07.05.2018

Datenschutzgrundverordnung: Erweiterte Transparenzpflichten im Datenschutzrecht

Die am 25. Mai 2018 in Kraft getretene EU-Datenschutzgrundverordnung («DSGVO»), brachte erweiterte Transparenzpflichten für den Datenverantwortlichen. Insbesondere ist die Einwilligung des Betroffenen zur Verarbeitung seiner personenbezogenen Daten nur wirksam, wenn er zuvor vollständig, klar und sachlich richtig informiert wurde.

Von: Reto Hauser  DruckenTeilen Kommentieren 

Lic. iur. Reto Hauser

Reto Hauser ist Rechtsanwalt und Inhaber von Hauser Partners in 8058 Zürich-Flughafen. Er war während mehrerer Jahre als in-House Legal Counsel bei führenden IT-Unternehmen wie Oracle oder CSC tätig. Seit 2004 ist er selbständig mit einem Schwerpunkt auf dem EDV- und Datenschutzrecht und berät national und international tätige Firmen in diesem Bereich. www.hauserpartners.ch

Zu diesem Artikel wurden noch keine Kommentare geschrieben. Wir freuen uns, wenn Sie den ersten Kommentar zu diesem Artikel verfassen.
 
Kommentar schreiben

Bitte Wert angeben!

Bitte Wert angeben!

Bitte Wert angeben! Bitte geben Sie eine gültige E-Mail-Adresse ein!

Bitte Wert angeben!

Bitte Wert angeben!

Bitte Wert angeben!

Bitte alle fett beschrifteten Pflichtfelder ausfüllen.
Zurücksetzen
 

Die informierte Einwilligung nach der DSGVO

Die DSGVO ist direkt auf alle Schweizer Unternehmen anwendbar, die in der EU Waren und Dienstleistungen anbieten oder Personen in der EU beobachten. Erweiterte Informationspflichten werden auch in das revidierte Schweizer Datenschutzrecht Eingang finden und deshalb auch für Schweizer Firmen wirksam, die nicht direkt der DSGVO unterstehen.

Bearbeitung von Personendaten nur mit gesetzlicher Erlaubnis

Das Recht selber über seine persönlichen Daten zu bestimmen, gehört als Ausfluss des Persönlichkeitsrechts zu den wichtigsten Grundrechten des Bürgers. Dieses Recht auf informationelle Selbstbestimmung ist in der EU, im Gegensatz zur Schweiz, grundrechtlich ausdrücklich kodifiziert, in der Schweizer Rechtspraxis jedoch ebenfalls anerkannt. Es gilt damit sowohl für den Staat als auch den Privaten ein Verbot zur Bearbeitung persönlicher Daten, es sei denn ein Gesetz erlaubt dies ausdrücklich. Eine zentrale Stellung bei den gesetzlichen Erlaubnistatbeständen nimmt dabei die Einwilligung des Betroffenen ein. Willigt er nach erfolgter Information ein, so dürfen seine persönlichen Daten bearbeitet werden.

Einwilligung als Willensbekundigung

Die Einwilligung ist eine Willensbekundung, die sich auf einen vom Datenverantwortlichen bestimmten und vermittelten Informationsgehalt bezieht. Ist dieser unklar, unvollständig oder gar falsch, verfehlt die dafür gegebene Einwilligung ihre Wirkung. Art. 4 Nr. 11 der DSGVO definiert Einwilligung als «jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.» Damit ist klargestellt, dass eine Einwilligung nicht immer eine ausdrückliche Erklärung sein muss, sondern auch aus dem Verhalten des Einwilligenden hervorgehen kann. Dieses muss seine Intention unmissverständlich wiedergeben. Passives Akzeptieren von voreingestellten, mit Häkchen versehenen Kästchen (Opt-out-Verfahren) erfüllt diese Voraussetzung nicht, aktives Anklicken eines leeren Kästchens hingegen schon (Opt-in-Verfahren). Die Einwilligung könnte sogar mündlich erfolgen; dies ist jedoch nicht empfehlenswert, denn jede Einwilligung muss nachweisbar sein. Dazu gehören insbesondere unterzeichnete Dokumente, die auch als Scan digital übermittelt werden können oder Emails. Ein Nachweis ist auch dann gegeben, wenn der digitale Prozess (z.B. Registrierungs- oder Bestellprozess) ohne aktive Einwilligung zur Verarbeitung gar nicht abgeschlossen werden kann. Der Nachweis kann auch durch einen Eintrag in den Log-Files des Servers erfüllt werden. Es besteht damit eine Dokumentationspflicht des Datenverantwortlichen, um den gesetzlich geforderten Nachweis der Einwilligung in die Datenverarbeitung erbringen zu können (Art. 7 Abs. 1 DSGVO).

