Häufig gestellte Fragen zum Datenschutz
Von A bis Z
AHV-Nummer
Die Schweiz hat 2017 den globalen Standard für den internationalen automatischen Informationsaustausch in Steuersachen (AIA) umgesetzt. Er regelt, wie die Steuerbehörden der daran teilnehmenden Länder untereinander Daten über Konten und Wertschriftendepots von Steuerpflichtigen austauschen. Weil die AHV-Nummer als Steueridentifikationsnummer für natürliche Personen gilt, dürfen Finanzinstitute wie beispielsweise Banken gestützt auf Art. 20 des Bundesgesetzes über den internationalen automatischen Informationsaustausch in Steuersachen (AIAG) zwecks Erfüllung ihrer Pflichten die AHV-Nummer einer natürlichen Person erheben und den zuständigen Behörden übermitteln (vgl. dazu die weiterführenden Informationen der Eidgenössischen Steuerverwaltung [ESTV]).
Arbeit
Da die fotografische Abbildung einer Mitarbeiterin oder eines Mitarbeiters Rückschlüsse z. B. auf Religion, Rassenzugehörigkeit oder eine körperliche Beeinträchtigung zulässt und in der Regel gar nicht nötig ist, darf Sie nur mit dem Einverständnis der betroffenen Person im Inter- oder Intranet abgebildet werden. Das gilt auch für Fotos von Anlässen (z. B. Weihnachtsfeiern, Betriebsausflüge etc.). Grundsätzlich sollte im Vorfeld evaluiert werden, ob die Veröffentlichung der Fotografien der Angestellten für die Aufgabenerfüllung erforderlich ist oder nicht.
Personalbeurteilungen sind arbeitsplatzrelevant und dürfen sowohl während als auch nach Beendigung des Arbeitsverhältnisses im Personaldossier aufbewahrt werden. Die Bearbeitung und Aufbewahrung der Beurteilung ist insbesondere für die Angestellten von grossem Interesse, da sie bis zum Ablauf der Verjährungsfrist einen Anspruch auf ein Schlusszeugnis haben. Die Verjährungsfrist beträgt nach vorherrschender Auffassung 10 Jahre (Art. 127 Obligationenrecht, OR). Dies bedeutet, dass der oder die Arbeitnehmende ein Zeugnis 10 Jahre nach seiner Ausstellung noch gerichtlich anfechten kann. Beim Verfassen eines Arbeitszeugnisses kommen in der Regel nur die zwei letzten Mitarbeiterbeurteilungen in Frage. Frühere Beurteilungen sind regelmässig aus dem Personaldossier zu entfernen und zu vernichten.
Der Personaldienst benötigt in der Regel für die Erfüllung seiner üblichen Geschäfte die Gesamtheit der Beurteilung (Persönlichkeitsprofil) nicht. Aus Lohnbewirtschaftungsgründen ist er jedoch berechtigt, das Endresultat einer Mitarbeiterbeurteilung beizuziehen. Er darf darüber hinaus in Ausnahmefällen und aufgrund besonderer Pflichten weitere Informationen aus dem Qualifikationsgespräch benutzen, sofern dies aus organisatorischen Gründen nötig ist.
Mitarbeiterbeurteilungen müssen demzufolge grundsätzlich in einem verschlossenen Couvert im Personaldossier aufbewahrt werden.Was die informatikunterstützte Bewirtschaftung der Mitarbeiterbeurteilungen betrifft, wird die Verschlüsselung der elektronischen Qualifikationsformulare sowohl bei der Übermittlung als auch in der entsprechenden Datenbank empfohlen.
Ja. Der Arbeitgeber kann beispielsweise die Weisung ausgeben, dass die Angestellten das Telefon und/oder die E-Mail nur für geschäftliche Zwecke verwenden dürfen. Die Einschränkung privater Surftouren kann mittels Sperrung unerwünschter Internetangebote (Börse, Erotikseiten etc.) oder Festlegung eines Zeitpunktes ab dem eine Private Internetnutzung erlaubt ist (z.B. während Pausen, oder ab 18.00 Uhr), erfolgen.
Hauptsächlich mit technischen Schutzmassnahmen. Es gibt keine absolute technische Sicherheit. Technische Schutzmassnahmen können jedoch die Risiken im Zusammenhang mit der Internet- und E-Mail-Nutzung reduzieren.
Durch den Einsatz von solchen Schutzmassnahmen soll der Arbeitgeber frühzeitig mögliche Gefahren für die Sicherheit und Funktionstüchtigkeit des elektronischen Systems verhindern. Die präventive Wirkung dieser Massnahmen soll den Einsatz repressiver Mittel wie die Überwachung weitgehend ersetzen. Zu den wichtigsten technischen Schutzmassnahmen gehören Passwort- und Zugriffsschutz, Antivirus- und Diskquotamanagers, Backups und Firewalls. Zusätzlich sollen die Surf- und Mailprogramme nach dem letzten Stand der Technik installiert und in einer sicherheitsmässigen Form konfiguriert und regelmässig aktualisiert werden.
Der Arbeitgeber darf den Inhalt von als privat gekennzeichneten oder erkennbaren E-Mails selbst dann nicht lesen, wenn die private Nutzung von E-Mail laut Nutzungsreglement verboten ist. Er darf eine Einhaltung des Nutzungsverbots überwachen, jedoch nur aufgrund der Adressierungselemente. Eine systematische Überwachung von E-Mails durch Spionprogramme (Content Scanner) ist nicht zulässig.
Erlaubt ist dem Arbeitgeber die Leistungs- und Geschäftskontrolle. Das systematische Auswerten von geschäftlichen und nicht ausdrücklich als privat gekennzeichneten E-Mail muss jedoch gerechtfertigt und verhältnismässig sein und den Angestellten im Voraus mitgeteilt werden.
Der private Charakter eines Briefs, Pakets oder E-Mails kann aus verschiedenen Elementen hervorgehen: Der Brief, das Paket oder die E-Mail kann ausdrücklich als «privat» gekennzeichnet sein oder anhand der Adressierung als solcher erkennbar sein. Es genügt allerdings nicht, bei einem Brief den Personennamen vor dem Firmennamen voranzustellen, ihn als privat zu kennzeichnen. Es muss noch der ausdrückliche Vermerk (persönlich, privat, c/o etc.) stehen. Wenn allerdings äussere Merkmale darauf schliessen lassen, dass der Brief privater Natur ist (Farbe, Format, etc.), ist der Brief ungeöffnet an die betreffende Person weiterzuleiten. Bei Zweifeln nicht öffnen, sondern (evtl. mit entsprechendem Vermerk) weiterleiten.
Bei E-Mails ist es in der Regel schwieriger, ohne weiteres den privaten Charakter einer Nachricht zu erkennen. Auch hier gilt die Regel: Im Zweifelsfall nicht lesen, da der private Postverkehr einen uneingeschränkten Schutz (Postgeheimnis) geniesst, sondern den Empfänger auf das Problem aufmerksam machen und ihn fragen, ob die betreffende Post privat ist oder nicht.
Wenn ein Angestellter die Firma verlässt, muss ihm die Möglichkeit gegeben werden, alle privaten Elemente aus seinem Postfach mitzunehmen (genauso wie alle anderen persönlichen Daten). Die geschäftlichen Elemente, die weiterhin benötigt werden oder noch in Bearbeitung sind, sind an den Stellvertreter oder zuständigen Vorgesetzten weiterzuleiten. Am Ende des letzten Arbeitstags des betreffenden Angestellten wird sein Postfach geleert und blockiert.
Im Falle einer vorhersehbaren Abwesenheit kann der betroffene Angestellte eine entsprechende Abwesenheitsmeldung festlegen, mit der jede eingehende Nachricht automatisch beantwortet wird. Ausserdem kann eine automatische Weiterleitungsregel definiert werden, die jede eingehende Nachricht an den Stellvertreter übermittelt. Diese Massnahme ist allerdings problematisch, weil erstens nicht ohne weiteres sichergestellt werden kann, dass nicht auch private Elemente weitergeleitet werden, und weil zweitens der Absender keine Möglichkeit hat, die Weiterleitung zu verhindern. Sinnvoller ist daher eine Abwesenheitsmeldung, die die E-Mail-Adresse des Stellvertreters angibt. Auf diese Weise steht es dem Absender frei, die Mail an den Stellvertreter zu senden oder nicht.
Ferner sollte erwogen werden, ob als Ergänzung zu einer personenbezogenen E-Mail-Adresse (hans.meier@firma.ch) die Schaffung einer funktionsbezogenen unpersönlichen Adresse (verkaufsleitung@firma.ch) sinnvoll wäre. Diese Lösung hat mehrere Vorteile: Zum einen ist der geschäftliche Charakter der an diese Adresse gesandten E-Mail sofort ersichtlich; zum anderen haben Personalfluktuationen keine negativen Auswirkungen auf den E-Mail-Verkehr, sofern nur eine bestimmte Person, nicht aber deren Funktion innerhalb der Firma wegfällt.
Das Sekretariat darf die Geschäftspost öffnen. Die private Post, die ein Angestellter an seinem Arbeitsplatz erhält, geniesst einen uneingeschränkten Schutz. Dabei ist es natürlich erforderlich, dass der private Charakter eines Briefes oder Pakets ohne weiteres ersichtlich ist.Der private Charakter eines Briefes oder Pakets kann aus verschiedenen Elementen hervorgehen: Der Brief bzw. das Paket kann ausdrücklich als «privat» gekennzeichnet sein oder anhand der Adressierung als solcher erkennbar sein (Hans Meier, c/o Firma AG). Es genügt allerdings nicht, bei einem Brief den Personennamen vor dem Firmennamen voranzustellen, ihn als privat zu kennzeichnen. Es muss noch der ausdrückliche Vermerk (persönlich, privat, c/o etc.) stehen. Wenn allerdings äussere Merkmale darauf schliessen lassen, dass der Brief privater Natur ist (Farbe, Format, etc.), ist der Brief ungeöffnet an die betreffende Person weiterzuleiten. Bei Zweifeln nicht öffnen, sondern (evtl. mit entsprechendem Vermerk) weiterleiten.
Der Inhalt von Telefongesprächen darf nur aus Gründen der Leistungskontrolle oder aus Sicherheitsgründen aufgezeichnet werden, und auch in diesen Fällen nur dann, wenn die Personen, deren Gespräch aufgezeichnet wird, damit einverstanden sind und jeweils darüber eindeutig und rechtzeitig in Kenntnis gesetzt werden. Ein Verbot, Privatgespräche zu führen, ist mit anderen Mitteln als durch Überwachung von Telefongesprächen durchzusetzen (zum Beispiel, indem Aussenverbindungen durch eine Zentrale vermittelt werden oder nur von bestimmten Anschlüssen aus möglich sind).
Überwachungs- und Kontrollsysteme dürfen nicht zum Zweck eingesetzt werden, das Verhalten der Arbeitnehmer am Arbeitsplatz zu überwachen. Sind Überwachungs- oder Kontrollsysteme aus anderen Gründen (Produktions- oder Sicherheitskontrollen) erforderlich, sind sie insbesondere so zu gestalten und anzuordnen, dass die Gesundheit und die Bewegungsfreiheit der Arbeitnehmer dadurch nicht beeinträchtigt werden.
Weitere Informationen finden Sie hier:
Videoüberwachung am Arbeitsplatz
Videoüberwachungsanlagen können das Wohlbefinden, die psychische Gesundheit und die Produktivität der Angestellten beeinträchtigen.
Die Pflicht zur Aufbewahrung beziehungsweise der Löschung von nicht mehr benötigten Personendaten im Personaldossier wirft bei den verantwortlichen Arbeitgeberinnen und Arbeitgebern verschiedene Fragen und Unsicherheiten auf. Aus datenschutzrechtlicher Perspektive ist insbesondere das Verhältnismässigkeitsprinzip von wesentlicher Bedeutung.
