Aus verschiedenen Quellen können personenbezogene Daten automatisiert ausgewertet werden. Mit diesem «Profiling» können z.B. Persönlichkeitsprofile, Lebensumstände und Verhaltensweisen einer Person abgeleitet werden. Wenn damit ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person verbunden ist, muss deren ausdrückliche Einwilligung vorliegen.
Jürg Eberhart ist Rechtsanwalt in der Eberhart Anwaltskanzlei AG, Bern und Solothurn. Die Kanzlei ist nebst anderen Tätigkeiten spezialisiert auf Vertrags- und Gesellschaftsrecht, Telekommunikations- und Datenschutzrecht. Er ist Mitglied bei GetYourLawyer.
Wenn ein System selber Entscheidungen trifft, spricht man von «automatisierter Einzelentscheidung» (etwa welche Versicherungspolice für eine bestimmte Person die richtige sein soll). Hier entsteht auch eine Informationspflicht. Die betroffene Person kann verlangen, dass die automatisiert getroffene Entscheidung von einer Person im Unternehmen überprüft wird.
Im neuen Datenschutzgesetz werden die Informationsrechte bzw. -pflichten stark ausgebaut. Dadurch soll den betroffenen Personen ermöglicht werden, ihre Daten besser zu kontrollieren.
Die Unternehmen sind verpflichtet, ein Verzeichnis sämtlicher Datenbearbeitungen zu führen. Ob der Bundesrat Ausnahmen für Unternehmen mit weniger als 50 Mitarbeitenden vorsieht, ist noch offen.
Unternehmen, die eine Datenbearbeitung planen, müssen im Vorfeld abschätzen, ob diese ein hohes Risiko einer Verletzung der Persönlichkeit oder der Grundrechte einer betroffenen Person mit sich bringt.
Bei einem vorsätzlichen Verstoss können Bussen bis zu 250'000 Franken für Leitungspersonen des Unternehmens ausgesprochen werden. Bei Bussen bis zu 50’000 Franken und in Fällen, bei denen der Aufwand zur Ermittlung der strafbaren Person unverhältnismässig wäre, kann auch das Unternehmen anstelle der natürlichen Person zur Kasse gebeten werden.
Nötig ist eine Sensibilisierung für den Umgang mit Personendaten. Es ist jetzt schon sinnvoll, eine für den Datenschutz zuständige Person im Unternehmen zu definieren. Auch ein interner Datenschutzcheck ist empfehlenswert.
Dabei ist allenfalls mit Hilfe eines externen Experten zu prüfen, welche Daten in welchen
Systemen erhoben werden, zu welchem Zweck, an wen sie weitergeben werden, ob die nötigen
Einwilligungen vorliegen, ob Datenschutzfolgeabschätzungen nötig sind und ob automatisierte Einzelfallentscheidungen getroffen werden.
Wenn ein Unternehmen also die Fallen des neuen Datenschutzgesetzes erkennt und sich entsprechend vorbereitet, kann es künftige Bussen oder Reputationsschäden durchaus vermeiden.
Bis zu drei Offerten von Anwälten zum Vergleich erhalten
- Fall schildern
- Angebote von Anwälten vergleichen
- Anwalt auswählen und beauftragen