Datenschutz Schweiz. Basis Know How. Orientierungshilfe. Namics. Stefan Andris. Consultant. Fabian Bischof. Consultant. Juli 2012

Datenschutz Schweiz. Basis Know How.Orientierungshilfe. Namics.

Stefan Andris. Consultant.Fabian Bischof. Consultant.

Juli 2012

Namics.

Agenda.

Worum geht es beim Datenschutz

In 5 Schritten zum Datenschutz

Datenschutz und Marketing

Datenschutz und eCommerce

Datenschutz und Cloud Computing

Mobile Datenverarbeitung

Quellen

Datenschutz Schweiz. Basis Know How.

Namics.

Worum geht es beim Datenschutz?


Namics.Datenschutz Schweiz. Basis Know How.

Einleitung. Zwei Beispiele.

1.) Einer unserer Kunden möchte seinen Kundenstamm mit elektronischen Newsletters beglücken. Die Kampagne soll auch Kunden miteinbeziehen, die innerhalb der letzten sechs Monaten nicht mehr beim Unternehmen eingekauft haben. Ist dies aus datenschutzrechtlichen Gesichtspunkten zulässig?

2.) Einer unserer Kunden möchte eine CRM-on demand System einführen. Als Cloud-Nutzer und verantwortlicher Dateninhaber weiss dieser in der Regel nicht, wo genau seine Daten in der Cloud gespeichert und verarbeitet werden. Er weiss oft auch nicht, ob Subunternehmer involviert sind und ob diese für einen angemessenen Datenschutz sorgen. Was muss der Kunde bei der Einführung beachten?


Namics.

Zielsetzung. Datenschutz.

Der Datenschutz ist dazu da, die Informationen zu den einzelnen Personen zu schützen. Jeder Mensch hat das Recht, selbst zu bestimmen, welche Informationen über ihn wann, wo und wem bekannt gegeben werden.

Der Datenschutz achtet darauf, dass also immer nur so viele persönliche Daten wie nötig und so wenig persönliche Daten wie möglich gesammelt und bearbeitet werden.

Ziel des Datenschutzes ist es dabei nicht, den freien Informationsfluss zu verhindern. Er will jedoch dafür sorgen, dass dieser dort endet, wo die Privatsphäre beginnt (Schutz Bürger und Konsumenten gegenüber dem Staat und Unternehmen, sowie Schutz der Arbeitnehmer gegenüber den Arbeitgebern)



Namics.

In 5 Schritten zum Datenschutz.



Das Datenschutzgesetz (DSG)

Der Datenschutz ist im DSG geregelt

Dieses Gesetz findet Anwendung, sobald es um die Bearbeitung von Personendaten geht.



Begrifflichkeiten. DSG.

Personendaten Alle Sprachlich, visuell oder auditiv erfassbare Informationen oder Angaben

(Tatsachen/Werturteile), welche einer natürlichen oder juristischen Person zugeordnet werden können.

- Besonders schützenswerte Personendaten sind hierbei:

– die religiösen, weltanschaulichen, politischen oder gewerkschaftlichen Ansichten oder Tätigkeiten,

– die Gesundheit, die Intimsphäre oder die Rassenzugehörigkeit,

– Straf- und sozialversicherungsrechtliche Daten

Beispiele:

- Kundendaten, Personalakten, Logs, E-Mails, Cookies, Personenfotos, etc.

- Aber auch Persönlichkeitsprofile (Zusammenstellungen von Daten, die Aufschluss über wesentliche Persönlichkeitsmerkmale erlauben wie etwa z.B. zeitliche Datenreihen

«Bearbeitung» von Personendaten Hiermit ist jegliche Weiterverarbeitung, Verwendung, Auswertung, Analyse, etc. von

Personendaten gemeint



In 5 Schritten zum Datenschutz. Übersicht.


Checkliste*

1.) Besitze ich einen Rechtfertigungsgrund zur Bearbeitung von Personendaten?

2.) Kann ich die Datensicherheit gewährleisten?

3.) Bin ich in der Lage der Auskunftspflicht nachzukommen?

4.) Muss ich der Informationspflicht nachkommen?

5.) Muss ich der Registrierungspflicht nachkommen?

*Checkliste auch als PDF im Anhang


Schritt 1

1.) Besitze ich EINEN der folgenden Rechtfertigungsgrunde zur Bearbeitung von Personendaten?

Die ausdrückliche Erlaubnis zur Bearbeitung von Personendaten ist eingeholt (AGBs, Opt-in, etc.)