Nach Artikel 328b OR ist nur die Bearbeitung von Personendaten zulässig, die die Eignung der Arbeitnehmerin oder des Arbeitnehmers für das Arbeitsverhältnis betreffen oder zur Durchführung des Arbeitsvertrages erforderlich sind (Arbeitsbezug). Diese Bestimmung unterstreicht die allgemeinen Grundsätze der Datenbearbeitung für das Arbeitsverhältnis, insbesondere die Grundsätze der Verhältnismässigkeit sowie der Zweckbindung (Art. 6 Abs. 2 und 3 DSG).
Das im OR festgehaltene Kriterium der Notwendigkeit für das Arbeitsverhältnis und die datenschutzrechtlichen Grundsätze der Verhältnismässigkeit sowie der Zweckbindung verfolgen dasselbe Ziel: der Arbeitgeber hat nur die notwendigen Personaldaten zu bearbeiten, was auch bedeutet, dass Personendaten gelöscht werden müssen, wenn diese nicht (mehr) notwendig sind oder der Zweck der Datenbearbeitung erfüllt ist.
Aufbewahrungsfrist
Die Dauer der zulässigen Aufbewahrung, d.h. Zeitspanne in welcher eine Speicherung von Personendaten verhältnismässig und zweckgebunden bzw. notwendig für das Arbeitsverhältnis sind, muss auch im Lichte der zivil- und handelsrechtlichen Verpflichtungen des Arbeitgebers beurteilt werden. Das DSG selbst sieht keine Aufbewahrungsfrist vor, sondern legt die allgemeinen Grundsätze der Bearbeitung von Personendaten fest. Die Aufbewahrungsdauer ist je nach Datenkategorie einzeln festzulegen.
Vor dem Arbeitsverhältnis bzw. während des Bewerbungsverfahrens dürfen nur diejenigen Personendaten der Bewerbenden bearbeitet werden, welche die Eignung der Arbeitnehmenden für das Arbeitsverhältnis betreffen. Kommt es zu keiner Anstellung, so kann der Arbeitgeber die Bewerbungsdaten bis zu drei Monate nach Mitteilung der Ablehnung der Bewerbung aufbewahren, um sich im Falle einer Klage gestützt auf einen Anspruch wegen diskriminierender Ablehnung der Anstellung im Sinne des Gleichstellungsgesetzes verteidigen bzw. rechtfertigen zu können (Art. 8 Abs. 2 i.V.m. Art. 5 Abs. 2 GlG). Eventuell rechtfertigt sich auch eine zusätzliche Verlängerung der Aufbewahrungsfrist von einigen Wochen für den Fall einer zeitlich verzögerten Zustellung der Klageschrift durch das Gericht an den beklagten Arbeitgeber.
Während und auch nach dem Ende des Arbeitsverhältnisses sind die verschiedenen Verpflichtungen des Arbeitgebers in Betracht zu ziehen, welche auch von seinem Tätigkeitsbereich abhängen.
In erster Linie ergeben sich aus den arbeitsrechtlichen Verpflichtungen für Arbeitgeber verschiedene Aufbewahrungsfristen, beispielsweise:
- eine Aufbewahrungsfrist von 5 Jahren in Bezug auf die notwendigen Personendaten für die Lohnzahlungspflicht wie Arbeitszeiten, Krankheitsabwesenheiten, Ferien etc. (Art. 322 OR i.V.m. Art. 128 OR);
- eine Aufbewahrungsfrist von 10 Jahren bezüglich der notwendigen Personendaten für die Ausstellung des Arbeitszeugnisses (Art. 330a OR i.V.m. Art. 127 OR).
Weiter hat ein Arbeitgeber in der Regel verschiedene allgemeine Dokumentations- und Aufbewahrungspflichten, insbesondere:
- eine Aufbewahrungsfrist von 10 Jahren in Bezug auf die notwendigen Personendaten im Zusammenhang mit der Buchführungspflicht (Art. 958f OR), namentlich Geschäftsbücher, Buchungsbelege, Geschäfts- und Revisionsbericht;
- eine steuerrechtliche Aufbewahrungspflicht von 10 Jahren für die dafür aufzubewahrenden Unterlagen (Art. 126 Abs. 3 DBG).
Ausserdem können sich aus verschiedenen bereichsspezifischen Verpflichtungen wie Melde-, Offenlegungs- oder Auskunftspflichten (gemäss Geldwäschereigesetz, Bankengesetz usw.) weitere Aufbewahrungsfristen ergeben.
Aufbewahrungsform
Das Datenschutzgesetz enthält auch in Bezug auf die Aufbewahrungsform (in Papierform oder digital) keine spezifischen Vorgaben, wogegen auch hier spezialgesetzliche Vorgaben vorliegen können. Im Steuerrecht können beispielsweise Originalbelege eingefordert werden (vgl. Art. 126 Abs. 2 DBG).
Mit Blick auf die spezialgesetzlichen Aufbewahrungspflichten liegt es im Entscheidungsbereich des Arbeitgebers, diejenige Aufbewahrungsform zu wählen, welche am besten geeignet ist, um den zivil- und handelsrechtlichen Verpflichtungen nachzukommen (beispielsweise in Bezug auf die Beweiskraft von nur digital aufbewahrten Unterlagen im Rahmen eines allfälligen arbeitsrechtlichen Verfahrens). Diese Entscheidungen beruhen jedoch nicht auf datenschutzrechtlichen, sondern vertrags- und prozessrechtlichen Überlegungen.
Aus datenschutzrechtlicher Optik muss der Verantwortliche sicherstellen, dass die datenschutzrechtlichen Grundsätze eingehalten und die Ansprüche und Rechte der Betroffenen (etwa Auskunfts-, Berichtigungs- und Löschungsrechte) gewährleistet werden können. Bei der Wahl eines (ausschliesslich) digitalen Personaldossiers muss dem Grundsatz der Datensicherheit besondere Beachtung geschenkt werden, um die Personaldaten durch angemessene technische und organisatorische Massnahmen vor unbefugten Zugriffen (beispielsweise durch einen Hackerangriff) zu schützen.
Auskunftsrecht
Nein. Jede Person kann beim Verantwortlichen Auskunft darüber verlangen, ob und, wenn ja, welche Personendaten über sie bearbeitet werden, ohne ein Interesse für die Auskunft nachzuweisen oder glaubhaft zu machen.
Der Verantwortliche, das heisst die private Person oder das Bundesorgan, die oder das allein oder gemeinsam mit anderen Zweck und Mittel der Bearbeitung von Personendaten festlegt. Wenn mehrere Verantwortliche gemeinsam Personendaten bearbeiten, können Sie Ihr Auskunftsrecht bei jedem von ihnen ausüben.
Lässt der Verantwortliche Personendaten von einem Auftragsbearbeiter bearbeiten, so bleibt er auskunftspflichtig. Der Auftragsbearbeiter unterstützt den Verantwortlichen bei der Auskunftserteilung, sofern er die Anfrage nicht im Auftrag des Verantwortlichen selbst beantwortet.
Eine von Ihnen bezeichnete Gesundheitsfachperson kann Ihnen mit Ihrer Einwilligung Personendaten über Ihre Gesundheit bekanntgeben.
Die betroffene Person erhält diejenigen Informationen, die erforderlich sind, damit sie ihre Rechte geltend machen kann und die transparente Datenbearbeitung gewährleistet ist.
In jedem Fall werden ihr folgende Informationen mitgeteilt:
a. die Identität und die Kontaktdaten des Verantwortlichen;
b. die bearbeiteten Personendaten als solche;
c. der Bearbeitungszweck;
d. die Aufbewahrungsdauer der Personendaten oder, falls dies nicht möglich ist, die Kriterien zur Festlegung dieser Dauer;
e. die verfügbaren Angaben über die Herkunft der Personendaten, soweit sie nicht bei der betroffenen Person beschafft wurden;
f. gegebenenfalls das Vorliegen einer automatisierten Einzelentscheidung sowie die Logik, auf der die Entscheidung beruht;
g. gegebenenfalls die Empfängerinnen und Empfänger oder die Kategorien von Empfängerinnen und Empfängern, denen Personendaten bekanntgegeben werden, sowie die Informationen nach Artikel 19 Absatz 4 des Datenschutzgesetzes (DSG).
Das Begehren muss schriftlich (oder mit Einwilligung des Verantwortlichen mündlich) eingereicht werden. Die Auskunft muss schriftlich oder in der Form, in der die Daten vorliegen, erteilt werden. Nach Absprache mit dem Verantwortlichen können Sie Ihre Daten vor Ort einsehen. Mit Ihrer Einwilligung kann Ihnen die Auskunft auch mündlich erteilt werden. Das Auskunftsbegehren und die Auskunftserteilung können auf elektronischem Weg erfolgen. Die Auskunft muss in einer verständlichen Form erteilt werden. Der Verantwortliche muss angemessene Massnahmen ergreifen, um Ihre Identität festzustellen. Sie sind zur Mitwirkung verpflichtet.
Der Verantwortliche muss ausserdem sicherstellen, dass Ihre Daten bei der Auskunftserteilung vor dem Zugriff unbefugter Dritter geschützt sind.
Grundsätzlich erteilt der Verantwortliche die Auskunft kostenlos. Ausnahmen sind möglich. Insbesondere, wenn die Auskunftserteilung einen unverhältnismässigen Aufwand erfordert, kann eine angemessene Kostenbeteiligung verlangt werden (höchstens 300 Franken).
Wird eine Beteiligung verlangt, muss die Person, die das Auskunftsbegehren gestellt hat, vor der Auskunftserteilung über die Höhe der Beteiligung informiert werden, damit sie ihr Begehren gegebenenfalls innerhalb von zehn Tagen zurückziehen kann.
Die Auskunft wird in der Regel innerhalb von 30 Tagen nach Eingang des Begehrens erteilt.
Wenn die Auskunft nicht innerhalb von 30 Tagen erteilt werden kann, muss der Verantwortliche Ihnen dies mitteilen und Ihnen die Frist nennen, innerhalb derer die Auskunft erteilt wird.
Wenn der Verantwortliche die Auskunft verweigert, einschränkt oder aufschiebt, muss er dies innerhalb derselben Frist mitteilen.
Grundsätzlich haben Sie das Recht auf eine vollständige Auskunft, das heisst über alle in der Datensammlung enthaltenen Daten, die Sie betreffen. Wenn der Verantwortliche die Auskunft verweigert, einschränkt oder aufschiebt, muss er Ihnen die Gründe dafür mitteilen. Wenn ein Bundesorgan Ihnen die Auskunft verweigert oder nur eingeschränkt Auskunft erteilen will, erfolgt der Entscheid mittels Verfügung.
Wenn Sie der Meinung sind, dass der Verantwortliche seiner Auskunftspflicht nicht oder nur teilweise nachgekommen ist, können Sie die folgendermassen vorgehen:
Falls der Verantwortliche ein Bundesorgan ist, können Sie beim Bundesverwaltungsgericht innerhalb von 30 Tagen eine Beschwerde gegen die Entscheidung einreichen.
Wenn der Verantwortliche eine private Person ist, können Sie zur Durchsetzung des Auskunftsrechts beim zuständigen Gericht ein Gerichtsverfahren (Zivilklage) einleiten.
Für Klagen und Begehren, die sich auf das DSG stützen, ist das Gericht am Wohnsitz oder am Sitz einer der Parteien zuständig. Der Richter entscheidet in einem vereinfachten Verfahren. Bei Streitigkeiten im Zusammenhang mit dem Auskunftsrecht nach dem DSG werden keine Gerichtskosten erhoben. Sie können sich persönlich an das Gericht wenden oder eine Rechtsberaterin oder einen Rechtsberater beiziehen.
Legen Sie Kopien Ihrer Korrespondenz mit dem Verantwortlichen bei.
In der Regel haben Sie Anspruch auf eine vollständige und korrekte Auskunft darüber, welche Daten über Sie bearbeitet werden. Diese Auskunft darf nur verweigert, eingeschränkt oder aufgehoben werden, wenn dies ein Gesetz im formellen Sinn vorsieht oder es aufgrund überwiegender Interessen Dritter notwendig ist.
Private Personen dürfen die Auskunft zudem verweigern, einschränken oder aufschieben, wenn eigene überwiegende Interessen es erfordern und sie die Personendaten nicht Dritten bekanntgeben.
