ARTISET 04/05 I 2023 47 werden, dass ihre Vertraulichkeit gewährleistet ist. Mit technischen und organisatorischen Massnahmen ist sicherzustellen, dass Daten nicht zerstört, verfälscht oder Unbefugten bekannt werden. ■ Erhöhte Anforderungen gelten für die Weitergabe von Daten ins Ausland. Von diesen Grundsätzen abzuweichen, ist erlaubt, ■ wenn die betroffene Person damit einverstanden ist, ■ wenn hierfür eine gesetzliche Grundlage besteht wie beispielsweise in Artikel 328b des Obligationenrechts zur Durchführung des Arbeitsvertrages, ■ wenn ein überwiegendes öffentliches oder privates Interesse an der Datenbearbeitung besteht, beispielsweise zwecks Abwicklung eines Betreuungsvertrags, oder ■ wenn die betroffene Person Daten ohne Bearbeitungsverbot selbst allgemein zugänglich macht, beispielsweise auf ihrer eigenen Homepage. Wichtige Neuerungen: Erhöhte Schutzpflichten Betriebliche Datenschutzverantwortliche müssen die Einhaltung der Datenschutzbestimmungen sicherstellen: Sie überwachen die Handlungen im Alltag, erlassen nötigenfalls interne Weisungen und intervenieren bei Nichteinhaltung von Regelungen. Im Umgang mit «besonders schützenswerten» Personendaten bestehen in Zukunft erhöhte Schutzpflichten. Als besonders schützenswert gelten Daten über religiöse, weltanschauliche, politische oder gewerkschaftliche Ansichten, Daten über Gesundheit, Intimsphäre oder Zugehörigkeit zu einer Ethnie, genetische und biometrische Daten, Informationen über Massnahmen der sozialen Hilfe sowie administrative und strafrechtliche Verfolgungen oder Sanktionen. Diese Daten dürfen grundsätzlich nur mit dem ausdrücklichen Einverständnis der betroffenen Person erhoben und bearbeitet werden. Ideal ist die Zustimmung in schriftlicher Form, sie kann aber auch mündlich oder nonverbal wie durch Kopfnicken oder Handzeichen erfolgen. Mit einer vorgängigen Risikoabwägung ist zu prüfen, ob eine Datenbearbeitung eine Persönlichkeitsverletzung der betroffenen Person bewirken kann, ob diese gerechtfertigt werden kann und mit welchen Massnahmen sie sich möglichst vermeiden lässt. Gestärkt werden zudem die Rechte der betroffenen Personen auf Einsicht in die Bearbeitung ihrer eigenen Daten. Ein solches Gesuch kann jederzeit schriftlich und voraussetzungslos gestellt werden. Die Einsicht darf dann beschränkt werden, wenn dies gesetzlich vorgesehen ist oder wenn wichtige und überwiegende öffentliche oder besonders schützenswerte Interessen Dritter entgegenstehen. Neu darf auch verlangt werden, dass die eigenen Daten in einem «gängigen elektronischen Format» übertragen werden. Die Dateneinsicht und -herausgabe müssen in der Regel kostenlos gewährt werden. Weil Institutionen mit betreuenden Aufgaben in grossem Umfang besonders schützenswerte Personendaten bearbeiten, müssen sie neu ein Verzeichnis ihrer Datenbearbeitungen führen. Das Datenschutzrecht des Bundes gilt nebst den Bundesbehörden für alle Privaten in der ganzen Schweiz. Als Private gelten auch Institutionen mit betreuenden Aufgaben, wenn sie als Verein, Stiftung oder Ähnliches organisiert sind. Schliesst eine Institution jedoch eine Leistungsvereinbarung mit einem Kanton oder mit einer Gemeinde ab, wird sie zur Erfüllung einer öffentlichen Aufgabe verpflichtet. Damit gilt für sie im Rahmen dieses Vertrags – wie für ein «öffentliches Organ» – in der Regel das kantonale Datenschutzgesetz und häufig auch das kantonale Recht über die Archivierung. Was ist in der Institution nun zu tun? In erster Linie gilt es, sich einen Überblick über den Ist- Zustand zu verschaffen und unter anderem folgende Fragen zu beantworten: Welchen Bestand an Daten haben wir? Wo und wie werden Daten durch wen bearbeitet? Wer ist intern dafür verantwortlich? Genügen wir den Anforderungen an Datensicherheit oder Speicherbegrenzung? Besteht Handlungsbedarf, technisch, organisatorisch, personell? Je nach Ergebnis dieser Analyse sind Massnahmen zur Optimierung der Situation zu definieren und umzusetzen. In einem zweiten Schritt ist die Erarbeitung eines Datenschutzkonzepts zu empfehlen. Damit kann zu dieser Thematik ein Rahmen für die ganze Institution geschaffen werden. Ferner ist ein Pflichtenheft für betriebliche Datenschutzverantwortliche vorzubereiten und die entsprechende Person zu bestimmen. Ein Verzeichnis der Datenbearbeitungen zu erstellen, ist dann ein nächster Schritt. Die erfolgreiche Umsetzung aller Massnahmen hängt aber auch entscheidend von folgenden zwei Massnahmen ab: Zum einen muss das Thema Datenschutz bei Stiftungsrat/ Vorstand und Geschäftsleitung präsent sein und regelmässig in Sitzungen stufengerecht behandelt werden. Vor allem aber müssen andererseits alle Mitarbeitenden sensibilisiert und darin geschult werden, was die korrekte Anwendung des Datenschutzrechts in ihrem beruflichen Alltag bedeutet. * Hans-Ulrich Zürcher ist Rechtsanwalt in Bern und Rechtsberater der Föderation Artiset. Hilfestellungen und Musterdokument:
RkJQdWJsaXNoZXIy MTY2NjEzOQ==