Für eine telefonische Auskunft steht Ihnen Mo-Fr von 10-11:30 Uhr unsere Hotline zur Verfügung: Tel. 058 462 43 95.
Häufige Fragen zum Datenschutz - FAQ
Themenübersicht
- Arbeit
- Auskunftsrecht
- Bearbeitungsreglement
- Bearbeitungsverzeichnis
- Daten
- Datenschutzberater/in
- Datenschutzerklärung
- Datenschutz-Folgenabschätzung
- Datenübermittlung ins Ausland / SCC
- DSGVO
- Gesundheit
- Kredit und Inkasso
- Meldung eines Datenlecks
- Protokollierung
- Statistik, Register und Forschung
- Vereine
- Verhaltenskodex
- Veröffentlichung von Fotos/Videos
- Versicherungen
- Videoüberwachung
- Werbung
- Wohnungssuche
Arbeit
Da die fotografische Abbildung einer Mitarbeiterin oder eines Mitarbeiters Rückschlüsse z. B. auf Religion, Rassenzugehörigkeit oder eine körperliche Beeinträchtigung zulässt und in der Regel gar nicht nötig ist, darf Sie nur mit dem Einverständnis der betroffenen Person im Inter- oder Intranet abgebildet werden. Das gilt auch für Fotos von Anlässen (z. B. Weihnachtsfeiern, Betriebsausflüge etc.). Grundsätzlich sollte im Vorfeld evaluiert werden, ob die Veröffentlichung der Fotografien der Angestellten für die Aufgabenerfüllung erforderlich ist oder nicht.
Personalbeurteilungen sind arbeitsplatzrelevant und dürfen sowohl während als auch nach Beendigung des Arbeitsverhältnisses im Personaldossier aufbewahrt werden. Die Bearbeitung und Aufbewahrung der Beurteilung ist insbesondere für die Angestellten von grossem Interesse, da sie bis zum Ablauf der Verjährungsfrist einen Anspruch auf ein Schlusszeugnis haben. Die Verjährungsfrist beträgt nach vorherrschender Auffassung 10 Jahre (Art. 127 Obligationenrecht, OR). Dies bedeutet, dass der oder die Arbeitnehmende ein Zeugnis 10 Jahre nach seiner Ausstellung noch gerichtlich anfechten kann. Beim Verfassen eines Arbeitszeugnisses kommen in der Regel nur die zwei letzten Mitarbeiterbeurteilungen in Frage. Frühere Beurteilungen sind regelmässig aus dem Personaldossier zu entfernen und zu vernichten.
Der Personaldienst benötigt in der Regel für die Erfüllung seiner üblichen Geschäfte die Gesamtheit der Beurteilung (Persönlichkeitsprofil) nicht. Aus Lohnbewirtschaftungsgründen ist er jedoch berechtigt, das Endresultat einer Mitarbeiterbeurteilung beizuziehen. Er darf darüber hinaus in Ausnahmefällen und aufgrund besonderer Pflichten weitere Informationen aus dem Qualifikationsgespräch benutzen, sofern dies aus organisatorischen Gründen nötig ist.
Mitarbeiterbeurteilungen müssen demzufolge grundsätzlich in einem verschlossenen Couvert im Personaldossier aufbewahrt werden.Was die informatikunterstützte Bewirtschaftung der Mitarbeiterbeurteilungen betrifft, wird die Verschlüsselung der elektronischen Qualifikationsformulare sowohl bei der Übermittlung als auch in der entsprechenden Datenbank empfohlen.
Ja. Der Arbeitgeber kann beispielsweise die Weisung ausgeben, dass die Angestellten das Telefon und/oder die E-Mail nur für geschäftliche Zwecke verwenden dürfen. Die Einschränkung privater Surftouren kann mittels Sperrung unerwünschter Internetangebote (Börse, Erotikseiten etc.) oder Festlegung eines Zeitpunktes ab dem eine Private Internetnutzung erlaubt ist (z.B. während Pausen, oder ab 18.00 Uhr), erfolgen.
Hauptsächlich mit technischen Schutzmassnahmen. Es gibt keine absolute technische Sicherheit. Technische Schutzmassnahmen können jedoch die Risiken im Zusammenhang mit der Internet- und E-Mail-Nutzung reduzieren.
Durch den Einsatz von solchen Schutzmassnahmen soll der Arbeitgeber frühzeitig mögliche Gefahren für die Sicherheit und Funktionstüchtigkeit des elektronischen Systems verhindern. Die präventive Wirkung dieser Massnahmen soll den Einsatz repressiver Mittel wie die Überwachung weitgehend ersetzen. Zu den wichtigsten technischen Schutzmassnahmen gehören Passwort- und Zugriffsschutz, Antivirus- und Diskquotamanagers, Backups und Firewalls. Zusätzlich sollen die Surf- und Mailprogramme nach dem letzten Stand der Technik installiert und in einer sicherheitsmässigen Form konfiguriert und regelmässig aktualisiert werden.
Der Arbeitgeber darf den Inhalt von als privat gekennzeichneten oder erkennbaren E-Mails selbst dann nicht lesen, wenn die private Nutzung von E-Mail laut Nutzungsreglement verboten ist. Er darf eine Einhaltung des Nutzungsverbots überwachen, jedoch nur aufgrund der Adressierungselemente. Eine systematische Überwachung von E-Mails durch Spionprogramme (Content Scanner) ist nicht zulässig.
Erlaubt ist dem Arbeitgeber die Leistungs- und Geschäftskontrolle. Das systematische Auswerten von geschäftlichen und nicht ausdrücklich als privat gekennzeichneten E-Mail muss jedoch gerechtfertigt und verhältnismässig sein und den Angestellten im Voraus mitgeteilt werden.
Der private Charakter eines Briefs, Pakets oder E-Mails kann aus verschiedenen Elementen hervorgehen: Der Brief, das Paket oder die E-Mail kann ausdrücklich als «privat» gekennzeichnet sein oder anhand der Adressierung als solcher erkennbar sein. Es genügt allerdings nicht, bei einem Brief den Personennamen vor dem Firmennamen voranzustellen, ihn als privat zu kennzeichnen. Es muss noch der ausdrückliche Vermerk (persönlich, privat, c/o etc.) stehen. Wenn allerdings äussere Merkmale darauf schliessen lassen, dass der Brief privater Natur ist (Farbe, Format, etc.), ist der Brief ungeöffnet an die betreffende Person weiterzuleiten. Bei Zweifeln nicht öffnen, sondern (evtl. mit entsprechendem Vermerk) weiterleiten.
Bei E-Mails ist es in der Regel schwieriger, ohne weiteres den privaten Charakter einer Nachricht zu erkennen. Auch hier gilt die Regel: Im Zweifelsfall nicht lesen, da der private Postverkehr einen uneingeschränkten Schutz (Postgeheimnis) geniesst, sondern den Empfänger auf das Problem aufmerksam machen und ihn fragen, ob die betreffende Post privat ist oder nicht.
Wenn ein Angestellter die Firma verlässt, muss ihm die Möglichkeit gegeben werden, alle privaten Elemente aus seinem Postfach mitzunehmen (genauso wie alle anderen persönlichen Daten). Die geschäftlichen Elemente, die weiterhin benötigt werden oder noch in Bearbeitung sind, sind an den Stellvertreter oder zuständigen Vorgesetzten weiterzuleiten. Am Ende des letzten Arbeitstags des betreffenden Angestellten wird sein Postfach geleert und blockiert.
Im Falle einer vorhersehbaren Abwesenheit kann der betroffene Angestellte eine entsprechende Abwesenheitsmeldung festlegen, mit der jede eingehende Nachricht automatisch beantwortet wird. Ausserdem kann eine automatische Weiterleitungsregel definiert werden, die jede eingehende Nachricht an den Stellvertreter übermittelt. Diese Massnahme ist allerdings problematisch, weil erstens nicht ohne weiteres sichergestellt werden kann, dass nicht auch private Elemente weitergeleitet werden, und weil zweitens der Absender keine Möglichkeit hat, die Weiterleitung zu verhindern. Sinnvoller ist daher eine Abwesenheitsmeldung, die die E-Mail-Adresse des Stellvertreters angibt. Auf diese Weise steht es dem Absender frei, die Mail an den Stellvertreter zu senden oder nicht.
