Informationspflicht

Informationspflicht

Mit der Informationspflicht wird eine transparente Datenbearbeitung gewährleistet und die Rechte der betroffenen Personen werden gestärkt. Ohne Information ist sich die betroffene Person möglicherweise nicht bewusst, dass ihre Daten bearbeitet werden, und sie kann daher ihre Rechte nach dem Datenschutzgesetz (DSG) nicht geltend machen. Nach dem DSG ist der Verantwortliche daher verpflichtet, die betroffene Person über die Beschaffung ihrer Personendaten zu informieren. Diese Informationspflicht gilt auch, wenn die Daten nicht bei der betroffenen Person beschafft werden.

Bei jeder geplanten Datenbeschaffung oder -bearbeitung muss der Verantwortliche die betroffene Person im Vorfeld angemessen informieren. Diese Informationspflicht gilt auch, wenn die Daten nicht direkt bei der betroffenen Person beschafft werden. 

Der Verantwortliche muss den betroffenen Personen die Informationen über die Beschaffung und Bearbeitung von Personendaten in knapper, transparenter, verständlicher und einfach zugänglicher Form mitteilen. Das DSG sieht keine Formvorschriften für diese Information. Der Verantwortliche kann selber eine Form wählen, die dem Transparenzprinzip (Prinzip von Treu und Glauben) entspricht und alle erforderlichen Elemente enthält (z. B. Datenschutzerklärung, allgemeine Geschäftsbedingungen, Informationen auf einer Website, Piktogramm, separates Schreiben, Informationen in einem Einwilligungsformular usw.). Die Informationen müssen einfach zugänglich, vollständig und leicht identifizierbar sein. Wenn die Daten nicht bei der betroffenen Person beschafft werden, muss der Verantwortliche dieser irgendwie ermöglichen, die Informationen tatsächlich zur Kenntnis zu nehmen.

Der Verantwortliche muss der betroffenen Person alle Informationen mitteilen, die erforderlich sind, damit sie ihre Rechte geltend machen kann und eine transparente Datenbearbeitung gewährleistet ist. Konkret sind das die Identität und die Kontaktdaten des Verantwortlichen, der Bearbeitungszweck und gegebenenfalls die Empfängerinnen und Empfänger, denen Personendaten bekanntgegeben werden (z. B. Auftragsbearbeiter). Wie detailliert die Informationen sein müssen, hängt von der Art der bearbeiteten Personendaten sowie von der Art und dem Umfang der Bearbeitung ab. So ist es zum Beispiel möglich, dass man über die Dauer der Bearbeitung oder die Anonymisierung von Daten informieren muss. Anders als in der EU-Datenschutzgrundverordnung müssen auch Informationen über den Empfängerstaat und über mögliche Garantien für ein angemessenes Datenschutzniveau bereitgestellt werden. Vor diesem Hintergrund müssen Unternehmen ihre Datenschutzerklärung überprüfen und aktualisieren. 

Die Informationspflicht ist ausserdem eingeschränkt oder sie entfällt in den Ausnahmefällen nach Artikel 20 DSG. Dies ist zum Beispiel der Fall, wenn die betroffene Person bereits über die entsprechenden Informationen verfügt (weil sie vorgängig ihre Einwilligung zur Datenbearbeitung gegeben hat) oder wenn die Bearbeitung gesetzlich vorgesehen ist. Wenn die Personendaten nicht bei der betroffenen Person beschafft werden, entfällt die Informationspflicht zudem, wenn die Information nicht möglich ist oder einen unverhältnismässigen Aufwand erfordert. Diese Ausnahmen sind eng auszulegen, der Verantwortliche darf sich nicht mit einer Vermutung begnügen. Er muss alle Anstrengungen unternehmen, die im konkreten Fall von ihm erwartet werden können, um seiner Informationspflicht nachzukommen. Weiter kann der Verantwortliche auf die Mitteilung der Informationen verzichten oder diese einschränken oder aufschieben, wenn überwiegende private oder öffentliche Interessen dies erfordern (z. B. Interessen Dritter oder laufendes Gerichtsverfahren).

Das DSG sieht zudem eine spezifische Informationspflicht bei automatisierten Einzelentscheidungen vor: Wenn eine Datenauswertung ohne menschliches Zutun (z. B. mit Algorithmen) erfolgt und sich daraus eine Entscheidung oder ein Urteil über die betroffene Person ergibt (z. B. Profiling, automatische Steuerveranlagungsentscheide, medizinische Leistungen aufgrund automatisierter Entscheidungen, automatisierte Solvenzprüfungen usw.). Nach Art. 21 DSG muss der Verantwortliche diese betroffene Person informieren und ihr die Möglichkeit geben, ihren Standpunkt zum Ergebnis der Entscheidung darzulegen und die Überprüfung der Entscheidung durch eine natürliche Person zu verlangen. 

Die Informationspflicht entfällt, wenn die automatisierte Einzelentscheidung in unmittelbarem Zusammenhang mit dem Abschluss oder der Abwicklung eines Vertrags zwischen dem Verantwortlichen und der betroffenen Person steht und dem Begehren der betroffenen Person vollumfänglich stattgegeben wird (z. B. bei Abschluss eines Vertrags zu den gewünschten Bedingungen) oder die betroffene Person ausdrücklich eingewilligt hat, dass die Entscheidung automatisiert erfolgt. 

Die Bundesorgane sind verpflichtet, eine automatisierte Einzelentscheidung entsprechend zu kennzeichnen. Wenn die Person ein Rechtsmittel gegen die automatisierte Einzelentscheidung hat, werden im entsprechenden Verfahren das Recht auf Geltendmachung des eigenen Standpunkts und das Recht, die Entscheidung von einer natürlichen Person überprüfen zu lassen, gewährleistet.


Strafbestimmungen

Strafrechtliche Aspekte im Zusammenhang mit Verletzungen der Pflichten gemäss Datenschutzgesetz.

Auskunftsrecht

Nach dem Datenschutzgesetz kann jede Person vom Verantwortlichen Auskunft darüber verlangen, ob Personendaten über sie bearbeitet werden.

Datenschutzberaterin und -berater

Meldung von Datenschutzberaterinnen oder -beratern an den EDÖB gemäss Art. 10 Abs. 3 DSG für Private und Art. 10 Abs. 4 DSG für Bundesorgane.

Gebühren

Ab 1.9.2023 erhebt der EDÖB Gebühren auf gewissen Dienstleistungen.

Webmaster
Letzte Änderung 18.09.2023

Zum Seitenanfang