Die bearbeiteten Personendaten stehen in unmittelbarem Zusammenhang mit einem Abschluss oder der Abwicklung eines Vertrags

Die Personendaten werden zu einer Prüfung der Kreditwürdigkeit benötigt, um einen Abschluss oder die Abwicklung eines Vertrages zu erzielen (Es handelt sich aber weder um besonders schützenswerte Personendaten noch um Persönlichkeitsprofile)

Es handelt sich um beruflich Personendaten, die ausschliesslich für die Veröffentlichung im redaktionellen Teil eines periodisch erscheinenden Mediums bearbeitet werden

Die Personendaten werden in der Forschung, Planung und Statistik zu nicht personenbezogenen Zwecken bearbeitet und die Ergebnisse so veröffentlicht, dass die betroffenen Personen nicht bestimmbar sind

Es handelt sich um Daten, die der allgemeinen Öffentlichkeit zugänglich sind


Bei mindestens einem Kreuz besteht ein Rechtfertigungsgrund zur Bearbeitung von Personendaten


Schritt 2

2.) Kann ich die Datensicherheit gewährleisten?*

Sind meine Personendaten durch folgende technische und organisatorische Massnahmen gegen unbefugtes Bearbeiten geschützt?

• Sicherheit der Räumlichkeiten (Identifizierung und Authentifizierung)• Sicherheit in Bezug auf Lebenszyklus von Daten Erfassen, Bearbeiten, Löschen

(Verschlüsselung, Anonymisierung, Protokollierung)• Sicherheit beim Datenaustausch (Netzsicherheit, Verschlüsselung)


*Ein ausführlicher Leitfaden in Bezug auf technische und organisatorische Massnahmen zur Datensicherheit findet sich im Anhang

Bei einem Kreuz ist die Datensicherheit gewährleistet


Schritt 3

3.) Bin ich in der Lage der Auskunftspflicht nachzukommen?

Bin ich als Inhaber einer Datensammlung unmittelbar in der Lage jeder Person darüber Auskunft zu geben, ob Daten über sie bearbeitet werden?


Bei einem Kreuz bin ich in der Lage der Auskunftspflicht nachzukommen


Schritt 4

4.) Kann ich, falls meine Datensammlung besonders schützenswerten Personendaten oder Persönlichkeitsprofilen enthält, der Informationspflicht nachkommen?

Ja, ich bin in der Lage, die betroffenen Personen über die Beschaffung dieser besonders schützenswerten Daten zu informieren (diese Informationspflicht gilt auch dann, wenn die Daten bei Dritten beschafft werden.)


Bei einem Kreuz muss ich der Informationspflicht nachkommen


Schritt 5

5.) Besteht einer der folgenden Gründe, weshalb ich meine Datensammlung beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) registrieren muss?

Ich bearbeite regelmässig besonders schützenswerte Personendaten oder Persönlichkeitsprofile

Ich gebe regelmässig Personendaten an Dritte bekannt


Bei einem Kreuz muss ich der Informationspflicht nachkommen

Namics.

Datenschutz und Marketing.



Weitere Gesetzesgrundlagen für Datenschutz und Marketing.

Zur Beurteilung der Korrektheit von Marketingmassnahmen müssen neben dem DSG auch das Bundesgesetz gegen den unlauteren Wettbewerb (UWG) und das Fernmeldegesetz (FMG) in Betracht bezogen werden

Die wichtigsten Bestimmen in Bezug auf Datenschutz und Marketing sind im Anhang aufgelistet


Namics.

Bedingungen für korrektes E-Mail Marketing.

E-Mail Marketing

Werbung erlaubt, falls folgenden vier Bedingungen erfüllt sind:

Einwilligung (Opt-In): Der Empfänger hat sich ausdrücklich für den Erhalt von Werbe-Mails angemeldet.

Opt-Out: Der Empfänger hat jederzeit die Möglichkeit, sich über einen Link aus der Empfängerliste abzumelden oder auf eine Sperrliste setzen zu lassen.

Korrekter Absender: Der Versender ist in jeder Mail klar ersichtlich und es ist in einem zumutbaren Rahmen eine namentlich genannte Kontaktperson erreichbar (telefonisch, per E-Mail, per Fax)

Bestehende Kundenbeziehung: Bei Bestand einer Vertragsbeziehung ist sogar ein Opt-Out-Versand möglich. Dies aber nur, falls der Absender ausschliesslich eigene Produkte und Leistungen anbietet, die denjenigen ähnlich sind, die der Empfänger unlängst bei ihm gekauft respektive in Anspruch genommen hat.