Ferner sollte erwogen werden, ob als Ergänzung zu einer personenbezogenen E-Mail-Adresse (hans.meier@firma.ch) die Schaffung einer funktionsbezogenen unpersönlichen Adresse (verkaufsleitung@firma.ch) sinnvoll wäre. Diese Lösung hat mehrere Vorteile: Zum einen ist der geschäftliche Charakter der an diese Adresse gesandten E-Mail sofort ersichtlich; zum anderen haben Personalfluktuationen keine negativen Auswirkungen auf den E-Mail-Verkehr, sofern nur eine bestimmte Person, nicht aber deren Funktion innerhalb der Firma wegfällt.
Das Sekretariat darf die Geschäftspost öffnen. Die private Post, die ein Angestellter an seinem Arbeitsplatz erhält, geniesst einen uneingeschränkten Schutz. Dabei ist es natürlich erforderlich, dass der private Charakter eines Briefes oder Pakets ohne weiteres ersichtlich ist.Der private Charakter eines Briefes oder Pakets kann aus verschiedenen Elementen hervorgehen: Der Brief bzw. das Paket kann ausdrücklich als «privat» gekennzeichnet sein oder anhand der Adressierung als solcher erkennbar sein (Hans Meier, c/o Firma AG). Es genügt allerdings nicht, bei einem Brief den Personennamen vor dem Firmennamen voranzustellen, ihn als privat zu kennzeichnen. Es muss noch der ausdrückliche Vermerk (persönlich, privat, c/o etc.) stehen. Wenn allerdings äussere Merkmale darauf schliessen lassen, dass der Brief privater Natur ist (Farbe, Format, etc.), ist der Brief ungeöffnet an die betreffende Person weiterzuleiten. Bei Zweifeln nicht öffnen, sondern (evtl. mit entsprechendem Vermerk) weiterleiten.
Der Inhalt von Telefongesprächen darf nur aus Gründen der Leistungskontrolle oder aus Sicherheitsgründen aufgezeichnet werden, und auch in diesen Fällen nur dann, wenn die Personen, deren Gespräch aufgezeichnet wird, damit einverstanden sind und jeweils darüber eindeutig und rechtzeitig in Kenntnis gesetzt werden. Ein Verbot, Privatgespräche zu führen, ist mit anderen Mitteln als durch Überwachung von Telefongesprächen durchzusetzen (zum Beispiel, indem Aussenverbindungen durch eine Zentrale vermittelt werden oder nur von bestimmten Anschlüssen aus möglich sind).
Überwachungs- und Kontrollsysteme dürfen nicht zum Zweck eingesetzt werden, das Verhalten der Arbeitnehmer am Arbeitsplatz zu überwachen. Sind Überwachungs- oder Kontrollsysteme aus anderen Gründen (Produktions- oder Sicherheitskontrollen) erforderlich, sind sie insbesondere so zu gestalten und anzuordnen, dass die Gesundheit und die Bewegungsfreiheit der Arbeitnehmer dadurch nicht beeinträchtigt werden.
Die Pflicht zur Aufbewahrung beziehungsweise der Löschung von nicht mehr benötigten Personendaten im Personaldossier wirft bei den verantwortlichen Arbeitgeberinnen und Arbeitgebern verschiedene Fragen und Unsicherheiten auf. Aus datenschutzrechtlicher Perspektive ist insbesondere das Verhältnismässigkeitsprinzip von wesentlicher Bedeutung.
Nach Artikel 328b OR ist nur die Bearbeitung von Personendaten zulässig, die die Eignung der Arbeitnehmerin oder des Arbeitnehmers für das Arbeitsverhältnis betreffen oder zur Durchführung des Arbeitsvertrages erforderlich sind (Arbeitsbezug). Diese Bestimmung unterstreicht die allgemeinen Grundsätze der Datenbearbeitung für das Arbeitsverhältnis, insbesondere die Grundsätze der Verhältnismässigkeit sowie der Zweckbindung (Art. 6 Abs. 2 und 3 DSG).
Das im OR festgehaltene Kriterium der Notwendigkeit für das Arbeitsverhältnis und die datenschutzrechtlichen Grundsätze der Verhältnismässigkeit sowie der Zweckbindung verfolgen dasselbe Ziel: der Arbeitgeber hat nur die notwendigen Personaldaten zu bearbeiten, was auch bedeutet, dass Personendaten gelöscht werden müssen, wenn diese nicht (mehr) notwendig sind oder der Zweck der Datenbearbeitung erfüllt ist.
Aufbewahrungsfrist
Die Dauer der zulässigen Aufbewahrung, d.h. Zeitspanne in welcher eine Speicherung von Personendaten verhältnismässig und zweckgebunden bzw. notwendig für das Arbeitsverhältnis sind, muss auch im Lichte der zivil- und handelsrechtlichen Verpflichtungen des Arbeitgebers beurteilt werden. Das DSG selbst sieht keine Aufbewahrungsfrist vor, sondern legt die allgemeinen Grundsätze der Bearbeitung von Personendaten fest. Die Aufbewahrungsdauer ist je nach Datenkategorie einzeln festzulegen.
Vor dem Arbeitsverhältnis bzw. während des Bewerbungsverfahrens dürfen nur diejenigen Personendaten der Bewerbenden bearbeitet werden, welche die Eignung der Arbeitnehmenden für das Arbeitsverhältnis betreffen. Kommt es zu keiner Anstellung, so kann der Arbeitgeber die Bewerbungsdaten bis zu drei Monate nach Mitteilung der Ablehnung der Bewerbung aufbewahren, um sich im Falle einer Klage gestützt auf einen Anspruch wegen diskriminierender Ablehnung der Anstellung im Sinne des Gleichstellungsgesetzes verteidigen bzw. rechtfertigen zu können (Art. 8 Abs. 2 i.V.m. Art. 5 Abs. 2 GlG). Eventuell rechtfertigt sich auch eine zusätzliche Verlängerung der Aufbewahrungsfrist von einigen Wochen für den Fall einer zeitlich verzögerten Zustellung der Klageschrift durch das Gericht an den beklagten Arbeitgeber.
Während und auch nach dem Ende des Arbeitsverhältnisses sind die verschiedenen Verpflichtungen des Arbeitgebers in Betracht zu ziehen, welche auch von seinem Tätigkeitsbereich abhängen.
In erster Linie ergeben sich aus den arbeitsrechtlichen Verpflichtungen für Arbeitgeber verschiedene Aufbewahrungsfristen, beispielsweise:
- eine Aufbewahrungsfrist von 5 Jahren in Bezug auf die notwendigen Personendaten für die Lohnzahlungspflicht wie Arbeitszeiten, Krankheitsabwesenheiten, Ferien etc. (Art. 322 OR i.V.m. Art. 128 OR);
- eine Aufbewahrungsfrist von 10 Jahren bezüglich der notwendigen Personendaten für die Ausstellung des Arbeitszeugnisses (Art. 330a OR i.V.m. Art. 127 OR).
Weiter hat ein Arbeitgeber in der Regel verschiedene allgemeine Dokumentations- und Aufbewahrungspflichten, insbesondere:
- eine Aufbewahrungsfrist von 10 Jahren in Bezug auf die notwendigen Personendaten im Zusammenhang mit der Buchführungspflicht (Art. 958f OR), namentlich Geschäftsbücher, Buchungsbelege, Geschäfts- und Revisionsbericht;
- eine steuerrechtliche Aufbewahrungspflicht von 10 Jahren für die dafür aufzubewahrenden Unterlagen (Art. 126 Abs. 3 DBG).
Ausserdem können sich aus verschiedenen bereichsspezifischen Verpflichtungen wie Melde-, Offenlegungs- oder Auskunftspflichten (gemäss Geldwäschereigesetz, Bankengesetz usw.) weitere Aufbewahrungsfristen ergeben.
Aufbewahrungsform
Das Datenschutzgesetz enthält auch in Bezug auf die Aufbewahrungsform (in Papierform oder digital) keine spezifischen Vorgaben, wogegen auch hier spezialgesetzliche Vorgaben vorliegen können. Im Steuerrecht können beispielsweise Originalbelege eingefordert werden (vgl. Art. 126 Abs. 2 DBG).
