtsgrundlage sind die ePrivacy-Richtlinien, auch Cookie-Richtlinien genannt, die die Verwendung von Cookies regeln sowie Mindeststandards des Datenschutzes im Bereich der Telekommunikation setzen.

Seit dem 25. Mai 2018 ist die Datenschutz-Grundverordnung (DSGVO) in Kraft. Die EU-Verordnung ersetzt die Richtlinie 95/46/EG und vereinheitlicht den Schutz personenbezogener Daten und den Datenverkehr im europäischen Binnenmarkt. Um auch Nicht-EU-Staaten an den neuen rechtlichen Standard anzupassen und den technologischen Entwicklungen der letzten Jahre und Jahrzehnte gerecht zu werden, wurde die SEV 108 zur sog. SEV 108+ überarbeitet. Die Annahme und Ratifikation stehen jedem Land zu. Da die neue Fassung allerdings von noch zu wenigen Staaten ratifiziert wurde, verzögert sich deren Inkrafttreten bis zum Herbst 2023. 3

Begriffserklärungen

Wie in so vielen Rechtsgebieten, gibt eine solche konsentierte Definition, wie sie oben genannt ist, oft nicht abschliessend Aufschluss über alle Fragen, die man möglicherweise in Bezug auf das Thema haben könnte. So stellen sich insbesondere Fragen wie: Was sind personenbezogene Daten? Was heisst Datenverarbeitung? Und wer gilt alles als geschützte Person? Hinzukommt, dass aufgrund der unterschiedlichen Rechtsauffassungen und Auslegungen der verschiedenen Staaten dieser Welt stets Unterschiede bestehen. Vorliegend sind insbesondere die Datenschutz-Grundverordnung der EU (DSGVO) und das schweizerische Bundesgesetz über den Datenschutz (DSG) relevant. Trotz allfälliger Unterschiede gilt es, einige wichtige Begriffe für das nötige Grundverständnis zu erläutern:

Personendaten

Datenschutz ist der Schutz von Personendaten. Doch was sind Personaldaten und was kann man sich unter dem Begriff vorstellen? Die DSGVO definiert personenbezogenen Daten in Art. 4 als: „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen“. Das DSG definiert Personendaten als: „alle Angaben, die sich auf eine bestimmte oder bestimmbare Person beziehen“ (Art. 3 lit. a DSG bzw. Art. 5 lit. a revDSG). Daraus lässt sich schnell erkennen, dass der Begriff enorm weit gefasst ist. Der Begriff „alle Informationen“ ist wörtlich zu verstehen. So fällt vom Namen einer Person, über ihren Aufenthaltsort, bis hin zu Informationen über ihre letzte Online-Bestellung alles unter den Begriff „Personendaten“ bzw. „personenbezogenen Daten“. Entscheidend ist, dass es sich dabei um Informationen handelt, die einen Bezug zu einer bestimmten oder bestimmbaren Person haben, sodass man die Daten einer Person zuordnen könnte. So sind beispielsweise Daten über die Durchschnittsgrösse einer Bevölkerung noch keine personenbezogenen Daten. Lässt sich aber ableiten, wer in einer Ortschaft wie gross ist, weil man die Daten einer Person zuordnen kann, so gelten sie als Personendaten bzw. personenbezogene Daten.

Geschützte Personen

Ebenso wichtig ist die Frage danach, wer denn vom Datenschutz geschützt wird. Hier bestehen allerdings schon die ersten Differenzen zwischen schweizerischem und europäischem Datenschutzrecht. Während in der DSGVO von natürlichen Personen die Rede ist, d.h. alle Menschen, schützt das DSG momentan auch juristische Personen, also auch Firmen und Gesellschaften. In jedem Fall werden natürliche Personen unter beiden Gesetzen geschützt. Mit der Revision des DSG wird sich dies allerding ändern. Zukünftig werden auch in der Schweiz nur natürlicher Personen geschützt sein (Art. 5 lit. b revDSG). Ungeachtet der Rechtsordnungen gilt aber grundsätzlich: jeder Mensch ist geschützt.

