Grundsätze der Datenbearbeitung

Für die Bearbeitung von Personendaten gelten die Grundsätze:

  • Personendaten dürfen nur für einen bestimmten Zweck beschafft und bearbeitet werden.
  • Der Zweck muss für die betroffene Person klar sein und sie muss der Bearbeitung zugestimmt haben.
  • Es dürfen nicht mehr Personendaten beschafft werden als nötig.
  • Sie müssen verhältnismässig bearbeitet werden, so dass es mit dem Zweck vereinbar ist.
  • Die Richtigkeit der Personendaten muss angemessen geprüft werden.
  • Die Art der Verarbeitung muss sicher sein und die Personendaten angemessen schützen.
  • Personendaten dürfen nicht länger als nötig gespeichert werden.
  • Wenn eine Einwilligung nötig ist, muss die betroffene Person angemessen informiert werden und freiwillig einwilligen.
  • Wenn es um besonders schützenswerte Personendaten geht, ist immer eine Einwilligung nötig.

Bearbeiten ist laut Art. 5 Bst. d DSG «jeder Umgang mit Personendaten, unabhängig von den angewandten Mitteln und Verfahren, insbesondere das Beschaffen, Speichern, Aufbewahren, Verwenden, Verändern, Bekanntgeben, Archivieren, Löschen oder Vernichten von Daten».

Wenn Personendaten betroffen sind, gilt also rechtlich gesehen jeder Umgang damit und auch schon der Besitz als Verarbeitung.

Die Grundsätze zur Bearbeitung von Personendaten werden in Art. 6 DSG definiert. Die Zweckbindung ist ein zentraler Aspekt. Personendaten dürfen nur zur Erfüllung eines bestimmten Zwecks beschafft und bearbeitet werden. Es dürfen nicht mehr Daten beschafft oder bearbeitet werden, als für die Erfüllung des Zwecks nötig sind. Sie dürfen nur so bearbeitet werden, dass es mit diesem Zweck vereinbar ist. Wenn der Zweck ändert, muss erneut eine Einwilligung von der betroffenen Person eingeholt werden. Ist der Zweck erfüllt, müssen die Personendaten gelöscht werden.

Ein angemessener Schutz der Personendaten ergibt sich aus angemessenen technischen und organisatorischen Massnahmen. Der Schutz ist angemessen, wenn er dem Risiko entspricht: Je höher das Risiko für die betroffene Person, desto mehr Schutzbedarf ist nötig. Der Schutzbedarf muss schon bei der Planung berücksichtigt werden.

Die Verarbeitungsgrundsätze werden im Art. 6 DSG definiert (gekürzt):

  1. Personendaten müssen rechtmässig bearbeitet werden.
  2. Die Bearbeitung muss nach Treu und Glauben erfolgen und verhältnismässig sein.
  3. Personendaten dürfen nur zu einem bestimmten und für die betroffene Person erkennbaren Zweck beschafft werden; sie dürfen nur so bearbeitet werden, dass es mit diesem Zweck vereinbar ist.
  4. Sie werden vernichtet oder anonymisiert, sobald sie zum Zweck der Bearbeitung nicht mehr erforderlich sind.
  5. Wer Personendaten bearbeitet, muss sich über deren Richtigkeit vergewissern. Sie oder er muss alle angemessenen Massnahmen treffen, damit die Daten berichtigt, gelöscht oder vernichtet werden, die (...) unrichtig oder unvollständig sind. Die Angemessenheit der Massnahmen hängt namentlich ab von der Art und dem Umfang der Bearbeitung sowie vom Risiko, das die Bearbeitung für die (...) betroffenen Personen mit sich bringt.
  6. Ist die Einwilligung der betroffenen Person erforderlich, so ist diese Einwilligung nur gültig, wenn sie für eine oder mehrere bestimmte Bearbeitungen nach angemessener Information freiwillig erteilt wird.
  7. Die Einwilligung muss ausdrücklich erfolgen für:
    a. die Bearbeitung von besonders schützenswerten Personendaten
    b. ein Profiling mit hohem Risiko (...)