Mit Blick auf die spezialgesetzlichen Aufbewahrungspflichten liegt es im Entscheidungsbereich des Arbeitgebers, diejenige Aufbewahrungsform zu wählen, welche am besten geeignet ist, um den zivil- und handelsrechtlichen Verpflichtungen nachzukommen (beispielsweise in Bezug auf die Beweiskraft von nur digital aufbewahrten Unterlagen im Rahmen eines allfälligen arbeitsrechtlichen Verfahrens). Diese Entscheidungen beruhen jedoch nicht auf datenschutzrechtlichen, sondern vertrags- und prozessrechtlichen Überlegungen.
Aus datenschutzrechtlicher Optik muss der Verantwortliche sicherstellen, dass die datenschutzrechtlichen Grundsätze eingehalten und die Ansprüche und Rechte der Betroffenen (etwa Auskunfts-, Berichtigungs- und Löschungsrechte) gewährleistet werden können. Bei der Wahl eines (ausschliesslich) digitalen Personaldossiers muss dem Grundsatz der Datensicherheit besondere Beachtung geschenkt werden, um die Personaldaten durch angemessene technische und organisatorische Massnahmen vor unbefugten Zugriffen (beispielsweise durch einen Hackerangriff) zu schützen.
Auskunftsrecht
Nein. Jede Person kann beim Verantwortlichen Auskunft darüber verlangen, ob und, wenn ja, welche Personendaten über sie bearbeitet werden, ohne ein Interesse für die Auskunft nachzuweisen oder glaubhaft zu machen.
Der Verantwortliche, das heisst die private Person oder das Bundesorgan, die oder das allein oder gemeinsam mit anderen Zweck und Mittel der Bearbeitung von Personendaten festlegt. Wenn mehrere Verantwortliche gemeinsam Personendaten bearbeiten, können Sie Ihr Auskunftsrecht bei jedem von ihnen ausüben.
Lässt der Verantwortliche Personendaten von einem Auftragsbearbeiter bearbeiten, so bleibt er auskunftspflichtig. Der Auftragsbearbeiter unterstützt den Verantwortlichen bei der Auskunftserteilung, sofern er die Anfrage nicht im Auftrag des Verantwortlichen selbst beantwortet.
Eine von Ihnen bezeichnete Gesundheitsfachperson kann Ihnen mit Ihrer Einwilligung Personendaten über Ihre Gesundheit bekanntgeben.
Die betroffene Person erhält diejenigen Informationen, die erforderlich sind, damit sie ihre Rechte geltend machen kann und die transparente Datenbearbeitung gewährleistet ist.
In jedem Fall werden ihr folgende Informationen mitgeteilt:
a. die Identität und die Kontaktdaten des Verantwortlichen;
b. die bearbeiteten Personendaten als solche;
c. der Bearbeitungszweck;
d. die Aufbewahrungsdauer der Personendaten oder, falls dies nicht möglich ist, die Kriterien zur Festlegung dieser Dauer;
e. die verfügbaren Angaben über die Herkunft der Personendaten, soweit sie nicht bei der betroffenen Person beschafft wurden;
f. gegebenenfalls das Vorliegen einer automatisierten Einzelentscheidung sowie die Logik, auf der die Entscheidung beruht;
g. gegebenenfalls die Empfängerinnen und Empfänger oder die Kategorien von Empfängerinnen und Empfängern, denen Personendaten bekanntgegeben werden, sowie die Informationen nach Artikel 19 Absatz 4 des Datenschutzgesetzes (DSG).
Das Begehren muss schriftlich (oder mit Einwilligung des Verantwortlichen mündlich) eingereicht werden. Die Auskunft muss schriftlich oder in der Form, in der die Daten vorliegen, erteilt werden. Nach Absprache mit dem Verantwortlichen können Sie Ihre Daten vor Ort einsehen. Mit Ihrer Einwilligung kann Ihnen die Auskunft auch mündlich erteilt werden. Das Auskunftsbegehren und die Auskunftserteilung können auf elektronischem Weg erfolgen. Die Auskunft muss in einer verständlichen Form erteilt werden. Der Verantwortliche muss angemessene Massnahmen ergreifen, um Ihre Identität festzustellen. Sie sind zur Mitwirkung verpflichtet.
Der Verantwortliche muss ausserdem sicherstellen, dass Ihre Daten bei der Auskunftserteilung vor dem Zugriff unbefugter Dritter geschützt sind.
Grundsätzlich erteilt der Verantwortliche die Auskunft kostenlos. Ausnahmen sind möglich. Insbesondere, wenn die Auskunftserteilung einen unverhältnismässigen Aufwand erfordert, kann eine angemessene Kostenbeteiligung verlangt werden (höchstens 300 Franken).
Wird eine Beteiligung verlangt, muss die Person, die das Auskunftsbegehren gestellt hat, vor der Auskunftserteilung über die Höhe der Beteiligung informiert werden, damit sie ihr Begehren gegebenenfalls innerhalb von zehn Tagen zurückziehen kann.
Die Auskunft wird in der Regel innerhalb von 30 Tagen nach Eingang des Begehrens erteilt.
Wenn die Auskunft nicht innerhalb von 30 Tagen erteilt werden kann, muss der Verantwortliche Ihnen dies mitteilen und Ihnen die Frist nennen, innerhalb derer die Auskunft erteilt wird.
Wenn der Verantwortliche die Auskunft verweigert, einschränkt oder aufschiebt, muss er dies innerhalb derselben Frist mitteilen.
Grundsätzlich haben Sie das Recht auf eine vollständige Auskunft, das heisst über alle in der Datensammlung enthaltenen Daten, die Sie betreffen. Wenn der Verantwortliche die Auskunft verweigert, einschränkt oder aufschiebt, muss er Ihnen die Gründe dafür mitteilen. Wenn ein Bundesorgan Ihnen die Auskunft verweigert oder nur eingeschränkt Auskunft erteilen will, erfolgt der Entscheid mittels Verfügung.
Wenn Sie der Meinung sind, dass der Verantwortliche seiner Auskunftspflicht nicht oder nur teilweise nachgekommen ist, können Sie die folgendermassen vorgehen:
Falls der Verantwortliche ein Bundesorgan ist, können Sie beim Bundesverwaltungsgericht innerhalb von 30 Tagen eine Beschwerde gegen die Entscheidung einreichen.
Wenn der Verantwortliche eine private Person ist, können Sie zur Durchsetzung des Auskunftsrechts beim zuständigen Gericht ein Gerichtsverfahren (Zivilklage) einleiten.
Für Klagen und Begehren, die sich auf das DSG stützen, ist das Gericht am Wohnsitz oder am Sitz einer der Parteien zuständig. Der Richter entscheidet in einem vereinfachten Verfahren. Bei Streitigkeiten im Zusammenhang mit dem Auskunftsrecht nach dem DSG werden keine Gerichtskosten erhoben. Sie können sich persönlich an das Gericht wenden oder eine Rechtsberaterin oder einen Rechtsberater beiziehen.
Legen Sie Kopien Ihrer Korrespondenz mit dem Verantwortlichen bei.
In der Regel haben Sie Anspruch auf eine vollständige und korrekte Auskunft darüber, welche Daten über Sie bearbeitet werden. Diese Auskunft darf nur verweigert, eingeschränkt oder aufgehoben werden, wenn dies ein Gesetz im formellen Sinn vorsieht oder es aufgrund überwiegender Interessen Dritter notwendig ist.
Private Personen dürfen die Auskunft zudem verweigern, einschränken oder aufschieben, wenn eigene überwiegende Interessen es erfordern und sie die Personendaten nicht Dritten bekanntgeben.
Ist der Datenverantwortliche ein Bundesorgan, kann er ausserdem die Auskunft verweigern, einschränken oder aufschieben, wenn es wegen überwiegender öffentlicher Interessen, insbesondere der inneren oder äusseren Sicherheit der Schweiz, erforderlich ist, oder wenn die Bekanntgabe der Information eine Strafuntersuchung oder ein anderes Untersuchungsverfahren gefährdet.
Wenn der Datenverantwortliche aus einem der oben erwähnten Gründe die Auskunft verweigert, einschränkt oder aufschiebt, muss er die betroffene Person darüber informieren. Er muss seine Entscheidung begründen.
