Für eine Datenverarbeitung muss gemäß des DSG eine rechtsgültige Einwilligung vorliegen. Die Voraussetzungen entsprechen denen der DSGVO. Ohne Zweifel bedeutsam ist die Abgrenzung und Erkennbarkeit der Einwilligung sowie die Vollständigkeit der Informationen zur Datenverarbeitung. Trotzdem sind ausdrückliche Einwilligungen erforderlich für a) die Bearbeitung von besonders schützenswerten Personendaten, b) ein Profiling mit hohem Risiko durch private Personen; und c) ein Profiling durch Bundesorgane.
Wie bei der DSGVO gibt es auch im Datenschutzgesetz der Schweiz auch Rechtfertigungsgründe für die Datenverarbeitung. „Rechtfertigungsgründe stellen eine Erlaubnis von Datenverarbeitungen dar, ohne dass hierbei die Persönlichkeitsrechte verletzt werden,“ erklärt Datenschutzexperte Dr. Jörn Voßbein auf Basis seiner gesammelten Erfahrungen in der Schweiz und der EU. Allerdings sind die Rechtsfertigungsgründe im Zusammenhang mit der jeweiligen Datenverarbeitung auf ihre Anwendbarkeit gewissenhaft zu prüfen, um Verstöße gegen das DSG zu verhindern. Aber anders als nach der DSGVO sind diese Rechtfertigungsgründe in Informationspflichten oder Auskunftsersuchen nicht zwingend zu nennen. Ratsam kann es allerdings dennoch sein. Letztlich sollte jeder Fall einer Einzelfallbetrachtung unterzogen werden.
Eine wirkliche Neuheit stellt der Rechtfertigungsgrund zur Bonitätsprüfung dar. Allerdings sind im DSG vier Voraussetzungen genannt, die erfüllt sein müssen, damit dieser Rechtfertigungsgrund zur Datenverarbeitung herangezogen werden kann:
- Es handelt sich weder um besonders schützenswerte Personendaten noch um ein Profiling mit hohem Risiko.
- Die Daten werden Dritten nur bekanntgegeben, wenn diese die Daten für den Abschluss oder die Abwicklung eines Vertrags mit der betroffenen Person benötigen.
- Die Daten sind nicht älter als zehn Jahre.
- Die betroffene Person ist volljährig.
Bei anderen Themenfeldern lehnt sich das DSG relativ eng an die Vorgaben der DSGVO an, so zum Beispiel bei der Zulässigkeit von automatisierten Einzelentscheidungen trotzdem empfiehlt es sich, auch hier eine Einzelfallprüfung vorzunehmen, um alle vorhandenen Ausnahmen in Betracht zu ziehen.
„Die Regelungen im DSG zur Datenverarbeitung weisen Besonderheiten auf. Für schweizerische Unternehmen, deren Geschäftsbeziehungen über die Landesgrenzen hinausreichen, bedeutet dies, sowohl die eidgenössische Gesetzgebung wie auch die europäische DSGVO im Blick zu behalten. Das ist eine unternehmerische Herausforderung, die ohne Fachexpertise schnell zu Fehlern und Strafzahlungen führt“, berichtet UIMC-Geschäftsführer Dr. Jörn Voßbein aus seinen einschlägigen Erfahrungen. Die DSGVO ist ohnehin einzuhalten, wenn bei der Datenverarbeitung auch Bürger der EU betroffen sind, was bei der o. g. wirtschaftlichen Verflechtung ohnehin oft vorkommen wird.
Die UIMC ist eine gesellschaftergeführte mittelständische Unternehmensberatung mit den Kerngebieten Datenschutz und Informationssicherheit; im Datenschutz gehören wir zu den marktführenden Beraterhäusern. Wir bieten als Vollsortimenter sämtliche Unterstützungsmöglichkeiten der Analyse, Beratung, Umsetzung und Schulung/Sensibilisierung bis hin zum Komplett-Outsourcing des Beauftragten an.
Das Schwesterunternehmen UIMCert ist als sachverständige Prüfstelle für die Norm ISO/IEC 27001 von der DAkkS akkreditiert.
UIMC Dr. Vossbein GmbH & Co. KG
Otto-Hausmann-Ring 113
42115 Wuppertal
Telefon: +49 (202) 946 7726 200
Telefax: +49 (202) 946 7726 9200
http://www.uimc.de
Geschäftsführer
Telefon: +49 (202) 9467726-200
Fax: +49 (202) 9467726-9200
E-Mail: consultants@uimc.de