Ausdrückliche Einwilligung bei besonderen Datenkategorien

Die DSGVO verlangt, dass eine Einwilligung zur Verarbeitung besonderer Kategorien personenbezogener Daten (wie etwa Daten zur politischen Gesinnung, Gesundheitsdaten, genetische oder biometrische Daten) «ausdrücklich» zu erfolgen hat. Dies geht über die oben dargelegten Einwilligungserfordernisse für die allgemeinen personenbezogenen Daten hinaus. Konkludente Einwilligungen sind in diesem Zusammenhang ausgeschlossen. Die Einwilligung muss zudem unmittelbar Bezug auf diese besonderen Kategorien von Daten und die damit beabsichtigte Bearbeitung nehmen. Sie kann nicht in allgemeinen Datenschutzerklärungen oder AGB stehen. Das Anklicken einer Checkbox, welche sich unmittelbar auf eine vorgefertigte Erklärung in einem Optionsfeld bezieht, welche sämtliche, gesetzlich geforderten Informationen in Bezug auf die Verarbeitung der besonderen Kategorien von personenbezogenen Daten einfach, vollständig und klar wiedergibt, genügt jedoch. Zur Nachweisbarkeit gelten die gleichen Regeln wie bei der einfachen Einwilligung.

Transparenzgebot als materielle Voraussetzung zur Einwilligung

Die DSGVO nennt als materielle Voraussetzungen zur gültigen Einwilligung, die Zweckgebundenheit der Datenverarbeitung («für einen bestimmten Fall») und das Informationserfordernis («in informierter Weise») (Art. 4 Nr. 11 DSGVO). Die den Datenverantwortlichen treffenden Informationspflichten sind Ausfluss des in der DSGVO neben der Rechtmässigkeit und Treu und Glauben als drittem Grundsatz ausdrücklich aufgeführten Transparenzgebots, welches auch im Entwurf zum neuen Schweizer Datenschutzgesetz als Gebot zur «transparenten Datenbearbeitung» Eingang fand.

Zweckgebundene Datenverarbeitung

Die Einwilligung muss sich auf einen «bestimmten Fall» der Datenbearbeitung beziehen. D.h. der vom Datenverantwortlichen bei der Datenerhebung angegebene Zweck (oder mehrere Zwecke) müssen dem Einwilligenden klar kommuniziert werden. Da die Verarbeitung personenbezogener Daten nur für legitime, festgelegte und eindeutige Zwecke erhoben werden darf (Art. 5 Abs. 1 lit. b DSGVO), ist die eindeutige, in aller Regel schriftliche, Festlegung als Voraussetzung zur gültigen Einwilligung unabdingbar. Blankoerklärungen oder pauschal vorformulierte Erklärungen verfehlen das Erfordernis der Eindeutigkeit. Auch pauschale Vorbehalte zur Weitergabe der erhobenen Daten an Dritte entsprechen meist nicht dem ursprünglich angegebenen Zweck. Die Daten dürfen sodann nur solange bearbeitet und gespeichert werden, wie dies der ursprünglich genannte Zweck erfordert («Speicherbegrenzung»). Eine Zweckänderung ist nur dann erlaubt, wenn sie mit dem ursprünglich statuierten Zweck «vereinbar» ist. Bei der Prüfung ist der Zusammenhang zu berücksichtigen, in dem die Daten erhoben wurden, die Art der erhobenen Daten und insbesondere die vernünftigen Erwartungen der betroffenen Person. Dabei ist zu berücksichtigen, in wessen Interesse die Zweckänderung erfolgt und ob sie aus Sicht des Betroffenen noch vernünftigerweise mit dem ursprünglichen Zweck vereinbar ist.

