Besonders schützenswerte Personendaten

Philipp Rosenauer
Partner Legal, PwC Schweiz

Der Begriff «besonders schützenswerte Personendaten» war während der Pandemie ein wichtiges Thema, sei es im Zusammenhang mit der COVID-App oder mit Massnahmen am Arbeitsplatz. Doch wie unterscheiden sich besonders schützenswerte von nicht besonders schützenswerten Personendaten und was muss bei ihrer Bearbeitung beachtet werden?

Welche Arten von Personendaten gelten als besonders schützenswert?

Ethnische Herkunft und Rasse
Politische Meinungen
Gesundheitsdaten
Biometrische Daten
Genetische Daten
Religiöse oder weltanschauliche Überzeugungen
Sexuelle Orientierung

Wie werden besonders schützenswerte Personendaten gemäss Schweizer Datenschutzrichtlinien bearbeitet?

Im revidierten Datenschutzgesetz (revDSG) wurden biometrische und genetische Daten ergänzt. Dem Schweizer revDSG liegt ein anderes Konzept zugrunde als der europäischen Datenschutz-Grundverordnung (DSGVO). Um besonders schützenswerte Personendaten rechtmässig zu bearbeiten, bedarf es im Prinzip keiner rechtlichen Grundlage, aber es ist ein «Rechtfertigungsgrund» erforderlich. Das bedeutet: Je höher die Risiken für die betroffenen Personen, desto strenger müssen die allgemeinen Prinzipien zur Datenbearbeitung sein. Folglich muss die Bearbeitung von besonders schützenswerten Personendaten höhere Standards erfüllen.

Was sollten Sie bei der Bearbeitung von besonders schützenswerten Daten beachten?

Wenn es Gründe für die Speicherung und Bearbeitung von besonders schützenswerten Daten gibt, muss sichergestellt werden, dass keine unbefugten Personen Zugriff auf die Daten erhalten. Zudem sind Mitarbeitende, die mit besonders schützenswerten Daten arbeiten, zur Verschwiegenheit verpflichtet. Die Bearbeitung der Daten muss auf eine Art und Weise erfolgen, bei der nur diejenigen Mitarbeitenden, die mit den jeweiligen Daten arbeiten müssen, Zugriff auf sie haben. Das gilt sowohl für elektronische als auch für physische Daten. Daten, die in elektronischer Form vorliegen, können durch Verschlüsselung geschützt werden. Dokumente in Papierform müssen sicher und ausser Reichweite von Unbefugten aufbewahrt werden.

Kurz gesagt, was sollte ich vermeiden?

Sie sollten es so weit wie möglich vermeiden, besonders schützenswerte Personendaten zu erfassen. Sofern es für die Beziehung zu Ihrem Kunden oder auch für Arbeitszwecke im Hinblick auf Ihre Mitarbeitenden nicht erforderlich ist, sollten Sie keine besonders schützenswerten Personendaten bearbeiten. Wenn Sie dies jedoch tun müssen, sollten Sie Ihre Datenschutzprinzipien stärken und angemessene technische und organisatorische Massnahmen umsetzen.