Das Bundesgesetz über den Datenschutz bezweckt den Schutz der Persönlichkeit und der Grundrechte von natürlichen Personen, über die Personendaten bearbeitet werden. Insbesondere das Beschaffen, Speichern, Aufbewahren, Verwenden, Verändern, Bekanntgeben, Archivieren, Löschen und Vernichten von Daten sind Bearbeitungen im Sinne des Datenschutzes.

Neuerungen für Bundesorgane und Private

Verschiedene Anpassungen bezüglich Personendaten und Informationspflicht betreffen Bundesbehörden und Private wie Unternehmen.

  • Ausweitung der Informationspflicht: Es muss unter anderen eine Datenschutzerklärung mit folgenden vier Mindestangaben erstellt werden:
    • Bearbeitungszweck
    • Identität und Kontaktdaten der verantwortlichen Person. Bei der verantwortlichen Person handelt es sich um eine private Person oder ein Bundesorgan, die über den Zweck und die Mittel der Bearbeitung entscheidet (allein oder gemeinsam mit anderen).
    • Bekanntgabe, an wen Personendaten übermittelt werden
    • Beim Übermitteln oder Zugänglichmachen der Daten ins Ausland: Nennung des Landes und allenfalls der Garantien zum Schutz der Personendaten
  • Bearbeitungsverzeichnis: Neu gibt es für Private und Bundesorgane eine Pflicht, ein Verzeichnis der Datenbearbeitungen zu erstellen (Ausnahmen für Unternehmen: Beschäftigung von weniger als 250 Mitarbeitenden und falls die Datenbearbeitung ein geringes Risiko von Persönlichkeitsverletzung mit sich bringt). Die Mindestangaben im Bearbeitungsverzeichnis sind gemäss Datenschutzgesetz etwas umfassender als in der Datenschutzerklärung. Beispielsweise muss die Aufbewahrungsdauer der Personendaten angegeben werden. Welche Informationen im Bearbeitungsverzeichnis erfasst werden müssen, listet der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) auf.
  • Verschärfte Sanktionen: Es gibt neue Sanktionen, unter anderem Bussen von bis zu CHF 250'000. Umso wichtiger ist es, Auskunftsbegehren korrekt zu beantworten, die Regeln für die Datenbekanntgabe ins Ausland oder bei einer Auftragsdatenbearbeitung zu beachten.
  • Meldung einer Datensicherheitsverletzung: Bei Verletzung der Datensicherheit mit voraussichtlich hohem Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person (z.B. wenn Personendaten Unbefugten zugänglich gemacht werden), muss der EDÖB so rasch wie möglich informiert werden. Auch besteht eine Informationspflicht gegenüber den betroffenen Personen. Ein Risiko wird anhand seiner Ursachen, der Gefahren, der ergriffenen oder vorgesehenen Massnahmen zur Risikominderung und der Wahrscheinlichkeit oder Schwere einer Verletzung der Datensicherheit trotz der ergriffenen oder vorgesehenen Massnahmen bewertet.
  • Datenschutz-Folgenabschätzung (DSFA): Eine DSFA wird vorgängig benötigt, wenn eine vorgesehene Datenbearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen mit sich bringen kann. Eine DSFA ist ein Instrument, mit dem potenzielle Risiken erfasst, eingeschätzt sowie entsprechende Massnahmen aufgezeigt werden können. Ausführliche Informationen sowie ein Merkblatt zu einer DSFA stellt der EDÖB zur Verfügung.
  • Auftragsbearbeitung: Wenn die Unternehmen oder Bundesbehörden eine Auftragsbearbeitung in Anspruch nehmen (z.B. Outsourcing in die Cloud), muss der Auftragnehmer die Datensicherheit genauso gewährleisten können wie der Auftraggeber. Allenfalls ist ein Auftragsbearbeitungsvertrag abzuschliessen.

Wichtige Unterscheidung zwischen Bundes- und Kantonsrecht im Bereich des Datenschutzes

Das revidierte Datenschutzgesetz des Bundes gilt – wie das bisherige Datenschutzgesetz – nur für das Bearbeiten von Daten durch Bundesbehörden und private Personen, nicht jedoch durch kantonale und kommunale Stellen. Für öffentliche Schulen gilt wie bis anhin das jeweilige kantonale Datenschutzgesetz. Auch den Folgen des neuen Datenschutzgesetzes für öffentliche Schulen sind wir nachgegangen.

ähnliche Beiträge

alle Beiträge

Daten und Gerechtigkeit in der Bildung: Ein komplexes Wechselspiel

Für eine Datennutzungspolitik, die auch Fragen der Bildungsgerechtigkeit berücksichtigt, braucht es den Dialog mit allen Beteiligten: der Forschung, dem schulischen Umfeld, EdTech-Unternehmen und der Bildungsverwaltung. Warum das zentral ist, erläutert Prof. Dr. Kenneth Horvath Leiter des Forschungsprojekts «Algorithmic Sorting in Education» an der PH Zürich in seinem Gastbeitrag.

Wie können und sollen welche Daten genutzt werden?

Um die künftige Datennutzungspolitik für den Bildungsraum Schweiz zu entwickeln, haben wir ein Programm für Datennutzungsprojekte geschaffen. Wir haben die Beteiligten gefragt, warum sie Interesse haben an unserem Programm mitzuwirken.

Daten im digitalen Bildungsraum: eine Podcast-Serie

Unsere neue Podcast-Serie widmet sich dem Thema «Daten im digitalen Bildungsraum». Die erste Episode dieser Serie gibt Antworten auf die Fragen: Was sind Datenflüsse; wieso sind sie wichtig und was können wir aus Datenflüssen lernen?

Entwicklung eines stimmbasierten Chatbots fürs Fremdsprachenlernen

Eine Fremdsprache lernt man am besten durch Sprechen. Doch gerade im Schulalltag kommt die Sprechzeit oft zu kurz. Ein stimmbasierter Chatbot soll hier Abhilfe schaffen. Was es mit dem Projekt «Towards a Voice-based Chatbot for Language Learners (ChaLL)» auf sich hat und welche Prämissen im schulischen Kontext zu beachten sind, erklärt Co-Projektleiter Michael Geiss von der PH Zürich.