So schützen Sie sich im Datendschungel 1. Personendaten müssen legal beschafft werden. Eine Firma darf Ihre Daten nicht mittels Betrug oder Diebstahl sammeln. 2. Personendaten dürfen nur nach Treu und Glauben bearbeitet werden; die Bearbeitung Ihrer Daten muss verhältnismässig sein. 3. Personendaten dürfen nur zu dem Zweck bearbeitet werden, der bei der Beschaffung angegeben wurde, aus den Umständen ersichtlich oder gesetzlich vorgesehen ist. Wenn Sie für eine Bestellung (zum Beispiel ein Buch) persönliche Daten angegeben haben, dann dürfen diese Daten nur zur Abwicklung dieses Geschäfts verwendet werden. 4. Die Beschaffung von Personendaten sowie der Zweck ihrer Bearbeitung müssen für Sie erkennbar sein. 5. Wenn für die Bearbeitung Ihrer Daten Ihre Einwilligung nötig ist, dann ist diese Einwilligung nur gültig, wenn Sie freiwillig – und nach angemessener Information – eingewilligt haben.
Macht es Ihnen Sorgen, dass Staat und Wirtschaft immer mehr persönliche Daten verwenden? Befürchten Sie, dass Ihre Daten ohne Ihre Kontrolle ausgewertet und weitergegeben werden könnten? Hier erfahren Sie, welche Rechte Ihnen der Datenschutz gibt. Die Bearbeitung von Personendaten wird durch das Bundesgesetz über den Datenschutz (DSG) geregelt. Zweck dieses Gesetzes ist der Schutz der Persönlichkeit und der Grundrechte von Personen, über welche Daten bearbeitet werden. Mit anderen Worten: Der Datenschutz will Ihre Rechtsstellung gegenüber allen Stellen, welche Ihre Daten bearbeiten, verbessern. Insbesondere sollen Sie erfahren, wer welche Informationen über Sie bearbeitet und wofür diese verwendet werden. Anwendungsbereich des DSG Dem DSG unterstehen alle Bundesorgane und alle privaten Personen. Es ist allerdings nicht anwendbar auf Personendaten, die eine Person nur zum persönlichen Gebrauch bearbeitet und nicht an Aussenstehende bekannt gibt. Auf hängige Zivilprozesse, Strafverfahren und öffentliche Register des Privatverkehrs ist das DSG ebenfalls nicht anwendbar.
Regeln für private Personen Wenn private Personen Ihre Daten bearbeiten, dürfen Sie dadurch nicht widerrechtlich verletzt werden. Insbesondere dürfen Ihre Daten nicht gegen Ihren ausdrücklichen Willen bearbeitet und Dritten keine besonders schützenswerte Personendaten oder Persönlichkeitsprofile von Ihnen bekannt gegeben werden. Eine Persönlichkeitsverletzung gegen Ihren Willen ist allerdings erlaubt, wenn diese durch ein Gesetz oder ein überwiegendes privates oder öffentliches Interesse gerechtfertigt ist – beispielsweise ein Vertragsabschluss oder eine Vertragsabwicklung, die Prüfung Ihrer Kreditwürdigkeit, eine Veröffentlichung im redaktionellen Teil eines periodisch erscheinenden Mediums oder Forschung und Statistik.
Wichtig: Beachten Sie, dass das DSG nicht gilt, wenn es um die Bearbeitung von Personendaten durch kantonale Behörden geht. Dieser Bereich wird vom kantonalen Recht geregelt. Wenden Sie sich diesbezüglich an die für den Datenschutz zuständigen kantonalen Behörden. Allgemeine Grundsätze Das DSG legt fünf wichtige Grundsätze im Umgang mit Personendaten fest:
Beobachter-Beratungszentrum, 13.01.09/dl 1
Regeln für Bundesorgane Die Organe des Bundes dürfen Personendaten nur bearbeiten, wenn dafür eine genügende rechtliche Grundlage (Gesetz oder Verordnung) besteht. Das Recht auf Auskunft Jede Person – unabhängig von Alter, Wohnsitz und Nationalität – hat gestützt auf Artikel 8 DSG das Recht, Auskunft über die zu ihrer Person gespeicherten Daten zu verlangen. Dieses Auskunftsrecht erstreckt sich auf: • alle zu einer Person in einer Datensammlung vorhandenen Daten, einschliesslich der Angabe, woher diese stammen • den Zweck der Bearbeitung – also die betreffende Verwaltungsaufgabe oder den speziellen Geschäftszweck – und gegebenenfalls die Rechtsgrundlagen, auf die sich der Bearbeiter stützt • die Kategorien der bearbeiteten Daten • die Beteiligten an einer Datensammlung • alle Personen und Stellen, an welche Daten übermittelt werden Tipps für Ihr Auskunftsbegehren Wenden Sie sich direkt an die Inhaberin oder den Inhaber der Datensammlung (Privatperson, Firma oder Behörde). Wer als Inhaber einer Datensammlung in Frage kommt, erfahren Sie unter Umständen über das Register der Datensammlungen beim Eidgenössischen Datenschutzbeauftragten (Adresse am Schluss dieses Merkblatts). Allerdings müssen private Personen nur besonders sensible Datensammlungen registrieren lassen. Überlegen Sie sich, wer Daten über Ihre Person bearbeiten könnte, um dort ein Auskunftsgesuch zu stellen. Fordern Sie die Auskunft schriftlich an und legen Sie eine Kopie Ihres Ausweises bei. Einschreiben ist nicht erforderlich, aus Beweisgründen ist es aber empfehlenswert. Schreiben Sie möglichst genau, worüber Sie Auskunft wünschen – zum Beispiel «alle Angaben im Zusammenhang mit meinem Kreditvertrag» oder «alle Daten in meinem Personaldossier», aber nicht «alles was die Bundesverwaltung über mich hat».
