Urs Belser, Fürsprecher, Belser Datenschutz GmbH, 4500 Solothurn. Schnittpunkt Datenschutz und Arbeitsrecht 10. März 2015, Weisser Wind, Zürich

Transkript

1 Urs Belser, Fürsprecher, Belser Datenschutz GmbH, 4500 Solothurn Schnittpunkt Datenschutz und Arbeitsrecht 10. März 2015, Weisser Wind, Zürich 1 2

2 WORUM ES (NICHT) GEHT Der Sonnenschirm schütz nicht die Sonne, sondern er schütz vor der Sonne. Der Datenschutz schützt nicht die Daten, sondern vor den Daten. 3 WORUM ES GEHT Artikel 1 DSG - Zweck Dieses Gesetz bezweckt den Schutz der Persönlichkeit und der Grundrechte von Personen, über die Daten bearbeitet werden. Datenschutz = Persönlichkeitsschutz 4

3 WORUM ES AUCH NICHT GEHT Der Datenschutz schützt aber nicht vor der eigenen Blödheit. Nur die dümmsten Kälber schiessen ihre Selfies sälber. 5 6

4 Art. 13 BV Schutz der Privatsphäre 1 Jede Person hat Anspruch auf Achtung ihres Privat- und Familienlebens, ihrer Wohnung sowie ihres Brief-, Post und Fernmeldeverkehrs. 2 New! Jede Person hat Anspruch auf Schutz vor Missbrauch ihrer persönlichen Daten. Das Datenschutz-Gesetz ist ein Missbrauchsverhinderungsund nicht ein Informationsverhinderungs-Gesetz. 7 Der Datenschutz in der Schweizer Rechtsordnung Als Datenschutzrecht gilt jede Rechtsnorm, die den Umgang mit personenbezogenen Informationen regelt und geeignet ist, die Persönlichkeitsrechte der betroffenen Person vor einem Missbrauch ihrer Daten zu schützen. Datenschutznormen sind deshalb z.b. auch: StGB Art. 179ff. (Strafbare Handlungen gegen den Geheim- oder Privatbereich) StGB Art. 321 (Berufliche Schweigepflicht) Andere Arbeitsrecht, Sozialversicherungsrecht, Polizeirecht, Gesundheitsrecht, Ausländerrecht, Spielbankengesetz usw. Bei der datenschutzrechtlichen Beurteilung ist daher nicht nur das DSG sondern vor allem das ganze rechtliche Umfeld zu berücksichtigen. 8

5 Art. 36 BV Grundlage des öffentlich-rechtlichen Datenschutzes Art. 36 Einschränkungen von Grundrechten 1 Einschränkungen von Grundrechten bedürfen einer gesetzlichen Grundlage. Schwerwiegende Einschränkungen müssen im Gesetz selbst vorgesehen sein. Ausgenommen sind Fälle ernster, unmittelbarer und nicht anders abwendbarer Gefahr. 2 Einschränkungen von Grundrechten müssen durch ein öffentliches Interesse oder durch den Schutz von Grundrechten Dritter gerechtfertigt sein. 3 Einschränkungen von Grundrechten müssen verhältnismässig sein. 4 Der Kerngehalt der Grundrechte ist unantastbar. 9 Erlaubnis mit Verbotsvorbehalt Für private Datenbearbeiter gilt der Grundsatz der Erlaubnis mit Verbotsvorbehalt, d.h. das Bearbeiten von Personendaten an sich braucht keine rechtliche Begründung / Rechtfertigungsgründe. Das ergibt sich e contrario aus Art. 12 Abs. 1 DSG. Erlaubt ist, was nicht verboten ist. Anmerkung: Im EU-Datenschutzrecht gilt in der Regel dieser Grundsatz nicht, sondern es braucht für das Bearbeiten von Personendaten entweder eine entsprechende gesetzliche Regelung oder die Einwilligung der betroffenen Personen. 10

6 Verbot mit Erlaubnisvorbehalt Behörden dürfen Personendaten nur dann bearbeiten, wenn dafür eine gesetzliche Grundlage besteht (Art. 17 DSG). Verboten ist, was nicht erlaubt ist. Dieser Grundsatz gilt auch dann, wenn kantonale oder kommunale Behörden oder mit der Erfüllung von Aufgaben der öffentlichen Hand betraute Private (bspw. Spitäler mit einem Leistungsauftrag, Spitex) Personendaten bearbeiten. 11 Art. 3 DSG - Personendaten... a. Personendaten (Daten): Informationen, die eine Aussage über eine bestimmte oder bestimmbare natürliche oder juristische Person enthalten b. Betroffene Personen: betroffene Personen: natürliche oder juristische Personen, über die Daten bearbeitet werden; c. besonders schützenswerte Personendaten (Aufzählung ist abschliessend) 1. die religiösen, weltanschaulichen, politischen oder gewerkschaftlichen Ansichten oder Tätigkeiten, 2. die Gesundheit, die Intimsphäre oder die Rassenzugehörigkeit, 3. Massnahmen der sozialen Hilfe, 4. administrative oder strafrechtliche Verfolgungen und Sanktionen. d. Persönlichkeitsprofil Zusammenstellung von Daten, die eine Beurteilung wesentlicher Aspekte der Persönlichkeit einer natürlichen Person erlaubt. 12

