Jusletter IT

Die Informationspflicht gemäss neuem Datenschutzgesetz

Eine Orientierungshilfe zur Umsetzung

  • Author: Claudius Ettlinger
  • Category of articles: The DPO View
  • Region: Switzerland
  • Field of law: Data Protection
  • DOI: 10.38023/f32aa568-914d-4439-9e34-b7e0119cc23d
  • Citation: Claudius Ettlinger, Die Informationspflicht gemäss neuem Datenschutzgesetz, in: Jusletter IT 16 December 2021

Inhaltsverzeichnis

  • 1. Einführung
  • 2. Zweck
  • 3. Inhalt
  • 4. Ausnahmen und Einschränkungen
  • 5. Modalitäten und Zeitpunkt
  • 5.1. Form
  • 5.2. Umsetzung
  • 5.3. Zeitpunkt
  • 6. Schluss

1.

Einführung ^

[1]

Das neue Datenschutzgesetz (nDSG) bringt eine erweiterte Informationspflicht bei der Beschaffung von Personendaten mit sich.1 Sie ist sinngemäss der Informationspflicht der DSGVO nachgebildet und soll die Transparenz von Datenbearbeitungen erhöhen.

[2]

Der vorliegende Beitrag möchte Hilfe leisten zur praktischen Umsetzung der Informationspflicht.

2.

Zweck ^

[3]

Es gehört zu den erklärten Zielen der DSG-Revision, die Transparenz von Datenbearbeitungen zu erhöhen. Dies soll u.a. mit der ausgebauten Informationspflicht erreicht werden. Ohne entsprechende Information können die Betroffenen nicht erkennen, dass Personendaten über sie bearbeitet werden. Zudem können sie ihre Rechte unter dem Datenschutzgesetz nur wahrnehmen, wenn ihnen eine Datenbearbeitung bekannt ist. Die neue Informationspflicht soll daher nicht nur Datenbearbeitungen transparenter machen, sondern gleichzeitig die Rechte der Betroffenen stärken, was ein weiteres zentrales Anliegen der Revision darstellt.2

[4]

Vor diesem Hintergrund versteht sich die Informationspflicht als eine Konkretisierung des Transparenzgrundsatzes.3 Entsprechend ist eine Missachtung als Persönlichkeitsverletzung zu betrachten, die unter Art. 31 nDSG gerechtfertigt sein kann.4

[5]

Zusätzliche Angaben zu Datenbearbeitungen bewirken nicht automatisch mehr Transparenz. Die Betroffenen mit Informationen zu fluten, führt zu «information fatigue» und verfehlt das Ziel. Bei der Umsetzung der Informationspflicht gilt es deshalb stets ihre Zielsetzung im Auge zu behalten. Sie muss aus Sicht der Betroffenen betrachtet werden und kann vereinfacht auf die Kernfrage heruntergebrochen werden: Welche Informationen sind für die Betroffenen tatsächlich von Interesse, damit sie ihre Rechte geltend machen können?

3.

Inhalt ^

[6]

Die Informationspflicht trifft den Verantwortlichen. Er hat die Betroffenen über Personendaten zu informieren, die er beschafft, sei es direkt bei den Betroffenen selbst, sei es bei Dritten (sog. indirekte Beschaffung). «Beschaffen» setzt ein aktives Verhalten voraus; über Personendaten, die dem Verantwortlichen ohne sein aktives Zutun zugegangen sind (bspw. Blindbewerbungen oder ungewollt erhobene Daten), braucht er deshalb nicht zu informieren. Gemäss Rosenthal setzt die Beschaffung im Sinne der Informationspflicht eine planmässige Datenerhebung voraus.5 Die Informationspflicht gilt nicht rückwirkend, d.h. nicht für Daten, welche mit Inkrafttreten des neuen Datenschutzgesetzes bereits beschafft worden sind.6

[7]

Das Gesetz schreibt die Mindestinformation vor, die den Betroffenen mitzuteilen ist.7 Der Verantwortliche muss zusätzliche Informationen liefern, soweit ihn der Transparenzgrundsatz dazu verpflichtet.8 Zudem gibt es Ausnahmen und Einschränkungen. Der Ansatz des Gesetzgebers lässt dem Verantwortlichen eine gewisse Flexibilität, wie und worüber er informiert. Dies wird unterstrichen durch die erst von den Räten eingefügte Formulierung, wonach die Information «angemessen» zu sein hat.9 Der Verantwortliche wird sich dabei an den Kategorien der von ihm bearbeiteten Daten und der Bearbeitungstiefe orientieren.10 Richtschnur muss sein, was die Betroffenen wissen müssen, um ihre Rechte wahrnehmen zu können.