Ist der Datenverantwortliche ein Bundesorgan, kann er ausserdem die Auskunft verweigern, einschränken oder aufschieben, wenn es wegen überwiegender öffentlicher Interessen, insbesondere der inneren oder äusseren Sicherheit der Schweiz, erforderlich ist, oder wenn die Bekanntgabe der Information eine Strafuntersuchung oder ein anderes Untersuchungsverfahren gefährdet.
Wenn der Datenverantwortliche aus einem der oben erwähnten Gründe die Auskunft verweigert, einschränkt oder aufschiebt, muss er die betroffene Person darüber informieren. Er muss seine Entscheidung begründen.
Bearbeitungsreglement
Ein Bearbeitungsreglement – nicht zu verwechseln mit dem Bearbeitungsverzeichnis – muss von privaten Datenbearbeitern erstellt werden, wenn sie eine automatisierte Bearbeitung von besonders schützenswerten Personendaten in grossem Umfang vornehmen oder ein Profiling mit hohem Risiko durchführen.
Das Reglement (in Form eines Handbuchs oder als Dokumentation) macht Angaben zur internen Organisation, z.B. Umschreibung der Systemarchitektur; zu den Datenbearbeitungsverfahren, insbesondere Datenbekanntgaben und Ausübung der Auskunftsrechte; zu den Kontrollverfahren (Berechtigungen) und zu den technischen und organisatorischen Massnahmen der Datensicherheit.
Bearbeitungsverzeichnis
Unternehmen und sonstige privatrechtliche Organisationen mit mehr als 250 Mitarbeitenden sowie Bundesorgane müssen ein Verzeichnis der Bearbeitungstätigkeiten führen.
Kleinere Unternehmen und privatrechtliche Organisationen sowie natürliche Personen müssen ebenfalls ein Bearbeitungsverzeichnis führen, wenn sie besonders schützenswerte Personendaten in grossem Umfang bearbeiten oder ein Profiling mit hohem Risiko durchgeführt wird.
Achtung: auch wenn ein Unternehmen von der Pflicht zur Führung eines Bearbeitungsverzeichnisses ausgenommen ist, gelten die übrigen Bestimmungen des Datenschutzgesetzes, insbesondere Auskunfts- und Informationspflichten, trotzdem
Aus dem Verzeichnis des Verantwortlichen sollten folgende Angaben ersichtlich sein:
- Bearbeitungsvorgang – z.B. HR, Kundinnenbetreuung, Finanzen, Marketing…
- Zweck der Bearbeitung – warum werden die Daten benötigt?
- Kategorien betroffener Personen – z.B. Kundinnen, Mitarbeiterinnen…
- Kategorien bearbeiteter Personendaten – z.B. Adressdaten, Zahlungsdaten, Bilder…
- Kategorien Empfängerinnen – z.B. Werbeagentur, Hosting, Inkasso…
- Bekanntgabe ins Ausland – in welche Staaten und – wo nötig – mit welchen Garantien?
- Aufbewahrungsdauer – pro Bearbeitungsvorgang
- Massnahmen der Datensicherheit
Nur Bundesorgane müssen ihre Bearbeitungsverzeichnisse dem EDÖB melden. Dafür steht das Meldeportal datareg zur Verfügung:
Datenschutzberater/in
Für private Verantwortliche (Unternehmen, Verein, KMU etc.) ist die Ernennung eines Datenschutzberaters oder einer Datenschutzberaterin freiwillig.
Nein, die Funktion der Datenschutzberaterin kann auch von mehreren Personen im Unternehmen oder von einer juristischen Person wahrgenommen werden. Die Voraussetzungen nach Art. 10 DSG müssen aber erfüllt sein, insbesondere muss sie eine funktionsfähige Anlaufstelle sein.
Ausführliche Informationen dazu finden Sie auf dieser Seite:
Datenschutzberaterin und -berater
Meldung von Datenschutzberaterinnen oder -beratern an den EDÖB gemäss Art. 10 Abs. 3 DSG für Private und Art. 10 Abs. 4 DSG für Bundesorgane.
Die Strafbestimmungen zielen vor allem auf die Handlungen (und Unterlassungen) der leitenden Personen ab. Eine Datenschutzberaterin hat in erster Linie die Aufgabe, die Datenverarbeitungsprozesse ihrer Organisation zu kontrollieren und zu überwachen. Sie sollte jedoch keine Entscheidungsbefugnis über diese Prozesse haben und auch nicht für ein Informationssystem verantwortlich sein. Sie ist also weder diejenige, die über eine Datenverarbeitung entscheidet, noch diejenige, die sie durchführt. Unter diesen Bedingungen - sofern sie strikt eingehalten werden - ist sie a priori nicht dem Risiko einer strafrechtlichen Verfolgung ausgesetzt. Darüber hinaus ist zu betonen, dass das DSG nur vorsätzliche Verstösse - im Unterschied zu Fahrlässigkeit - unter Strafe stellt.
Der EDÖB weist jedoch darauf hin, dass er selbst keine Strafverfolgungsbehörde ist und es daher nicht seine Aufgabe sein wird, diese Frage in einem praktischen Fall zu entscheiden.
Weitere Informationen zu den strafrechtlichen Aspekten des DSG finden Sie auf dieser Seite:
Strafbestimmungen
Um die Wirkung des DSG zu verstärken, enthält es mehrere Strafbestimmungen zur Ahndung von Pflichtverletzungen.
Es besteht keine gesetzliche Pflicht, dass die Datenschutzberaterin oder der Datenschutzberater den Sitz oder Wohnsitz in der Schweiz hat. Wichtig ist, dass der oder die DPO für die betroffenen Personen und für den EDÖB als Aufsichtsbehörde aber auch organisationsintern über geeignete Kommunikationskanäle einfach und zuverlässig erreichbar ist. Um die Aufgaben effektiv ausüben zu können, empfehlen sich Fachkenntnisse des schweizerischen Datenschutzrecht und die Kenntnis einer Landessprache.
Datenschutzerklärung
Die Datenschutzerklärung setzt die Informationspflicht nach Art. 19 DSG um. Weitere Hinweise finden Sie hier:
Datenschutzerklärungen im Internet
Wer braucht eine Datenschutzerklärung und was sollte diese enthalten?
Ausführliche Informationen dazu finden Sie auf dieser Seite:
Datenschutzerklärungen im Internet
Wer braucht eine Datenschutzerklärung und was sollte diese enthalten?
Datenschutz-Folgenabschätzung
Art. 23 Abs. 1 DSG macht dazu Vorgaben. Siehe Art. 23 Abs. 1 DSG:
Datenschutzgesetz (DSG)
Das Datenschutzrecht schützt nicht die Daten als solche, sondern die Personen, über die Daten bearbeitet werden.
Es beinhaltet Rechtsnormen, welche dem Schutz der Persönlichkeit sowie der informationellen Selbstbestimmung dienen und die Bearbeitung von Personendaten regeln, die Behörden des Bundes oder private natürliche oder juristische Personen (z.B. Vereine oder kaufmännische Unternehmen) vornehmen.
Der zentrale datenschutzrechtliche Erlass beim Bund ist das Bundesgesetz über den Datenschutz, es gibt aber auch in vielen anderen Bundesgesetzen Datenschutzvorschriften, die zu beachten sind, z.B. im Sozialversicherungs- oder im Polizeirecht des Bundes.
Einführende Informationen zum Datenschutz finden Sie auch in den FAQ des Bundesamtes für Justiz:
Personendaten sind alle Informationen, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen.
Nicht mehr erfasst sind Angaben, die sich auf juristische Personen beziehen ( z.B. auf eine Unternehmung in der Rechtsform einer Aktiengesellschaft). Deren Schutz wird aber weiterhin durch andere Vorschriften der Rechtsordnung gewährleistet, z.B. durch das Zivilgesetzbuch und die Bundesverfassung.
Einführende Informationen zum Datenschutz finden Sie auch in den FAQ des Bundesamtes für Justiz:
Die Totalrevision soll die Selbstbestimmung der betroffenen Personen über ihre persönlichen Daten stärken. Eine Übersicht zu den wichtigsten Änderungen finden Sie hier:
5. März 2021
Das neue Datenschutzgesetz aus Sicht des EDÖB
05.03.2021 / aktualisiert am 27.10.2022 - Bis zum Inkrafttreten des neuen DSG werden Privatwirtschaft und Bundesbehörden ihre Bearbeitung von Personendaten an die neuen Bestimmungen anpassen müssen. Der Beauftragte hat hierzu die aus seiner Sicht wesentlichsten Neuerungen festgehalten und publiziert.
Datenübermittlung ins Ausland / SCC
Falls Sie vom EDÖB anerkannte Standardvertragsklauseln, verwenden z.B. diejenigen der EU Kommission (Durchführungsbeschluss (EU) 2021/914), müssen Sie keine Meldung an den EDÖB machen. Wenn Sie eigene oder bisher nicht anerkannte Standardvertragsklauseln verwenden möchten, müssen diese vorgängig vom EDÖB genehmigt werden. Der Entscheid über die Genehmigung ergeht in einer beschwerdefähigen Verfügung; vorher darf kein Transfer ins Ausland stattfinden.
Ja, der EDÖB hat die Standardvertragsklauseln der Europäischen Kommission (Durchführungsbeschluss (EU) 2021/914 der Kommission vom 4. Juni 2021 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates) in seiner Mitteilung vom 27.08.2021 anerkannt.
Weitere Informationen finden Sie auf dieser Seite:
Bekanntgabe von Personendaten ins Ausland
Die Übermittlung von Personendaten ins Ausland unterliegt besonderen Regeln.
Die Liste findet sich im Anhang 1 der DSV:
DSGVO
Die DSGVO gilt nicht unmittelbar in der Schweiz. Sie könnte aber konkret u.a. dann auch für Schweizer Unternehmen gelten, wenn diese Daten von in der EU ansässigen Personen bearbeiten, um Waren oder Dienstleistungen in der EU anzubieten, oder wenn die Daten dazu dienen, das Verhalten der Personen zu beobachten, z.B. die Analyse der Daten von Website Besuchern oder von App-Nutzern aus der EU. Wir haben ein ausführliches Dokument zum Thema DSGVO und seine Auswirkung auf die Schweiz veröffentlicht. Sie finden es unter diesem Link:
Schweizer Unternehmen unterliegen in erster Linie Schweizer Recht und sollen deshalb das DSG einhalten.
Gesundheit
Ja. Das Datenschutzgesetz gilt für alle Krankengeschichten, die durch private Ärzte und private Kliniken geführt werden. Spitäler, welche als Bundesorgane im Sinne des DSG gelten, unterstehen ebenfalls der Datenschutzgesetzgebung des Bundes (z. B. SUVA-Klinik Bellikon). Auf Krankengeschichten, die durch Spitäler mit kantonalem Leistungsauftrag (z. B. Kantonsspital) geführt werden, ist das jeweilige kantonale Datenschutzgesetz anwendbar.
Ja. Die Krankengeschichte stellt eine Datensammlung im Sinne des Datenschutzgesetzes dar. Gestützt auf das datenschutzrechtliche Auskunftsrecht können Sie jederzeit Auskunft über Ihre Daten verlangen. Dazu müssen Sie ein schriftliches Gesuch stellen und sich über Ihre Identität ausweisen (Kopie eines amtlichen Ausweises beilegen). Ihr Arzt oder Spital muss Ihnen dann Kopien der gesamten Krankengeschichte oder der von Ihnen verlangten Teile daraus zustellen. Zur Krankengeschichte gehören alle Aufzeichnungen, die mit Ihrer Behandlung im Zusammenhang stehen, inkl. Röntgenbilder, EKG, Berichte, Korrespondenzen etc.
Wenn beide Parteien einverstanden sind, kann auch eine Einsichtnahme an Ort und Stelle durchgeführt werden. Dies kann besonders nützlich sein, wenn die Krankengeschichte sehr umfangreich ist oder wenn zusätzliche Erklärungen des Arztes notwendig sind (z.B. Erklärung von Fachausdrücken).
Das Auskunftsrecht kann auch für bereits archivierte Krankengeschichten geltend gemacht werden.
