Dieser Blogpost ist der dritte unserer neuen Serie zum revidierten Schweizer Datenschutzgesetz.
Das revidierte Schweizer Datenschutzgesetz enthält als Kernelement den Ausbau der Informationspflichten gegenüber den Betroffenen. Wer Personendaten bearbeitet, muss die betroffenen Personen darüber informieren. Die Information ist künftig bei allen Personendaten zwingend; bisher war dies bloss bei besonders schützenswerten Personendaten und Persönlichkeitsprofilen der Fall.
Mit der Informationspflicht wird ein zentrales Anliegen des Datenschutzrechts verwirklicht: Das Datenschutzrecht hat nicht zum Ziel, Datenbearbeitungen per se zu verhindern. Vielmehr ist die Datenbearbeitung grundsätzlich erlaubt, solange die Betroffenen davon wissen und notfalls widersprechen oder ihre Rechte geltend machen können. Mit einer transparenten Information lassen sich daher viele datenschutzrechtliche Probleme und Ängste vermeiden.
Typischerweise erfolgt die Information in einer Datenschutzerklärung. Folgende Punkte müssen gemäss Art. 19 revDSG offengelegt werden:
- Identität und Kontaktdaten des Verantwortlichen
- Bearbeitungszweck
- Empfänger der Daten, falls diese an Dritte übermittelt werden
- Kategorien der Daten, falls die Daten nicht direkt bei der betroffenen Person beschafft werden
- Länder, in welche die Daten übermittelt werden und ggf. zusätzliche Garantien, falls das Datenschutzniveau in diesem Land nicht ausreichend ist
Auf unserer Seite zum ICT-Recht stellen wir Ihnen eine Muster-Datenschutzerklärung zum Download bereit.
In unserer Blogserie zum revidierten Schweizer Datenschutzgesetz beleuchten wir im Wochenrhythmus die wichtigsten Punkte der Revision.
English version:
Series revDSG: Information requirements
This blogpost is the third in our new series on the revised Swiss Data Protection Act.
The revised Swiss Data Protection Act contains as a core element the expansion of the information obligations towards the data subjects. Anyone who processes personal data must inform the persons that are affected. With the revised act, the information will be mandatory for all personal data; previously, this was only the case for personal data requiring special protection and personality profiles.
The obligation to provide information implements a central concern of data protection law: data protection law does not aim to prevent data processing altogether. Rather, data processing is generally permitted as long as the data subjects know about it and can object or assert their rights if necessary. Transparent information can therefore avoid many data protection problems and fears.
Typically, the information is provided in a privacy policy. The following points must be disclosed according to article 19 revDSG:
- Identity and contact details of the data controller
- Purpose of processing
- Recipients of the data, if the data is transferred to third parties
- Categories of data, if the data is not obtained directly from the data subject
- Countries to which the data is transferred and, if applicable, additional guarantees if the level of data protection in that country is insufficient
On our page on ICT law, we provide a sample privacy policy for download [in German].
In our blog series on the revised Swiss Data Protection Act, we highlight the most important points of the revision in a weekly rhythm.