Inhaltsverzeichnis
- Das Grundprinzip: Erlaubnis mit Verbotsvorbehalt
- Worauf bezieht sich der Verbotsvorbehalt?
- Die Einwilligung – die Lösung aller Probleme?
- Unterschiede zwischen privaten Institutionen und öffentlichen Organen
- Wann eine Bearbeitung widerrechtlich ist
- So prüfen Sie Schritt für Schritt
- Die Folgen im Blick behalten
- Typische Stolpersteine
- Fazit
Ob Bewerbungsprozesse, Kundenverwaltung oder Einwohnerkontrolle, fast jede Organisation bearbeitet heute Personendaten. Was vielen nicht bewusst ist: Jede Datenbearbeitung benötigt einen klaren rechtlichen Halt. Fehlt dieser, ist die Bearbeitung widerrechtlich, mit möglichen Folgen, die von Bussen bis hin zu spürbarem Vertrauensverlust bei Kund:innen, Bürger:innen und Partner:innen reichen. In diesem Beitrag zeige ich auf, welche Rechtfertigungsgründe es nach schweizerischer Gesetzgebung gibt, wie sich private Institutionen und öffentliche Organe unterscheiden und warum eine Einwilligung nur selten die beste Wahl ist.
Das Grundprinzip: Erlaubnis mit Verbotsvorbehalt
Der Begriff «Erlaubnis mit Verbotsvorbehalt» bedeutet, dass die Bearbeitung von Personendaten durch Private grundsätzlich zulässig ist, solange keine spezifischen Verbote oder Schranken greifen und die allgemeinen Bearbeitungsanforderungen eingehalten werden. Das Schweizer Datenschutzrecht basiert auf diesem Erlaubnisprinzip mit Verbotsvorbehalt. Demnach ist eine Bearbeitung grundsätzlich zulässig, sofern:
- die Bearbeitungsgrundsätze von Art. 6 Bundesgesetz über den Datenschutz (DSG),
- die Datensicherheit gemäss Art. 8 DSG,
- Personendaten nicht entgegen der ausdrücklichen Willenserklärung der betroffenen Person bearbeitet oder
- Dritten besonders schützenswerte Personendaten bekanntgegeben werden.
Worauf bezieht sich der Verbotsvorbehalt?
1. Persönlichkeitsschutz
Eine Persönlichkeitsverletzung ist widerrechtlich, wenn sie nicht durch Gesetz, ein überwiegendes privates oder öffentliches Interesse oder durch Einwilligung gerechtfertigt ist (Art. 31 Abs. 1 DSG). Greift eine Bearbeitung in die Persönlichkeit ein, braucht es einen Rechtfertigungsgrund; fehlt dieser, greift der Verbotsvorbehalt und die Bearbeitung ist unzulässig.
2. Einhaltung der Bearbeitungsgrundsätze und der Datensicherheit
Eine Bearbeitung ist nur zulässig, wenn die Grundsätze (Art. 6 DSG) und die Datensicherheit eingehalten werden. Verantwortliche und Auftragsbearbeiter müssen geeignete technische und organisatorische Massnahmen ergreifen, um eine dem Risiko angemessene Sicherheit zu gewährleisten.
3. Spezifische Schranken aus dem Persönlichkeitsrecht
Keine Bearbeitung entgegen der ausdrücklichen Willenserklärung der betroffenen Person sowie keine Bekanntgabe besonders schützenswerter Personendaten an Dritte ausser bei Vorliegen einer Rechtfertigung.
Die Einwilligung – die Lösung aller Probleme?
Die Einwilligung wirkt oft wie der einfachste Weg zur Legitimierung einer Datenbearbeitung. Sie muss jedoch freiwillig, informiert und dokumentiert sein, was in der Praxis oft schwierig ist. Problematisch ist zudem, dass die Einwilligung jederzeit widerrufen werden kann, was die Rechtssicherheit beeinträchtigt und operative Herausforderungen verursacht. Auch der Eindruck bei der betroffenen Person kann leiden, wenn nach einem Widerruf plötzlich ein anderes Rechtsargument (gesetzliche Grundlage oder überwiegendes Interesse) vorgebracht wird.
Deshalb ist meine Empfehlung, dass eine Einwilligung nur als letztes Mittel genutzt werden sollte, wenn weder eine gesetzliche Grundlage noch ein überwiegendes Interesse vorliegt.
Unterschiede zwischen privaten Institutionen und öffentlichen Organen
- Private Institutionen können sich neben Gesetzen auch auf ein überwiegendes Interesse oder auf eine Einwilligung stützen.