Bearbeitungsreglement
Ein Bearbeitungsreglement – nicht zu verwechseln mit dem Bearbeitungsverzeichnis – muss von privaten Datenbearbeitern erstellt werden, wenn sie eine automatisierte Bearbeitung von besonders schützenswerten Personendaten in grossem Umfang vornehmen oder ein Profiling mit hohem Risiko durchführen.
Das Reglement (in Form eines Handbuchs oder als Dokumentation) macht Angaben zur internen Organisation, z.B. Umschreibung der Systemarchitektur; zu den Datenbearbeitungsverfahren, insbesondere Datenbekanntgaben und Ausübung der Auskunftsrechte; zu den Kontrollverfahren (Berechtigungen) und zu den technischen und organisatorischen Massnahmen der Datensicherheit.
Bearbeitungsverzeichnis
Unternehmen und sonstige privatrechtliche Organisationen mit mehr als 250 Mitarbeitenden sowie Bundesorgane müssen ein Verzeichnis der Bearbeitungstätigkeiten führen.
Kleinere Unternehmen und privatrechtliche Organisationen sowie natürliche Personen müssen ebenfalls ein Bearbeitungsverzeichnis führen, wenn sie besonders schützenswerte Personendaten in grossem Umfang bearbeiten oder ein Profiling mit hohem Risiko durchgeführt wird.
Achtung: auch wenn ein Unternehmen von der Pflicht zur Führung eines Bearbeitungsverzeichnisses ausgenommen ist, gelten die übrigen Bestimmungen des Datenschutzgesetzes, insbesondere Auskunfts- und Informationspflichten, trotzdem
Aus dem Verzeichnis des Verantwortlichen sollten folgende Angaben ersichtlich sein:
- Bearbeitungsvorgang – z.B. HR, Kundinnenbetreuung, Finanzen, Marketing…
- Zweck der Bearbeitung – warum werden die Daten benötigt?
- Kategorien betroffener Personen – z.B. Kundinnen, Mitarbeiterinnen…
- Kategorien bearbeiteter Personendaten – z.B. Adressdaten, Zahlungsdaten, Bilder…
- Kategorien Empfängerinnen – z.B. Werbeagentur, Hosting, Inkasso…
- Bekanntgabe ins Ausland – in welche Staaten und – wo nötig – mit welchen Garantien?
- Aufbewahrungsdauer – pro Bearbeitungsvorgang
- Massnahmen der Datensicherheit
Nur Bundesorgane müssen ihre Bearbeitungsverzeichnisse dem EDÖB melden. Dafür steht das Meldeportal datareg zur Verfügung:
Daten
Das Datenschutzrecht schützt nicht die Daten als solche, sondern die Personen, über die Daten bearbeitet werden.
Es beinhaltet Rechtsnormen, welche dem Schutz der Persönlichkeit sowie der informationellen Selbstbestimmung dienen und die Bearbeitung von Personendaten regeln, die Behörden des Bundes oder private natürliche oder juristische Personen (z.B. Vereine oder kaufmännische Unternehmen) vornehmen.
Der zentrale datenschutzrechtliche Erlass beim Bund ist das Bundesgesetz über den Datenschutz, es gibt aber auch in vielen anderen Bundesgesetzen Datenschutzvorschriften, die zu beachten sind, z.B. im Sozialversicherungs- oder im Polizeirecht des Bundes.
Einführende Informationen zum Datenschutz finden Sie auch in den FAQ des Bundesamtes für Justiz:
Personendaten sind alle Informationen, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen.
Nicht mehr erfasst sind Angaben, die sich auf juristische Personen beziehen ( z.B. auf eine Unternehmung in der Rechtsform einer Aktiengesellschaft). Deren Schutz wird aber weiterhin durch andere Vorschriften der Rechtsordnung gewährleistet, z.B. durch das Zivilgesetzbuch und die Bundesverfassung.
Einführende Informationen zum Datenschutz finden Sie auch in den FAQ des Bundesamtes für Justiz:
Kopien von Pass- und/oder Personalausweisen, die man z.B. für einen Wohnungsbewerbung gesammelt hat, sollten nicht länger als nötig aufbewahrt werden, d.h. sie sollten vernichtet werden, sobald der Zweck, für den die Kopien angefordert wurden (in der Regel die Identifizierung), erreicht ist. Das leitet sich aus dem Verhältnismässigkeit- und dem Zweckbindungsprinzip ab.
Datenschutzberater/in
Für private Verantwortliche (Unternehmen, Verein, KMU…) ist die Ernennung eines Datenschutzberaters oder einer Datenschutzberaterin freiwillig.
Nein, die Funktion der Datenschutzberaterin kann auch von mehreren Personen im Unternehmen oder von einer juristischen Person wahrgenommen werden. Die Voraussetzungen nach Art. 10 DSG müssen aber erfüllt sein, insbesondere muss sie eine funktionsfähige Anlaufstelle sein.
Dazu finden Sie Hinweise hier:
Die Strafbestimmungen zielen vor allem auf die Handlungen (und Unterlassungen) der leitenden Personen ab. Eine Datenschutzberaterin hat in erster Linie die Aufgabe, die Datenverarbeitungsprozesse ihrer Organisation zu kontrollieren und zu überwachen. Sie sollte jedoch keine Entscheidungsbefugnis über diese Prozesse haben und auch nicht für ein Informationssystem verantwortlich sein. Sie ist also weder diejenige, die über eine Datenverarbeitung entscheidet, noch diejenige, die sie durchführt. Unter diesen Bedingungen - sofern sie strikt eingehalten werden - ist sie a priori nicht dem Risiko einer strafrechtlichen Verfolgung ausgesetzt. Darüber hinaus ist zu betonen, dass das DSG nur vorsätzliche Verstösse - im Unterschied zu Fahrlässigkeit - unter Strafe stellt.
Der EDÖB weist jedoch darauf hin, dass er selbst keine Strafverfolgungsbehörde ist und es daher nicht seine Aufgabe sein wird, diese Frage in einem praktischen Fall zu entscheiden.
Weitere Informationen zu den strafrechtlichen Aspekten des DSG:
Es besteht keine gesetzliche Pflicht, dass die Datenschutzberaterin oder der Datenschutzberater den Sitz oder Wohnsitz in der Schweiz hat. Wichtig ist, dass der oder die DPO für die betroffenen Personen und für den EDÖB als Aufsichtsbehörde aber auch organisationsintern über geeignete Kommunikationskanäle einfach und zuverlässig erreichbar ist. Um die Aufgaben effektiv ausüben zu können, empfehlen sich Fachkenntnisse des schweizerischen Datenschutzrecht und die Kenntnis einer Landessprache.
Datenschutzerklärung
Die Datenschutzerklärung setzt die Informationspflicht nach Art. 19 DSG um. Weitere Hinweise finden Sie hier:
Sie finden die Antwort auf diese Frage hier:
Die Totalrevision soll die Selbstbestimmung der betroffenen Personen über ihre persönlichen Daten stärken. Eine Übersicht zu den wichtigsten Änderungen finden Sie hier:
Datenschutz-Folgenabschätzung
Art. 23 Abs. 1 DSG macht dazu Vorgaben. Weitere Informationen finden sich hier :
Datenübermittlung ins Ausland / SCC
Falls Sie vom EDÖB anerkannte Standardvertragsklauseln, verwenden z.B. diejenigen der EU Kommission (Durchführungsbeschluss (EU) 2021/914), müssen Sie keine Meldung an den EDÖB machen. Wenn Sie eigene oder bisher nicht anerkannte Standardvertragsklauseln verwenden möchten, müssen diese vorgängig vom EDÖB genehmigt werden. Der Entscheid über die Genehmigung ergeht in einer beschwerdefähigen Verfügung; vorher darf kein Transfer ins Ausland stattfinden.
Ja, der EDÖB hat die Standardvertragsklauseln der Europäischen Kommission (Durchführungsbeschluss (EU) 2021/914 der Kommission vom 4. Juni 2021 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates) in seiner Mitteilung vom 27.08.2021 anerkannt.