Persönliche Notizen des Arztes fallen nicht unter das Auskunftsrecht. Allerdings gehören dazu nur persönliche Notizen, die der Arzt ausschliesslich für den Eigengebrauch erstellt, und die nicht der eigentlichen Behandlung dienen, z. B. reine Gedächtnisstützen. Notizen, die für die Behandlung notwendige Angaben enthalten und z. B. auch von Hilfspersonen eingesehen und verwendet werden, gehören zur Krankengeschichte und unterliegen dem Auskunftsrecht.
Aus dem Datenschutzgesetz lässt sich kein Recht auf die Herausgabe der Krankengeschichte im Original ableiten. Ob ein solcher Anspruch aus anderen rechtlichen Bestimmungen oder aus dem zwischen Arzt und Patienten bestehenden Vertragsverhältnis abgeleitet werden kann, ist umstritten.
Zudem bestehen kantonale gesetzliche Bestimmungen, welche den Arzt ausdrücklich zur Aufbewahrung der Originalakten verpflichten. Hier kommt während der Dauer der gesetzlichen Aufbewahrungspflicht (üblicherweise 20 Jahre) immer nur eine Herausgabe von Kopien in Frage. Eine vollständige Löschung der KG ist in diesem Zeitraum nicht möglich. Eine Entbindung des Arztes von der gesetzlichen Aufbewahrungspflicht durch den Patienten kann hier nicht rechtsgültig erfolgen, auch dann nicht, wenn dieser sich bereit erklärt, auf eventuelle Ansprüche aus dem Behandlungsvertrag zu verzichten.
Die Auskunft ist grundsätzlich kostenlos. Eine Kostenbeteiligung darf nur in Ausnahmefällen verlangt werden, z. B. wenn ein besonders grosser Aufwand entsteht. Dieser Aufwand muss über das blosse Kopieren, Ausdrucken und Versenden hinausgehen. Die Kostenbeteiligung ist in jedem Fall auf maximal Fr. 300.- beschränkt. Wird eine Kostenbeteiligung verlangt, so muss diese begründet und dem Patienten vor Auskunftserteilung mitgeteilt werden, damit dieser sein Auskunftsgesuch allenfalls zurückziehen oder abändern kann (z.B. auf einen bestimmten Zeitraum oder auf bestimmte Dokumente beschränken).
Nein. Das Auskunftsrecht kann jederzeit und ohne Begründung geltend gemacht werden. Es ist von Vorteil, wenn Sie in Ihrem Auskunftsbegehren präzisieren, in welchem Zusammenhang Sie Auskunft verlangen.
Sie können das Auskunftsrecht gerichtlich durchsetzen lassen. Gegenüber privaten Ärzten und privaten Kliniken müssen Sie eine Klage am Zivilgericht einreichen. Sie können die Klage wahlweise entweder am Gericht Ihres Wohnortes oder am Gericht des Ortes einreichen, wo der Arzt oder das Spital seinen Sitz hat. Gegenüber Bundesorganen wie der SUVA-Klinik Bellikon richtet sich das Auskunftsrecht nach dem Verwaltungsverfahrensgesetz. Für Auskunftsbegehren gegenüber kantonalen Spitälern ist die kantonale Gesetzgebung anwendbar.
Das Datenschutzgesetz sieht keine genauen Aufbewahrungsfristen vor. Aus dem Verhältnismässigkeitsprinzip ergibt sich, dass Daten, die nicht mehr benötigt werden, zu vernichten sind. Als Faustregel wird in der Praxis auf die allgemeine Verjährungsfrist von 20 Jahren abgestellt. In Einzelfällen kann aber auch eine kürzere oder längere Aufbewahrungsfrist vorgesehen werden. In einigen Kantonen sehen die kantonalen Gesundheitsgesetze genaue Aufbewahrungsfristen vor.
Ein Arzt darf Patientendaten weitergeben, wenn er über die Einwilligung des Patienten verfügt, wenn seine vorgesetzte Behörde ihn vom Berufsgeheimnis befreit hat oder wenn die Datenweitergabe in einem Gesetz vorgesehen ist.
Ja. Für die Weitergabe von Informationen an andere Ärzte muss der Arzt über eine Einwilligung des Patienten verfügen. So darf z. B. ein Arzt, bei dem Sie eine Zweitmeinung einholen, ohne Ihre Einwilligung Ihren behandelnden Arzt nicht informieren. Die Tatsache, dass der Arzt, der die Information erhält, seinerseits an das Patientengeheimnis gebunden ist, ändert daran nichts. Wird der Patient von einem Ärzteteam betreut, so darf eine stillschweigende Einwilligung für den Informationsaustausch innerhalb des Teams angenommen werden.
Ja. Bei krankheits- oder unfallbedingten Abwesenheiten kann der Arbeitgeber den Arbeitnehmer durch den Vertrauensarzt der Firma (Betriebsarzt) untersuchen lassen. Der Vertrauensarzt ist an die ärztliche Schweigepflicht gebunden. Diese gilt auch gegenüber dem Arbeitgeber. Er darf dem Arbeitgeber nur die medizinischen Schlussfolgerungen mitteilen, soweit diese für den Arbeitgeber zur Abwicklung des Arbeitsverhältnisses notwendig sind. In der Regel ist dies die Aussage über die Arbeitsfähigkeit bzw. Arbeitsunfähigkeit des Arbeitnehmers (z.B. voll/teilweise Arbeitsunfähigkeit infolge Krankheit/Unfall, voraussichtliche Dauer der Abwesenheit u.ä). Medizinische Daten darf der Vertrauensarzt hingegen nicht ohne die Einwilligung des Arbeitnehmers bekannt geben, dies gilt besonders für die Mitteilung von Diagnosen.
Ja. Der Vertrauensarzt sowie sein Hilfspersonal sind ebenfalls an das Patientengeheimnis gebunden. Der Arzt darf der zuständigen Stelle in der Kassenadministration lediglich seine Schlussfolgerungen mitteilen, damit diese über die Leistungspflicht entscheiden kann.
Angestellte der Krankenkassen sind ebenfalls an die Schweigepflicht gebunden. Für Sie gilt die gesetzliche Schweigepflicht, die im Allgemeinen Teil des Sozialversicherungsrechtes geregelt ist. Ist ein Angestellter direkt für den Vertrauensarzt tätig, so gilt er als dessen Hilfsperson und unterliegt damit der ärztlichen Schweigepflicht.
Nein. Die ärztliche Schweigepflicht beinhaltet die Pflicht der Ärzte, Informationen, die ihnen im Rahmen der beruflichen Tätigkeit anvertraut worden sind, oder die sie in deren Ausübung wahrgenommen haben, geheim zu halten. Patientendaten dürfen gegenüber Dritten nur offenbart werden, wenn der Patient den Arzt von seiner Schweigepflicht befreit hat oder ein Gesetz es erlaubt. Dies gilt auch gegenüber dem Arbeitgeber eines erkrankten Arbeitnehmers.
Ja, aber nur wenn es sich um Prämien für die obligatorische Grundversicherung handelt und die Betreibung zu einem Verlustschein geführt hat. Kantonale Bestimmungen können vorsehen, dass die Meldung bereits zu einem früheren Zeitpunkt erfolgen kann.
Ja, aber er muss seine Patienten darüber informieren und deren Einwilligung einholen. Dies ist deshalb notwendig, weil die Ärztekassen zur Erstellung der Honorarrechnungen in medizinische Daten Einblick erhalten, die dem Patientengeheimnis unterliegen.
In vielen Arzt- und Zahnarztpraxen ist es heute üblich, den Patienten mehr oder weniger regelmässig (z.B. einmal im Jahr oder bei Neueintritt in die Praxis) einen Gesundheitsfragebogen vorzulegen. Auf diesen Fragebogen werden z.T. ausführliche Informationen verlangt (z.B. Personalien, Arbeitgeber, Versicherungen, Details zum Gesundheitszustand).
Das Sammeln dieser Informationen ist eine Datenbearbeitung. Dabei müssen die Grundsätze des Bundesgesetzes über den Datenschutz eingehalten werden. Zu diesen Grundsätzen gehört auch das Verhältnismässigkeitsprinzip. Dieses Prinzip besagt, dass nur jene Daten beschafft werden dürfen, die zum Erreichen des angestrebten Zweckes sowohl nötig als auch geeignet sind.
Da die Angaben auf dem Fragebogen systematisch bei allen Patienten erhoben werden, dürfen dabei nur Informationen verlangt werden, über die der Arzt/Zahnarzt im Rahmen einer üblichen Behandlung verfügen muss. Der Patient ist nicht verpflichtet, Fragen zu beantworten, die er als unverhältnismässig empfindet. Lassen Sie sich die Notwendigkeit der einzelnen Fragen (oder des ganzen Fragebogens) vom Arzt begründen!
Folgende Grundsätze gelten für Patientenfragebogen:
- Es gilt immer das Verhältnismässigkeitprinzip; d.h. der Arzt/Zahnarzt darf nur erfragen, was für die Behandlung a priori von Bedeutung sein kann. Nicht notwendig sind z.B. Arbeitgeber, AHV-Nr., Name/Beruf des Partners, Zivilstand, Angaben zu Versicherungen, sofern die Rechnung vom Patienten bezahlt wird (häufig bei Zahnarztrechnungen).
- Allgemein gehaltene Pauschaleinwilligungen, mit denen der Patient den Arzt/Zahnarzt zum Voraus und uneingeschränkt vom Arztgeheimnis entbindet, sind ungültig Konkret formulierte Einwilligungserklärungen sind hingegen im Rahmen solcher Patientenfragebogen möglich. Eine Einwilligung ist z.B. für die Auslagerung der Rechnungsstellung an eine Ärztekasse nötig. Dasselbe gilt auch für die Einwilligung zur Datenweitergabe zu Betreibungszwecken (vgl. FAQ zu Arzt- und Prämienrechnungen).
Bitte beachten Sie, dass Fragen, die im Rahmen eines Fragebogens unverhältnismässig sind, im Einzelfall berechtigt sein können. Auch dann muss der Arzt dem Patienten die Notwendigkeit der Frage begründen können.
Beispiel:
Die Kenntnis einer HIV-Infizierung des Patienten gehört nicht zu den allgemeinen Informationen, über die ein Zahnarzt im Rahmen einer üblichen Behandlung verfügen muss. Daher sollte diese Frage nicht systematisch allen Patienten gestellt werden.Im Einzelfall kann die Frage nach der HIV-Infizierung hingegen berechtigt oder sogar geboten sein. So z.B., wenn im Rahmen einer bestimmten Behandlung ein Ansteckungsrisiko für den Zahnarzt besteht oder wenn der Zahnarzt dem Patienten ein bestimmtes Medikament verschreiben muss, welches aber nicht zusammen mit anderen Medikamenten (z.B. HIV-Medikamenten) eingenommen werden darf.
Mein Arzt/Physiotherapeut/Zahnarzt/etc. legt mir eine Einwilligungserklärung zur Unterschrift vor. Warum braucht er dieses Dokument?
Um unsere Gesundheitsdaten im Rahmen einer Therapie oder Kontrolle zu bearbeiten, haben Gesundheitsfachpersonen eine Informationspflicht gegenüber dem Patienten und benötigen möglicherweise bestimmte Einwilligungen. Sie müssen gemäss Art. 19 DSG insbesondere über den Zweck der Datenbearbeitung und über die beabsichtigte Datenbekanntgabe informieren (zum Beispiel Bekanntgabe an einen anderen Arzt, an eine Abrechnungsunternehmung usw.).