7 Personendatum? 13 Art. 35 DSG Verletzung der beruflichen Schweigepflicht Für HR-Mitarbeitende gilt die folgende Schweigepflicht: 1 Wer vorsätzlich geheime, besonders schützenswerte Personendaten oder Persönlichkeitsprofile unbefugt bekannt gibt, von denen er bei der Ausübung seines Berufes, der die Kenntnis solcher Daten erfordert, erfahren hat, wird auf Antrag mit Busse bestraft

8 [...] Der Inhalt dieses s ist streng vertraulich. Das ist nur für den Adressaten bestimmt. Wenn Sie nicht der beabsichtigte Empfänger sind, ist es Ihnen nicht gestattet, dieses zu kopieren, zu verbreiten oder anderweitig zu verwenden. In diesem Fall bitten wir Sie, uns so schnell als möglich zu benachrichtigen und dieses zu löschen. Originalzitat Quelle aus Datenschutzgründen vertraulich. Wikipedia Der Begriff Disclaimer wird im Internet-Recht als Fachausdruck für einen Haftungsausschluss verwendet. Dabei kommen Disclaimer vorwiegend in s und auf Webseiten vor. Er stammt ursprünglich vom englischen to disclaim ab, was soviel bedeutet wie abstreiten oder in Abrede stellen. Wer stellt was in Abrede und was erhofft er sich davon? 15 Bearbeiten e. Bearbeiten: jeder Umgang mit Personendaten, unabhängig von den angewandten Mitteln und Verfahren, insbesondere: das Beschaffen, das Aufbewahren, das Verwenden, das Umarbeiten, das Bekanntgeben (= jedes Zugänglichmachen, wie das Einsichtgewähren, Weitergeben und Veröffentlichen Art. 3 Bst. e), das Archivieren, das Vernichten. 16

9 Begriffe, die nicht im Gesetz stehen, (sog. Megatrends) Cloud Computing Wearables I downloaded them from a cloud. Big Data 17 Art. 328b OR Schutz der Persönlichkeit des Arbeitnehmers: Bei der Bearbeitung von Personendaten Der Arbeitgeber darf Daten über den Arbeitnehmer nur bearbeiten, soweit sie dessen Eignung für das Arbeitsverhältnis betreffen oder zur Durchführung des Arbeitsvertrages erforderlich sind. = Verhältnismässigkeitsprinzip von Art. 4 Abs. 2 DSG Im Übrigen gelten die Bestimmungen des Bundesgesetzes vom 19. Juni 1992 über den Datenschutz (DSG). So weit zur Schnittstelle. 18

10 Art. 26 Verordnung 3 zum Arbeitsgesetz Überwachung der Arbeitnehmer 1 Überwachungs- und Kontrollsysteme, die das Verhalten der Arbeitnehmer am Arbeitsplatz überwachen sollen, dürfen nicht eingesetzt werden. 2 Sind Überwachungs- oder Kontrollsysteme aus andern Gründen erforderlich, sind sie insbesondere so zu gestalten und anzuordnen, dass die Gesundheit und die Bewegungsfreiheit der Arbeitnehmer dadurch nicht beeinträchtigt werden. 19 Quelle: TA vom

11 21 Quelle: Blick vom

12 Ein Blick über die Grenze Projektstatus: auf s Eis gelegt 23 Datenschutz-Knigge Art. 4ff. DSG 24

13 Datenschutz-Knigge Rechtmässigkeit Daten dürfen nur rechtmässig bearbeitet werden. (Art. 4 Abs. 1 DSG). 25 Datenschutz-Knigge Treu & Glauben Ihre Bearbeitung hat nach Treu und Glauben zu erfolgen (Art. 4 Abs. 2 DSG). 26