[8]

Verantwortlichen derselben Branche steht es zudem offen, via Branchenverband die Informationspflicht für ihre spezifische Branche in einem Verhaltenskodex zu konkretisieren.11

[9]

Zu Inhalt und Umfang im Einzelnen:

Name und Kontaktdaten des Verantwortlichen sind zwingend mitzuteilen. Der Verantwortliche ist die private Person oder das Bundesorgan, die bzw. das über den Zweck und die Mittel der Bearbeitung entscheidet.12 Bei privaten Verantwortlichen wird es sich zumeist um juristische Personen handeln.13 Als Kontaktdaten bieten sich eine Postanschrift oder eine Emailadresse an; eine Telefonnummer ist optional.

[10]

Ausländische private Verantwortliche haben Name und Adresse ihrer Vertretung in der Schweiz anzugeben, sofern sie eine solche bestellen müssen.14 Zwar besteht keine Pflicht, die Kontaktdaten des Datenschutzberaters zu veröffentlichen, doch private Verantwortliche werden dies tun, um von Erleichterungen bei der Datenschutz-Folgenabschätzung profitieren zu können.15 Der Datenschutzberater oder die -beraterin brauchen dabei nicht namentlich aufgeführt zu werden, auch generische Bezeichnungen (z.B. datenschutzteam@muster-ag.ch und dergleichen) sind zulässig.16

[11]

Werden die beschafften Daten weitergegeben, müssen die Empfänger angegeben werden. Sie können entweder namentlich genannt oder als Kategorie aufgeführt werden. Die meisten Verantwortlichen werden sich aus praktischen Gründen für das Zweite entscheiden. Dies einerseits, weil vertragliche Vertraulichkeitsvereinbarungen einer namentlichen Nennung entgegenstehen können, andererseits, weil als Empfänger auch die Auftragsdatenbearbeiter aufzuführen sind. Letzteres führt dazu, dass sich das mögliche Feld von Empfängern derart weit öffnet, dass es zumeist nur noch durch allgemeine Umschreibungen vollständig abgedeckt werden kann. Denkbar sind Formulierungen wie «Cloud-Provider», «Versanddienstleister» oder «unsere Partner».17 Ausreichend ist jedoch auch der blosse Hinweis auf «Auftragsbearbeiter». Zweigniederlassungen und die eigenen Mitarbeiter gelten nicht als Empfänger und müssen darum nicht genannt werden.18

[12]

Zum Mindestinhalt gehören auch die Bearbeitungszwecke. Wie umfassend sie umschrieben werden, bleibt weitgehend dem Verantwortlichen überlassen. Kurzbezeichnungen sind zulässig.19 Generell empfiehlt es sich, die Zwecke so erklärend abzufassen, dass sie für den Adressatenkreis, d.h. die jeweiligen Betroffenen, ohne weiteres verständlich sind. Umschreibungen sind da hilfreicher als einzelne Begriffe.20

[13]