Die Bestimmungen des DSG werden häufig durch das Berufsgeheimnis nach Art. 321 des Strafgesetzbuches ergänzt, dem viele Gesundheitsberufe unterliegen: In der Regel darf die Fachperson keine Informationen über einen Patienten ohne dessen Zustimmung weitergeben. (Weiterführende Informationen dazu auf der Seite Bekanntgabe von Patientendaten, s. Link unten)
Mehrere Organisationen (unter anderem die FMH und die Ärztekasse) haben für ihre Mitglieder und Partner ein Muster einer Einwilligungserklärung vorbereitet. Diese Formulare verfolgen in der Regel einen doppelten Zweck. Einerseits informieren sie den Patienten über die Bearbeitung seiner Daten, wie dies in Art. 19 DSG verlangt wird. Andererseits ermöglichen sie es der Fachperson, die Einwilligung des Patienten einzuholen, wenn dies erforderlich ist. Zu beachten ist, dass weder die Information noch die Einwilligung gemäss Gesetz der Schriftform bedürfen: Diese wird jedoch aus Dokumentations- und Beweisgründen häufig bevorzugt. Mit seiner Unterschrift bestätigt der Patient also, dass er informiert wurde und mit der vorgesehenen Datenbearbeitung einverstanden ist.
Das Formular muss einen gewissen Präzisionsgrad aufweisen: Der Patient muss sich vorstellen können, womit er sich einverstanden erklärt. Dies gilt insbesondere im Hinblick auf das Berufsgeheimnis gemäss Art. 321 Strafgesetzbuch: Wenn das Formular bereits Situationen vorsieht, in denen die Fachperson plant, die Daten an einen Dritten weiterzugeben (z. B. wenn der Arzt plant, für die Rechnungsstellung einen Dritten heranzuziehen), müssen diese Situationen hinreichend präzise beschrieben werden, so dass der Patient konkret erkennen kann, was gemeint ist.
Ebenfalls im Zusammenhang mit dem Berufsgeheimnis gemäss Art. 321 Strafgesetzbuch ist noch zu erwähnen, dass manchmal das Gesetz selbst die Fachperson zur Bekanntgabe von Daten ermächtigt oder verpflichtet (Art. 321 Abs. 3 Strafgesetzbuch; z. B. Meldung an die Kindesschutzbehörde, wenn ein Kind gefährdet scheint – Art. 314c Zivilgesetzbuch, Meldung der Diagnose einer übertragbaren Krankheit – Art. 12 Epidemiengesetz usw.).
Es steht dem Patienten frei, das Formular zu unterschreiben oder nicht. Er muss keine Datenbearbeitung akzeptieren, die er für unangemessen hält, und kann sie somit verweigern. Man muss sich jedoch darüber im Klaren sein, dass die Fachperson ein berechtigtes Interesse an gewissen Einwilligungen haben kann, um ihre Tätigkeit ausüben zu können, und dass sie ein sie schriftliches Dokument wünscht, das auch belegt, dass die Information erteilt wurde. Daher kann eine Verweigerung der Unterschrift oder die Streichung bestimmter legitimer Klauseln dazu führen, dass die Fachperson aufgrund der Rechtsunsicherheit, in der sie sich möglicherweise befindet, eine Datenbearbeitung ablehnt, sei dies nun begründet oder nicht. Wenn also gewisse Elemente des Formulars unklar sind, übertrieben erscheinen oder Fragen offen bleiben, besprechen Sie dies mit der Person, die Ihnen das Formular ausgehändigt hat.
Es gilt zu beachten, dass eine Einwilligung grundsätzlich jederzeit widerrufbar ist.
Weitere Informationen finden Sie auf der Seite Bekanntgabe von Patientendaten.
Bekanntgabe von Patientendaten
Im medizinischen und paramedizinischen Bereich sind bearbeitete Daten oft besonders schützenswert. Ihre Bekanntgabe unterliegt somit verschiedenen Vorschriften.
Kredit und Inkasso
Die Antwort auf diese Frage finden Sie auf dieser Seite:
Kredit und Inkasso
Wirtschaftsauskunfteien, Inkassobüros und andere Stellen bearbeiten Daten zu Ihrem Zahlungsverhalten und geben sie weiter. Wann ist dies erlaubt?
Die Antwort auf diese Frage finden Sie auf dieser Seite:
Kredit und Inkasso
Wirtschaftsauskunfteien, Inkassobüros und andere Stellen bearbeiten Daten zu Ihrem Zahlungsverhalten und geben sie weiter. Wann ist dies erlaubt?
Die Antwort auf diese Frage finden Sie auf der Seite Kredit und Inkasso.
Die Antwort auf diese Frage finden Sie auf dieser Seite:
Kredit und Inkasso
Wirtschaftsauskunfteien, Inkassobüros und andere Stellen bearbeiten Daten zu Ihrem Zahlungsverhalten und geben sie weiter. Wann ist dies erlaubt?
Die Antwort auf diese Frage finden Sie auf dieser Seite:
Kredit und Inkasso
Wirtschaftsauskunfteien, Inkassobüros und andere Stellen bearbeiten Daten zu Ihrem Zahlungsverhalten und geben sie weiter. Wann ist dies erlaubt?
Die Schweizerische Bankiervereinigung als Dachverband der Schweizer Banken hat «Richtlinien für die Prüfung, Bewertung und Abwicklung grundpfandgesicherter Kredite» erlassen. Diese Richtlinien regeln die Grundsätze im Hypothekengeschäft und wurde von der Finanzmarktaufsicht FINMA gestützt auf Art. 7 Abs. 3 des Finanzmarktgesetzes als Mindeststandard für die Banken anerkannt. Die Bestimmungen der Richtlinie werden von den Banken in internen Regelungen umgesetzt. Die Banken verpflichten sich, sowohl vor der Kreditgewährung wie auch periodisch die Bonität und die Sicherheiten zu prüfen. Entsprechend dem Verhältnismässigkeitsgrundsatzes von Art. 6 Abs. 2 DSG dürfen die Banken insoweit Personendaten ihrer Kundinnen und Kunden erheben, als diese Daten geeignet, erforderlich und zugleich das mildeste Mittel sind, um die Bonität sowie den Wert der Immobilie zu bewerten.
Meldung eines Datenlecks
Nach Art. 24 DSG besteht eine Meldepflicht, wenn die erfolgte Verletzung der Datensicherheit voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person führen kann. Als Verantwortlicher können Sie eine Meldung auf dem DataBreach-Portal machen:
Nützliche Hinweise finden Sie hier:
Protokollierung
Die Protokollierungspflicht ist in Artikel 4 DSV festgelegt.
Statistik, Register und Forschung
Die Teilnahme an Forschungsprojekten oder Studien ist immer freiwillig. Aus einer Nichtteilnahme darf Ihnen kein Nachteil entstehen. Ihre Einwilligung in die Teilnahme an einem solchen Projekt sollte schriftlich erfolgen und ist nur gültig, wenn Sie vorher über Ziel und Zweck des Projektes und die vorgesehenen Datenbearbeitungen genügend aufgeklärt worden sind. In der Regel erfolgt dies durch die Abgabe von Informationsblättern und durch Informationsgespräche. Ihre Einwilligung in die Teilnahme an Forschungsprojekten und Studien können Sie zudem jederzeit widerrufen. In diesem Falle sollte die Löschung ihrer Daten automatisch erfolgen. Sie können zur Sicherheit eine Bestätigung der Löschung verlangen. Auch im Rahmen von Forschungsprojekten und Studien steht Ihnen jederzeit das datenschutzrechtliche Auskunftsrecht zu.
Todesanzeigen
Es ist zu unterscheiden zwischen der Publikation durch eine Zeitung, bei der Sie als Angehörige eine Todesanzeige aufgeben und die dann in der Onlineausgabe derselben Zeitung erscheint, und der Sammlung und Veröffentlichung von Todesanzeigen durch Betreiber von spezialisierten Onlineportalen.
Im ersten Fall erfolgt die Publikation in der Regel gestützt auf den Vertrag zwischen den Angehörigen und der Zeitung. Wenn Sie keine Publikation in der Onlineausgabe der Zeitung wünschen, müssen Sie das der Zeitung mitteilen. Im zweiten Fall handelt es sich um die Wiedergabe von Personendaten einer verstorbenen Person und gegebenenfalls der Angehörigen durch einen Dritten. In der Regel geben diese Onlineportale die Todesanzeigen, die von den Angehörigen ursprünglich veröffentlicht wurden, unverändert weiter.
Da das Persönlichkeitsrecht mit dem Tode erlischt, unterliegen die Personendaten des Verstorbenen nicht dem Datenschutzrecht. Was die Datenbearbeitung von Personendaten inklusive Adressdaten von allfällig in der Todesanzeige aufgeführten Angehörigen betrifft, gilt die Vermutung, dass keine Persönlichkeitsverletzung vorliegt, wenn Daten weitergegeben werden, welche die betroffenen Personen selbst allgemein zugänglich gemacht haben. Es sei denn, sie haben eine Weiterbearbeitung ausdrücklich untersagt (Art. 30 Abs. 3 DSG). Es handelt sich dabei aber um eine Vermutung: Sind Sie von einer derartigen Veröffentlichung als Angehörige in Ihrer Persönlichkeit verletzt, melden Sie sich über das Online-Portal und verlangen Sie die Löschung Ihrer Daten gestützt auf Ihr Widerspruchsrecht (Art. 30 Abs. 2 Bst. b DSG).
Untersuchungsverfahren
Wenn die betroffene Person selbst noch nicht die ihr zumutbaren Massnahmen getroffen hat, um ihre Rechte gegenüber dem Verantwortlichen geltend zu machen, liegen in der Regel noch nicht genügend Hinweise für eine Datenschutzverletzung vor, die eine Intervention des EDÖB begründen kann. Zudem ist es im Sinne einer raschen Lösungsfindung angezeigt, den Verantwortlichen auf ein Problem aufmerksam zu machen, und ihm die Gelegenheit zu geben, es zu lösen. Oft handelt es sich um ein Missverständnis oder ein vereinzeltes Versehen.
Bitte kontaktieren Sie zuerst den Verantwortlichen und achten Sie darauf, dass viele Verantwortliche spezifische Kontaktinformationen oder Formulare für Datenschutzanliegen vorsehen, die sicherstellen, dass Ihr Anliegen durch die zuständigen Personen bearbeitet werden. Diese Kontaktinformationen finden Sie normalerweise in der Datenschutzerklärung der Webseite, dem Vertrag oder den allgemeinen Nutzungsbedingungen.
Der EDÖB hat keine gesetzliche Grundlage, um Schadenersatzforderungen zuzusprechen. Solche Forderungen sind durch die betroffene Person vor einem Zivilgericht geltend zu machen. Bussen können nur nach einer strafrechtlichen Verurteilung ausgesprochen werden, wobei der Strafprozess von den zuständigen kantonalen Strafverfolgungsbehörden durchgeführt wird.
Der EDÖB erhält täglich viele Anzeigen und Meldungen. Je nach Sachverhalt machen unsere Juristinnen und Juristen eigene Recherchen oder fragen beim Verantwortlichen nach. Dabei wenden sie neben dem Datenschutzgesetz auch allfällige andere auf den geschilderten Fall anwendbare Gesetze an. Diese Abklärungen sind oft sehr zeitaufwändig.
Ihre Rechte und Ansprüche müssen Sie gegenüber dem Verantwortlichen selbst geltend machen. Bevor Sie an den EDÖB gelangen, teilen Sie bitte Ihr Anliegen zuerst dem Verantwortlichen mit. Unter Umständen lässt sich Ihr Problem rasch lösen. Wenn nicht, verfügen Sie bei Einreichung Ihrer Anzeige bereits über die nötigen Informationen, um den Verdacht einer Datenschutzverletzung zu untermauern.
Kommt der Verantwortliche seinen gesetzlichen Pflichten nicht nach, kann der EDÖB intervenieren. Zweck einer Intervention des EDÖB ist aber nicht, Ihre persönlichen Rechtsansprüche an Ihrer Stelle durchzusetzen, sondern das Vorgehen des Verantwortlichen zu überprüfen und ggf. zu korrigieren.
Das Recht auf Löschung ist nicht absolut. Nicht jede Datenbearbeitung setzt die Einwilligung des Betroffenen voraus, so dass der Widerruf der Einwilligung auch nicht automatisch zu einer Löschung der Daten führt. Der Verantwortliche hat unter Umständen eigene Interessen zur Speicherung der Daten, zum Beispiel weil er sie in einem Rechtsstreit benötigt oder um ausstehende Zahlungen einzufordern. Manchmal besteht auch eine gesetzliche Aufbewahrungspflicht. Für weitere Informationen verweisen wir auf unsere Erläuterungen zum Löschungsrecht.