Beispiel: Ein Hotel bearbeitet Gästedaten zur Abwicklung einer Zimmerbuchung, gestützt auf das überwiegende Interesse an der Vertragserfüllung. - Öffentliche Organe dürfen Personendaten in der Regel nur bearbeiten, wenn eine gesetzliche Grundlage besteht. Bei besonders schützenswerten Daten kann sogar ein formelles Gesetz erforderlich sein.
Beispiel: Eine Gemeinde möchte dem Werkhof eine Liste von Personen geben, die Sozialhilfe beziehen, um Gebühren zu erlassen. Da es sich um besonders schützenswerte Personendaten handelt, ist dies nur zulässig, wenn eine klare gesetzliche Grundlage dies erlaubt. Fehlt sie, ist die Weitergabe unzulässig, auch bei vertraulicher Behandlung.
Wann eine Bearbeitung widerrechtlich ist
Eine Bearbeitung ist widerrechtlich, wenn keiner der drei Rechtfertigungsgründe greift, etwa wenn:
- eine gesetzliche Grundlage fehlt,
- das überwiegende Interesse nicht ausreichend belegt ist, oder
- eine Einwilligung nicht oder fehlerhaft eingeholt wurde.
Besonders heikel: Die Weiterbearbeitung nach einem Widerruf der Einwilligung.
Zwei Negativbeispiele:
- Private Institutionen
Kundendaten (Name, E-Mail, Telefonnummer, Kaufhistorie) werden ohne Information oder Einwilligung an einen externen Werbepartner weitergegeben, inklusive sensibler interner Notizen. Keine gesetzliche Grundlage, keine Interessenabwägung, keine Einwilligung, unverschlüsselte Übertragung. - Öffentliche Organe
Interne Personaldaten werden an externe Berater:innen weitergegeben ohne gesetzliche Grundlage, ohne dokumentiertes überwiegendes Interesse und ohne Einwilligung.
So prüfen Sie Schritt für Schritt
Zunächst ist zu prüfen, ob die Datenschutzbestimmungen eingehalten werden, der Wille der betroffenen Person respektiert wird und keine besonders schützenswerten Personendaten an Dritte weitergegeben werden. Ist dies der Fall, liegt keine Persönlichkeitsverletzung vor und die Datenbearbeitung ist zulässig.
Wird einer dieser Punkte jedoch nicht erfüllt, liegt eine Persönlichkeitsverletzung vor. In diesem Fall ist ein Rechtfertigungsgrund erforderlich, zum Beispiel eine gesetzliche Grundlage, ein überwiegendes privates oder öffentliches Interesse oder die freiwillige Einwilligung der betroffenen Person. Fehlt ein solcher Rechtfertigungsgrund, handelt es sich um eine widerrechtliche Persönlichkeitsverletzung und die geplante Bearbeitung der Personendaten darf nicht durchgeführt werden.
Die Folgen im Blick behalten
Widerrechtliche Persönlichkeitsverletzungen können auf mehreren Ebenen schmerzen. Juristisch drohen Verwaltungsmassnahmen wie die Anordnung zur Löschung von Daten oder ein Unterlassungsgebot. Für Private sieht das Datenschutzgesetz zudem Bussen von bis zu CHF 250'000 vor. Mindestens ebenso gravierend können die Reputationsschäden sein: Negative Schlagzeilen und verlorenes Vertrauen sind oft schwerer zu beheben als formale Rechtsfolgen.
Typische Stolpersteine
In der Praxis scheitern Organisationen oft nicht am guten Willen, sondern an den Details. Unklare gesetzliche Grundlagen, unsaubere Interessenabwägungen oder fehlende Nachweise für Einwilligungen gehören zu häufigen Problemfeldern. Hinzu kommt, dass Aufsichtsbehörden Sachverhalte unterschiedlich beurteilen können, was die Rechtslage manchmal komplizierter macht, als sie auf dem Papier wirkt.
Fazit
Die Wahl des passenden Rechtfertigungsgrundes ist mehr als ein formaler Schritt. Sie entscheidet darüber, ob eine Bearbeitung von Personendaten legal ist und ob Sie im Fall einer Prüfung ruhig bleiben können. Gesetzliche Grundlagen und sauber dokumentierte Interessenabwägungen sind stabiler als Einwilligungen. Letztere sollten Sie nur dann nutzen, wenn es keine andere Möglichkeit gibt.
Wer den Prüfprozess konsequent befolgt und jeden Schritt dokumentiert, ist im Datenschutz nicht nur rechtlich, sondern auch strategisch auf der sicheren Seite. Martin Berger ist Datenschutzberater der FH Graubünden und der PH Graubünden.
Martin Berger ist Datenschutzberater der FH Graubünden und der PH Graubünden.