14 Datenschutz-Knigge Verhältnismässigkeit Die Datenbearbeitung muss verhältnismässig sein (Art. 4 Abs. 2 DSG), d.h. es dürfen: nur Daten bearbeitet werden, die für den Bearbeitungszweck notwendig und geeignet sind vgl. Art. 328b OR, nur Personen und/oder Systeme auf die Daten Zugriff haben, welche diese für die Erfüllung der ihnen übertragenen Aufgaben tatsächlich auch benötigen (Benutzerberechtigungskonzept), Daten nur so lange für die Bearbeitung zur Verfügung stehen, wie sie für die Erfüllung des Bearbeitungszwecks erforderlich sind. Auch der Gesetzgeber muss sich an den verfassungsrechtlichen Grundsatz der Verhältnismässigkeit halten. 27 Datenschutz-Knigge Zweckbindung Daten dürfen nur zu dem Zweck bearbeitet werden, der bei der Beschaffung angegeben wurde, aus den Umständen ersichtlich oder gesetzlich vorgesehen ist. (Art. 4 Abs. 3 DSG). 28

15 Datenschutz-Knigge Transparenz Die Beschaffung von Personendaten und insbesondere der Zweck ihrer Bearbeitung müssen für die betroffene Person erkennbar sein (Art. 4 Abs. 4 DSG). Beurteilungskriterien Umstände der Erhebung Hinweise für die betroffenen Personen Informationsmöglichkeiten Dazu gehört auch das Auskunfts- bzw. Einsichtsrecht in die eigenen Daten gemäss Art. 8 ff. DSG. 29 Datenschutz-Knigge Richtigkeit Wer Daten bearbeitet, hat sich über deren Richtigkeit zu vergewissern. Er hat alle angemessenen Massnahmen zu treffen, damit die Daten berichtigt oder vernichtet werden, die im Hinblick auf den Zweck ihrer Beschaffung oder Bearbeitung unrichtig oder unvollständig sind (Art. 5 Abs. 1 DSG). d.h.: die Informationen inhaltlich korrekt sind *), die Informationen aktuell und gültig sind, die Informationen gemessen am Bearbeitungszweck vollständig sind. *) Weiterführende Literatur dazu: Paul Watzlawick Wie wirklich ist die Wirklichkeit? Wahn, Täuschung, Verstehen 30

16 Datenschutz-Knigge Informationssicherheit Daten müssen durch angemessene technische oder organisatorische Massnahmen gegen unbefugtes Bearbeiten gesichert werden (Art. 7 DSG «Datensicherheit»). 31 Datenschutz-Knigge Vetorecht Daten dürfen von Privaten nicht gegen den ausdrücklichen Willen der betroffenen Personen bearbeitet werden. Vetorecht (Art. 12 Abs. 2 Bst. b DSG). 32

17 Datenschutz-Knigge Legalitätsprinzip Behörden dürfen Personendaten nur bearbeiten, sofern dafür eine gesetzliche Grundlage besteht (Art. 17 DSG). 33 So funktioniert der Datenschutz im Privatrecht *) *) In der Revision von 2008 aus der Einführungszeile von Absatz 2 nach Bst. b verschoben. 34

18 Verletzungen Verstösse gegen die Bearbeitungsregeln von Art. 4ff. DSG Bearbeiten gegen den ausdrücklichen Willen der betroffenen Person Bekanntgabe von besonders schützenswerten Personendaten Rechtfertigungen Allgemeine (Art. 13 Abs. 1 DSG) Einwilligung der Betroffenen Gesetz Überwiegendes Interesse des Datenbearbeiters DSG-spezifische (Art. 13 Abs. 2 DSG) Vertrag mit betroffener Person Konkurrenzbeurteilung Bonitätsbeurteilung Publikationen Forschung, Planung, Statistik Daten über Personen des öffentlichen Lebens 35 Decision Flow Datenschutz Nicht datenschutzrelevant. nein Decision Flow Datenschutz? Handelt es sich um Personendaten? (Art. 3 Bst. a DSG) ja nein? Anwendung DSG? (Art. 2 DSG) Überprüfung, welches andere Datenschutzrecht gilt (bspw. kantonales Datenschutzrecht). ja Überprüfung der Datenschutzkonfor mität anhand der "Kniggekriterien" gemäss Art. 4ff. bzw. Art. 16 ff. DSG? ja ja nein Rechtfertigungsgründe prüfen (Art. 13 DSG) - Rechtmässigkeit - Treu und Glaube - Verhältnismässigkeit - Zweckbindung - Transparenz - Datenkorrektheit - Bekanntgabe ins Ausland - Bearbeitungsverbot - Informationssicherheit - gesetzliche Grundlage (nur für Behörden) Datenschutzkonformität gegeben? - Einwilligung - Gesetz - überwiegendes Interesse des Bearbeiters - überwiegendes öffentliches Interesse ja? nein Rechtfertigungsgrund gegeben? Gretchenfrage 36

19 Haben auch Sie noch Fragen? 37