Frist für die Auskunftserteilung Innert 30 Tagen seit dem Eingang Ihres Begehrens müssen Sie eine Antwort erhalten: Entweder erhalten Sie die gewünschte Auskunft über Ihre Daten, oder die Auskunft wird mit Begründung eingeschränkt oder gar abgelehnt. Kann der Inhaber der Datensammlung Ihnen die Auskunft nicht innert 30 Tagen liefern, muss er Sie trotzdem benachrichtigen und Ihnen die Frist mitteilen, in der die Auskunft erfolgen wird. Umfang der Auskunft Sie haben Anspruch auf eine vollständige Auskunft, das heisst über alle in der Datensammlung über Sie vorhandenen Daten. Darf oder muss die zuständige Stelle die Auskunft von Gesetzes wegen einschränken, hat sie Ihnen dies mitzuteilen. Zudem muss sie Ihnen angeben, aufgrund welcher gesetzlichen Bestimmung und aufgrund welcher Tatsachen sie die Auskunft verweigert, einschränkt oder aufschiebt. Kosten des Auskunftsbegehrens Die Auskunft ist in der Regel kostenlos (Artikel 8 Absatz 5 DSG). Es kann aber ausnahmsweise eine Kostenbeteiligung verlangt werden: • wenn Sie in den letzten zwölf Monaten die gewünschten Auskünfte bereits erhalten haben und sich nicht auf ein schutzwürdiges Interesse berufen können (zum Beispiel auf eine zwischenzeitliche Änderung der Daten) • wenn die Auskunftserteilung einen besonders grossen Arbeitsaufwand verursacht (beispielsweise Nachforschungen bei manuellen Datensammlungen) Die Kostenbeteiligung darf maximal 300 Franken betragen. Die für die Auskunft zuständige Stelle muss Ihnen die Kostenbeteiligung mitteilen, damit Sie Ihr Auskunftsgesuch innert zehn Tagen zurückziehen können. Verweigerung der Auskunft Grundsätzlich darf die Auskunft nur verweigert, eingeschränkt oder aufgeschoben werden, wenn ein formelles Gesetz es vorsieht, oder wenn es wegen überwiegender Interessen einer Drittperson erforderlich ist.
Beobachter-Beratungszentrum, 13.01.09/dl 2
Private als Inhaber von Datensammlungen dürfen die Auskunft ausserdem verweigern, einschränken oder aufschieben: • wenn eigene überwiegende Interessen es erfordern • wenn sie Daten nicht an Dritte bekannt geben Bundesorgane können die Auskunft verweigern, einschränken oder aufschieben, • wenn es wegen überwiegender öffentlicher Interessen – insbesondere der inneren oder äusseren Sicherheit der Schweiz – erforderlich ist • wenn die Auskunft den Zweck einer Strafuntersuchung oder eines anderen Untersuchungsverfahrens in Frage stellt Vorgehen bei unkorrekter Auskunft Haben Sie Zweifel, ob Ihnen korrekt Auskunft erteilt worden ist, können Sie gegen private Inhaber von Datensammlungen an Ihrem Wohnsitz oder am Wohnsitz des Inhabers der Datensammlung eine gerichtliche Klage zur Durchsetzung des Auskunftsrechts einreichen. Der Richter wird dann in einem einfachen und raschen Verfahren darüber entscheiden. Gegen Bundesorgane können Sie innert 30 Tagen Beschwerde ans Bundesverwaltungsgericht erheben. Fügen Sie Ihrer Beschwerde die Korrespondenz mit dem Inhaber der Datensammlung in Kopie bei. Übrigens: Wer die Auskunfts-, Melde- und Mitwirkungspflichten sowie die berufliche Schweigepflicht vorsätzlich verletzt, macht sich strafbar. Berichtigung, Sperrung oder Löschung Jede Stelle, die Personendaten bearbeitet, ist verpflichtet, unrichtige Daten zu berichtigen. Es liegt aber an Ihnen, (bei der Ausübung des Auskunftsrechts) darauf hinzuweisen, dass Ihre Daten unrichtig oder überholt sind. • Sperrung der Daten: Sie können zum Beispiel Ihre Adresse und Telefonnummer bei Swisscom Directories (www.directories.ch) oder beim Schweizer Direktmarketing Verband (SDV, Postfach 616, 8501 Frauenfeld;