Bei Auslandsbekanntgabe sind die Empfängerstaaten (oder allenfalls das internationale Organ) und gegebenenfalls die Garantien zur Gewährleistung eines geeigneten Datenschutzes mitzuteilen.21 Es handelt sich hier um eine gegenüber der DSGVO weitergehende Vorgabe, die auf praxisfremden Vorstellungen beruht. Sie ignoriert, wie weit die grenzüberschreitende Datenbearbeitung in der Unternehmenswelt mittlerweile vorangeschritten ist. Neben der Aufzählung jedes einzelnen Landes, in das Daten bekanntgegeben wird, können diese auch in Gruppen zusammengefasst werden. Dies liegt auf der Hand für die Länder der EU und des EWR, welche unter der DSGVO einen einheitlichen Rechtsraum bilden. Bei Datenbekanntgabe in eines oder mehrere dieser Länder, egal welches, genügt die Bezeichnung «EU/EWR». Allerdings erfüllen auch Umschreibungen wie «Osteuropa» (das wären potenziell sämtliche Länder, die nach herkömmlichem Sprachgebrauch dem Osten Europas zugerechnet werden), «Südamerika» oder gar «weltweit» die Informationspflicht.22 Geographisch unscharfe Formulierungen wie «Nahost» können ebenfalls verwendet werden, führen aber dazu, dass der Kreis an potenziellen Exportländern schwammig wird, was gegenüber den Betroffenen kaum vertrauensbildend wirkt.

[14]

Werden die Daten indirekt, also nicht bei den Betroffenen selbst erhoben, sind zudem die Datenkategorien mitzuteilen.23 Dies vor dem Hintergrund, dass die Betroffenen ansonsten kaum in der Lage sein werden, zu erfahren, um welche Datenkategorien es geht.24

[15]

Mitzuteilen sind schliesslich unter bestimmten Voraussetzungen automatisierte Einzelentscheide.25

[16]

In den meisten Fällen wird es nicht erforderlich sein, über diesen Mindestinhalt hinausgehende Informationen zu liefern wie bspw. die Datenquellen oder die Speicherdauer.26 Anderes gilt nur dort, wo die Betroffenen weitere Informationen brauchen, um ihre Rechte unter dem DSG geltend zu machen. Zu denken ist in erster Linie an besondere Risiken für die Persönlichkeit der Betroffenen, die sich aus Datenbearbeitungen des Verantwortlichen ergeben können, und die für die Betroffenen ohne weitere Angaben nicht erkennbar sind oder klar unerwartete, weil eindeutig ungewöhnliche Bearbeitungen.27

[17]

Weder Art. 19 nDSG noch der Transparenzgrundsatz verpflichten den Verantwortlichen, über die Betroffenenrechte zu informieren. Es handelt sich hier nicht um Datenbearbeitungen des Verantwortlichen, sondern um Rechtsansprüche, die im Gesetz verankert und dort auffindbar sind.28

4.

Ausnahmen und Einschränkungen ^

[18]

Die Informationspflicht gilt nicht ohne Ausnahme oder Einschränkung. Die Ausnahmetatbestände finden sich in Art. 20 nDSG.

[19]

Informationen, die den Betroffenen bereits bekannt sind, brauchen nicht nochmals mitgeteilt werden. Die Botschaft hat hier als Beispiel das Szenario vor Augen, dass die betroffene Person bereits im Rahmen einer Einwilligung Informationen erhalten hat, deren nochmalige Mitteilung ein Leerlauf wäre.29

[20]

Interessanter ist die Bestimmung, wonach die Informationspflicht entfällt, wenn die Bearbeitung in einem Gesetz vorgesehen ist. Private Verantwortliche werden sich darauf berufen können, sobald eine Datenbearbeitung in einem Gesetz im materiellen Sinne hinreichend umschrieben ist.30 Wo die Datenbearbeitung über die Rechtsnorm hinausgeht, muss informiert werden.31 Dies empfiehlt sich generell für Zweifelsfälle. Die Ausnahmebestimmung darf nicht als generelle Freizeichnung der Bundesorgane von der Informationspflicht verstanden werden. Zwar führt die Botschaft aus, dass Bundesorgane Personendaten ohnehin nur bearbeiten könnten, wenn eine gesetzliche Grundlage bestehe, welcher sich regelmässig auch die entsprechenden Informationen entnehmen liessen. Dies bedeutet jedoch nicht, dass die Bundesorgane der Informationspflicht nicht unterstehen. Wäre dem so, so wäre die in Art. 20 Abs. 3 nDSG vorgesehene Einschränkung der Informationspflicht für Bundesorgane hinfällig. Gesetzesbestimmungen allein werden die mit der Informationspflicht angestrebte Transparenz kaum verwirklichen können.32