Datenverarbeitung

Der Datenschutz schützt also natürliche Personen und ihre Personendaten. Zu erläutern ist also noch, vor was geschützt wird. Wiederrum sind die Begriffserklärungen der DSGVO und des DSG sehr ähnlich. Während die DSGVO Verarbeitung als „jeden […] Vorgang oder jede […] Vorgangsreihe im Zusammenhang mit personenbezogenen Daten […] definiert, bezeichnet das DSG Bearbeitung als „jede[n] Umgang mit Personendaten […]“. Entsprechend dieser breit gefassten Definitionen ist Datenverarbeitung zu verstehen. Werden also Daten in irgendeiner Weise bearbeitet, gespeichert oder gelöscht, so liegt eine Datenverarbeitung vor. 

Umfang des Datenschutzes 4

Vor diesem Hintergrund stellt sich nun die Frage, wann personenbezogenen Daten verarbeitet werden dürfen und wann nicht. Dürfen Daten denn nie oder eben immer verarbeitet werden oder gibt es Rechtfertigungsgründe oder Grenzen? Kann man über den Willen eines Betroffenen hinaus Daten verarbeiten und wie lässt sich das mit dem persönlichen Schutzanspruch des Einzelnen vereinbaren? Spätestens hier ist nun die verschiedenen Rechtordnungen in Bezug auf Datenschutzrecht gesondert zu betrachten.

Datenschutz in den verschiedenen Rechtsordnungen

Datenschutz im europäischen Recht

Entscheidendes Merkmal der DSGVO ist, dass jede Verarbeitung von personenbezogenen Daten für ihre Rechtmässigkeit eine von sechs Bedingungen erfüllen muss. Der Ausgangspunkt besteht also darin, dass Datenverarbeitung grundsätzlich nicht erlaubt ist, ausser sie kann gerechtfertigt werden. Rechtfertigende Bedingungen sind:

  1. Einwilligung der betroffenen Person

Die betroffene Person, deren Personendaten für einen bestimmten Zweck verarbeitet werden, hat hierzu ihre Einwilligung gegeben. Die Einwilligung muss freiwillig erfolgen, klar von anderen Angelegenheiten abgrenzbar sein, verständlich sein und in klarer und einfacher Sprache abgegeben worden sein.

  1. Erfüllung eines Vertrags, an dem die betroffene Person beteiligt ist.

Datenverarbeitung kann notwendig sein, um einen Vertrag zu erfüllen. Beispielsweise muss ein Unternehmen die Daten eines Kunden verarbeiten, um eine Dienstleistung erbringen zu können. 

  1. Erfüllung einer rechtlichen Verpflichtung

Hierbei muss es sich um eine gesetzliche Pflicht handeln, die durch EU-Recht oder durch Recht eines EU-Mitgliedstaates stipuliert wird. Eine Berufung auf eine vertragliche Pflicht oder auf eine Pflicht, die durch Recht eines Drittstaates gesetzt wird, genügt nicht. 

  1. Schutz lebenswichtiger Interessen der betroffenen oder einer anderen natürlichen Person

Die Datenverarbeitung ist notwendig, um das Überleben der Person zu gewährleisten. Diese Bedingung sollte nur in absoluten Notfällen eine legitime Grundlage darstellen. Ein Beispiel hierfür ist, sich die Information über die Blutgruppe einer nicht ansprechbaren Person zu beschaffen, um eine lebensrettende Bluttransfusion durch führen zu können. 

  1. Wahrnehmung einer Aufgabe, welche im öffentlichen Interesse liegt oder Ausübung öffentlicher Gewalt

Ein öffentliches Interesse, welches auch durch den Gesetzgeber definiert sein könnte, erfordert die Datenverarbeitung.