Die Liste findet sich im Anhang 1 der DSV:
DSGVO
Die DSGVO gilt nicht unmittelbar in der Schweiz. Sie könnte aber konkret u.a. dann auch für Schweizer Unternehmen gelten, wenn diese Daten von in der EU ansässigen Personen bearbeiten, um Waren oder Dienstleistungen in der EU anzubieten, oder wenn die Daten dazu dienen, das Verhalten der Personen zu beobachten, z.B. die Analyse der Daten von Website Besuchern oder von App-Nutzern aus der EU. Wir haben ein ausführliches Dokument zum Thema DSGVO und seine Auswirkung auf die Schweiz veröffentlicht. Sie finden es unter diesem Link:
Schweizer Unternehmen unterliegen in erster Linie Schweizer Recht und sollen deshalb das DSG einhalten.
Gesundheit
Ja. Das Datenschutzgesetz gilt für alle Krankengeschichten, die durch private Ärzte und private Kliniken geführt werden. Spitäler, welche als Bundesorgane im Sinne des DSG gelten, unterstehen ebenfalls der Datenschutzgesetzgebung des Bundes (z. B. SUVA-Klinik Bellikon). Auf Krankengeschichten, die durch Spitäler mit kantonalem Leistungsauftrag (z. B. Kantonsspital) geführt werden, ist das jeweilige kantonale Datenschutzgesetz anwendbar.
Ja. Die Krankengeschichte stellt eine Datensammlung im Sinne des Datenschutzgesetzes dar. Gestützt auf das datenschutzrechtliche Auskunftsrecht können Sie jederzeit Auskunft über Ihre Daten verlangen. Dazu müssen Sie ein schriftliches Gesuch stellen und sich über Ihre Identität ausweisen (Kopie eines amtlichen Ausweises beilegen). Ihr Arzt oder Spital muss Ihnen dann Kopien der gesamten Krankengeschichte oder der von Ihnen verlangten Teile daraus zustellen. Zur Krankengeschichte gehören alle Aufzeichnungen, die mit Ihrer Behandlung im Zusammenhang stehen, inkl. Röntgenbilder, EKG, Berichte, Korrespondenzen etc.
Wenn beide Parteien einverstanden sind, kann auch eine Einsichtnahme an Ort und Stelle durchgeführt werden. Dies kann besonders nützlich sein, wenn die Krankengeschichte sehr umfangreich ist oder wenn zusätzliche Erklärungen des Arztes notwendig sind (z.B. Erklärung von Fachausdrücken).
Das Auskunftsrecht kann auch für bereits archivierte Krankengeschichten geltend gemacht werden.
Persönliche Notizen des Arztes fallen nicht unter das Auskunftsrecht. Allerdings gehören dazu nur persönliche Notizen, die der Arzt ausschliesslich für den Eigengebrauch erstellt, und die nicht der eigentlichen Behandlung dienen, z. B. reine Gedächtnisstützen. Notizen, die für die Behandlung notwendige Angaben enthalten und z. B. auch von Hilfspersonen eingesehen und verwendet werden, gehören zur Krankengeschichte und unterliegen dem Auskunftsrecht.
Aus dem Datenschutzgesetz lässt sich kein Recht auf die Herausgabe der Krankengeschichte im Original ableiten. Ob ein solcher Anspruch aus anderen rechtlichen Bestimmungen oder aus dem zwischen Arzt und Patienten bestehenden Vertragsverhältnis abgeleitet werden kann, ist umstritten.
Zudem bestehen kantonale gesetzliche Bestimmungen, welche den Arzt ausdrücklich zur Aufbewahrung der Originalakten verpflichten. Hier kommt während der Dauer der gesetzlichen Aufbewahrungspflicht (üblicherweise 20 Jahre) immer nur eine Herausgabe von Kopien in Frage. Eine vollständige Löschung der KG ist in diesem Zeitraum nicht möglich. Eine Entbindung des Arztes von der gesetzlichen Aufbewahrungspflicht durch den Patienten kann hier nicht rechtsgültig erfolgen, auch dann nicht, wenn dieser sich bereit erklärt, auf eventuelle Ansprüche aus dem Behandlungsvertrag zu verzichten.
Die Auskunft ist grundsätzlich kostenlos. Eine Kostenbeteiligung darf nur in Ausnahmefällen verlangt werden, z. B. wenn ein besonders grosser Aufwand entsteht. Dieser Aufwand muss über das blosse Kopieren, Ausdrucken und Versenden hinausgehen. Die Kostenbeteiligung ist in jedem Fall auf maximal Fr. 300.- beschränkt. Wird eine Kostenbeteiligung verlangt, so muss diese begründet und dem Patienten vor Auskunftserteilung mitgeteilt werden, damit dieser sein Auskunftsgesuch allenfalls zurückziehen oder abändern kann (z.B. auf einen bestimmten Zeitraum oder auf bestimmte Dokumente beschränken).
Nein. Das Auskunftsrecht kann jederzeit und ohne Begründung geltend gemacht werden. Es ist von Vorteil, wenn Sie in Ihrem Auskunftsbegehren präzisieren, in welchem Zusammenhang Sie Auskunft verlangen.
Sie können das Auskunftsrecht gerichtlich durchsetzen lassen. Gegenüber privaten Ärzten und privaten Kliniken müssen Sie eine Klage am Zivilgericht einreichen. Sie können die Klage wahlweise entweder am Gericht Ihres Wohnortes oder am Gericht des Ortes einreichen, wo der Arzt oder das Spital seinen Sitz hat. Gegenüber Bundesorganen wie der SUVA-Klinik Bellikon richtet sich das Auskunftsrecht nach dem Verwaltungsverfahrensgesetz. Für Auskunftsbegehren gegenüber kantonalen Spitälern ist die kantonale Gesetzgebung anwendbar.
Das Datenschutzgesetz sieht keine genauen Aufbewahrungsfristen vor. Aus dem Verhältnismässigkeitsprinzip ergibt sich, dass Daten, die nicht mehr benötigt werden, zu vernichten sind. Als Faustregel wird in der Praxis auf die allgemeine Verjährungsfrist von 20 Jahren abgestellt. In Einzelfällen kann aber auch eine kürzere oder längere Aufbewahrungsfrist vorgesehen werden. In einigen Kantonen sehen die kantonalen Gesundheitsgesetze genaue Aufbewahrungsfristen vor.
Ein Arzt darf Patientendaten weitergeben, wenn er über die Einwilligung des Patienten verfügt, wenn seine vorgesetzte Behörde ihn vom Berufsgeheimnis befreit hat oder wenn die Datenweitergabe in einem Gesetz vorgesehen ist.
Ja. Für die Weitergabe von Informationen an andere Ärzte muss der Arzt über eine Einwilligung des Patienten verfügen. So darf z. B. ein Arzt, bei dem Sie eine Zweitmeinung einholen, ohne Ihre Einwilligung Ihren behandelnden Arzt nicht informieren. Die Tatsache, dass der Arzt, der die Information erhält, seinerseits an das Patientengeheimnis gebunden ist, ändert daran nichts. Wird der Patient von einem Ärzteteam betreut, so darf eine stillschweigende Einwilligung für den Informationsaustausch innerhalb des Teams angenommen werden.
Ja. Bei krankheits- oder unfallbedingten Abwesenheiten kann der Arbeitgeber den Arbeitnehmer durch den Vertrauensarzt der Firma (Betriebsarzt) untersuchen lassen. Der Vertrauensarzt ist an die ärztliche Schweigepflicht gebunden. Diese gilt auch gegenüber dem Arbeitgeber. Er darf dem Arbeitgeber nur die medizinischen Schlussfolgerungen mitteilen, soweit diese für den Arbeitgeber zur Abwicklung des Arbeitsverhältnisses notwendig sind. In der Regel ist dies die Aussage über die Arbeitsfähigkeit bzw. Arbeitsunfähigkeit des Arbeitnehmers (z.B. voll/teilweise Arbeitsunfähigkeit infolge Krankheit/Unfall, voraussichtliche Dauer der Abwesenheit u.ä). Medizinische Daten darf der Vertrauensarzt hingegen nicht ohne die Einwilligung des Arbeitnehmers bekannt geben, dies gilt besonders für die Mitteilung von Diagnosen.
Ja. Der Vertrauensarzt sowie sein Hilfspersonal sind ebenfalls an das Patientengeheimnis gebunden. Der Arzt darf der zuständigen Stelle in der Kassenadministration lediglich seine Schlussfolgerungen mitteilen, damit diese über die Leistungspflicht entscheiden kann.