[21]

Der dritte Ausnahmetatbestand greift den Normkonflikt zwischen Informations- und Geheimhaltungspflicht eines privaten Verantwortlichen auf und gibt der Geheimhaltungspflicht den Vorrang.33

[22]

Bei der indirekten Beschaffung kann von der Information abgesehen werden, wenn sie einen Aufwand verursacht, der verglichen mit dem mutmasslichen Interesse der betroffenen Person an der Information nicht verhältnismässig ist. Der unverhältnismässige Aufwand kann entweder darin bestehen, die betroffene Person zu identifizieren oder die Information selbst mitzuteilen, wenn es um eine Vielzahl von Personen geht.34 Werden bspw. Personendaten rein zu Archivzwecken bearbeitet, kann es mit einem unverhältnismässigen Aufwand verbunden sein, sämtliche Betroffenen darüber zu informieren.35 In der Botschaft wird davor gewarnt, sich mit der blossen Vermutung zu begnügen, die Information sei unmöglich oder nur mit unverhältnismässigem Aufwand zu bewerkstelligen.36 Das ist im Ansatz richtig, doch darf der Verantwortliche getrost auf solche Bemühungen verzichten, die von vornherein und offensichtlich als erfolglos oder übermässig aufwändig zu betrachten sind. Er wird umso mehr darauf bedacht sein, seine Einschätzung zu plausibilisieren und nachvollziehbar zu dokumentieren.

[23]

Eine weitere Ausnahme gründet im Quellenschutz für Medienschaffende.37

[24]

Schliesslich listet das Gesetz eine Reihe von Konstellationen auf, bei deren Vorliegen die Informationspflicht zwar grundsätzlich bestehen bleibt, der Verantwortliche die Information gestützt auf eine Interessenabwägung aber einschränken, aufschieben oder sogar gänzlich darauf verzichten darf.38 Es geht um Fälle, bei denen der Grund für die Beschränkung der Informationspflicht und das Interesse an einer transparenten Datenbearbeitung zueinander in Beziehung gesetzt werden müssen und als Ergebnis:

  • die Interessen von Drittpersonen überwiegen;
  • die Interessen des privaten Verantwortlichen überwiegen und er die Daten keinen Dritten bekanntgibt, ausgenommen Gruppengesellschaften, gemeinsamen Verantwortlichen oder Auftragsbearbeitern;
  • die Information den Zweck der Bearbeitung vereitelt, bspw. im Rahmen des investigativen Journalismus,39 oder beim Bundesorgan eine Untersuchung oder ein Verfahren gefährdet;
  • beim Bundesorgan öffentliche Interessen überwiegen.
[25]

Gemäss der Botschaft sind diese Einschränkungen restriktiv auszulegen und die Information nur soweit zu beschränken, als dies wirklich unerlässlich ist.40 Diese Auffassung findet im Gesetzestext allerdings keine Stütze und ist auch sonst unbegründet. Vielmehr ist eine ergebnisoffene, wertende Interessenabwägung im Einzelfall vorzunehmen. Der Verantwortliche darf dabei auch wirtschaftliche Interessen berücksichtigen. Ausser Frage steht, dass ein Aufschieben, sofern ausreichend, als mildere Massnahme einem gänzlichen Verzicht der Information vorgeht. So wird eine Bank zwar nicht innert der Monatsfrist von Art. 19 Abs. 5 nDSG41 informieren müssen, nachdem sie sich in öffentlichen Quellen erste Angaben über einen neuen potenziellen Kunden beschafft hat, aber sicherlich dann, sobald sie diesem sog. Prospect einen erfolgversprechenden Business Case präsentieren kann.

5.

Modalitäten und Zeitpunkt ^

5.1.

Form ^

[26]

Das nDSG legt nicht fest, auf welche Weise die Information erfolgen muss.42 Der Verantwortliche muss einzig sicherstellen, dass die Betroffenen die Information zur Kenntnis nehmen können.43

[27]

Aus Gründen der Beweisbarkeit empfiehlt sich die Schriftform. Im Vordergrund stehen Allgemeine Geschäftsbedingungen (AGB) oder Datenschutzerklärungen.