Korrektes Email-Marketing. Checkliste.


Checkliste

Vorgängig ausdrückliche Einwilligung einholen oder die Zustimmung des Empfängers ergibt sich aus einem beim Absender getätigten Kauf (Opt-In) Pflicht*

Einfache und gut sichtbare Ablehnungsmöglichkeit für künftige Sendungen (derselbe Kommunikationsweg, keine weiteren Kosten); z.B. Abmeldelink bzw. Rücksendung des E-Mails mit Ablehnungsnotiz (Opt-Out) Pflicht*

Korrekte und unmissverständliche Absenderadresse (wahre Identität) Pflicht*

Sicherstellen, dass Kunden und E-Mailempfänger, die sich abgemeldet haben, keine weiteren Massen-E-Mails des Unternehmens mehr erhalten Pflicht*

Kunden keine Drittwerbung zustellen; andernfalls vorgängig ausdrückliche Einwilligung der Kunden einholen Pflicht*

Online Einwilligung: aktiv ein Häckchen setzen lassen, welches die Zustimmung in Massenwerbung der besuchten Website wiedergibt (das Häckchen nicht standardmässig als gesetzt vorgeben) Pflicht*

Double Opt-in bei online erfolgten Einwilligungen, das heisst Anmeldung und nochmalige Bestätigung dieser Anmeldung (Ist rechtlich gesehen nicht zwingend. Mit «Double-Opt-in» kann der E-Mail-Absender aber seine Rechtssicherheit erhöhen. optional

Impressum im Werbe-E-Mail und Gewähr der Erreichbarkeit des Absenders optional

Verzicht auf Versand an Kunden, mit denen man längere Zeit keinen Kontakt mehr hatte; stattdessen können diese Kunden per E-Mail angefragt werden, ob man künftig Massenwerbung zu eigenen Produkten und Dienstleistungen senden darf optional

*Rot = rechtlich zwingend

Namics.

Bedingungen für korrektes Telefonmarketing.

Telemarketing Persönliche Telefonwerbung jeglicher Art erlaubt.

Insbesondere dann, wenn eine Kundenbeziehung besteht. (nicht zulässig sind maschinelle Anrufe bzw. Anrufe ab Tonband)

Einschränkung: Seit dem 1. April 2012 sind Werbeanrufe an Teilnehmer, die ihren Telefonbucheintrag mit einem Sternsymbol (*) gekennzeichnet haben (Opt-out), nach UWG Art. 3 Abs. 1 Bst. u verboten. Bei Zuwiderhandlung können die Angerufenen bei der Polizei einen Strafantrag stellen. Unerwünschte Anrufe können auch dem Staatssekretariat für Wirtschaft (Seco) gemeldet werden.



Namics.

Bedingungen für korrektes Post-Marketing.

Direktmarketing Post Jegliche Art von Werbung erlaubt (auch ohne

Kundenbeziehung). In der Schweiz schützt lediglich ein Stopp-Kleber den

Verbraucher vor unadressierter oder teiladressierter Werbung, die durch die Post oder professionelle Verteilfirmen zugestellt werden.



Namics.

Zusammenfassung. korrekte Marketingmassnahmen.


Denken. Präsentieren. Umsetzen.

Email.Newsletter.

B2C

/ B

2B

Post Jegliche Art von Werbung erlaubt

Werbung erlaubt, falls folgenden vier Bedingungen erfüllt sind:

• Einwilligung (Opt-In)

• Opt-Out:

• Korrekter Absender:

• Bestehende Kundenbeziehung:

Telefon Persönliche Telefonwerbung jeglicher Art erlaubt. Insbesondere dann, wenn eine Kundenbeziehung besteht. (nicht zulässig sind maschinelle Anrufe bzw. Anrufe ab Tonband)

Einschränkung: Telefonbucheintrag mit einem Sternsymbol (*)


Beispiel 1. Was ist erlaubt?


Beispiel 1: Darf ein Verlag, ein Fotograf oder eine Druckerei ungefragt allen greifbaren Adressen von Werbeagenturen Werbe-Mails zusenden?

Nein. Wer dem Erhalt von Werbe-Mails nicht willentlich zugestimmt hat, will sie auch nicht, unabhängig davon, ob sie der Absender für wahnsinnig interessant oder vorteilhaft erachtet. Selbst eine vermutete Branchennähe legitimiert nicht zum Versenden solcher Werbe-Mails.

Quelle: Frick&Partner: Anti-Spam Gesetzgebung Schweiz




Beispiel 2: Darf mit Newsletters bemailt werden, wer bei einem Unternehmen innerhalb der letzten sechs Monate etwas gekauft hat?