  1. Wahrung berechtigter Interessen des Verantwortlichen bzw. eines Dritten

Ein berechtigtes Interesse kann nur dann Datenverarbeitung rechtfertigen, falls die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person am Schutz ihrer Daten nicht überwiegen. Es ist also eine Interessenabwägung zwischen den Schutzinteressen des Betroffenen und den Interessen des Verantwortlichen abzuhandeln. Da in der Regel die Interessen der betroffenen Personen stärker gewichtet werden, gilt diese Bedingung als eine Auffangrechtfertigung, für den Fall, dass keine andere greift.

Ohne eine der genannten Bedingungen ist Datenverarbeitung unter der DSGVO nie rechtmässig und kann unter Umständen mit hohen Bussen bestrafft werden.

Datenschutz im schweizerischen Recht

Das Datenschutzrecht in der Schweiz unterliegt momentan einem Wandel. Das heute geltende DSG wurde totalrevidiert und die neue Fassung tritt voraussichtlich am 1. September 2023 in Kraft. Die Revision verfolgt mehrere Ziele. In erster Linie sollen technologischen und gesellschaftlichen Veränderung begegnet werden. Insbesondere soll die Selbstbestimmung und die Transparenz in der Datenverarbeitung gestärkt werden. Die Revision ist allerdings auch eine Antwort auf die rechtliche Entwicklung des Datenschutzes in der EU und in Europa. So soll die Ratifizierung der Konvention 108+ (siehe oben) ermöglicht werden, die Schengen-relevante Richtlinie (EU) 2016/680 über den Datenschutz in Strafsachen zum Datenschutz in Strafsachen umgesetzt werden und es soll eine Anpassung in Richtung DSGVO stattfinden. Ohne diese Veränderung würde die Schweiz von der EU künftig nicht mehr als Drittstaat mit genügendem Datenschutzniveau anerkannt werden. 5

Auch die Schweiz hat als Teil des Europarats die EMRK ratifiziert und ist an die darin verankerten Grundrechte gebunden. Parallel sieht auch die Schweizerische Bundesverfassung in ihrem Grundrechtskatalog den Schutz der persönlichen Freiheit und Privatsphäre und den Schutz vor Missbrauch persönlicher Daten vor. Somit ist das DSG Ausdruck und Umsetzung dieser Grund- und Menschenrechte.

Das aktuelle DSG der Schweiz nimmt im Vergleich zur DSGVO gewissermassen einen gegenteiligen Ansatz im Bezug zu wann Datenverarbeitung erlaubt ist und wann nicht. Statt Datenverarbeitung grundsätzlich zu verbieten und mittels Rechtfertigungsgründen zu erlauben, sieht das DSG vor, dass die Bearbeitung von Daten erlaubt ist, sofern sie nicht die Persönlichkeit der betroffenen Person widerrechtlich verletzt. Allerdings verlangt auch das DSG einen Rechtfertigungsgrund in Form einer Einwilligung eines überwiegenden privaten oder öffentlichen Interesses oder eines Gesetzes, sodass die Datenverarbeitung keine widerrechtliche Persönlichkeitsverletzung darstellt. Entscheidender Unterschied zur DSGVO ist jedoch der Ausgangspunkt und die anfängliche Vermutung.

Datenschutz in Deutschland

In Deutschland gilt auf nationaler Ebene der Datenschutz seit dem Volkszählungsurteil von 1983 als Teil der informationellen Selbstbestimmung als Grundrecht. Dies wird aus dem allgemeinen Persönlichkeitsrecht und der Menschenwürde hergeleitet. Als EU-Mitgliedstaat gilt Deutschland selbstverständlich die DSGVO. Ergänzt wird sie durch das Bundesdatenschutzgesetz (BDSG) und die Landesdatenschutzgesetze. 6

Datenschutz in den USA

Als eng mit unserer globalisierten und digitalisierten Welt verknüpftes Thema ist es wohl kaum möglich Datenschutz länderspezifisch isoliert zu betrachten. Grosse Unternehmen arbeiten international und müssen sich an die jeweiligen Vorschriften der Staaten halten, in denen sie tätig sind. Dadurch spielt auch der internationale Datenverkehr und die hierfür einschlägigen Bestimmungen eine hervorgehobene Rolle. Viele internationale Technologiefirmen, die Daten in grossem Stil verarbeiten, kommen aus den USA. Ein Blick auf den dortigen Datenschutz ist entsprechend unausweichlich.

