Für eine Datenverarbeitung muss gemäß des DSG eine rechtsgültige Einwilligung vorliegen. Die Voraussetzungen entsprechen denen der DSGVO. Ohne Zweifel bedeutsam ist die Abgrenzung und Erkennbarkeit der Einwilligung sowie die Vollständigkeit der Informationen zur Datenverarbeitung. Trotzdem sind ausdrückliche Einwilligungen erforderlich für a) die Bearbeitung von besonders schützenswerten Personendaten, b) ein Profiling mit hohem Risiko durch private Personen; und c) ein Profiling durch Bundesorgane.
Wie bei der DSGVO gibt es auch im Datenschutzgesetz der Schweiz auch Rechtfertigungsgründe für die Datenverarbeitung. „Rechtfertigungsgründe stellen eine Erlaubnis von Datenverarbeitungen dar, ohne dass hierbei die Persönlichkeitsrechte verletzt werden,“ erklärt Datenschutzexperte Dr. Jörn Voßbein auf Basis seiner gesammelten Erfahrungen in der Schweiz und der EU. Allerdings sind die Rechtsfertigungsgründe im Zusammenhang mit der jeweiligen Datenverarbeitung auf ihre Anwendbarkeit gewissenhaft zu prüfen, um Verstöße gegen das DSG zu verhindern. Aber anders als nach der DSGVO sind diese Rechtfertigungsgründe in Informationspflichten oder Auskunftsersuchen nicht zwingend zu nennen. Ratsam kann es allerdings dennoch sein. Letztlich sollte jeder Fall einer Einzelfallbetrachtung unterzogen werden.
Eine wirkliche Neuheit stellt der Rechtfertigungsgrund zur Bonitätsprüfung dar. Allerdings sind im DSG vier Voraussetzungen genannt, die erfüllt sein müssen, damit dieser Rechtfertigungsgrund zur Datenverarbeitung herangezogen werden kann:
- Es handelt sich weder um besonders schützenswerte Personendaten noch um ein Profiling mit hohem Risiko.
- Die Daten werden Dritten nur bekanntgegeben, wenn diese die Daten für den Abschluss oder die Abwicklung eines Vertrags mit der betroffenen Person benötigen.
- Die Daten sind nicht älter als zehn Jahre.
- Die betroffene Person ist volljährig.
„Die Regelungen im DSG zur Datenverarbeitung weisen Besonderheiten auf. Für schweizerische Unternehmen, deren Geschäftsbeziehungen über die Landesgrenzen hinausreichen, bedeutet dies, sowohl die eidgenössische Gesetzgebung wie auch die europäische DSGVO im Blick zu behalten. Das ist eine unternehmerische Herausforderung, die ohne Fachexpertise schnell zu Fehlern und Strafzahlungen führt“, berichtet UIMC-Geschäftsführer Dr. Jörn Voßbein aus seinen einschlägigen Erfahrungen. Die DSGVO ist ohnehin einzuhalten, wenn bei der Datenverarbeitung auch Bürger der EU betroffen sind, was bei der o. g. wirtschaftlichen Verflechtung ohnehin oft vorkommen wird.