Der Schutz von Personendaten bei der Bearbeitung durch private Personen und durch Bundesorgane in der Schweiz ist hauptsächlich im Bundesgesetz über den Datenschutz (DSG) und in der zugehörigen Verordnung zum Bundesgesetz über den Datenschutz (VDSG) geregelt. Obwohl die Schweiz nicht Mitglied der EU oder des Europäischen Wirtschaftsraums EWR ist, sind für Schweizer Unternehmen und Organisation auch die europäischen Datenschutzregelungen zu beachten. Seit Inkrafttreten der EU Datenschutzgrundverordnung (EU-DSGVO) am 25. Mai 2018 fallen viele Unternehmen in der Schweiz direkt unter das EU-Recht . Neben diesen allgemeinen Rechtsgrundlagen gibt es weitere bereichsspezifische Gesetze, so z.B. für die Bearbeitung von Patientendaten im Gesundheitswesen, die Bearbeitung von Mitarbeiterdaten im Arbeitsverhältnis oder für Bankkundendaten.
Unter das Schweizer und die europäischen Datenschutzgesetze fallen alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Daten von juristischen Personen gelten derzeit in der Schweiz auch als Personendaten und sind gleichermassen wie Daten von natürlichen Personen vom Datenschutz erfasst. Als identifizierbar gilt eine Person, wenn aufgrund zusätzlicher Informationen auf sie geschlossen werden kann. Die Definition ist sehr weit. Durch die technologische Entwicklung und die Möglichkeiten von Big Data können sehr viele Daten, die auf den ersten Blick keinen Personenbezug aufweisen, dennoch als Personendaten gelten. So gelten beispielsweise Kennnummern oder Standortdaten als Personendaten, wenn sie einer bestimmten Person zugeordnet werden können.
Das revidierte Schweizer Datenschutzgesetzt knüpft bezüglich des räumlichen Geltungsbereichs neu ausdrücklich an das sog. Auswirkungsprinzip an. Massgebend für die Unterstellung ist, ob sich eine Datenbearbeitung in der Schweiz auswirkt, ungeachtet dessen, ob sie im Ausland veranlasst bzw. durchgeführt wird (Art. 3 rev. DSG). Gleichermassen gilt auch die EU Datenschutzgrundverordnung (DSGVO) für viele Unternehmen und Organisation in der Schweiz. Wer Dienstleistungen oder Waren Kunden anbietet, die sich in der EU befinden, unterliegt direkt dem EU-Datenschutzrecht. Ebenso gilt das EU-Recht für Schweizer Unternehmen, die das Verhalten von Besuchern ihrer Webseite (Surfverhalten) analysieren.
Daten über
- religiöse, weltanschauliche, politische oder gewerkschaftliche Ansichten oder Tätigkeiten,
- Gesundheit, Intimsphäre oder Rassenzugehörigkeit,
- Massnahmen der sozialen Hilfe sowie
- administrative oder strafrechtliche Verfolgungen und Sanktionen
gelten als besonders schützenswerte Personendaten. Diese Personendaten unterliegen strengeren Regelungen, so sind zum Beispiel die Anforderungen an eine Einwilligung für die Bearbeitung von Gesundheitsdaten strenger als bei gewöhnlichen Personendaten.
Personendaten müssen rechtmässig erhoben werden, also nicht mit Gewalt, Arglist, Drohung, Täuschung etc. Personendaten müssen nach Treu und Glauben bearbeitet werden und die Bearbeitung muss verhältnismässig sein. Personendaten dürfen nur zu dem Zweck bearbeitet werden, der bei der Beschaffung angegeben wurde, aus den Umständen ersichtlich oder gesetzlich vorgesehen ist. Die Beschaffung von Personendaten und der Zweck ihrer Bearbeitung muss für die betroffene Person erkennbar sein. Personendaten müssen durch geeignete technische und organisatorische Massnahmen gegen unbefugtes Bearbeiten geschützt werden.
Nach Schweizer Datenschutzrecht ist eine Bearbeitung von Personendaten grundsätzlich erlaubt. Das Schweizer Recht unterscheidet sich damit vom Grundkonzept in der EU. Das EU-Recht verlangt für jede Datenbearbeitung eine Rechtfertigung. Die zulässigen Gründe für eine Datenbearbeitung sind in der DSGVO abschliessend aufgeführt. Dazu gehören u.a. die Einwilligung der betroffenen Person, die Erfüllung eines Vertrags mit der betroffenen Person, eine gesetzliche Verpflichtung oder überwiegende Interessen. Nach Schweizer Recht ist keine besondere Rechtsgrundlage oder ein Rechtfertigungsgrund für die Bearbeitung von Personendaten notwendig, solange die Daten in Übereinstimmung mit den Datenbearbeitungsgrundsätzen bearbeitet werden. Eine Ausnahme von diesem Grundsatz gilt für die Bearbeitung von Personendaten gegen den ausdrücklichen Willen der betroffenen Person und für die Bekanntgabe von besonders schützenswerte Personendaten oder Persönlichkeitsprofilen an Dritte. Für diese Vorgänge ist ein Rechtfertigungsgrund notwendig, namentlich die Einwilligung der betroffenen Person, eine gesetzliche Erlaubnis für die Bearbeitung oder ein überwiegendes privates oder öffentliches Interesse, das die Bearbeitung rechtfertigt. Ein überwiegendes privates Interesse kann insbesondere in Betracht fallen, wenn eine Bearbeitung im unmittelbaren Zusammenhang mit dem Abschluss oder der Abwicklung eines Vertrags steht.
Wer Personendaten bearbeitet, hat für deren Vertraulichkeit, Verfügbarkeit und Integrität zu sorgen. Systeme für die Bearbeitung von Personendaten müssen überdies gegenüber Sicherheitsbedrohungen belastbar sein („resilient“). Personendaten sind durch angemessene technische und organisatorische Massnahmen gegen unbefugtes Bearbeiten geschützt werden. Bei der Festlegung der technischen und organisatorischen Massnahmen sind folgende Kriterien zu berücksichtigen: Zweck, Art und Umfang der Datenbearbeitung; Einschätzung der möglichen Risiken für die betroffenen Personen, insb. bei Vernichtung, Verlust, Änderung oder unbefugter Offenlegung von Personendaten; sowie Stand der Technik. Bei der Festlegung der Massnahmen ist mithin ein risikobasierter Ansatz anzuwenden.
Die Bearbeitung von Personendaten kann einem Dritten (Auftragsbearbeiter) übertragen werden (Outsourcing). Die Bearbeitung durch einen Auftragsbearbeiter ist zulässig, wenn
- der Beauftragte die Daten nur so bearbeitet, wie es der Auftraggeber tun dürfte (Zweckbindung);
- der Auftraggeber sich vergewissert, dass der Beauftragte in der Lage ist, die Datensicherheit zu gewährleisten; und
- keine gesetzlichen oder vertraglichen Geheimhaltungspflichten der Bearbeitung durch den Beauftragten entgegenstehen.
Es muss sodann ein Vertrag zwischen dem Auftraggeber und dem Beauftragten über die Bearbeitung abgeschlossen werden.