Nein, ein Zivilverfahren kann unabhängig vom Vorliegen der Voraussetzungen für eine Untersuchung durch den EDÖB eingeleitet werden.
Eine Klage auf Persönlichkeitsverletzung vor Zivilgericht richtet sich nach Art. 28 des Zivilgesetzbuches i.V.m. Art. 20 der Zivilprozessordnung. Gemäss Art. 113 und 114 Zivilprozessordnung werden bei Streitigkeiten nach dem Datenschutzgesetz keine Gerichtskosten erhoben. Dies gilt jedoch nicht für allfälligen Anwaltskosten.
- Art. 28 Zivilgesetzbuch
Art. 28 Zivilgesetzbuch - Art. 20 Schweizerische Zivilprozessordnung
Art. 20 Schweizerische Zivilprozessordnung - Art. 113 und 114 Schweizerische Zivilprozessordnung
Art. 113 und 114 Schweizerische Zivilprozessordnung
- Art. 28 Zivilgesetzbuch
Die anzeigende Person hat im Untersuchungsverfahren des EDÖB nicht die Rechtsstellung einer Partei und hat somit auch keinen Anspruch auf Eröffnung einer Untersuchung. Partei in einem allfälligen Untersuchungsverfahren ist nur das Bundesorgan oder die private Person, gegen das oder die eine Untersuchung eröffnet wurde.
- Art. 52 DSG
Art. 52 DSG
Die Verwaltungsmassnahmen von Art. 51 DSG, die der EDÖB bei Vorliegen einer Datenschutzverletzung verfügen kann, richten sich denn auch nur gegen den verantwortlichen Datenbearbeiter. Aus diesen Gründen, wenn der EDÖB nach Prüfung Ihrer Anzeige zum Schluss kommt, dass keine Anzeichen einer Verletzung der Datenschutzvorschriften vorliegen, haben Sie als Anzeigenerstatter kein Rechtsmittel gegen den Entscheid des EDÖB.
- Art. 51 DSG
Art. 51 DSG
Sie haben aber jederzeit die Möglichkeit, Ihre datenschutzrechtlichen Ansprüche gemäss Art. 32 Abs. 2 DSG beim zuständigen Zivilgericht geltend zu machen. Eine Klage auf Persönlichkeitsverletzung richtet sich nach Art. 28 des Zivilgesetzbuches i.V.m. Art. 20 der Zivilprozessordnung. Gemäss Art. 113 und 114 Zivilprozessordnung werden bei Streitigkeiten nach dem Datenschutzgesetz keine Gerichtskosten erhoben.
- Art. 28 Zivilgesetzbuch
Art. 28 Zivilgesetzbuch - Art. 20 Schweizerische Zivilprozessordnung
Art. 20 Schweizerische Zivilprozessordnung - Art. 113 und 114 Schweizerische Zivilprozessordnung
Art. 113 und 114 Schweizerische Zivilprozessordnung - Art. 32 DSG
Art. 32 DSG
- Art. 52 DSG
Wenn Sie sich bei einen Onlinedienst oder bei einem sozialen Netzwerk anmelden, akzeptieren Sie dessen Nutzungsbedingungen, die oft auch Pflichten für die Nutzerinnen und Nutzer vorsehen, beispielsweise ein sicheres Passwort zu verwenden, eine echte E-Mail-Adresse zu verwenden oder echte Angaben über Ihre Person zu machen, die Gemeinschaftsstandards oder Richtlinien einzuhalten etc. Sowohl der Betrieb der Plattform als auch die Nutzung Ihres Kontos sind Teil des Vertrags, den Sie bei der Registration auf der Plattform mit dem Plattformbetreiber abgeschlossen haben. Der Betreiber kann in diesem Rahmen festlegen, welche Möglichkeiten zur Wiederherstellung Ihres Kontos bestehen, wenn Sie nicht mehr über die Zugangsmittel verfügen, sowie unter welchen Umständen eine einseitige Sperrung Ihres Kontos durch den Betreiber vorgenommen wird. Ob Sie oder der Betreiber sich an die von ihm festgelegten und von Ihnen akzeptierten Nutzungsbedingungen gehalten haben, ist keine datenschutzrechtliche Fragestellung, sondern in erster Linie eine vertragsrechtliche Angelegenheit zwischen Ihnen und dem Betreiber. Deshalb interveniert der EDÖB nicht.
Die meistens Plattformen sehen Richtlinien vor, wonach eine Entfernung von Inhalten, die gegen diese Richtlinien verstossen, durch die betroffene Person beantragt werden kann, namentlich in Form einer Meldung des fraglichen Inhaltes bspw. über ein Webformular oder durch Kontaktierung eines Hilfe- oder Sicherheitscenters.
Schliesslich haben die grossen Plattformen eine Vertretung in der Schweiz nach Art. 14 DSG bezeichnet, welche betroffenen Personen als Anlaufstelle dient. Die Angaben, um mit der Vertretung in Kontakt zu treten, finden Sie in den jeweiligen Datenschutzerklärungen oder Hilfeseiten.
- Art. 14 DSG
Art. 14 DSG
- Art. 14 DSG
Gemäss Rechtsprechung des Bundesverwaltungsgerichts (Urteil BVGer vom 26. Februar 2008 A-4086/2007) dürfen Daten, die ursprünglich aus dem Handelsregister stammen, dort inzwischen aber gelöscht worden sind, aufgrund der Öffentlichkeit des Handelsregisters nach Art. 930 des Obligationenrechts (OR; SR 220) zeitlich unbeschränkt durch Private weiterverbreitet werden. Die Daten müssen auch auf Verlangen der betroffenen Person hin nicht gelöscht werden, sofern sie unverändert vom Handelsregistereintrag übernommen worden sind.
Bevor ein Verantwortlicher Ihnen Auskunft über Ihre Personendaten erteilen kann, muss er gemäss Art. 16 Abs. 5 DSV angemessene Massnahmen treffen, um Sie als die betroffene Person zu identifizieren. Der Datenbearbeiter muss sicherstellen, dass er die Daten nicht einer falschen Person herausgibt. Daher kann er Unterlagen oder Informationen verlangen, die ihm erlauben, Sie zu identifizieren. Als Betroffener sind sie zur Mitwirkung verpflichtet. Der geforderte Nachweis muss jedoch verhältnismässig sein, d.h. die verlangten Informationen müssen zur Identifikation erforderlich sein und zweckmässig verwendet werden, d.h. sie dürfen nur zu diesem Zweck verwendet werden. Der Verantwortliche darf diesen Prozess, je nach Anzahl der Anfragen, auch bis zu einem gewissen Grad standardisieren. Sie haben auch die Möglichkeit, gewisse Informationen zu schwärzen, wenn sie für die Identifikation nicht erforderlich sind.
- Art. 16 Datenschutzverordnung
Art. 16 Datenschutzverordnung
- Art. 16 Datenschutzverordnung
Die Aufgabe eines Inkassounternehmens ist, im Namen des Gläubigers, Geldforderungen einziehen. Dafür gibt der Gläubiger Personendaten an das Inkassounternehmen bekannt, die er im Rahmen eines Vertrags mit Ihnen erhoben haben. Dies ist aus datenschutzrechtlicher Sicht grundsätzlich zulässig, unter Vorbehalt allfälliger beruflicher Schweigepflichten. Aufgrund überwiegender privater Interessen können Personendaten auch ohne Ihre Erlaubnis weitergegeben und bearbeitet werden (Art. 31 Abs. 1 Bst. a DSG). Sie werden zudem oft in den allgemeinen Geschäftsbedingungen über die Möglichkeit dieser Übermittlung informiert. Für weitere Informationen verweisen wir auf unseren Erläuterungen zum Thema Kredit und Inkasso.
Bestreiten Sie die Tatsache, dass überhaupt etwas geschuldet wird, dann ist die Geltendmachung von datenschutzrechtlichen Ansprüchen wie das Lösch- bzw. Berichtigungsrecht nur bedingt zielführend. Zuerst muss die Frage geklärt werden, ob die Forderung effektiv gerechtfertigt ist, was wiederum keine datenschutz-, sondern eine vertragsrechtliche Frage ist. Ansonsten kommen Sie mit einem Lösch- oder Berichtigungsbegehren aufgrund des obengenannten Rechtfertigungsgrund möglicherweise nicht weiter. Es ist auch möglich, dass gewisse Informationen trotz fristgerechter Bezahlung bearbeitet werden. Verschiedene Akteure betreiben Datenbanken zum Zweck der Erteilung von Bonitätsauskünften, sog. Wirtschaftsauskunfteien. Für weitere Informationen verweisen wir auf unseren Erläuterungen zum Thema Kredit und Inkasso.
Kredit und Inkasso
Wirtschaftsauskunfteien, Inkassobüros und andere Stellen bearbeiten Daten zu Ihrem Zahlungsverhalten und geben sie weiter. Wann ist dies erlaubt?
Auch wenn Sie sich von einer Kamera überwacht fühlen, kann der EDÖB nicht von einer Verletzung ausgehen, bevor er die näheren Umstände kennt. Er benötigt Informationen zum Aufnahmebereich und allfälligen Privacy-Einstellungen und muss den Zweck der Anlage kennen. Um diese Informationen zu erlangen, können Sie als betroffene Person beim Betreiber der Anlage das Auskunftsrecht nach Art. 25 DSG geltend machen.
In Streitigkeiten zwischen Nachbarn, Mietern und Vermietern oder zwischen Arbeitgebern und Mitarbeitenden ist es oft sinnvoller, die Rechtmässigkeit der Videoüberwachung direkt zivilrechtlich vor der Schlichtungsbehörde zu klären. Wenn Sie den Verantwortlichen nicht kennen, aber möglicherweise öffentlicher Grund überwacht wird, kann allenfalls ein Kontakt mit der Gemeinde hilfreich sein. Für weitere Informationen verweisen wir auf unsere Erläuterungen zu Fotos und Videoüberwachung:
Fotos und Videoüberwachung
Diese Art von Anrufen wird als «Kaltakquise» bezeichnet. Seit dem 1. September 2024 ist die Kaltakquise per Telefon für alle Versicherungsvermittler verboten. Der EDÖB ist jedoch nicht die Behörde, die für die Einhaltung dieses Verbots zuständig ist.
Damit ein Telefonanruf als «Kaltakquise» gilt, muss er bestimmte Voraussetzungen erfüllen. Diese sind auf der Website des Bundesamtes für Gesundheit (BAG) aufgeführt. Personen, die solche Anrufe erhalten haben, können Beschwerde einreichen; je nach Fall sind die Beschwerden an das BAG (für die Grundversicherung) oder an die FINMA (Zusatzversicherung) zu richten. Bei anderen Arten von unerwünschter Werbung ist das SECO zuständig. Weitere Informationen hierzu finden Sie ebenfalls auf der Seite des BAG.
Wenn Sie wissen möchten, wie der für die Bearbeitung Verantwortliche (d.h. das Unternehmen, das Sie angerufen hat) an Ihre Daten gelangt ist, können Sie Ihr Auskunftsrecht geltend machen. Beachten Sie, dass unsere Website auch Informationen zu Werbung und Marketing enthält.
Auskunftsrecht
Nach dem Datenschutzgesetz (DSG) kann jede Person vom Verantwortlichen Auskunft darüber verlangen, ob Personendaten über sie bearbeitet werden. Sie kann – wenn nötig – auch veranlassen, dass die Daten gelöscht oder berichtigt werden. Dieses Auskunftsrecht erlaubt der betroffenen Person, die über sie beschafften Daten zu kontrollieren. Auf der Grundlage des Auskunftsrechts kann sie die Rechte geltend machen, die ihr nach dem DSG zustehen. Gleichzeitig gewährleistet das Auskunftsrecht eine transparente Datenbearbeitung. Jede Person muss jedoch selbst handeln, um das erwähnte Recht wahrzunehmen.