Ja und Nein.

Ja, falls er ausdrücklich darum gebeten hat, bis auf Weiteres mit Werbe-Mails(Newsletters etc.) bedient zu werden.

Nein, wenn er nicht ausdrücklich dazu aufgefordert hat oder bei einer Online-Bestellung eine voraktivierte Checkbox "Newsletter senden" (oder ähnlich) nicht deaktiviert hat.(Das Voraktivieren ; von Checkboxen für das Akzeptieren von Allgemeinen Geschäftbedingungen oder für das Eintragen in Empfängerlisten von Werbe-Mails ist nicht statthaft).





Beispiel 3: Darf mit elektronischen Newsletters beglückt werden, wer innerhalb der letzten sechs Monaten nicht mehr bei einem Unternehmen eingekauft hat?

Ja, falls er sich ausdrücklich in eine Empfängerliste für Werbe-Mails eingetragen hat.

Falls die Geschäftsbeziehung älter als sechs Monate ist, sollte aber auf das weitere Zusenden von Massen-Mails verzichtet werden. In Deutschland etwa gelten diese sechs Monate als Bemessungsfrist zur Festlegung, ob Werbe-Mails als Spam gelten oder nicht. Allerdings steht es dem Versender frei, den bisherigen Empfänger von Newsletters vor Ablauf dieser, in der Schweiz nicht gesetzlich geregelten Karenzfrist dazu zu ermuntern, sich auf dem ordentlichen Weg in die Empfängerliste von Werbe-Mails einzutragen (nicht gesetzlich zwingend in CH).



Beispiel. Kundenbindungsprogramm M-Cumulus.


Beurteilung M-Cumulus

Im Rahmen seiner Tätigkeit als Aufsichtsbehörde über die Datenbearbeitung im Privatbereich Wurde im Jahr 2005 bei Migros eine umfassende Datenschutzkontrolle vorgenommen. Die Durchführung der Kontrolle war nicht zuletzt aufgrund des grossen Benutzerkreises sowie der Sensibilität der bearbeiteten Personendaten von Bedeutung.

Insgesamt sehr positive Beurteilung durch den EDÖB.

• Insbesondere deshalb, weil in den AGBs klar darauf hingewiesen wird, dass gestützt auf die Einkaufsdaten von Kunden Warenkorbanalysen durchgeführt werden, welche das Konsumverhalten sowie persönliche Kundenprofile widerspiegeln.

• Zusätzlich hat Migros von sich aus einen Hinweis in die AGB aufgenommen, dass die jeweils aktuell gültigen AGB im Internet abrufbar sind (www.m-cumulus.ch).

• Des Weiteren verzichtet Migros auf jeglichen Versand von Informationen an Kundinnen und Kunden, die keine Werbung wünschen.

Namics.

Datenschutz und eCommerce.




Bei geschäftlichen Transaktionen in der realen Welt entstehen Kundenmodelle, die relativ unscharf sind. Niemand würde bei jedem Warenhausbesuch beispielsweis ein Formular oder einen Fragebogen ausfüllen wollen. Beim e-Commerce hingegen basiert alles auf Daten. Jeder Kauf lässt Rückschlüsse auf die Person, ihre Bedürfnisse und ihre finanziellen Lage zu. Deshalb kommt dem Datenschutz grösste Bedeutung zu.


Datenschutz und eCommerce


Umsetzungshilfen.

Schritt 1: gesetzlichen Anforderungen erfüllen Checkliste «In 5 Schritten zum Datenschutz»

Schritt 2: Vertrauen bei Kunden und bei zukünftigen Benutzern durch Transparenz schaffen

Insbesondere sollten folgende Vorkehrungen getroffen werden:

– Niemals ohne Wissen der Benutzer Personendaten erheben, an Dritte weitergegeben oder zugänglich machen

– Die Datenschutzpraxis sollte auf jeder Website in allgemein verständlicher Sprache erläutert werden. Insbesondere muss darüber informiert werden, welche Daten zu welchem Zweck erhoben bzw. verwendet werden Datenbearbeitungserklärung gut ersichtlich auf der Webseite platzieren

– Dem Benutzer sollte zudem ein Wahlrecht hinsichtlich der Begrenzung der Nutzung (Bsp. Erstellung von Konsumprofilen) und der Weitergabe (Bsp. Werbezwecke) seiner Daten gewährt werden.



Datenbearbeitungserklärung. Internetdienste.