www.sdv-asmd.ch) sperren beziehungsweise mit einem «*» versehen lassen. • Löschung der Daten: Beispielsweise können Sie verlangen, dass Ihre Bewerbungsunterlagen retourniert und entsprechende Daten gelöscht werden, wenn man diese nicht mehr benötigt. Vorgehen bei unterlassener Löschung Gegenüber Privaten können Sie Ihre Rechtsansprüche vor den ordentlichen Gerichten geltend machen. Kommt ein Organ des Bundes Ihrem Gesuch um Berichtigung, Sperrung oder Löschung der Daten nicht nach, können Sie diesen Entscheid innert 30 Tagen mit einer Beschwerde ans Bundesverwaltungsgericht weiterziehen. Anwendungsgebiete des Datenschutzes Nachfolgend sehen Sie ein paar typische Fälle des Datenschutzes: • Telefonnummer: Der Eintrag in einem Telefonverzeichnis (Telefonbuch, elektronisches Verzeichnis, Auskunft) ist nicht obligatorisch. Sie können die Anbieterin von Fernmeldediensten (zum Beispiel die Swisscom Directories) auffordern, Ihre Angaben in ihren öffentlichen Verzeichnissen zu streichen. Eine Begründung ist nicht nötig. Unter Umständen ist auch eine differenzierte Lösung möglich – beispielsweise nur Einträge in gedruckten, nicht aber in elektronischen Verzeichnissen. • Wechsel der Krankenkasse für die obligatorische Grundversicherung: Wenn Sie nur die Grundversicherung wechseln wollen, genügt es, der neuen Kasse Ihren Namen, die Adresse sowie die bisherige Versicherungsgesellschaft bekannt zu geben. Auf keinen Fall müssen Sie bei einem Wechsel innerhalb der Grundversicherung die Gesundheitsfragen auf den Antragsformularen beantworten. • Ablehnung eines Versicherungsantrages: Wurde Ihr Versicherungsantrag (zum Beispiel für eine Lebensversicherung) abgelehnt, so haben Sie die Möglichkeit, von der Versicherungsgesellschaft oder vom Vertrauensarzt Auskunft über Ihre Daten zu verlangen. Die
Beobachter-Beratungszentrum, 13.01.09/dl 3
Versicherung und der Arzt dürfen die Auskunft zwar einschränken (siehe vorne). Das eigene überwiegende Interesse können sie aber nur in Ausnahmefällen geltend machen. • Verwendung von Daten für Werbezwecke: Personendaten, welche unmittelbar für eine bestimmte Vertragsabwicklung (zum Beispiel Telebanking, Kunden- oder Kreditkarten) erhoben werden, dürfen ausschliesslich zu diesen Zwecken bearbeitet werden. Eine anderweitige Verwendung solcher Daten ist nur mit Ihrer Einwilligung zulässig. Wurden Ihre Daten ohne Ihre Einwilligung zu Werbezwecken verwendet, können Sie deren sofortige Löschung verlangen.
Der EDÖB hat eine sehr informative Internetseite (www.edoeb.admin.ch), auf der Sie hilfreiche Leitfäden, Merkblätter und Empfehlungen zu den wichtigsten Aspekten des Datenschutzes finden. Schliesslich finden Sie auf der Internetseite der Vereinigung der schweizerischen Datenschutzbeauftragten (www.privatim.ch) die Adressen und Links zu sämtlichen kantonalen Datenschutzbeauftragten.
• Internet am Arbeitsplatz: Sie dürfen am Arbeitsplatz das Internet für private Zwecke benützen, sofern kein ausdrückliches Verbot seitens Ihres Arbeitgebers besteht, Ihre Arbeitsleistung nicht beeinträchtigt wird, die Ressourcen Ihres Arbeitgebers nicht übermässig belastet werden und keine Sicherheitsrisiken entstehen. Ihr Arbeitgeber darf Sie nur überwachen, wenn konkrete Anhaltspunkte von Unregelmässigkeiten (zum Beispiel Ihre mangelhafte Leistung) vorliegen. Die Überwachung muss von Ihrem Vorgesetzten angeordnet und Ihnen vorgängig mitgeteilt werden. Dasselbe gilt für private E-Mails und Telefongespräche. Wichtig: Das Abhören oder Aufzeichnen privater Gespräche durch den Arbeitgeber ist verboten. Die Datenschutzbeauftragten Haben Sie noch Schwierigkeiten mit dem Datenschutz oder wollen Sie mehr darüber wissen, wenden Sie sich am besten direkt an den Eidgenössischen Datenschutzbeauftragten: Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) Feldeggweg 1 3003 Bern Tel. 031 322 43 95 (Montag bis Freitag, 10.00 bis 12.00 Uhr) Fax 031 325 99 96
Beobachter-Beratungszentrum, 13.01.09/dl 4