nDSG: Eine Übersicht zum neuen Datenschutzgesetz
Regina Arquint, lic.iur. HSG, RA, CIPP/E
Frau Arquint schloss ihr Studium der Rechtswissenschaften an der Universität St. Gallen im Jahr 2002 ab. Nach absolviertem Gerichts- und Anwaltspraktikum erwarb Regina Arquint das Anwaltspatent im Jahr 2005. Anschliessend arbeitete sie in einer renommierten Wirtschaftskanzlei in Zürich. In den Jahren 2008 – 2017 war sie in leitender Stelle in einem internationalen Konzern der Luxus- und Modeschmuckbranche tätig. Heute ist sie Partnerin bei der Kanzlei AFFINITY LAW & TAX in Meilen und Zürich und Dozentin für Datenschutzrecht an der Ostschweizer Fachhochschule St. Gallen im Lehrgang CAS Führung und Steuerung der IT. Regina Arquint ist Mitglied des Zürcherischen und des Schweizerischen Anwaltsverbandes. Sie hat das Zertifikat als International Privacy Professional (CIPP/E) erlangt und ist Mitglied der Internationalen Vereinigung für Datenschutz (IAPP).
Passende Arbeitshilfen
Personenbezogene Daten
Nur das Bearbeiten von Personendaten untersteht dem Datenschutzrecht. Als Personendaten gelten alle Informationen über Personen, welche namentlich genannt werden oder welche aus anderen Gründen einer bestimmten oder bestimmbaren Person zugeordnet werden können. Das können beispielsweise Angaben über Kunden, Mitarbeiter oder Lieferanten sein, wie bspw. Name, Geschlecht, Foto, Geburtstag, Email-Adresse, IP-Adresse, Bankkonto oder Sozialversicherungsnummer.
Als Bearbeiten gilt jeder Umgang mit Personendaten, wie beispielsweise das Beschaffen, Aufbewahren, Speichern, Umarbeiten, Weitergeben oder Vernichten von Personendaten. Eine Bearbeitung von Personendaten liegt bspw. vor, wenn eine Unternehmung Angaben über Mitarbeiter oder über Kunden im EDV-System erfasst, wenn der HR-Verantwortliche die Ergebnisse eines Qualifikationsgesprächs an eine andere Personen weitergibt oder wenn die Unternehmung ein Daten-Backup (Daten-Sicherung) vornimmt.
Personendaten können auch besonders schützenswerte Personendaten enthalten. Besonders schützenswerte Daten sind sensitive Daten, die besonders geschützt werden müssen.
Als besonders schützenswerte Personendaten gelten folgende Daten:
- Daten über religiöse, weltanschauliche, politische oder gewerkschaftliche Ansichten oder Tätigkeiten;
- Daten über die Gesundheit, die Intimsphäre oder die Zugehörigkeit zu einer Rasse oder Ethnie;
- Genetische Daten;
- Biometrische Daten, die eine natürliche Person eindeutig identifizieren;
- Daten über Verwaltungs- und strafrechtliche Verfolgungen oder Sanktionen;
- Daten über Massnahmen der sozialen Hilfe.
Für die Bearbeitung von besonders schützenswerten Personendaten gelten - nebst der Umsetzung von strengeren Sicherheitsvorkehrungen - teilweise auch strengere Bearbeitungs-Anforderungen. So muss die Einwilligung ausdrücklich erfolgen und die Weitergabe an Dritte ist unzulässig, ausser es liegt ein Rechtfertigungsgrund vor. Mögliche Rechtfertigungsgründe sind eine ausdrückliche Einwilligung, eine gesetzliche Grundloge oder überwiegende Interessen des Verantwortlichen.
Die Datenbearbeitungsgrundsätze
Der Verantwortliche hat dafür zu sorgen, dass die Mitarbeiter bei der Bearbeitung von Personendaten stets die nachfolgenden Datenbearbeitungsgrundsätze einhalten:
1. Rechtmässigkeit: Personendaten müssen rechtmässig bearbeitet werden. Eine unrechtmässige Bearbeitung liegt immer dann vor, wenn die Bearbeitung durch ein Verhalten, welches gegen eine Norm des Schweizer Rechts verstosst, erfolgt (z.B. im Rahmen einer Täuschung).
2. Information, Fairness und Transparenz: Personendaten dürfen nur in transparenter Weise erhoben und bearbeitet werden. Die betroffenen Personen müssen vorgängig, in umfassender und leicht verständlicher Weise über die Datenbearbeitung informiert werden, sodass die betroffene Person diese nachvollziehen kann.
3. Zweckbindung: Die Personendaten dürfen ausschliesslich für festgelegte, eindeutige und rechtmässige Zwecke bearbeitet werden.
4. Verhältnismässigkeit/Datenminimierung: Es dürfen nur Personendaten bearbeitet werden, die dem Zweck nach angemessen sind und nur diejenigen, die für die Erreichung des Zweckes unbedingt notwendig sind (nach dem Prinzip: so viel wie nötig, so wenig wie möglich).
5. Richtigkeit: Personendaten müssen jederzeit sachlich richtig und aktuell sein.
6. Datensicherheit / Vertraulichkeit und Integrität: Personendaten müssen im Umgang vertraulich behandelt werden (nach dem Need-to-Know-Prinzip) und in einer Weise bearbeitet werden, die eine angemessene Sicherheit der Personendaten einschliesslich den Schutz vor unbefugter oder unrechtmässiger Verarbeitung, unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung gewährleistet.
7. Aufbewahrung: Personendaten dürfen nur so lange aufbewahrt werden, als dies für die Erreichung des Zwecks, für die sie erhoben wurden, notwendig ist, ausser es liegt ein rechtmässiger Grund für eine längere Aufbewahrung vor (z.B. gesetzliche Aufbewahrungspflichten oder überwiegende Interessen der Unternehmung z.B. aus Beweisgründen im Hin-blick auf einen möglichen Gerichtsprozess).
Privacy by Design / Privacy by Default
Der Verantwortliche hat bereits bei der Festlegung der Mittel für die Datenbearbeitung (wie bspw. die Nutzung einer externen Cloud-Lösung), wie auch beim Design neuer Produkte (wie bspw. die Entwicklung einer Tracking-App unter Nutzung neuer Technologien), den Datenschutz und die Grundrechte der betroffenen Personen genügend zu berücksichtigen.
Der Verantwortliche hat die Datenbearbeitung durch technische und organisatorische Massnahmen so auszugestalten, dass die Datenschutzvorschriften eingehalten werden. Es dürfen nur Personendaten erhoben und genutzt werden, die für den bestimmten Bearbeitungszweck tatsächlich erforderlich sind. Ferner ist der Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit auf das Nötigste zu beschränken.
Der Verantwortliche hat mittels geeigneter Voreinstellungen sicherzustellen, dass die Bearbeitung der Personendaten auf das für den Verwendungszweck nötige Mindestmass beschränkt ist, soweit die betroffene Person nicht etwas anderes bestimmt.
Jetzt weiterlesen mit 
- Unlimitierter Zugriff auf über 1100 Arbeitshilfen
- Alle kostenpflichtigen Beiträge auf weka.ch frei
- Täglich aktualisiert
- Wöchentlich neue Beiträge und Arbeitshilfen
- Exklusive Spezialangebote
- Seminargutscheine
- Einladungen für Live-Webinare