Vor dem Verfassung der Datenbearbeitungserklärung sollten folgende Fragen beantwortet sind: Wie und woher (interne externe Quellen) werden Personendaten beschafft? Zu welchen Zwecken werden Personendaten gesammelt? Zu welchen Zwecken werden Personendaten verwendet? Wer ist für die Kontrolle der gesammelten Personendaten verantwortlich? Wie und wo werden Personendaten gespeichert? Zu welchem Zweck werden Personendaten mit Dritten ausgetauscht? Existieren bereits Richtlinien oder Vorschriften für das Sammeln, das Bearbeiten und die Weitergabe dieser

Daten? Besteht bereits die Möglichkeit der Einsicht und der Berichtigung der Daten?

Die Erklärung sollte den Benutzer mindestens über folgende Punkte informieren: Welchen Rechtsbestimmungen untersteht die Datenbearbeitungspraxis des Anbieters? Welche Personendaten werden gesammelt und zu welchen Zwecken? Welche Daten werden an Dritte weitergegeben und für welche Zwecke? Welche Wahlmöglichkeiten zur Bearbeitung seiner Daten stehen dem Benutzer zu? Welche Rechte (insb. Auskunfts- und Berichtigungsrecht) hat der Benutzer? Welche Stelle beantwortet Fragen über die Bearbeitung von Personendaten? Welche Sicherheitsmassnahmen werden zum Schutz von Personendaten angewendet?

Schliesslich ist die Erklärung auf der Website so zu platzieren, dass sie für den Benutzer leicht zugänglich ist.


Namics.

Datenschutz und Cloud Computing.



Risiken. Datenschutz. Cloud Computing.

Die Auslagerung von Daten im Rahmen von Cloud Computing ist immer mit Risiken verbunden

Kontrollverlust über die DatenWegen der weltweiten Vernetzung und der Virtualität ist der Standort der Daten oft nicht erkennbar. Dies trifft im besonderen Mass für die Public Clouds zu. Der Cloud-Nutzer als verantwortlicher Dateninhaber weiss damit nicht, wo genau seine Daten in der Cloud gespeichert und verarbeitet werden. Er weiss oft auch nicht, ob Subunternehmer involviert sind und ob diese für einen angemessenen Datenschutz sorgen. Der Cloud-Nutzer kann somit seine datenschutzrechtlichen Pflichten hinsichtlich Gewährleistung der Datensicherheit, Gewährung des Auskunftsrechts oder Berichtigung und Löschung der Daten nicht (mehr) oder nur ungenügend wahrnehmen.

Compliance RisikenIn der Cloud kann es vorkommen, dass Teile eines Datensatzes in verschiedenen weltweit verstreuten Rechenzentren liegen. Daraus ergeben sich Probleme nicht nur in Bezug auf die Gewährleistung von Datenschutz und Datensicherheit, sondern auch in Bezug auf die Einhaltung von anderen gesetzlichen Pflichten (Aufbewahrungs- oder Beweispflicht, Einhaltung von Geheimhaltungspflichten, etc.).

Zugriff von ausländischen Behörden auf die DatenIn vielen Fällen werden die Daten für die Bearbeitung in der Cloud ins Ausland bekannt gegeben. Dabei werden die Daten oftmals auch in Ländern gespeichert oder bearbeitet, die über keinen (ausreichenden) Datenschutz verfügen. Cloud–Service-Anbieter sind aber auch gegenüber ausländischen Behörden und Gerichten verpflichtet, gegebenenfalls Zugriff auf Daten in der Cloud zu gewähren; dies gilt selbst dann, wenn die Daten nicht im Land der Behörde bearbeitet oder gespeichert werden.



Datenschutzrechtliche Anforderungen bei der Nutzung von Cloud-Computing-Diensten (1-4)

Anforderungen 1: an Schweizer Gesetze halten

Ein Cloud-Service-Anbieter in der Schweiz muss verpflichtet werden, sich vollumfänglich an die in der Schweiz geltenden Datenschutzbestimmungen zu halten. Dies gilt in gleichem Masse für allfällige Subunternehmer, die vom Anbieter beigezogen werden.

Hintergrund:

- Werden bei der Nutzung von Cloud Computing personenbezogene Daten bearbeitet, so liegt aus datenschutzrechtlicher Sicht normalerweise eine Datenbearbeitung durch Dritte im Sinne von Art. 10a DSG vor.