[28]

AGB haben den Vor- und gleichzeitig Nachteil, dass sie Bestandteil eines Vertrages mit den Betroffenen sind. Ein gewiefter Verantwortlicher, welcher seine Datenbearbeitungen in AGB beschreibt, kann auf diesem Weg versuchen, einer etwaigen Diskussion über Verletzungen der Datenschutzgrundsätze von vorneherein den Boden zu entziehen, indem er für seine Bearbeitungen eine Einwilligung geltend macht.44 Der Nachteil zeigt sich darin, dass die Informationspflicht so nur gegenüber Vertragspartnern erfüllt werden kann. Aussen vor bleiben weitere Betroffene wie etwa Webseitenbesucher. Ausserdem sind AGB zugangsbedürftig und unterliegen den Schranken von Art. 8 UWG.

[29]

In der Datenschutzerklärung beschreibt der Verantwortliche seine Datenbearbeitungen. Als einseitige Erklärung bildet sie nicht Bestandteil eines Vertrages. Entsprechend einfach kann sie der Verantwortliche anpassen, um neuen oder geänderten Bearbeitungen Rechnung zu tragen. Aus diesem Grund ist der Datenschutzerklärung als Instrument zur Erfüllung der Informationspflicht gegenüber AGB in der Regel der Vorzug zu geben.45 Es ist davon auszugehen, dass die überwiegende Mehrzahl der Verantwortlichen von Datenschutzerklärungen Gebrauch machen werden, um ihrer Informationspflicht nachzukommen.

[30]

Welche Voraussetzungen hat eine Datenschutzerklärung unter Art. 19 nDSG zu genügen? Kurz gesagt muss sie leicht zugänglich, verständlich, vollständig und genügend sichtbar gemacht sein.46 Im Vorfeld des neuen DSG wie schon zuvor unter der DSGVO wurde relativ breit erörtert, ob bei einem sog. Medienbruch47 noch von leichter Zugänglichkeit gesprochen werden kann.48 Diese Diskussion wirkt bereits heute leicht antiquiert, was sich in Zukunft weiter akzentuieren wird. Von ganz wenigen Ausnahmen abgesehen ist es den Betroffenen nicht nur bloss zumutbar, Datenschutzhinweise auf Webseiten der Verantwortlichen abzurufen. Sie tun dies vielmehr selbstverständlich, weil es ihrem Erwartungshorizont entspricht. Davon abgesehen gilt für die Informationspflicht auch kein Zugangsprinzip.49 Es genügt, dass die Datenschutzerklärung für die Betroffenen auf der Webseite leicht und rasch auffindbar ist. Die weit überwiegende Zahl der Verantwortlichen sehen bereits heute auf der Einstiegsseite ihres Webautritts einen direkten Link zu den Datenschutzhinweisen vor.

5.2.

Umsetzung ^

[31]

In der Praxis stehen viele Verantwortliche, insbesondere grössere Unternehmen, vor der Herausforderung, sämtliche erforderlichen Informationen zusammenzustellen. Wer über sauber geführte Prozesse verfügt, ist hier im Vorteil. Idealerweise sind sie so angelegt, dass neue Datenbearbeitungen nicht «live» gehen, bevor sie im Datenbearbeitungsverzeichnis eingetragen und in der Datenschutzerklärung nachgeführt sind. Auch zeigt sich hier der Wert einer dezentral operierenden Datenschutzorganisation, welche die Fachbereiche eng begleitet.