Angestellte der Krankenkassen sind ebenfalls an die Schweigepflicht gebunden. Für Sie gilt die gesetzliche Schweigepflicht, die im Allgemeinen Teil des Sozialversicherungsrechtes geregelt ist. Ist ein Angestellter direkt für den Vertrauensarzt tätig, so gilt er als dessen Hilfsperson und unterliegt damit der ärztlichen Schweigepflicht.
Nein. Die ärztliche Schweigepflicht beinhaltet die Pflicht der Ärzte, Informationen, die ihnen im Rahmen der beruflichen Tätigkeit anvertraut worden sind, oder die sie in deren Ausübung wahrgenommen haben, geheim zu halten. Patientendaten dürfen gegenüber Dritten nur offenbart werden, wenn der Patient den Arzt von seiner Schweigepflicht befreit hat oder ein Gesetz es erlaubt. Dies gilt auch gegenüber dem Arbeitgeber eines erkrankten Arbeitnehmers.
Ja, aber nur wenn es sich um Prämien für die obligatorische Grundversicherung handelt und die Betreibung zu einem Verlustschein geführt hat. Kantonale Bestimmungen können vorsehen, dass die Meldung bereits zu einem früheren Zeitpunkt erfolgen kann.
Ja, aber er muss seine Patienten darüber informieren und deren Einwilligung einholen. Dies ist deshalb notwendig, weil die Ärztekassen zur Erstellung der Honorarrechnungen in medizinische Daten Einblick erhalten, die dem Patientengeheimnis unterliegen.
In vielen Arzt- und Zahnarztpraxen ist es heute üblich, den Patienten mehr oder weniger regelmässig (z.B. einmal im Jahr oder bei Neueintritt in die Praxis) einen Gesundheitsfragebogen vorzulegen. Auf diesen Fragebogen werden z.T. ausführliche Informationen verlangt (z.B. Personalien, Arbeitgeber, Versicherungen, Details zum Gesundheitszustand).
Das Sammeln dieser Informationen ist eine Datenbearbeitung. Dabei müssen die Grundsätze des Bundesgesetzes über den Datenschutz eingehalten werden. Zu diesen Grundsätzen gehört auch das Verhältnismässigkeitsprinzip. Dieses Prinzip besagt, dass nur jene Daten beschafft werden dürfen, die zum Erreichen des angestrebten Zweckes sowohl nötig als auch geeignet sind.
Da die Angaben auf dem Fragebogen systematisch bei allen Patienten erhoben werden, dürfen dabei nur Informationen verlangt werden, über die der Arzt/Zahnarzt im Rahmen einer üblichen Behandlung verfügen muss. Der Patient ist nicht verpflichtet, Fragen zu beantworten, die er als unverhältnismässig empfindet. Lassen Sie sich die Notwendigkeit der einzelnen Fragen (oder des ganzen Fragebogens) vom Arzt begründen!
Folgende Grundsätze gelten für Patientenfragebogen:
- Es gilt immer das Verhältnismässigkeitprinzip; d.h. der Arzt/Zahnarzt darf nur erfragen, was für die Behandlung a priori von Bedeutung sein kann. Nicht notwendig sind z.B. Arbeitgeber, AHV-Nr., Name/Beruf des Partners, Zivilstand, Angaben zu Versicherungen, sofern die Rechnung vom Patienten bezahlt wird (häufig bei Zahnarztrechnungen).
- Allgemein gehaltene Pauschaleinwilligungen, mit denen der Patient den Arzt/Zahnarzt zum Voraus und uneingeschränkt vom Arztgeheimnis entbindet, sind ungültig Konkret formulierte Einwilligungserklärungen sind hingegen im Rahmen solcher Patientenfragebogen möglich. Eine Einwilligung ist z.B. für die Auslagerung der Rechnungsstellung an eine Ärztekasse nötig. Dasselbe gilt auch für die Einwilligung zur Datenweitergabe zu Betreibungszwecken (vgl. FAQ zu Arzt- und Prämienrechnungen).
Bitte beachten Sie, dass Fragen, die im Rahmen eines Fragebogens unverhältnismässig sind, im Einzelfall berechtigt sein können. Auch dann muss der Arzt dem Patienten die Notwendigkeit der Frage begründen können.
Beispiel:
Die Kenntnis einer HIV-Infizierung des Patienten gehört nicht zu den allgemeinen Informationen, über die ein Zahnarzt im Rahmen einer üblichen Behandlung verfügen muss. Daher sollte diese Frage nicht systematisch allen Patienten gestellt werden.
Im Einzelfall kann die Frage nach der HIV-Infizierung hingegen berechtigt oder sogar geboten sein. So z.B., wenn im Rahmen einer bestimmten Behandlung ein Ansteckungsrisiko für den Zahnarzt besteht oder wenn der Zahnarzt dem Patienten ein bestimmtes Medikament verschreiben muss, welches aber nicht zusammen mit anderen Medikamenten (z.B. HIV-Medikamenten) eingenommen werden darf.
Mein Arzt/Physiotherapeut/Zahnarzt/etc. legt mir eine Einwilligungserklärung zur Unterschrift vor. Warum braucht er dieses Dokument?
Um unsere Gesundheitsdaten im Rahmen einer Therapie oder Kontrolle zu bearbeiten, haben Gesundheitsfachpersonen eine Informationspflicht gegenüber dem Patienten und benötigen möglicherweise bestimmte Einwilligungen. Sie müssen gemäss Art. 19 DSG insbesondere über den Zweck der Datenbearbeitung und über die beabsichtigte Datenbekanntgabe informieren (zum Beispiel Bekanntgabe an einen anderen Arzt, an eine Abrechnungsunternehmung usw.).
Die Bestimmungen des DSG werden häufig durch das Berufsgeheimnis nach Art. 321 des Strafgesetzbuches ergänzt, dem viele Gesundheitsberufe unterliegen: In der Regel darf die Fachperson keine Informationen über einen Patienten ohne dessen Zustimmung weitergeben. (Weiterführende Informationen dazu auf unserer Website: Bekanntgabe von Patientendaten)
Mehrere Organisationen (unter anderem die FMH und die Ärztekasse) haben für ihre Mitglieder und Partner ein Muster einer Einwilligungserklärung vorbereitet. Diese Formulare verfolgen in der Regel einen doppelten Zweck. Einerseits informieren sie den Patienten über die Bearbeitung seiner Daten, wie dies in Art. 19 DSG verlangt wird. Andererseits ermöglichen sie es der Fachperson, die Einwilligung des Patienten einzuholen, wenn dies erforderlich ist. Zu beachten ist, dass weder die Information noch die Einwilligung gemäss Gesetz der Schriftform bedürfen: Diese wird jedoch aus Dokumentations- und Beweisgründen häufig bevorzugt. Mit seiner Unterschrift bestätigt der Patient also, dass er informiert wurde und mit der vorgesehenen Datenbearbeitung einverstanden ist.
Das Formular muss einen gewissen Präzisionsgrad aufweisen: Der Patient muss sich vorstellen können, womit er sich einverstanden erklärt. Dies gilt insbesondere im Hinblick auf das Berufsgeheimnis gemäss Art. 321 Strafgesetzbuch: Wenn das Formular bereits Situationen vorsieht, in denen die Fachperson plant, die Daten an einen Dritten weiterzugeben (z. B. wenn der Arzt plant, für die Rechnungsstellung einen Dritten heranzuziehen), müssen diese Situationen hinreichend präzise beschrieben werden, so dass der Patient konkret erkennen kann, was gemeint ist.
Ebenfalls im Zusammenhang mit dem Berufsgeheimnis gemäss Art. 321 Strafgesetzbuch ist noch zu erwähnen, dass manchmal das Gesetz selbst die Fachperson zur Bekanntgabe von Daten ermächtigt oder verpflichtet (Art. 321 Abs. 3 Strafgesetzbuch; z. B. Meldung an die Kindesschutzbehörde, wenn ein Kind gefährdet scheint – Art. 314c Zivilgesetzbuch, Meldung der Diagnose einer übertragbaren Krankheit – Art. 12 Epidemiengesetz usw.).