- Demnach kann das Bearbeiten von Personendaten durch Vereinbarung oder Gesetz Dritten (hier: Cloud-Service-Anbieter) übertragen werden, wenn die Daten nur so bearbeitet werden, wie der Auftraggeber (hier: Cloud-Nutzer) selbst es tun dürfte, und wenn keine gesetzliche oder vertragliche Geheimhaltungspflicht es verbietet. Der Auftraggeber muss sich insbesondere vergewissern, dass der Dritte die Datensicherheit gewährleistet.




Anforderung 2: Datensicherheit gewährleisten

Der Cloud-Nutzer muss sich vergewissern, dass der Cloud-Service-Anbieter als Dritter die Datensicherheit im Sinne von Art. 7 DSG und Art. 8 ff. bzw. 20 ff. VDSG gewährleistet.

Das heisst, die Personendaten müssen durch angemessene technische und organisatorische Massnahmen gegen unbefugtes Bearbeiten geschützt werden. Es muss für Vertraulichkeit, Verfügbarkeit und Integrität der Daten gesorgt sein.

– Der Cloud-Service-Anbieter muss die Daten gegen folgende Risiken schützen: unbefugte oder zufällige Vernichtung oder zufälligen Verlust; technische Fehler; Fälschung; Diebstahl oder widerrechtliche Verwendung; unbefugtes Ändern, Kopieren, Zugreifen oder andere unbefugte Bearbeitungen.

– Als Grundregel gilt: Je vertraulicher, geheimer, wichtiger (weil geschäftskritisch) oder sensitiver (weil besonders schützenswert) die Daten sind, umso eher ist von einer Auslagerung der Daten in die Cloud, insbesondere eine ausländische Cloud, abzusehen, und desto strikter und umfassender müssen die (Datenschutz-) Sicherheitsvorkehrungen und deren Kontrolle sein.




Anforderung 3: Personendaten auch im Ausland schützen

Personendaten dürfen nicht ins Ausland bekannt gegeben werden, wenn dadurch die Persönlichkeit der betroffenen Personen schwerwiegend gefährdet würde, namentlich weil eine Gesetzgebung fehlt, die einen angemessenen Schutz gewährleistet (Art. 6 Abs. 1 DSG). Personendaten nur ins Ausland bekannt gegeben werden, wenn eine der in Art. 6 Abs. 2 DSG aufgeführten Bedingungen erfüllt ist.

Hintergrund:

- Die Nutzung von Cloud Computing bedingt in vielen Fällen eine Datenbekanntgabe ins Ausland, da die Verarbeitung oftmals auf weltweit verstreuten Servern stattfindet. Häufig werden dazu auch Subunternehmer beigezogen. Sehr oft geht es dabei um Länder, die ein tieferes Datenschutzniveau als die Schweiz aufweisen und so Datenbearbeitungen durchgeführt werden, die so in der Schweiz nicht erlaubt wären.




Anforderung 4: Auskunftsrecht, Löschung, Berichtigung

Der Cloud-Nutzer ist dafür verantwortlich, dass das Auskunftsrecht nach Art. 8 DSG und das Recht auf Löschung und Berichtigung nach Art. 5 DSG jederzeit gewährleistet

– Die Einhaltung dieser Erfordernisse kann mit erheblichen Schwierigkeiten verbunden sein, da mit der Nutzung von Cloud-Anwendungen wie erwähnt oftmals ein Kontrollverlust über die Daten einhergeht und der Cloud-Nutzer nicht (mehr) weiss, wo welche Daten bearbeitet werden. Er kann sich von diesen gesetzlichen Pflichten jedoch nicht befreien.



Mobile Datenverarbeitung.



Der Eidgenössische Datenschutz und Öffentlichkeitsbeauftragte (EDÖB) liefert auf folgender Seite einen guten Überblick zum Thema:

http://www.edoeb.admin.ch/themen/00794/01124/01607/index.html?lang=de




Namics.

Quellen.


Namics.

Sekundärquellen.

Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB)/Diverse Dokumente: http://www.edoeb.admin.ch/

Bakom «Telemarketing:Wenn die Werbung am Draht ist» http://www.bakom.admin.ch/dienstleistungen/info/00542/02321/index.html?lang=de

Seco: Unterlagen zum unlauteren Wettbewerb: http://www.seco.admin.ch/themen/00645/00653/index.html?lang=de

Berichte über die Datenschutzkontrollen des Kundenbindungsprogramme M-CUMULUS (Migros): http://goo.gl/Ap6ux

Frick&Partner: Anti-Spam Gesetzgebung Schweiz:http://www.frick-partner.ch/downloads/frick_partner_anti_spam_gesetzgebung_schweiz.pdf

Leitfaden technische und organisatorische Massnahmen zur Datensicherheit: http://goo.gl/upkqC

Quellen.


http://www.edoeb.admin.ch/

http://www.bakom.admin.ch/dienstleistungen/info/00542/02321/index.html?lang=de



http://www.seco.admin.ch/themen/00645/00653/index.html?lang=de

http://www.seco.admin.ch/themen/00645/00653/index.html?lang=de

http://goo.gl/Ap6ux

http://www.frick-partner.ch/downloads/frick_partner_anti_spam_gesetzgebung_schweiz.pdf

http://www.frick-partner.ch/downloads/frick_partner_anti_spam_gesetzgebung_schweiz.pdf


Gesetze.

