Datenschutz
Der Datenschutz dient dem Schutz der Persönlichkeitsrechte und der Privatsphäre. Wer Daten einer Person bearbeitet, ist zu rechtmässigem und verhältnismässigem Handeln verpflichtet. Der Datenschutz verleiht einer betroffenen Person zudem durchsetzbare Rechte. So hat sie insbesondere Anspruch darauf, Auskunft darüber zu erhalten, welche Daten über sie bearbeitet werden. Unter gewissen Voraussetzungen kann auch die Berichtigung, Sperrung oder Löschung von Daten verlangt werden. Besondere Personendaten sind aufgrund einer erhöhten Gefahr für die Persönlichkeitsrechte zudem stärker geschützt.
In diesem Kapitel wird dargelegt, wer welchem Datenschutzgesetz unterstellt ist und was bei der Bearbeitung von gewöhnlichen und von besonders sensiblen Personendaten zu beachten ist. Auch wird aufgezeigt, wie gegen eine widerrechtliche Datenbearbeitung vorgegangen und wie das Auskunfts- und Akteneinsichtsrecht wahrgenommen werden kann. Zuletzt wird auf die Besonderheiten im Sozialversicherungsrecht eingegangen.
Wer ist welchem Datenschutzgesetz unterstellt?
In der Schweiz gibt es neben dem Eidgenössischen Datenschutzgesetz (DSG) in allen Kantonen auch kantonale Datenschutzgesetze.
Dem Eidgenössischen Datenschutzgesetz unterstehen Bundesorgane und Private. Als Durchführungsorgane der obligatorischen Krankenversicherung bzw. der obligatorischen Unfallversicherung sind die Krankenversicherer und die Unfallversicherer in diesem Bereich als Bundesorgane anzusehen und unterstehen deshalb dem Eidgenössischen Datenschutzgesetz. Im Bereich der Zusatzversicherungen unterstehen die Krankenversicherer dem Eidgenössischen Datenschutzgesetz als „Private“.
Den kantonalen Datenschutzgesetzen unterstehen die öffentlichen Organe der Kantone und der Gemeinden (z.B. kantonale IV-Stellen) sowie private Trägerschaften, die mit einer öffentlichen Aufgabe betraut sind (z.B. Spitex-Organisationen, Altersheime).
Was ist bei der Bearbeitung von gewöhnlichen und von besonderen Personendaten zu beachten?
Der Datenschutz regelt die Bearbeitung von Daten. Was genau ist aber unter der „Bearbeitung“ von Daten zu verstehen? Unter den Begriff der „Bearbeitung“ fällt jeglicher Umgang mit Personendaten, insbesondere das Beschaffen, das Aufbewahren, das Verwenden, das Umarbeiten, das Bekanntgeben, das Archivieren und das Vernichten von Daten.
Der Datenschutz unterscheidet zwischen gewöhnlichen Personendaten und besonderen Personendaten. Besondere Personendaten sind sensible Daten und somit Informationen zur Gesundheit, zur Intimsphäre, zur ethnischen Herkunft, zur Sozialhilfebedürftigkeit, zu religiösen, weltanschaulichen oder politischen Ansichten sowie zu Strafen und Massnahmen. Aufgrund erhöhter Risiken für die Persönlichkeitsrechte sind diese Personendaten stärker geschützt (z.B. durch die ärztliche Schweigepflicht).
Die öffentlichen Organe dürfen Personendaten nur bearbeiten, wenn eine gesetzliche Grundlage besteht. Bei der Bearbeitung von gewöhnlichen Daten reicht hierfür eine Verordnung aus, bei sensiblen Personendaten ist ein vom Parlament beschlossenes Gesetz vorausgesetzt. Fehlt eine gesetzliche Grundlage, können Daten nur mit der ausdrücklichen Einwilligung der betroffenen Person bearbeitet und bekanntgegeben werden. Zudem muss die Datenbearbeitung verhältnismässig sein, das heisst sie muss für den vorgesehenen Zweck geeignet und erforderlich sein, und es dürfen keine milderen, ebenso geeigneten Mittel zur Verfügung stehen. Auch müssen sich die öffentlichen Organe über die Richtigkeit der Personendaten vergewissern und die Daten angemessen schützen.
Private müssen bei der Bearbeitung von Personendaten darauf achten, dass sie keine widerrechtliche Persönlichkeitsverletzung begehen. Das heisst, dass auch sie die Daten verhältnismässig bearbeiten, sich über die Richtigkeit der Personendaten vergewissern und die Daten angemessen schützen müssen. Ausserdem darf die Datenbearbeitung nicht gegen den ausdrücklichen Willen einer Person erfolgen. Sensible Personendaten dürfen Dritten nur bekanntgegeben werden, wenn die betroffene Person eingewilligt hat, oder wenn eine gesetzliche Grundlage oder ein überwiegendes privates oder öffentliches Interesse besteht.
