Datenschutzrecht Lehrstuhl für Informations- und Kommunikationsrecht Prof. Dr. Florent Thouvenin Seite 1
Überblick 1. Zweck 2. Rechtsgrundlagen 3. Geltungsbereich 4. Begriffe 5. Grundsätze der Datenbearbeitung 6. Persönlichkeitsverletzung 7. Informationspflichten 8. Auskunftsrecht 9. Internationale Datenübermittlung 10. Rechtsansprüche Informations- und Kommunikationsrecht - Prof. Dr. Florent Thouvenin Seite 2
Zweck Schutz der Persönlichkeit (Art. 28 ff. ZGB) Schutz der Grundrechte von Personen, über die Daten bearbeitet werden (Art. 13 Abs. 2 BV) Bundesgesetz über den Datenschutz (DSG) Schliessen von «Lücken» des allgemeinen privatrechtlichen Persönlichkeitsschutzes und des Verfassungsrechts Konkretisierung und Erweiterung des allgemeinen Persönlichkeitsschutzes Informations- und Kommunikationsrecht - Prof. Dr. Florent Thouvenin Seite 3
Rechtsgrundlagen UN Richtlinie zur Verarbeitung personenbezogener Daten in automatisierten Dateien OECD Richtlinien über Datenschutz und grenzüberschreitende Ströme personenbezogener Daten Richtlinie zur Sicherheit von Informationssystemen und Netzwerken Richtlinie zum Verbraucherschutz im grenzüberschreitenden elektronischen Handel Informations- und Kommunikationsrecht - Prof. Dr. Florent Thouvenin Seite 4
Rechtsgrundlagen Europarat EU Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten (Konvention 108) (in Revision) Datenschutzrichtlinie 95/46/EG Datenschutzgrundverordnung 2016/679 Datenschutzrichtlinie für elektronische Kommunikation 2002/58 Richtlinie über die Vorratsdatenspeicherung 2006/24 Informations- und Kommunikationsrecht - Prof. Dr. Florent Thouvenin Seite 5
Rechtsgrundlagen Schweiz Art. 13 BV Art. 28 ff. ZGB Datenschutzgesetz (DSG) Verordnung zum DSG (VDSG) Diverse weitere Datenschutzbestimmungen im öffentlichen Recht des Bundes, der Kantone und der Gemeinden Informations- und Kommunikationsrecht - Prof. Dr. Florent Thouvenin Seite 6
Geltungsbereich (Art. 2 DSG) Bearbeiten von Daten natürlicher und juristischer Personen Bearbeiten durch Private und Bundesorgane DSG nicht anwendbar auf: Bearbeiten zum ausschliesslichen Privatgebrauch Beratungen in Eidgenössischen Räten und parlamentarischen Kommissionen (nicht aber im Bundesrat) Hängige Zivil-, Straf- und Verwaltungsverfahren (ausser erstinstanzliche Verwaltungsverfahren) Öffentliche Register des Privatrechtsverkehrs (z.b. Handelsregister) Personendaten, die das IKRK bearbeitet Informations- und Kommunikationsrecht - Prof. Dr. Florent Thouvenin Seite 7
Begriffe Daten Personendaten Sachdaten normale Personendaten Besonders schützenswerte Personendaten Persönlichkeitsprofile Kein Schutz Schutz Erhöhter Schutz Informations- und Kommunikationsrecht - Prof. Dr. Florent Thouvenin Seite 8
Begriffe Fallbeispiel: Logistep (BGE 136 II 508) Logistep Datensammlung EDÖB Empfehlung Logistep lehnt ab EDÖB Klage BVGE EDÖB Beschwerde BGer bis 2008 2008 2008 2008 2009 «[Der EDÖB] hielt fest, die Logistep AG suche mittels der von ihr entwickelten Software [ ] nach angebotenen urheberrechtlich geschützten Werken [ ] Die erhobenen Daten würden anschliessend [ ] zur Identifikation des Inhabers des Internetanschlusses verwendet.» «Der EDÖB gelangte zum Schluss, dass die Bearbeitungsmethoden der Logistep AG geeignet seien, die Persönlichkeit einer grösseren Anzahl von Personen zu verletzen (Art. 29 Abs. 3 DSG).» Informations- und Kommunikationsrecht - Prof. Dr. Florent Thouvenin Seite 9