[32]

Sind die informationspflichtigen Inhalte ermittelt, folgt die nächste Hürde: Die Datenschutzerklärung ist so zu gestalten, dass sie den Anforderungen an die Modalitäten der Information gerecht wird. Dabei steht das Erfordernis nach Vollständigkeit in einem gewissen Spannungsverhältnis zur Anforderung, die Information verständlich mitzuteilen.50 Als Lösung hierzu propagieren hiesige wie europäische Datenschutzbehörden den Mehrebenenansatz («mulitlayered notice»): Hierbei werden die Informationen in verschiedenen Ebenen erteilt. Auf der ersten Ebene wird überblicksmässig über die wesentlichen Umstände der Datenbearbeitung informiert und mittels Links auf untere Ebenen verwiesen. Dort folgen Details zu einzelnen Aspekten der Bearbeitung.51

[33]

Es besteht keine Verpflichtung, übrigens auch nicht unter der DSGVO, einen solchen Mehrebenenansatz zu verfolgen. Dessen ungeachtet mag dies ein interessantes Instrument für Verantwortliche sein, die möglichst «kundenfreundlich» informieren möchten. Wer diesen Ansatz maximieren will, kann auf der ersten Ebene Piktogramme einsetzen.52 Der Verein PRIVACY ICONS bietet solche unentgeltlich an.53 Es gibt keinen Mindestinhalt, welcher auf der ersten Ebene dargestellt werden muss. Die Flexibilität ist gross, solange die Informationen leicht zugänglich und verständlich sind.

5.3.

Zeitpunkt ^

[34]

Werden die Daten bei der betroffenen Person beschafft, muss sie in diesem Zeitpunkt informiert werden.54 Praktisch bedeutet dies, dass die Information auf der Webseite des Verantwortlichen abrufbar sein muss, sobald er die Daten beschafft. Wie Rosenthal55 zurecht ausführt, darf die Datenschutzerklärung zukünftig denkbare Zwecke und Bearbeitungen vorwegnehmen. Beschafft der Verantwortliche die Daten nicht bei den Betroffenen, muss er längstens nach einem Monat informieren. Diese Frist gilt aber nur, solange der Verantwortliche die Daten nicht an Empfänger bekanntgibt. Wenn er also Daten in der Cloud – und damit bei einem Auftragsbearbeiter – speichert, muss er die Betroffenen sogleich informieren. Sofern dies nicht umsetzbar ist, bleibt ihm der Rückgriff auf die im Gesetz vorgesehenen Ausnahmetatbestände.56

[35]

Die Informationspflicht knüpft an die Datenbeschaffung an, weshalb der Verantwortliche nicht darüber informieren muss, wenn sich die Umstände der Bearbeitung ändern. Das gilt jedoch nicht ausnahmslos. Der Grundsatz der Zweckbindung verpflichtet den Verantwortlichen indirekt, die Betroffenen über neue zusätzliche Bearbeitungszwecke zu informieren. Dasselbe kann sich aus dem Transparenzgrundsatz oder dem Gebot, Personendaten nach Treu und Glauben zu bearbeiten,57 ergeben. Verlagert der Verantwortliche etwa die Datenspeicherung von der Schweiz in ein unsicheres Drittland oder nimmt er andere aus Sicht der Betroffenen sehr wesentliche Änderungen vor, wird er dies mitzuteilen haben.58

6.

Schluss ^

[36]

Bei der Umsetzung der Informationspflicht gilt es die Balance zu finden zwischen Vollständigkeit und Einfachheit. Der Verantwortliche handelt (auch) im Interesse der Betroffenen, wenn er sich neben dem gesetzlichen Mindestinhalt auf das beschränkt, was die Betroffenen wissen müssen, um ihre Rechte wahrzunehmen. Das erfordert zugegebenermassen etwas Mut: Die Verletzung der Informationspflichten ist strafbewehrt,59 was aber zugleich in zweifacher Hinsicht zu relativieren ist: Erstens hält die offene Formulierung von Art. 19 nDSG dem Bestimmtheitsgebot von Art. 1 StGB nicht stand, weshalb die Verletzung dieser Norm strafrechtlich nicht sanktioniert werden darf.60 Zweitens handelt es sich um ein Vorsatzdelikt. Am Vorsatz wird es regelmässig fehlen, wenn etwas vergessen geht, unpräzise formuliert ist oder eben – weil aus Sicht des Verantwortlichen nicht mitteilungspflichtig – bewusst weggelassen wird. Im letztgenannten Fall sollte der Verantwortliche seine Überlegungen, warum er auf die Information verzichtet, bzw. sie einschränkt oder aufschiebt, nachvollziehbar begründen und dokumentieren, um für den Fall der Fälle gewappnet zu sein.