Inhaltliche Anforderungen an die Information

Damit eine Einwilligung gültig ist, müssen bestimmte, gesetzlich vorgegebene Informationsinhalte vorliegen. Nur bei Kenntnis aller entscheidungsrelevanten Informationen können Risiken und Vorteile abgeschätzt und kann sachgerecht über die Einwilligung entschieden werden. Neben der Identität und den Kontaktdaten des Datenverantwortlichen (z.B. ein Unternehmen mit Anschrift und Email) und dem Bearbeitungszweck, gehört dazu die Umschreibung der betroffenen Daten, die potentiellen Datenempfänger (z.B. Dienstleister) die beabsichtigte Verarbeitungs- und Speicherdauer (oder die Kriterien dazu) sowie geplante Datenübermittlungen in Drittländer. Ein Zugriff auf die Datenbank von einem Drittland wird mit einem Datentransfer gleichgesetzt. Dabei spielt es keine Rolle, ob der ausländische Datenempfänger mit dem Verantwortlichen im gleichen Unternehmen oder Konzern verbunden ist. Wird der Datenschutz im Drittland durch die EU (oder die Schweiz) nicht als gleichwertig anerkannt, muss der Betroffene darüber und über die Risiken informiert werden. Sodann muss er informiert werden, wie diese Risiken minimiert werden (z.B. durch Datenübermittlungsverträge oder unternehmensinterne, behördlich bewilligte, verbindliche Datenschutzvorschriften) und wo er eine Kopie davon erhältlich machen kann (Art. 13 Abs. 1 lit. f DSGVO). Ferner muss der Betroffene auf seine Rechte hingewiesen werden, insbesondere auf das Recht zum Widerruf, das Recht auf (in der Regel kostenlose) Auskunft, Berichtigung, Löschung, Einschränkung der Übertragbarkeit / eines Widerspruchrechts, sowie auf das Recht zur Datenübertragung. Zudem muss er über das Bestehen einer automatisierten Entscheidungsfindung oder von Profiling (Bewertung von Merkmalen einer Person aufgrund automatisierter Datenverarbeitung) informiert werden. Schliesslich muss auf das Beschwerderecht bei einer Aufsichtsbehörde hingewiesen werden (Art. 13 Abs. 2 DSGVO).

Formelle Anforderungen an die Information

Alle abgegebenen Informationsinhalte, die meist als vorgefertigte Einwilligungserklärungen vorliegen werden, müssen vollständig, klar und sachlich richtig wiedergegeben werden. Zur Klarheit gehört eine «klare und einfache» Sprache» und die Unterscheidbarkeit von anderen Textinhalten (Art. 7 Abs. 2 DSGVO). Künftig wird es nicht mehr möglich sein, vorformulierte Einwilligungserklärungen als ununterscheidbaren Bestandteil in allgemeinen Nutzungsbedingungen oder umfangreichen Datenschutzerklärungen unterzubringen. Die vorformulierten Inhalte, die zur Einwilligung notwendig sind, müssen separat stehen oder graphisch abgegrenzt sein. Es ist dem Betroffenen nicht zumutbar, sich durch langatmige technische Sachverhalte durchzulesen, bis er zur erforderlichen Information gelangt. Diese muss zwar vollständig sein, dennoch so kurz, knapp und präzise wie möglich, sodass sie für den Betroffenen verständlich ist; dabei ist von einem technischen Laien auszugehen. Die Informationen können zudem, sofern es der Klarheit und Einfachheit dient, in Kombination mit Bildsymbolen dargestellt werden, die, sofern sie digital bereitgestellt werden, maschinenlesbar sein müssen (Art. 12 Abs 7 DSGVO). Erfolgt das Einwilligungsersuchen auf elektronischem Weg, so muss der Informationsinhalt leicht zugänglich sein und «in klarer und knapper Form und ohne Unterbrechung des Dienstes, für den die Einwilligung gegeben wird» erfolgen (Erwägungsgrund 32 zur DSGVO). Die Information muss zudem antizipiert zur Einwilligung erfolgen; denn diese «beruht» ja gerade auf der zuvor abgegebenen Information. Eine Einwilligung kann zuvor unrechtmässig erfolgte Datenverarbeitungen nicht heilen, da diesen die auf der informationellen Selbstbestimmung des Datenberechtigten gründende Legitimation abgeht.

Informierte Einwilligung im künftigen Schweizer Datenschutzgesetz

Die Revision des Schweizer Datenschutzgesetzes wurde durch die Einführung der in der EU in allen Mitgliedstaaten direkt anwendbaren Datenschutzgrundverordnung angestossen. Durch die Revision will der Gesetzgeber sicherstellen, dass der Status des durch die EU Kommission in der Angemessenheitsentscheidung des Jahres 2000 (2000/518/EC) festgestellten vergleichbaren, «angemessenen Datenschutzniveaus» in der Schweiz bestehen bleibt. Fiele dies weg, würden Datenübermittlungen von Personendaten von und in die EU stark erschwert.