Der Datenschutz der USA unterscheidet sich fundamental von jenem in Europa. Während hier Datenschutz als Grundrecht mehrfach verankert ist und durch die DSGVO eine europaweite Vereinheitlichung besteht, wird in den USA regelrecht von einem Flickenteppich von Datenschutzgesetzen gesprochen. 7 Als einen Ursprung ist das Urteil Griswold vs. Connecticut aus dem Jahr 1965 zu nennen, in welchem das Recht auf Privatsphäre als Schutz der Verfassung erklärt wurde. 8 Nichtsdestotrotz ist dieses Recht in Bezug auf Personendaten nur sehr fragmentarisch geschützt, und nur schwach rechtlich umgesetzt worden.

Je nachdem, wer Daten verarbeitet, sind andere Bundesgesetze relevant. Was die Datenverarbeitung durch Behörden angeht, so stehen Bürgern durch den Privacy Act von 1974 gewisse Rechte zu, beispielsweise das Betroffene Einsicht in die gespeicherten Daten erhalten können. Daneben besteht jedoch seit 2001 der USA PATRIOT Act, mit welchem es der US-Regierung und deren Behörden ermöglicht wurde, Personendaten bei bereits vagem Verdacht auf Terrorismus zu verarbeiten. Problematisch ist insbesondere, dass neben US-Unternehmen auch deren Tochterunternehmen, welche sich im Ausland befinden, verpflichtet werden Daten herauszugeben. Dieser Umstand führt bis heute zu enormen Konflikten, da die Herausgabe dieser Daten in den jeweiligen Ländern unter Umständen untersagt ist. 9

Werden Daten allerdings durch Private verarbeitet, so bestehen andere Rechtsgrundlagen, die für den Datenschutz relevant sein können. Insbesondere ist der Federal Trade Comission (FTC) Act nennenswert. Die Bundesbehörde FTC ist als Wettbewerbsbehörde einerseits mit dem Schutz eines lauteren und fairen Marktes beauftragt, anderseits nimmt sie ebenso Aufgaben des Verbraucherschutzes wahr. 10 Im Falle, dass ein Unternehmen von seinen eigenen Datenschutzhinweisen und -richtlinien abweicht, kann die FTC aktiv werden, da eine solche Abweichung als irreführend und unlauter Wettbewerb beurteilt werden kann. Somit werden Unternehmen für Verstosse gegen ihre eigenen Vorschriften zur Rechenschaft gezogen.

Zu erwähnen sind des Weiteren einige spezifische Regelungen wie beispielsweise Children’s Online Protection of Privacy Act (COPPA) oder der Health Insurance Portability and Accountability Act (HIPAA), wobei für Datenschutzregelungen für gewisse Teilgebiete geschaffen wurden.

Auf Bundesstaatlicher Ebene besteht lediglich in Kalifornien ein umfassendes Datenschutzgesetz (California Consumer Privacy Act; CCPA). Es gewährleistet Konsumenten bestimmte Rechte z.B. auf Einsicht und Löschung ihrer Daten und verpflichtet Unternehmen zu gewissen Sicherheitsvorkehrungen im Umgang mit Personendaten. Mit dem CCPA und der DSGVO als Vorbild beginnen auch andere Gliedstaaten im Bereich des Datenschutzes mitzuziehen. Ein effektiver Schutz bleibt aber nach wie vor gering. 11