DSG: http://www.admin.ch/ch/d/sr/2/235.1.de.pdf

FMG: http://www.admin.ch/ch/d/sr/7/784.10.de.pdf

UWG: http://www.admin.ch/ch/d/sr/2/241.de.pdf

Quellen.

http://www.admin.ch/ch/d/sr/2/235.1.de.pdf

http://www.admin.ch/ch/d/sr/7/784.10.de.pdf

http://www.admin.ch/ch/d/sr/2/241.de.pdf

Namics.

Anhang.



Gesetzliche Grundlagen DSG


Relevante Datenschutzbestimmungen im DSG (I)

Art. 4 Grundsätze

(a) Personendaten dürfen nur rechtmässig bearbeitet werden. Dabei muss ihre Bearbeitung nach Treu und Glauben erfolgen und muss verhältnismässig sein.

(b) Personendaten dürfen nur zu dem Zweck bearbeitet werden, der bei der Beschaffung angegeben wurde, aus den Umständen ersichtlich oder gesetzlich vorgesehen ist.

(c) Die Beschaffung von Personendaten und insbesondere der Zweck ihrer Bearbeitung müssen für die betroffene Person erkennbar sein.

(d) Ist für die Bearbeitung von Personendaten die Einwilligung der betroffenen Person erforderlich, so ist diese Einwilligung erst gültig, wenn sie nach angemessener Information freiwillig erfolgt. Bei der Bearbeitung von besonders schützenswerten Personendaten oder Persönlichkeitsprofilen muss die Einwilligung zudem ausdrücklich erfolgen.

Anhang.


Relevante Datenschutzbestimmungen im DSG (II)

Art. 7 Datensicherheit

- Personendaten müssen durch angemessene technische und organisatorische Massnahmen gegen unbefugtes Bearbeiten geschützt werden.

Art. 7a Informationspflicht beim Beschaffen von besonders schützenswerten Personendaten und Persönlichkeitsprofilen

– Der Inhaber der Datensammlung ist verpflichtet, die betroffene Person über die Beschaffung von besonders schützenswerten Personendaten oder Persönlichkeitsprofilen zu informieren; diese Informationspflicht gilt auch dann, wenn die Daten bei Dritten beschafft werden.

Art. 8 Auskunftsrecht

- Jede Person kann vom Inhaber einer Datensammlung Auskunft darüber verlangen, ob Daten über sie bearbeitet werden.

Anhang.


Relevante Datenschutzbestimmungen im DSG (III)

Art. 10a Datenbearbeitung durch Dritte

Das Bearbeiten von Personendaten kann durch Vereinbarung oder Gesetz Dritten übertragen werden, wenn:

- (a) die Daten nur so bearbeitet werden, wie der Auftraggeber selbst es tun dürfte; und

- (b) keine gesetzliche oder vertragliche Geheimhaltungspflicht es verbietet.

Anhang.


Bestimmungen zur Bearbeitung von Personendaten im DSG (I).

Art. 12 Persönlichkeitsverletzungen

Wer Personendaten bearbeitet, darf die Persönlichkeit der betroffenen Person nicht widerrechtlich verletzen.

Er darf insbesondere nicht:

- entgegen der allg. Datenschutzbestimmungen handeln (Art. 4 Grundsätze)

- ohne Rechtfertigungsgrund Daten einer Person gegen deren ausdrücklichen Willen bearbeiten;

- ohne Rechtfertigungsgrund besonders schützenswerte Personendaten oder Persönlichkeitsprofile Dritten bekanntgeben.

Anhang.


Bestimmungen zur Bearbeitung von Personendaten im DSG (II).

Art. 13 Rechtfertigungsgründe Die Daten einer Person dürfen nicht gegen deren ausdrücklichen Willen bearbeitet werden,

ausser wenn ein im Datenschutzgesetz vorgesehener Rechtfertigungsgrund dies erlaubt.