Claudius Ettlinger. Der Autor ist Datenschutzberater bei der SBB AG. Er gibt in diesem Beitrag seine persönliche Meinung wieder.

  1. 1 Nach heutigem Recht muss nur über das Beschaffen von besonders schützenswerten Personendaten sowie Persönlichkeitsprofilen informiert werden, Art. 14 DSG.
  2. 2 Botschaft vom 15. September 2017 zum Bundesgesetz über die Totalrevision des Bundesgesetzes über den Datenschutz und die Änderung weiterer Erlasse zum Datenschutz, BBl 2017 6941 ff. (zit. «Botsch.»), S. 6971f., 7050.
  3. 3 Bieri/Powell, Informationspflicht nach dem totalrevidierten Datenschutzgesetz, AJP 2020, S. 1535 m.w.H. Der Transparenzgrundsatz findet sich neu in Art. 6 Abs. 3 nDSG. Es entbehrt nicht der Ironie, dass er im Wortlaut dieser Bestimmung kaum erkennbar ist.
  4. 4 Es verhält sich analog zu Art. 328b OR, zu dem das Bundesgericht in 4A_528/2020 kürzlich sinngemäss festgehalten hat, ein Verstoss könne sich gegebenenfalls auf einen Rechtfertigungsgrund stützen. A.A. Rosenthal, Das neue Datenschutzgesetz, Jusletter 16. November 2020, N. 92, der in der Informationspflicht eine öffentlich-rechtliche Verbotsnorm erblickt.
  5. 5 Rosenthal (FN 4), N. 93.
  6. 6 Rosenthal (FN 4), N. 93.
  7. 7 Art. 19 Abs. 2 – 4 nDSG.
  8. 8 Botsch., S. 7051.
  9. 9 Bieri/Powell (FN 3), S. 1535.
  10. 10 Botsch., S. 7051.
  11. 11 Art. 10 Abs. 1 nDSG, Botsch., S. 7051.
  12. 12 Art. 5 lit. f nDSG. Der Verantwortliche des nDSG entspricht nach heutigem DSG dem «Inhaber der Datensammlung», Botsch., S. 7023. Klar davon abzugrenzen ist die Rolle des Datenschutzbeauftragten, bzw. in der Terminologie des nDSG, des Datenschutzberaters.
  13. 13 Botsch., S. 7023.
  14. 14 Art. 14 Abs. 3 nDSG.
  15. 15 Art. 10 Abs. 3 lit. d nDSG. Zusätzlich müssen die Kontaktdaten dem EDÖB übermittelt werden.
  16. 16 In der Unternehmenswelt nehmen mehr und mehr ganze Teams die Aufgaben «des» Datenschutzberaters wahr.
  17. 17 Vgl. Vasella, Das neue Datenschutzgesetz und seine Umsetzung, in: Der Treuhandexperte, TREX 2021, S. 275.
  18. 18 Rosenthal (FN 4), N. 96, Bieri/Powell (FN 3), S. 1535.
  19. 19 Rosenthal (FN 4), N. 95, der beispielhaft «Direktmarketing», «Produktentwicklung» oder «Betrugsbekämpfung» aufführt.
  20. 20 Rosenthal (FN 4), N. 95, weist darauf hin, dass die mitgeteilten Bearbeitungszwecke nach dem Vertrauensprinzip und der Unklarheitenregel einschränkend ausgelegt werden.
  21. 21 Art. 19 Abs. 4 nDSG. Die Garantien werden regelmässig aus vertraglichen Vereinbarungen – sprich: den Standardvertragsklauseln – bestehen.
  22. 22 So auch Rosenthal (FN 4), N. 96.
  23. 23 Art. 19 Abs. 3 nDSG.
  24. 24 Botsch., S. 7052.
  25. 25 Art. 21 nDSG.
  26. 26 Anders die DGSVO in Art. 13 Ziff. 2 lit. a, Art. 14 Ziff. 2 lit. a und f.
