Winterthur, 07. März 2024
Kategorie: Datenschutz
Grundsätzliches zur Einwilligung nach DSG
In der Schweiz gilt der Grundsatz, dass die Verarbeitung personenbezogener Daten grundsätzlich erlaubt ist, ausser es gebe einen Verbotsvorbehalt. Mit anderen Worten: In den allermeisten Fällen braucht es keine Einwilligung der betroffenen Personen.
An erster Stelle möchte ich einmal die Artikel aufführen, in denen eine Einwilligung nach Schweizer Recht erforderlich ist.
Die Bekanntgabe von Personendaten ins Ausland ist vom Grundsatz her in Art. 16 DSG geregelt. Richtgrösse ist nach Abs. 1 und Abs. 2 die Gewährleistung eines angemessenen Schutzes des betreffenden Staates, sei dies durch Feststellung des Bundesrates, durch Datenschutzklauseln, durch Standarddatenschutzklauseln etc.
Falls dieses angemessene Schutzniveau nach Art. 16 DSG nicht gegeben ist, kommen die Ausnahmen von Art. 17 DSG zur Anwendung. Auch hier braucht es nur nach Art. 17 Abs. 1 lit. a DSG eine ausdrückliche Einwilligung. Bei den Tatbeständen nach Art. 17 Abs. 1 lit. b – lit. f braucht es die Einwilligung wiederum nicht.
Art. 21 DSG regelt die Informationspflichten bei einer automatisierten Einzelentscheidung. Hier muss gemäss Abs. 1 und Abs. 2 informiert werden, ausser, wenn die betroffene Person nach Art. 21 Abs. 3 lit. b DSG ausdrücklich eingewilligt hat, dass die Entscheidung automatisiert erfolgt.
Gemäss Art. 25 Abs. 3 DSG können der betroffenen Person Personendaten über ihre Gesundheit mit ihrer Einwilligung durch eine von ihr bezeichnete Gesundheitsfachperson mitgeteilt werden; dies im Rahmen des Auskunftsrechts der betroffenen Person.
Die zentralsten beiden Bestimmungen hinsichtlich des Einwilligungserfordernisses sind die Art. 30 und 31 DSG.
Gemäss Art. 30 Abs. 1 DSG darf die Person, die Personendaten bearbeitet, die Persönlichkeit der betroffenen Personen nicht widerrechtlich verletzen.
Abs. 2 dieser Bestimmung führt beispielshaft auf, wann eine Persönlichkeitsverletzung vorliegt. Das Risiko des Missbrauchs von Personendaten ist nach lit. c besonders evident, wenn Dritten besonders schützenswerte Personendaten bekanntgegeben werden wie Gesundheitsdaten etc., wobei auch in solchen Fällen Rechtfertigungsgründe gegeben sein können, die die Persönlichkeitsverletzung als rechtmässig erscheinen lassen.
Was exakt unter einer Persönlichkeitsverletzung zu verstehen ist, beurteilt sich vor allem an der Rechtsprechung zu Art. 28 ff. ZGB. Dabei ist zu beachten, dass nicht jede Persönlichkeitsverletzung nach Zivilrecht auch eine datenschutzrechtliche Persönlichkeitsverletzung darstellt. Es gilt in dieser Hinsicht eine Einschränkung auf informationelle Aspekte der Persönlichkeit. Im Wesentlichen geht es datenschutzrechtlich um den Schutz der Persönlichkeit vor übermässiger, das sozial übliche Mass überschreitender Bearbeitung von Personendaten.
Art. 30 DSG ist immer im Zusammenhang mit Art. 31 DSG zu analysieren. Art 31 DSG bezieht sich auf die Rechtfertigungsgründe, die zu einer rechtmässigen Verletzung der Persönlichkeit führen.
Abs. 1 hält fest, dass eine Persönlichkeitsverletzung widerrechtlich ist, wenn sie nicht durch Einwilligung der betroffenen Person, durch ein überwiegendes privates oder öffentliches Interesse oder durch Gesetz gerechtfertigt ist.
In Abs. 2 dieser Bestimmung ist eine nicht abschliessende Anzahl von Fällen aufgeführt, in denen ein überwiegendes Interesse des Verantwortlichen geltend gemacht werden können.
Die Reihenfolge der Auflistung der Rechtfertigungsgründe hat der Gesetzgeber aus Art. 27 Abs. 2 ZGB übernommen. Sie entspricht gerade im Datenschutzrecht aber nicht der Reihenfolge ihrer Eignung zur Rechtfertigung oder ihrer praktischen Bedeutung. Keiner der Rechtfertigungsgründe hat Vorrang vor dem andern. Es ist im Einzelfall zu entscheiden, welcher Rechtfertigungsgrund infrage kommt und – beim überwiegenden Interesse – welche Interessen bei der Interessenabwägung zu berücksichtigen sind.
Fazit
Die Quintessenz aller bisheriger Ausführungen führt zum Resultat, dass die Einwilligung praktisch sehr selten erforderlich ist. Ist man im Zweifel, ob eine Einwilligung erforderlich ist, ist es sinnvoll, eine Einwilligung der betroffenen Person einzuholen, um «auf der sicheren Seite zu stehen». Letztlich ist unser Datenschutzgesetz oftmals sehr vage formuliert, so dass erst im Laufe der Zeit durch eine reichhaltige Kasuistik des Bundesgerichts zunehmende Rechtssicherheit geschaffen werden kann.
Man muss sich als Unternehmen im Klaren sein, dass man – auch als KMU – in zahlreichen Fällen sowohl dem DSG als auch der DSGVO unterstellt ist, dann nämlich, wenn man beispielsweise Waren und Dienstleistungen in die Europäische Union exportiert oder die Datenverarbeitung im Zusammenhang mit der Beobachtung von Verhalten von betroffenen Personen in der Union steht.
In solchen Fällen, in denen die DSGVO zur Anwendung gelangt, ist die Bearbeitung personenbezogener Daten grundsätzlich verboten, ausser in den Fällen eines Erlaubnisvorbehalts nach Art. 6 Abs. 1 DSGVO, wie beispielsweise die Einwilligung der betroffenen Person oder die Massnahmen, die zur Erfüllung eines Vertrages oder zur Durchführung vorvertraglicher Massnahmen erforderlich sind.