Es steht dem Patienten frei, das Formular zu unterschreiben oder nicht. Er muss keine Datenbearbeitung akzeptieren, die er für unangemessen hält, und kann sie somit verweigern. Man muss sich jedoch darüber im Klaren sein, dass die Fachperson ein berechtigtes Interesse an gewissen Einwilligungen haben kann, um ihre Tätigkeit ausüben zu können, und dass sie ein sie schriftliches Dokument wünscht, das auch belegt, dass die Information erteilt wurde. Daher kann eine Verweigerung der Unterschrift oder die Streichung bestimmter legitimer Klauseln dazu führen, dass die Fachperson aufgrund der Rechtsunsicherheit, in der sie sich möglicherweise befindet, eine Datenbearbeitung ablehnt, sei dies nun begründet oder nicht. Wenn also gewisse Elemente des Formulars unklar sind, übertrieben erscheinen oder Fragen offen bleiben, besprechen Sie dies mit der Person, die Ihnen das Formular ausgehändigt hat.
Es gilt zu beachten, dass eine Einwilligung grundsätzlich jederzeit widerrufbar ist.
Kredit und Inkasso
Die Antwort auf diese Frage finden Sie hier:
Die Antwort auf Ihre Frage finden Sie hier:
Die Antwort auf Ihre Frage finden Sie hier:
Die Antwort auf Ihre Frage finden Sie hier:
Die Antwort auf Ihre Frage finden Sie hier:
Die Schweizerische Bankiervereinigung als Dachverband der Schweizer Banken hat «Richtlinien für die Prüfung, Bewertung und Abwicklung grundpfandgesicherter Kredite» erlassen. Diese Richtlinien regeln die Grundsätze im Hypothekengeschäft und wurde von der Finanzmarktaufsicht FINMA gestützt auf Art. 7 Abs. 3 des Finanzmarktgesetzes als Mindeststandard für die Banken anerkannt. Die Bestimmungen der Richtlinie werden von den Banken in internen Regelungen umgesetzt. Die Banken verpflichten sich, sowohl vor der Kreditgewährung wie auch periodisch die Bonität und die Sicherheiten zu prüfen. Entsprechend dem Verhältnismässigkeitsgrundsatzes von Art. 6 Abs. 2 DSG dürfen die Banken insoweit Personendaten ihrer Kundinnen und Kunden erheben, als diese Daten geeignet, erforderlich und zugleich das mildeste Mittel sind, um die Bonität sowie den Wert der Immobilie zu bewerten.
Meldung eines Datenlecks
Nach Art. 24 DSG besteht eine Meldepflicht, wenn die erfolgte Verletzung der Datensicherheit voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person führen kann. Als Verantwortlicher können Sie die Meldung hier machen:
Nützliche Hinweise finden Sie hier:
Protokollierung
Die Protokollierungspflicht ist in Art. 4 DSV festgelegt.
Statistik, Register und Forschung
Die Teilnahme an Forschungsprojekten oder Studien ist immer freiwillig. Aus einer Nichtteilnahme darf Ihnen kein Nachteil entstehen. Ihre Einwilligung in die Teilnahme an einem solchen Projekt sollte schriftlich erfolgen und ist nur gültig, wenn Sie vorher über Ziel und Zweck des Projektes und die vorgesehenen Datenbearbeitungen genügend aufgeklärt worden sind. In der Regel erfolgt dies durch die Abgabe von Informationsblättern und durch Informationsgespräche. Ihre Einwilligung in die Teilnahme an Forschungsprojekten und Studien können Sie zudem jederzeit widerrufen. In diesem Falle sollte die Löschung ihrer Daten automatisch erfolgen. Sie können zur Sicherheit eine Bestätigung der Löschung verlangen. Auch im Rahmen von Forschungsprojekten und Studien steht Ihnen jederzeit das datenschutzrechtliche Auskunftsrecht zu.
Vereine
Das ist unter gewissen Voraussetzungen zulässig. Weitere Informationen finden Sie hier:
Das ist unter gewissen Voraussetzungen zulässig. Weitere Informationen finden Sie hier:
Verhaltenskodex
Veröffentlichung von Fotos/Videos
Die Antwort auf diese Frage finden Sie hier:
Bilder von anderen Personen dürfen grundsätzlich nur mit Erlaubnis der abgebildeten Person veröffentlicht werden. Weitere Hinweise finden Sie hier:
Bilder von anderen Personen dürfen grundsätzlich nur mit Erlaubnis der abgebildeten Person gepostet werden. Weitere Hinweise finden Sie hier:
Sie können die Entfernung der Bilder oder des Videos verlangen. Weitere Hinweise finden Sie hier:
Versicherungen
Nein, es kann kein Gesundheitsfragebogen eingefordert werden. Es besteht eine Versicherungspflicht, d.h. der Krankenversicherer muss Sie ungeachtet Ihres Alters und Gesundheitszustandes aufnehmen. Auch darf er keine Vorbehalte oder Wartefristen anbringen.
Hingegen ist der Versicherer bei einem Aufnahmegesuch für eine Zusatzversicherung berechtigt, Ihnen Fragen über Ihren Gesundheitszustand zu stellen, Vorbehalte anzubringen oder Ihr Gesuch abzulehnen.
Der Vertrauensarzt berät den Krankenversicherer in medizinischen Fachfragen sowie in Fragen der Vergütung und der Tarifanwendung. Er überprüft insbesondere die Voraussetzungen der Leistungspflicht des Krankenversicherers (d.h. er überprüft ob eine ärztliche Behandlung von der Krankenversicherung übernommen werden muss). Dabei gibt er den zuständigen Stellen des Krankenversicherers nur diejenigen Angaben weiter, die notwendig sind, um über die Leistungspflicht zu entscheiden, die Vergütung festzusetzen oder eine Verfügung zu begründen. Damit nimmt er eine Filterfunktion wahr und schützt die Persönlichkeitsrechte der Versicherten.
Der Vertrauensarzt ist lediglich im Bereich der obligatorischen Krankenversicherung eine gesetzlich geregelte Institution, obwohl mitunter auch in anderen Versicherungszweigen (Invaliden-, Unfall- und Militärversicherung, Privatassekuranz) von Vertrauens-, Kreis-, Gesellschafts- oder beratenden Ärzten die Rede ist. In diesen Rechtsgebieten existieren für die Datenweitergabe je eigene Regeln.
Nein. Der Arzt ist von Gesetzes wegen in begründeten Fällen berechtigt und auf Verlangen der versicherten Person in jedem Fall verpflichtet, medizinische Angaben nur dem Vertrauensarzt des Krankenversicherers bekannt zu geben.
Sie haben somit die Möglichkeit, von Ihrem behandelnden Arzt zu verlangen, Gesundheitsdaten nur dem Vertrauensarzt bekannt zu geben.
Sowohl der soziale als auch der private Krankentaggeldversicherer darf im Aufnahmeverfahren Informationen über den Gesundheitszustand des Arbeitnehmenden bzw. der zu versichernden Person verlangen. Die Versicherung ist jedoch an das Verhältnismässigkeitsprinzip gebunden, wonach nur die notwendigen und geeigneten Personendaten beschafft werden dürfen. Daraus ergibt sich auch, dass die Gesundheitsdaten an den Vertrauensarzt bzw. den medizinischen Dienst des jeweiligen Krankentaggeldversicherers gelangen sollten.
Die Aufnahme in eine soziale Krankentaggeldversicherung richtet sich nach den Vorgaben des Krankenversicherungsgesetzes. Bei der Datenbeschaffung durch eine solche Versicherung ist zu berücksichtigen, dass dem Versicherten ein Vorbehalt von maximal fünf Jahren auferlegt werden kann. Zudem ist ein sozialer Krankentaggeldversicherer, im Gegensatz zum privaten, verpflichtet, jede Antragsstellerin oder jeden Antragsteller unabhängig vom Gesundheitszustand aufzunehmen.
Nein. Denn die Gesundheitsdaten dürfen nur an den Krankentaggeldversicherer bzw. dessen Vertrauensärztin oder medizinischen Dienst gelangen. Es liegt allein am Krankentaggeldversicherer abzuklären, ob jemand aufgenommen wird oder nicht.