Dies ist der Fall, wenn die bearbeitende Person:

- a. in unmittelbarem Zusammenhang mit dem Abschluss oder der Abwicklung eines Vertrags Personendaten über ihren Vertragspartner bearbeitet;

- b. mit einer anderen Person in wirtschaftlichem Wettbewerb steht oder treten will und zu diesem Zweck Personendaten bearbeitet, ohne diese Dritten bekannt zu geben;

- c. zur Prüfung der Kreditwürdigkeit einer anderen Person weder besonders schützenswerte Personendaten noch Persönlichkeitsprofile bearbeitet und Dritten nur Daten bekannt gibt, die sie für den Abschluss oder die Abwicklung eines Vertrages mit der betroffenen Person benötigen;

- d. beruflich Personendaten ausschliesslich für die Veröffentlichung im redaktionellen Teil eines periodisch erscheinenden Mediums bearbeitet;

- e. Personendaten zu nicht personenbezogenen Zwecken insbesondere in der Forschung, Planung und Statistik bearbeitet und die Ergebnisse so veröffentlicht, dass die betroffenen Personen nicht bestimmbar sind;

- f. Daten über eine Person des öffentlichen Lebens sammelt, sofern sich die Daten auf das Wirken dieser Person in der Öffentlichkeit beziehen.

Anhang.


Weitere Gesetzesgrundlagen für den Datenschutz in Bezug auf Marketing (FMG, UWG)


Weitere Gesetzesgrundlagen für Datenschutz und Marketing. Relevante Bestimmungen. UWG.

Bundesgesetz gegen den unlauteren Wettbewerb (UWG)

Art. 3 Unlautere Werbe- und Verkaufsmethoden und anderes widerrechtliches Verhalten

- Unlauter handelt insbesondere, wer: o. Massenwerbung ohne direkten Zusammenhang mit einem angeforderten Inhalt fernmeldetechnisch sendet oder solche Sendungen veranlasst und es dabei unterlässt, vorher die Einwilligung der Kunden einzuholen, den korrekten Absender anzugeben oder auf eine problemlose und kostenlose Ablehnungsmöglichkeit hinzuweisen; wer beim Verkauf von Waren, Werken oder Leistungen Kontaktinformationen von Kunden erhält und dabei auf die Ablehnungsmöglichkeit hinweist, handelt nicht unlauter, wenn er diesen Kunden ohne deren Einwilligung Massenwerbung für eigene ähnliche Waren, Werke oder Leistungen sendet.

Anhang.


Weitere Gesetzesgrundlagen für Datenschutz und Marketing. Relevante Bestimmungen. FMG.

Fernmeldegesetz (FMG)

Art. 1 Zweck

- 2d Es soll insbesondere: d. die Benutzerinnen und Benutzer von Fernmeldediensten vor unlauterer Massenwerbung und vor Missbrauch durch Mehrwertdienste schützen.

Art. 45a Unlautere Massenwerbung

- 1 Die Anbieterinnen von Fernmeldediensten bekämpfen die unlautere Massenwerbung (Art. 3 Bst. o des BG vom 19. Dez. 1986 gegen den unlauteren Wettbewerb).

Anhang.


Beurteilung. Datenschutz und Marketing.

Interpretationsspielraum Kundenbeziehung

Der Grundsatz des DSG nach «Treu und Glauben» zu urteilen lässt einen grossen Interpretationsspielraum zu. Sobald eine Kundenbeziehung besteht oder vom Kunden eine Einwilligung zur Bearbeitung der Daten vorliegt, sind Marketingmassnahmen in der Schweiz ohne Bedenken möglich.

Insbesondere auch deshalb, weil das UWG die Frage offen lässt, ob und wie lange ein ehemaliges, im jetzigen Zeitpunkt aber aufgekündetes Vertragsverhältnis als Kundenbeziehung zu werten ist. Sobald also ein einmalige Vertragsverhältnis bestand, kann dies als Kundenbeziehung qualifiziert werden und Marketingmassnahmen jeglicher Art sind rechtmässig.

Angeforderte Werbung

Nicht erfasst (sowohl im DSG, im UWG als auch im FMG ) ist darüber hinaus Werbung, die Teil angeforderter Inhalte ist und Werbung in abonnierten Newslettern und auf Web-Seiten sowie manuelle Telefonanrufe.

Anhang.

Namics.

Take care.

[email protected]

© Namics


Documents

Datenschutz Schweiz. Basis Know How. Orientierungshilfe. Namics. Stefan Andris. Consultant. Fabian Bischof. Consultant. Juli 2012