Begriffe Bearbeiten (Art. 3 lit. e DSG) Jeder Umgang mit Personendaten Insbesondere das Beschaffen, Aufbewahren, Verwenden, Umarbeiten, Bekanntgeben, Archivieren oder Vernichten von Daten Datensammlung (Art. 3 lit. g DSG) Bestand von Personendaten Daten nach betroffenen Personen erschliessbar Inhaber der Datensammlung (Art. 3 lit. i DSG) Private Person oder Bundesorgan, die über Zweck und Inhalt der Datensammlung bestimmt Informations- und Kommunikationsrecht - Prof. Dr. Florent Thouvenin Seite 10
Grundsätze der Datenbearbeitung Rechtmässigkeit (Art. 4 Abs. 1 DSG) Bearbeitung nach Treu und Glauben (Art. 4 Abs. 2 DSG) Grundsätze Verhältnismässigkeit (Art. 4 Abs. 2 DSG) Erkennbarkeit (Art. 4 Abs. 4 DSG) Zweckbindung (Art. 4 Abs. 3 DSG) Richtigkeit der Daten (Art. 5 Abs. 1 DSG) Datensicherheit (Art. 7 Abs. 1 DSG) Informations- und Kommunikationsrecht - Prof. Dr. Florent Thouvenin Seite 11
Grundsätze der Datenbearbeitung Rechtmässigkeit Geltung für Bearbeitung insbesondere Beschaffung von Daten Unterschied: Datenbearbeitung durch Private oder Bundesorgane Private: im Einklang mit Art. 28 ZGB Bundesorgane: gesetzliche Grundlage Informations- und Kommunikationsrecht - Prof. Dr. Florent Thouvenin Seite 12
Grundsätze der Datenbearbeitung Datenbearbeitung nach Treu und Glauben Generalklausel Bedeutung für alle sonstigen Formen der Bearbeitung von Personendaten nach dem Beschaffen Ableitung einer allgemeinen Informationspflicht (auch bzgl. «Datenpannen») Informations- und Kommunikationsrecht - Prof. Dr. Florent Thouvenin Seite 13
Grundsätze der Datenbearbeitung Verhältnismässigkeit Geeignet und erforderlich Abwägung von öffentlichen Interessen und betroffenen privaten Interessen (Einzelfallabhängig, nach objektiven Kriterien) Datenbearbeitung zur Erreichung des Zwecks geeignet Datenbearbeitung muss das mildeste Mittel für den Zweck sein (Erforderlichkeit) Ausfluss: nicht länger benötigte Daten löschen, anonymisieren oder archivieren Zumutbarkeit der Datenbearbeitung für den Betroffenen Informations- und Kommunikationsrecht - Prof. Dr. Florent Thouvenin Seite 14
Grundsätze der Datenbearbeitung Erkennbarkeit Beschaffung und Zweck der Datenbearbeitung müssen erkennbar sein Geltung primär für private Datenbearbeiter Art. 18a DSG enthält strengere Voraussetzungen für Bundesorgane (gesetzliche Grundlage) Beurteilung einzelfallabhängig Enges Zusammenspiel mit Grundsatz von Treu und Glauben Erkennbarkeit aktive Informationspflicht (aber in gewissen Fällen kann sich eine Informationspflicht ergeben) Geltung auch, wenn Daten bei Dritten beschaffen werden Beschaffen ohne Erkennbarkeit möglich, wenn gesetzliche Grundlage vorliegt (z.b. im Bereich Polizei oder Strafverfolgung) Nachträgliche Information muss erfolgen Informations- und Kommunikationsrecht - Prof. Dr. Florent Thouvenin Seite 15