In der Praxis sind die Antragsformulare oftmals so ausgestaltet, dass die Arbeitgeberin als Versicherungsnehmende Einblick in die Gesundheitsdaten des Arbeitnehmers erhält. Solche Formulare sind mit der Datenschutzgesetzgebung nicht vereinbar. Es liegt hier vor allem am Krankentaggeldversicherer, das Aufnahmeverfahren so zu organisieren, dass die Arbeitgeberin keinen Zugriff auf die Gesundheitsdaten des Arbeitnehmers erhält.
Das Bedürfnis nach Gesundheitsdaten entsteht vor allem im Aufnahmeverfahren und in einem späteren Leistungsfall. Krankentaggeldversicherer können Gesundheitsdaten über Arbeitnehmer bei Dritten dann einholen, wenn ein Rechtfertigungsgrund im Sinne des Datenschutzgesetzes vorliegt.
Als Rechtfertigungsgrund kommt namentlich die Einwilligung der Arbeitnehmerin oder des Arbeitnehmers in Frage. Die Einwilligung ist insbesondere dann notwendig, wenn ein Krankentaggeldversicherer Informationen bei einem Arzt einholen will, da Ärztinnen und Ärzte dem Patientengeheimnis nach Strafgesetzbuch unterstehen. Im Weiteren ist die schriftliche Einwilligung von Gesetzes wegen erforderlich, wenn Informationen bei einem Sozialversicherer eingeholt werden müssen.
Die Einwilligungsklausel ist jedoch nur dann gültig, wenn die Arbeitnehmerin den Umfang und die Tragweite der Einwilligung kennt (Transparenzprinzip). Dies bedeutet, dass das Einwilligungsformular klar und eindeutig darüber Auskunft geben muss, bei wem welche Informationen beschafft werden. Das Transparenzprinzip gilt erst recht, wenn es sich um besonders schützenswerte Personendaten wie Gesundheitsdaten handelt. Sogenannte "Blankovollmachten" sind mit der Datenschutzgesetzgebung nicht vereinbar.
Soweit ein Arbeitnehmer die Voraussetzungen für die obligatorische Versicherung nach BVG erfüllt, besteht eine Aufnahmepflicht in die Vorsorgeeinrichtung. Gesundheitsdaten dürfen für den Eintritt in die obligatorische Versicherung demnach nicht verlangt werden.Werden jedoch auch Versicherungsleistungen für den überobligatorischen Bereich angeboten, dann sind Gesundheitsfragen grundsätzlich erlaubt. Der Vorsorgeversicherer tritt hier nicht als Sozialversicherer auf, sondern als Privatversicherer. Die Versicherung ist jedoch an das Verhältnismässigkeitsprinzip gebunden, wonach nur die notwendigen und geeigneten Personendaten beschafft werden dürfen. Aus dem Verhältnismässigkeitsprinzip ergibt sich auch, dass die Gesundheitsdaten an den Vertrauensarzt bzw. medizinischen Dienst der jeweiligen Vorsorgeeinrichtung gelangen sollten.
Die Aufnahme für den überobligatorischen Vorsorgebereich richtet sich nach den Vorgaben des Obligationenrechts (OR). Danach dürfen Vorsorgeeinrichtungen für die Risiken Tod und Invalidität einen Vorbehalt aus gesundheitlichen Gründen machen. Dieser darf höchstens fünf Jahre betragen. Bei der Umsetzung des Verhältnismässigkeitsprinzips sind die gesetzlichen Vorgaben des OR zu berücksichtigen.
Nein. Denn die Gesundheitsdaten dürfen nur an die Vorsorgeeinrichtung bzw. deren Vertrauensärztin oder medizinischen Dienst gelangen. Es liegt allein an der Vorsorgeeinrichtung abzuklären, ob jemand für den überobligatorischen Vorsorgebereich aufgenommen wird oder nicht.
In der Praxis sind die Antragsformulare oftmals so ausgestaltet, dass Arbeitgebende als Versicherungsnehmer Einblick in die Gesundheitsdaten des Arbeitnehmers erhalten. Solche Formulare sind mit der Datenschutzgesetzgebung nicht vereinbar. Es liegt hier vor allem an der Vorsorgeeinrichtung, das Aufnahmeverfahren so zu organisieren, dass Arbeitgebende keinen Zugriff auf die Gesundheitsdaten des Arbeitnehmers erhalten.
Das Bedürfnis nach Gesundheitsdaten entsteht vor allem im Aufnahmeverfahren und in einem späteren Leistungsfall. Vorsorgeeinrichtungen können Gesundheitsdaten über Arbeitnehmer bei Dritten dann einholen, wenn ein Rechtfertigungsgrund im Sinne des Datenschutzgesetzes vorliegt. Dies ist jedoch nur für den überobligatorischen Bereich erlaubt.
Als Rechtfertigungsgrund kommt grundsätzlich die Einwilligung des Arbeitnehmers in Frage. Die Einwilligung ist insbesondere dann notwendig, wenn eine Vorsorgeeinrichtung Informationen bei einer Ärztin einholen will, da Ärztinnen und Ärzte dem Patientengeheimnis nach Strafgesetzbuch unterstehen. Zudem ist die schriftliche Einwilligung von Gesetzes wegen erforderlich, wenn Informationen von einem Sozialversicherer eingeholt werden müssen.
Die Einwilligungsklausel ist jedoch nur dann gültig, wenn der Arbeitnehmer den Umfang und die Tragweite der Einwilligung kennt (Transparenzprinzip). Dies bedeutet, dass die Einwilligung klar und eindeutig darüber Auskunft geben muss, bei wem welche Informationen beschafft werden. Das Transparenzprinzip gilt erst recht, wenn es sich um besonders schützenswerte Personendaten wie Gesundheitsdaten handelt. Sogenannte "Blankovollmachten" sind mit der Datenschutzgesetzgebung nicht vereinbar.
Videoüberwachung
Unter gewissen Rahmenbedingungen ist das zulässig. Weitere Hinweise finden Sie hier:
Hier finden Sie die nötigen Hinweise bevor Sie eine Videokamera installieren:
Da eine Kamera-Attrappe keine tatsächlichen Aufnahmen aufzeichnet, erfolgt faktisch keine Bearbeitung von Personendaten im Sinne des Datenschutzgesetzes. Folglich sind die Vorschriften des Datenschutzgesetzes auf die Installation oder den Betrieb einer Kamera-Attrappe nicht anwendbar.
Allerdings ist Sinn und Zweck einer Kamera-Attrappe, den Eindruck zu erwecken, dass eine Videoüberwachung erfolgt. Ziel ist es, das Verhalten von Menschen in eine bestimmte Richtung zu beeinflussen und dadurch einen sogenannten Überwachungsdruck entstehen zu lassen.
Folglich macht es im Hinblick auf das allgemeine Persönlichkeitsrecht kaum einen Unterschied, ob es sich um eine echte Kamera oder lediglich um eine Attrappe handelt: In beiden Fällen kann das Gerät einen Überwachungsdruck ausüben, der faktisch das Recht der betroffenen Personen einschränkt, sich jederzeit unbeobachtet an einem bestimmten Ort zu bewegen.
Zwar ist das Datenschutzgesetz aufgrund der fehlenden Datenbearbeitung nicht anwendbar, dennoch kann ein Eingriff in die Persönlichkeitsrechte vorliegen, gegen welchen sich die betroffenen Personen vor dem Zivilgericht wehren können. Zudem stellt sich die Frage, ob Kamera-Attrappen nicht grundsätzlich gegen den Grundsatz von Treu und Glauben verstossen (Art. 2 Abs. 1 ZGB).
Werbung
Die Antwort auf diese Frage finden Sie hier:
Die Antwort auf Ihre Frage finden Sie hier:
Die Antwort auf Ihre Frage finden Sie hier:
Sie haben gegenüber dem Verantwortlichen gestützt auf Art. 25 DSG ein Auskunftsrecht. Der Verantwortliche muss Ihnen die verfügbaren Angaben über die Herkunft der Personendaten mitteilen. Weigert sich ein Verantwortlicher Auskunft zu erteilen, können Sie Ihren Anspruch vor dem Zivilgericht geltend machen. Weitere Hinweise finden Sie hier.
Wohnungssuche
Die Antwort auf Ihre Frage finden Sie hier:
Weitere nützliche Hinweise zum neuen Datenschutzgesetz:
Letzte Änderung 29.11.2024