Die erhöhten Transparenzgebote der DSGVO werden im Entwurf zum Datenschutzgesetz nicht in allen Details, jedoch im Grundgehalt übernommen. In Bezug auf die «informierte Einwilligung» bestimmt Art. 5 Abs. 6 Entwurf DSG, dass die Einwilligung nur gültig ist, wenn sie freiwillig und eindeutig, für eine oder mehrere bestimmte Bearbeitungen «nach angemessener Information» erfolgt. Diese «angemessene» Information wird in Art. 17 Entwurf DSG präzisiert. Dort sind die Informationspflichten enthalten, die den Datenverantwortlichen treffen, um eine «transparente Datenbearbeitung» zu gewährleisten; das sind im Wesentlichen jene zur Identität des Datenverantwortlichen, Bearbeitungszweck, Bearbeitungsdauer, mögliche Datenempfänger und geplante Datenübermittlungen in Drittländer. Ein Recht eine Kopie von Datenübermittlungsverträgen oder anderen Instrumenten zur rechtmässigen Datenübermittlung in Drittländer ohne vergleichbaren Datenschutz erhältlich zu machen, fehlt jedoch im Entwurf zum DSG. Zudem verzichtet der Entwurf auf eine Aufzählung derjenigen Rechte des Betroffenen, über die informiert werden muss. Er stellt insofern nur klar, dass diejenigen Informationen mitzuteilen sind, die «erforderlich» sind, damit die betroffene Person «ihre Rechte nach diesem Gesetz» wahrnehmen kann. Dazu gehört die Information über diese Rechte, so z.B. über das Recht auf Widerruf oder das Recht auf Auskunft, Berichtigung oder Löschung. Insofern dürften sich die Informationspflichten nicht massgeblich von denjenigen in der DSGVO unterscheiden. In Bezug auf besonders schützenswerte Personendaten verlangt der Entwurf eine «ausdrückliche» Einwilligung, genauso wie die DSGVO. Dieses Erfordernis bestand schon im geltenden Recht und kann gemäss dem Eidgenössischen Datenschutzbeauftragten («EDÖB») durch Einfügen eines Häkchens am Ort der Erklärung, die sprachlich leicht verständlich, vollständig und fair über die Verwendung der besonders schützenswerten Daten oder Profiling informiert, erfüllt werden (https://www.edoeb.admin.ch/edoeb/de/home/datenschutz/dokumentation/merkblaetter/Einsatz.html). Unter «fairer» Information ist gemäss EDÖB neben sprachlich leicht verständlicher, auch rasch auffindbare und graphisch übersichtliche Information zu verstehen. Weder der Begriff «fair» noch dessen Bestandteile (leicht verständlich, rasch auffindbar und graphisch übersichtlich), finden sich so im Entwurf zum neuen Datenschutzgesetz, dürften jedoch wegweisend sein zur Interpretation der «angemessenen» Information gemäss Art. 5 Abs. 6 Entwurf zum DSG und damit generell auf «Einwilligungen» anwendbar. Im Übrigen findet sich der Begriff «fair» im Zusammenhang mit der Informationsvermittlung an den Betroffenen auch in der DSGVO (Art. 13 Abs. 2 und 14 Abs. 2 DSGVO). Die vom EDÖB verlangte «graphische Übersichtlichkeit» kann als Ausfluss der Klarheit und textlichen Abgrenzung betrachtet werden, sodass sich zwischen seiner Interpretation und dem DSGVO - Gesetzestext kaum mehr Unterschiede ausmachen lassen und dies wohl die künftigen Anforderungen an die Wiedergabe der Information als Voraussetzung zu einer gültigen Einwilligung im Schweizer Datenschutzrecht sein werden. 

Seminar-Empfehlung

Praxis-Seminar, 1 Tag, ZWB, Zürich

Workshop Datenschutz in der Praxis

Die neue DSGVO und deren Folgen für Schweizer Unternehmen

Nächster Termin: 11. Dezember 2018

mehr Infos

Produkt-Empfehlungen

  • Mein Unternehmen

    Mein Unternehmen

    Was erfolgreiche Firmen anders machen

    CHF 98.00

  • IT-Sicherheit

    IT-Sicherheit

    Schützen Sie Ihr Unternehmen konsequent vor Systemstörungen und Risiken.

    Mehr Infos

  • InformatikPraxis

    InformatikPraxis

    DIE ultimative Praxislösung für IT-Entscheider!

    Mehr Infos

Seminar-Empfehlungen

  • Praxis-Seminar, 1 Tag, ZWB, Zürich

    Workshop Datenschutz in der Praxis

    Die neue DSGVO und deren Folgen für Schweizer Unternehmen

    Nächster Termin: 11. Dezember 2018

    mehr Infos

  • Praxis-Seminar, 1 Tag, ZWB, Zürich

    IT-Verträge entwerfen und verhandeln

    Rechtssicherheit bei IT-Projekten, Outsourcing und Cloud Computing

    Nächster Termin: 22. November 2018

    mehr Infos

  • Praxis-Seminar, ½ Tag, ZWB, Zürich

    Update Datenschutz

    Neuerungen in der EU und der Schweiz

    Nächster Termin: 29. August 2019

    mehr Infos

Um unsere Website laufend zu verbessern, verwenden wir Cookies. Durch die Nutzung dieser Website stimmen Sie der Verwendung von Cookies zu. Mehr Infos