Grundsätze der Datenbearbeitung Zweckbindung Datenbearbeitung nur zum angegebenen Zweck (formlos); aus den Umständen ersichtlich; oder gesetzlich vorgesehen Wichtig: Unterscheidung zwischen Zweckbindung der Datenbearbeitung und Beurteilung des Zwecks selbst Vorratsdatenbeschaffung in der Schweiz unzulässig (da ohne Ziel/Zweck) Problematik: Data Warehousing / Data Mining / Big Data Modifikation des Zwecks möglich bei Information und Einwilligung des Betroffenen Zweckbindung gilt auch für Dritte Informations- und Kommunikationsrecht - Prof. Dr. Florent Thouvenin Seite 16
Grundsätze der Datenbearbeitung Richtigkeit der Daten Ziel (gilt auch für Datensicherheit): Personendaten müssen korrekt und nicht verfälscht sein Pflichten: Verifizierung der Richtigkeit der bearbeitenden Personendaten Massnahmen treffen, um unrichtige und unvollständige Daten zu berichtigen und zu löschen Richtigkeit: «[ ] wenn [Personendaten] eine Tatsache mit Bezug auf die betroffene Person und im Hinblick auf den Verwendungszweck sachgerecht wiedergeben.» Informations- und Kommunikationsrecht - Prof. Dr. Florent Thouvenin Seite 17
Grundsätze der Datenbearbeitung Datensicherheit Massnahmen gegen unbefugtes Bearbeiten: Technisch: z.b. IT-Sicherheitsmassnahmen (Passwort / Verschlüsselung), bauliche Massnahmen (abschliessbarer Raum) Organisatorisch: z.b. Instruktion Mitarbeiter, Dokumentation Befugnis hat drei Aspekte (nicht erschöpfend): Vertraulichkeit (Zugriff nur, wenn Berichtigung erteilt) Verfügbarkeit (bzgl. gewünschte Zeit, Ort und Form) Datenintegrität (Daten müssen richtig sein) Mindestanforderungen: Art. 8-12 VDSG & Art. 20-23 VDSG Massnahmen an Verhältnismässigkeitsprinzip gebunden Informations- und Kommunikationsrecht - Prof. Dr. Florent Thouvenin Seite 18
Persönlichkeitsverletzung Wer Personendaten bearbeitet darf dabei die Persönlichkeit der betroffenen Personen nicht widerrechtlich verletzen, insb.: Keine Bearbeitung von Personendaten entgegen den Grundsätzen der Datenbearbeitung (DSG 4, 5 I und 7) Keine Bearbeitung gegen ausdrücklichen Willen der Betroffenen Keine Bekanntgabe von besonders schützenswerten Personendaten oder Persönlichkeitsprofilen an Dritte Rechtfertigung in allen drei Fällen möglich Annahme: i.d.r. keine Persönlichkeitsverletzung, wenn betroffene Person Daten allgemein zugänglich gemacht und Bearbeitung nicht ausdrücklich untersagt hat Informations- und Kommunikationsrecht - Prof. Dr. Florent Thouvenin Seite 19
Persönlichkeitsverletzung Rechtfertigung Rechtfertigungsgründe Überwiegendes privates oder öffentliches Interesse Einwilligung des Verletzten Gesetzliche Grundlage Gültigkeit (informed consent; Art. 4 Abs. 5 DSG) auch konkludent oder stillschweigend möglich (Ausnahme: bes. schützensw. Daten / Persönlichkeitsprofile) kein Widerruf vor Datenbearbeitung Informations- und Kommunikationsrecht - Prof. Dr. Florent Thouvenin Seite 20
Persönlichkeitsverletzung Rechtfertigung Unmittelbarer Zusammenhang mit Vertragsschluss oder Wettbewerb Überwiegende Interessen (Art. 13 Abs. 2 DSG) Vorbereitung einer Veröffentlichung Bearbeitung zu nicht personenbezogenen Zwecken, insb. Statistik Personen des öffentlichen Lebens Informations- und Kommunikationsrecht - Prof. Dr. Florent Thouvenin Seite 21