Werbung & Marketing
Post, E-Mail, Telefon: Je nach Art der Kontaktaufnahme gelten unterschiedliche Regeln für eine datenschutzkonforme Werbung.
Jeder Verantwortliche ist verpflichtet, die Datensicherheit zu gewährleisten, auch bei deren Übermittlung. Bei besonders schützenswerten Daten – beispielsweise Gesundheitsdaten – muss deren Bearbeitung mit besonderer Sorgfalt erfolgen.
Fehler sind menschlich und können immer passieren. Aber solche Vorfälle dürfen nicht verharmlost werden. In den meisten Fällen reicht ein direkter Kontakt zwischen den beteiligten Personen aus, um die Situation zu klären: Ein Anruf oder ein Brief an den Verantwortlichen (Arzt, Apotheke usw.) ermöglicht nicht nur die Korrektur des Fehlers, sondern macht den Verantwortlichen auch auf das Problem aufmerksam und veranlasst ihn, Massnahmen zu ergreifen, um das Risiko einer Wiederholung zu verringern.
Personen, die sich in ihrer Persönlichkeit verletzt fühlen, haben die Möglichkeit, ihre Rechte vor einem Zivilgericht gemäß Art. 32 Abs. 2 DSG geltend zu machen oder, wenn die Voraussetzungen erfüllt sind, bei den zuständigen Strafverfolgungsbehörden wegen Verletzung des Berufsgeheimnisses (Art. 321 Strafgesetzbuch) oder der Schweigepflicht (Art. 62 DSG) vorzugehen.
Wenn Sie unter solchen Umständen persönliche Daten weitergegeben haben, ist der EDÖB leider nicht die zuständige Behörde, um Ihnen zu helfen. Es ist nicht seine Aufgabe, und er ist auch nicht in der Lage festzustellen, ob jemand Opfer eines Betrugs geworden ist, oder Cyberkriminelle zu verfolgen.
Wenn Sie Opfer eines Betrugs geworden sind, kann Ihr Fall möglicherweise strafrechtlich verfolgt werden. Sie können sich in diesem Fall an die Polizei wenden.
Allgemeine Informationen zu Cybersicherheit finden Sie auf der Website des Bundesamtes für Cybersicherheit (BACS). Sie finden dort insbesondere Informationen zu aktuellen Themen und Bedrohungen.
- BACS Bundesamt für Cybersicherheit
BACS Bundesamt für Cybersicherheit
- BACS Bundesamt für Cybersicherheit
Der Arbeitgeber darf Daten über Arbeitnehmende nur bearbeiten, soweit sie das Arbeitsverhältnis betreffen oder zur Durchführung des Arbeitsvertrages erforderlich sind. Eine Videoüberwachung kann unter bestimmten Bedingungen zulässig sein, insbesondere aus Gründen der Sicherheit oder für das Produktionsmanagement. Überwachungs- und Kontrollsysteme dürfen nicht zum Zweck eingesetzt werden, das Verhalten der Arbeitnehmenden zu überwachen. Sind diese aus anderen Gründen (Produktions- oder Sicherheitskontrollen) erforderlich, sind sie insbesondere so zu gestalten und anzuordnen, dass die Gesundheit und die Bewegungsfreiheit der Arbeitnehmenden nicht beeinträchtigt werden. Somit muss geprüft werden, ob nicht weniger einschneidende Massnahmen den erwünschten Zweck erfüllen (Grundsatz der Verhältnismässigkeit). Darüber hinaus müssen die Arbeitnehmenden vor der Inbetriebnahme einer Videoüberwachung informiert werden (Grundsatz der Transparenz).
Bei der Umsetzung der Massnahmen durch den Arbeitgeber müssen das Bundesgesetz über den Datenschutz (DSG) und die einschlägigen arbeitsrechtlichen Vorschriften (insbesondere Art. 26 der Verordnung 3 zum Arbeitsgesetz [ArGV 3] bezüglich der Überwachung der Arbeitnehmenden) eingehalten werden. Weitere Informationen zu diesem Thema finden Sie auf unserer Webseite:
Videoüberwachung am Arbeitsplatz
Videoüberwachungsanlagen können das Wohlbefinden, die psychische Gesundheit und die Produktivität der Angestellten beeinträchtigen.
Über das Arbeitsinspektorat ihres Arbeitskantons können Angestellte die Verletzung von Artikel 26 ArGV 3 geltend machen, wenn sie ihre Gesundheit aufgrund von Videoüberwachung am Arbeitsplatz als gefährdet einstufen.
Vereine
Das ist unter gewissen Voraussetzungen zulässig. Weitere Informationen finden Sie auf der Seite Datenschutz in Vereinen:
Datenschutz in Vereinen
Häufige Fragen und wichtige Neuerungen - Überblick Rechte und Pflichten
Das ist unter gewissen Voraussetzungen zulässig. Weitere Informationen finden Sie auf der Seite Datenschutz in Vereinen:
Datenschutz in Vereinen
Häufige Fragen und wichtige Neuerungen - Überblick Rechte und Pflichten
Die Bekanntgabe von Spendern eventuell mit Nennung ihres Spendenbetrages an eine Trauergesellschaft bedarf der Zustimmung der spendenden Personen. Es muss ihnen bereits bei der Ausrichtung der Spende mitgeteilt werden, dass eine Weitergabe ihrer Angaben erfolgen wird, und es ist ihnen eine einfache Möglichkeit zu bieten, wie sie dieser Bekanntgabe zustimmen resp. diese untersagen können, z.B. mittels Vermerkes auf dem Einzahlungsschein.
Verhaltenskodex
Verhaltenskodex
Gemäss Artikel 11 DSG können Berufs-, Branchen- und Wirtschaftsverbände sowie Bundesorgane ihren eigenen Verhaltenskodex erstellen und diesen dem EDÖB zur Stellungnahme vorlegen.
Veröffentlichung von Fotos/Videos
Die Antwort auf diese Frage finden Sie auf dieser Seite:
Umgang mit Fotos
Jede Person hat ein Recht am eigenen Bild. Dies bedeutet, dass jede und jeder in der Regel darüber entscheiden kann, ob und in welcher Form ihr oder sein Bild aufgenommen und veröffentlicht werden darf.
Bilder von anderen Personen dürfen grundsätzlich nur mit Erlaubnis der abgebildeten Person veröffentlicht werden. Weitere Hinweise finden Sie auf dieser Seite:
Umgang mit Fotos
Jede Person hat ein Recht am eigenen Bild. Dies bedeutet, dass jede und jeder in der Regel darüber entscheiden kann, ob und in welcher Form ihr oder sein Bild aufgenommen und veröffentlicht werden darf.
Bilder von anderen Personen dürfen grundsätzlich nur mit Erlaubnis der abgebildeten Person gepostet werden. Weitere Hinweise finden Sie auf dieser Seite:
Umgang mit Fotos
Jede Person hat ein Recht am eigenen Bild. Dies bedeutet, dass jede und jeder in der Regel darüber entscheiden kann, ob und in welcher Form ihr oder sein Bild aufgenommen und veröffentlicht werden darf.
Sie können die Entfernung der Bilder oder des Videos verlangen. Weitere Hinweise finden Sie auf dieser Seite:
Umgang mit Fotos
Jede Person hat ein Recht am eigenen Bild. Dies bedeutet, dass jede und jeder in der Regel darüber entscheiden kann, ob und in welcher Form ihr oder sein Bild aufgenommen und veröffentlicht werden darf.
Versicherungen
Nein, es kann kein Gesundheitsfragebogen eingefordert werden. Es besteht eine Versicherungspflicht, d.h. der Krankenversicherer muss Sie ungeachtet Ihres Alters und Gesundheitszustandes aufnehmen. Auch darf er keine Vorbehalte oder Wartefristen anbringen.
Hingegen ist der Versicherer bei einem Aufnahmegesuch für eine Zusatzversicherung berechtigt, Ihnen Fragen über Ihren Gesundheitszustand zu stellen, Vorbehalte anzubringen oder Ihr Gesuch abzulehnen.
Der Vertrauensarzt berät den Krankenversicherer in medizinischen Fachfragen sowie in Fragen der Vergütung und der Tarifanwendung. Er überprüft insbesondere die Voraussetzungen der Leistungspflicht des Krankenversicherers (d.h. er überprüft ob eine ärztliche Behandlung von der Krankenversicherung übernommen werden muss). Dabei gibt er den zuständigen Stellen des Krankenversicherers nur diejenigen Angaben weiter, die notwendig sind, um über die Leistungspflicht zu entscheiden, die Vergütung festzusetzen oder eine Verfügung zu begründen. Damit nimmt er eine Filterfunktion wahr und schützt die Persönlichkeitsrechte der Versicherten.
Der Vertrauensarzt ist lediglich im Bereich der obligatorischen Krankenversicherung eine gesetzlich geregelte Institution, obwohl mitunter auch in anderen Versicherungszweigen (Invaliden-, Unfall- und Militärversicherung, Privatassekuranz) von Vertrauens-, Kreis-, Gesellschafts- oder beratenden Ärzten die Rede ist. In diesen Rechtsgebieten existieren für die Datenweitergabe je eigene Regeln.
Nein. Der Arzt ist von Gesetzes wegen in begründeten Fällen berechtigt und auf Verlangen der versicherten Person in jedem Fall verpflichtet, medizinische Angaben nur dem Vertrauensarzt des Krankenversicherers bekannt zu geben.
Sie haben somit die Möglichkeit, von Ihrem behandelnden Arzt zu verlangen, Gesundheitsdaten nur dem Vertrauensarzt bekannt zu geben.
Sowohl der soziale als auch der private Krankentaggeldversicherer darf im Aufnahmeverfahren Informationen über den Gesundheitszustand des Arbeitnehmenden bzw. der zu versichernden Person verlangen. Die Versicherung ist jedoch an das Verhältnismässigkeitsprinzip gebunden, wonach nur die notwendigen und geeigneten Personendaten beschafft werden dürfen. Daraus ergibt sich auch, dass die Gesundheitsdaten an den Vertrauensarzt bzw. den medizinischen Dienst des jeweiligen Krankentaggeldversicherers gelangen sollten.
Die Aufnahme in eine soziale Krankentaggeldversicherung richtet sich nach den Vorgaben des Krankenversicherungsgesetzes. Bei der Datenbeschaffung durch eine solche Versicherung ist zu berücksichtigen, dass dem Versicherten ein Vorbehalt von maximal fünf Jahren auferlegt werden kann. Zudem ist ein sozialer Krankentaggeldversicherer, im Gegensatz zum privaten, verpflichtet, jede Antragsstellerin oder jeden Antragsteller unabhängig vom Gesundheitszustand aufzunehmen.
Nein. Denn die Gesundheitsdaten dürfen nur an den Krankentaggeldversicherer bzw. dessen Vertrauensärztin oder medizinischen Dienst gelangen. Es liegt allein am Krankentaggeldversicherer abzuklären, ob jemand aufgenommen wird oder nicht.
In der Praxis sind die Antragsformulare oftmals so ausgestaltet, dass die Arbeitgeberin als Versicherungsnehmende Einblick in die Gesundheitsdaten des Arbeitnehmers erhält. Solche Formulare sind mit der Datenschutzgesetzgebung nicht vereinbar. Es liegt hier vor allem am Krankentaggeldversicherer, das Aufnahmeverfahren so zu organisieren, dass die Arbeitgeberin keinen Zugriff auf die Gesundheitsdaten des Arbeitnehmers erhält.
Das Bedürfnis nach Gesundheitsdaten entsteht vor allem im Aufnahmeverfahren und in einem späteren Leistungsfall. Krankentaggeldversicherer können Gesundheitsdaten über Arbeitnehmer bei Dritten dann einholen, wenn ein Rechtfertigungsgrund im Sinne des Datenschutzgesetzes vorliegt.
Als Rechtfertigungsgrund kommt namentlich die Einwilligung der Arbeitnehmerin oder des Arbeitnehmers in Frage. Die Einwilligung ist insbesondere dann notwendig, wenn ein Krankentaggeldversicherer Informationen bei einem Arzt einholen will, da Ärztinnen und Ärzte dem Patientengeheimnis nach Strafgesetzbuch unterstehen. Im Weiteren ist die schriftliche Einwilligung von Gesetzes wegen erforderlich, wenn Informationen bei einem Sozialversicherer eingeholt werden müssen.