  27. 27 Ähnlich Rosenthal (FN 4), N. 98. Entgegen Bieri/Powell (FN 3), S. 1536, ist dagegen irrelevant, ob es sich um besonders schützenswerte Personendaten handelt – sofern diese nicht ohnehin von Art. 19 Abs. 3 nDSG erfasst werden.
  28. 28 Anders ist die Rechtslage unter der DSGVO, vgl. Art. 13 Ziff. 2 lit. b.
  29. 29 Botsch. S. 7053.
  30. 30 Bieri/Powell (FN 3), S. 1540, mit diversen Beispielen.
  31. 31 Bieri/Powell (FN 3), S. 1540.
  32. 32 Ebenso Bühlmann/Lagler, Informationspflichten und Auskunftsrecht nach dem neuen Datenschutzrecht, in: SZW 2021, S. 20.
  33. 33 Art. 20 Abs. 1 lit. c nDSG.
  34. 34 Rosenthal (FN 4), N. 104, Bieri/Powell (FN 3), S. 1540.
  35. 35 Botsch., S. 7054.
  36. 36 Botsch., S. 7054.
  37. 37 Art. 20 Abs. 1 lit. d i.V.m. Art. 27 nDSG.
  38. 38 Art. 20 Abs. 3 nDSG.
  39. 39 Dies für den Fall, dass Art. 20 Abs. 1 lit. d nDSG nicht greift.
  40. 40 Botsch., S. 7054f.
  41. 41 S. dazu unten, Ziff. 5.3.
  42. 42 Botsch., S. 7050.
  43. 43 Ob sie dies tatsächlich tun, braucht nicht geprüft zu werden, Botsch. S. 7050f.
  44. 44 Dies geht freilich nicht schrankenlos. In der Schweiz gilt zwar nicht das Koppelungsverbot der DSGVO, doch hat die Gerichtspraxis Einwilligungen unter verwandten Gesichtspunkten geprüft, vgl. hierzu bspw. den Beitrag von Schweikard/Vasella, Datenschutzerklärungen und AGB, in: digma 2020, S. 88ff.
  45. 45 Vertieft zu diesem Thema Schweikhard/Vasella (FN 45), S. 92f., m.w.H.
  46. 46 Botsch., S. 7050f.
  47. 47 Etwa wenn sich im gedruckten Vertrag mit dem Betroffenen ein URL-Link zur Webseite des Verantwortlichen befindet.
  48. 48 Rosenthal (FN 4), N. 100; Bühlmann/Lagler (FN 32), S. 18; Vasella (FN 17), S. 275; Bieri/Powell (FN 3), S. 1537; Schweikhard/Vasella (FN 45), S. 93.
  49. 49 Vasella (FN 16), S. 275.
  50. 50 Vgl. bspw. die «Guidelines on transparency under Regulation 2016/679» der Art.-29-Datenschutzgruppe, WP260 rev.01, Ziff. 34ff.
  51. 51 Mehr dazu bei Marian Alexander Arning, in: Praxishandbuch DSGVO, 2021, N. 154ff.
  52. 52 Botsch., S. 7050.
  53. 53 www.privacy-icons.ch.
  54. 54 Botsch., S. 7052; vgl. die Formulierung in Art. 19 Abs. 2 nDSG: «[Der Verantwortliche] teilt der betroffenen Person bei der Beschaffung diejenigen Informationen mit […]».
  55. 55 Rosenthal (FN 4), N. 94.
  56. 56 Art. 20 Abs. 2 oder eher Abs. 3 lit. a nDSG, so Bieri/Powell (FN 3), S. 1538.
  57. 57 Art. 6 Abs. 2 nDSG.
  58. 58 Teilweise abweichend Rosenthal (FN 4), N. 94, und Bieri/Powell (FN 3), S. 1538.
  59. 59 Art. 60 Abs. 1 nDSG.
  60. 60 Es bleibt denn auch zu hoffen, dass die Informationspflicht nicht zum Einfallstor für den Missbrauch des Datenschutzrechts als Druckmittel mutiert, wie Vasella (FN 17) befürchtet (S. 275).