Schweiz: Mehr Transparenz bei der Bearbeitung von Personendaten


Personen, deren Daten in der Schweiz gesammelt und bearbeitet werden, müssen in Zukunft besser informiert werden und bei grenzüberschreitenden Bekanntgaben sind strengere Vorgaben als bisher zu beachten.

Als weitere Neuerung sieht das revidierte Datenschutzgesetz (schweiz.DSG) eine Stärkung der Selbstregulierung vor. Der Bundesrat hat das revidierte DSG und die Ausführungsbestimmungen auf den 1.1.2008 in Kraft gesetzt.

Das revidierte DSG verpflichtet private Datenbearbeiter und Bundesorgane, die betroffene Person aktiv zu informieren, wenn sie besonders schützenswerte Daten (z.B. Daten betreffend Gesundheit oder religiöse Ansichten) und Persönlichkeitsprofile sammeln oder bearbeiten. Die betroffene Person muss mindestens über die Identität des Inhabers der Datensammlung, über den Zweck der Datenbearbeitung und über die allfälligen Datenempfänger informiert werden. Bei nicht besonders schützenswerten Daten muss für die betroffene Person zumindest erkennbar sein, dass Daten über sie beschafft werden. Bei grenzüberschreitenden Bekanntgaben sind strengere Vorgaben als bisher zu beachten: Das Gesetz listet künftig abschließend auf, unter welchen Voraussetzungen Personendaten in ausländische Staaten bekannt gegeben werden dürfen.

Die im revidierten schweiz.DSG vorgesehenen Zertifizierungen, die der Verbesserung des Datenschutzes und der -sicherheit dienen, erfordern ebenfalls Umsetzungsbestimmungen. Da es sich um eine vollständig neue Materie handelt, wird eine eigene Verordnung erlassen. Diese Verordnung regelt namentlich die Akkreditierung von Zertifizierungsstellen sowie gewisse Minimalanforderungen, denen die Datenschutzzertifizierung von Organisationen und Verfahren bzw. von Produkten und Systemen genügen müssen. Die Durchführung von Zertifizierungen bleibt vollumfänglich privaten Zertifizierungsstellen überlassen.

Quelle: PM des Bundesamts für Justiz v. 28.9.2007.


MMR 2007, Heft 12, XXXIII