Die Einwilligungsklausel ist jedoch nur dann gültig, wenn die Arbeitnehmerin den Umfang und die Tragweite der Einwilligung kennt (Transparenzprinzip). Dies bedeutet, dass das Einwilligungsformular klar und eindeutig darüber Auskunft geben muss, bei wem welche Informationen beschafft werden. Das Transparenzprinzip gilt erst recht, wenn es sich um besonders schützenswerte Personendaten wie Gesundheitsdaten handelt. Sogenannte "Blankovollmachten" sind mit der Datenschutzgesetzgebung nicht vereinbar.
Soweit ein Arbeitnehmer die Voraussetzungen für die obligatorische Versicherung nach BVG erfüllt, besteht eine Aufnahmepflicht in die Vorsorgeeinrichtung. Gesundheitsdaten dürfen für den Eintritt in die obligatorische Versicherung demnach nicht verlangt werden.Werden jedoch auch Versicherungsleistungen für den überobligatorischen Bereich angeboten, dann sind Gesundheitsfragen grundsätzlich erlaubt. Der Vorsorgeversicherer tritt hier nicht als Sozialversicherer auf, sondern als Privatversicherer. Die Versicherung ist jedoch an das Verhältnismässigkeitsprinzip gebunden, wonach nur die notwendigen und geeigneten Personendaten beschafft werden dürfen. Aus dem Verhältnismässigkeitsprinzip ergibt sich auch, dass die Gesundheitsdaten an den Vertrauensarzt bzw. medizinischen Dienst der jeweiligen Vorsorgeeinrichtung gelangen sollten.
Die Aufnahme für den überobligatorischen Vorsorgebereich richtet sich nach den Vorgaben des Obligationenrechts (OR). Danach dürfen Vorsorgeeinrichtungen für die Risiken Tod und Invalidität einen Vorbehalt aus gesundheitlichen Gründen machen. Dieser darf höchstens fünf Jahre betragen. Bei der Umsetzung des Verhältnismässigkeitsprinzips sind die gesetzlichen Vorgaben des OR zu berücksichtigen.
Nein. Denn die Gesundheitsdaten dürfen nur an die Vorsorgeeinrichtung bzw. deren Vertrauensärztin oder medizinischen Dienst gelangen. Es liegt allein an der Vorsorgeeinrichtung abzuklären, ob jemand für den überobligatorischen Vorsorgebereich aufgenommen wird oder nicht.
In der Praxis sind die Antragsformulare oftmals so ausgestaltet, dass Arbeitgebende als Versicherungsnehmer Einblick in die Gesundheitsdaten des Arbeitnehmers erhalten. Solche Formulare sind mit der Datenschutzgesetzgebung nicht vereinbar. Es liegt hier vor allem an der Vorsorgeeinrichtung, das Aufnahmeverfahren so zu organisieren, dass Arbeitgebende keinen Zugriff auf die Gesundheitsdaten des Arbeitnehmers erhalten.
Das Bedürfnis nach Gesundheitsdaten entsteht vor allem im Aufnahmeverfahren und in einem späteren Leistungsfall. Vorsorgeeinrichtungen können Gesundheitsdaten über Arbeitnehmer bei Dritten dann einholen, wenn ein Rechtfertigungsgrund im Sinne des Datenschutzgesetzes vorliegt. Dies ist jedoch nur für den überobligatorischen Bereich erlaubt.
Als Rechtfertigungsgrund kommt grundsätzlich die Einwilligung des Arbeitnehmers in Frage. Die Einwilligung ist insbesondere dann notwendig, wenn eine Vorsorgeeinrichtung Informationen bei einer Ärztin einholen will, da Ärztinnen und Ärzte dem Patientengeheimnis nach Strafgesetzbuch unterstehen. Zudem ist die schriftliche Einwilligung von Gesetzes wegen erforderlich, wenn Informationen von einem Sozialversicherer eingeholt werden müssen.
Die Einwilligungsklausel ist jedoch nur dann gültig, wenn der Arbeitnehmer den Umfang und die Tragweite der Einwilligung kennt (Transparenzprinzip). Dies bedeutet, dass die Einwilligung klar und eindeutig darüber Auskunft geben muss, bei wem welche Informationen beschafft werden. Das Transparenzprinzip gilt erst recht, wenn es sich um besonders schützenswerte Personendaten wie Gesundheitsdaten handelt. Sogenannte "Blankovollmachten" sind mit der Datenschutzgesetzgebung nicht vereinbar.
Vorsorgeeinrichtungen (Pensionskassen), welche in der Regel als Stiftungen organisiert sind, sind zur Erfüllung der obligatorischen Versicherung der beruflichen Vorsorge verpflichtet. In der Praxis kommt es vor, dass Vorsorgeeinrichtungen einen Teil oder die Gesamtheit des operativen Geschäftsbetriebs an eine externe Gesellschaft übertragen. In Bezug auf ihre Rolle und datenschutzrechtliche Qualifikation können solche Dienstleistungsgesellschaften je nach Konstellation entweder als Auftragsbearbeiterinnen oder als Verantwortliche auftreten.
Für Fälle, in denen nur bestimmte operative Tätigkeiten übertragen werden und die Vorsorgeeinrichtung massgeblich in den Prozess eingebunden bleibt, kann die Form der Auftragsbearbeitung zutreffend sein. Bei Konstellationen, in welchen die Übertragung umfassender ist und diese nicht nur einzelne Operationen oder Datenbearbeitungen, sondern die autonome Erfüllung von Aufgaben der beruflichen Vorsorge betrifft, kann die Dienstleistungsgesellschaft eine Verantwortliche darstellen. Dies ist insbesondere der Fall, wenn die Dienstleistungsgesellschaft die Geschäftsführung der Vorsorgeeinrichtung übernimmt oder tatsächlich mit weitergehender Autonomie entscheidet. Auch bei der Übertragung spezifischer Aufgaben der Vorsorgeeinrichtung kann die Dienstleistungsgesellschaft eine Verantwortliche sein, wenn sie sich beispielsweise um die Beziehung zu den Versicherten kümmert und in diesem Rahmen selbstständig Entscheidungen trifft. Somit müssen in diesem Zusammenhang stets die vereinbarten vertraglichen Verhältnisse hinsichtlich der Aufgabenteilung sowie die konkreten Umstände berücksichtigt werden.
Videoüberwachung
Unter gewissen Rahmenbedingungen ist das zulässig. Weitere Hinweise finden Sie auf dieser Seite:
Videoüberwachung in der Nachbarschaft
Meine Nachbarin oder mein Nachbar hat eine Videokamera aufgestellt. Ist dies zulässig? Muss sie um meine Erlaubnis bitten?
Hier finden Sie die nötigen Hinweise bevor Sie eine Videokamera installieren:
Videoüberwachung durch Private
Wann dürfen Private eine Videoüberwachung installieren?
Da eine Kamera-Attrappe keine tatsächlichen Aufnahmen aufzeichnet, erfolgt faktisch keine Bearbeitung von Personendaten im Sinne des Datenschutzgesetzes. Folglich sind die Vorschriften des Datenschutzgesetzes auf die Installation oder den Betrieb einer Kamera-Attrappe nicht anwendbar.
Allerdings ist Sinn und Zweck einer Kamera-Attrappe, den Eindruck zu erwecken, dass eine Videoüberwachung erfolgt. Ziel ist es, das Verhalten von Menschen in eine bestimmte Richtung zu beeinflussen und dadurch einen sogenannten Überwachungsdruck entstehen zu lassen.
Folglich macht es im Hinblick auf das allgemeine Persönlichkeitsrecht kaum einen Unterschied, ob es sich um eine echte Kamera oder lediglich um eine Attrappe handelt: In beiden Fällen kann das Gerät einen Überwachungsdruck ausüben, der faktisch das Recht der betroffenen Personen einschränkt, sich jederzeit unbeobachtet an einem bestimmten Ort zu bewegen.
Zwar ist das Datenschutzgesetz aufgrund der fehlenden Datenbearbeitung nicht anwendbar, dennoch kann ein Eingriff in die Persönlichkeitsrechte vorliegen, gegen welchen sich die betroffenen Personen vor dem Zivilgericht wehren können. Zudem stellt sich die Frage, ob Kamera-Attrappen nicht grundsätzlich gegen den Grundsatz von Treu und Glauben verstossen (Art. 2 Abs. 1 ZGB).
Werbung
Die Antwort auf diese Frage finden Sie auf dieser Seite:
Werbung & Marketing
Post, E-Mail, Telefon: Je nach Art der Kontaktaufnahme gelten unterschiedliche Regeln für eine datenschutzkonforme Werbung.
Die Antwort auf diese Frage finden Sie auf dieser Seite:
Werbung & Marketing
Post, E-Mail, Telefon: Je nach Art der Kontaktaufnahme gelten unterschiedliche Regeln für eine datenschutzkonforme Werbung.
Die Antwort auf diese Frage finden Sie auf dieser Seite:
Werbung & Marketing
Post, E-Mail, Telefon: Je nach Art der Kontaktaufnahme gelten unterschiedliche Regeln für eine datenschutzkonforme Werbung.
Sie haben gegenüber dem Verantwortlichen gestützt auf Art. 25 DSG ein Auskunftsrecht. Der Verantwortliche muss Ihnen die verfügbaren Angaben über die Herkunft der Personendaten mitteilen. Weigert sich ein Verantwortlicher Auskunft zu erteilen, können Sie Ihren Anspruch vor dem Zivilgericht geltend machen. Weitere Hinweise finden Sie auf der Seite zum Auskunftsrecht:
Auskunftsrecht
Nach dem Datenschutzgesetz (DSG) kann jede Person vom Verantwortlichen Auskunft darüber verlangen, ob Personendaten über sie bearbeitet werden. Sie kann – wenn nötig – auch veranlassen, dass die Daten gelöscht oder berichtigt werden. Dieses Auskunftsrecht erlaubt der betroffenen Person, die über sie beschafften Daten zu kontrollieren. Auf der Grundlage des Auskunftsrechts kann sie die Rechte geltend machen, die ihr nach dem DSG zustehen. Gleichzeitig gewährleistet das Auskunftsrecht eine transparente Datenbearbeitung. Jede Person muss jedoch selbst handeln, um das erwähnte Recht wahrzunehmen.
Wohnungssuche
Die Antwort auf diese Frage finden Sie auf dieser Seite:
Anmeldeformulare für Mietwohnungen
Das Beschaffen von Personendaten für die Vermietung einer Wohnung ist unter bestimmten Bedingungen möglich.
Kopien von Pass- und/oder Personalausweisen, die man z.B. für einen Wohnungsbewerbung gesammelt hat, sollten nicht länger als nötig aufbewahrt werden, d.h. sie sollten vernichtet werden, sobald der Zweck, für den die Kopien angefordert wurden (in der Regel die Identifizierung), erreicht ist. Das leitet sich aus dem Verhältnismässigkeit- und dem Zweckbindungsprinzip ab.
Inhaltsverzeichnis
- AHV-Nummer
- Arbeit
- Auskunftsrecht
- Bearbeitungsreglement
- Bearbeitungsverzeichnis
- Datenschutzberater/in
- Datenschutzerklärung
- Datenschutz-Folgenabschätzung
- Datenschutzgesetz (DSG)
- Datenübermittlung ins Ausland / SCC
- DSGVO
- Gesundheit
- Kredit und Inkasso
- Meldung eines Datenlecks
- Protokollierung
- Statistik, Register und Forschung
- Todesanzeigen
- Untersuchungsverfahren
- Vereine
- Verhaltenskodex
- Veröffentlichung von Fotos/Videos
- Versicherungen
- Videoüberwachung
- Werbung
- Wohnungssuche
Weitere nützliche Hinweise zum neuen Datenschutzgesetz:
Für eine telefonische Auskunft steht Ihnen Mo-Fr von 10-11:30 Uhr unsere Hotline zur Verfügung: Tel. 058 462 43 95.