Wie kann gegen eine Datenschutzverletzung vorgegangen werden?
Wer einer beruflichen Schweigepflicht untersteht (z.B. Arztgeheimnis) oder in seiner beruflichen Tätigkeit sensible Daten bearbeitet und diese Daten ohne gesetzliche Grundlage oder ohne ausdrückliche Einwilligung an Dritte bekanntgibt, macht sich strafbar.
Bei einer widerrechtlichen Datenbearbeitung kann die betroffene Person die Unterlassung der Datenbearbeitung, die Feststellung der Widerrechtlichkeit und die Beseitigung der Folgen verlangen. Zudem kann sie verlangen, dass die Daten vernichtet oder berichtigt werden, oder dass die Bekanntgabe an Dritte gesperrt wird. Auch kann die Veröffentlichung von Entscheiden und deren Mitteilung an Dritte verlangt werden. Unter Umständen ist Schadenersatz und Genugtuung geschuldet. Gegenüber Privaten erfolgt die Geltendmachung im zivilrechtlichen Verfahren, gegenüber den öffentlichen Organen im verwaltungsrechtlichen Verfahren.
Beispiel
Frau M stellt fest, dass ihr Vermieter den anderen Hausbewohnern mitgeteilt hat, dass sie Sozialhilfebezügerin ist. Da Frau M hierzu nicht ausdrücklich zugestimmt hat, kann sie beim zuständigen Zivilgericht gegen ihren Vermieter eine Klage wegen Persönlichkeitsverletzung erheben.
Beispiel
Bei der Einsicht in die über ihn angelegten IV-Akten entdeckt Herr A, dass die IV in einem internen Feststellungspapier fälschlicherweise einen Hirntumor erwähnt. Herr A stellt daraufhin einen Antrag auf Berichtigung der IV-Akten. Da Herr A tatsächlich nie an einem Hirntumor erkrankt ist, berichtigt die IV den Akteneintrag. Würde sich die IV weigern, die Datenberichtigung vorzunehmen, könnte Herr A eine beschwerdefähige Verfügung verlangen und den Rechtsweg beschreiten.
Auskunfts- und Akteneinsichtsrecht
Jede Person hat das Recht auf Zugang zu den eigenen Personendaten. Auf schriftliches Verlangen müssen somit alle vorhandenen Daten, deren Herkunft und deren Bearbeitungszweck bekanntgegeben werden. Die Bekanntgabe erfolgt in der Regel unentgeltlich.
Daten über die Gesundheit können über einen von der betroffenen Person bezeichneten Arzt bzw. über eine von der betroffenen Person bezeichnete Ärztin mitgeteilt werden. Eine Verweigerung des Auskunftsrechts ist nur möglich, wenn dies gesetzlich vorgesehen ist, oder wenn überwiegende Interessen Dritter dies erfordern. Stellt eine Person fest, dass Akteneinträge nicht korrekt sind, kann sie deren Berichtigung oder Löschung beantragen.
Beispiel
Im Rahmen eines Verfahrens betreffend Errichtung einer Beistandschaft möchte Herr T Einsicht in die Akten der Erwachsenenschutzbehörde nehmen. Die Behörde verweigert Herrn T die direkte Einsicht in das sich in den Akten befindende psychiatrische Gutachten, bietet ihm aber an, das Gutachten dem behandelnden Psychiater zuzustellen und ihm dadurch Einsicht zu gewähren. Sofern die direkte Einsicht in das Gutachten Herrn T in Suizidgefahr bringen würde, ist das Vorgehen der Erwachsenenschutzbehörde korrekt.
Wie bei der Datenschutzverletzung erfolgt auch die Geltendmachung des Auskunftsrechts gegenüber Privaten im zivilrechtlichen Verfahren, gegenüber den öffentlichen Organen im verwaltungsrechtlichen Verfahren.
Beispiel
Frau N möchte bei ihrer privaten Haftpflichtversicherung Einsicht in die über sie angelegten Daten haben. Die Haftpflichtversicherung verweigert ihr die Einsicht teilweise und begründet dies damit, dass überwiegende Interessen Dritter dem Auskunftsrecht entgegenstehen. Frau N kann nun versuchen, ihr Auskunftsrecht beim zuständigen Zivilgericht mittels Klage durchzusetzen.
Beispiel
Herr R ist Bewohner eines städtischen Altersheims und möchte die über ihn angelegten Daten einsehen. Das Altersheim gewährt ihm nur ein eingeschränktes Auskunftsrecht und begründet dies ebenfalls mit überwiegenden Interessen Dritter. Herr R kann nun eine anfechtbare Verfügung verlangen und dagegen ein Rechtsmittel erheben.
Besonderheiten im Sozialversicherungsrecht
Wer bei einer Sozialversicherung (z.B. IV, Unfallversicherung, Ergänzungsleistungsstelle) ein Gesuch um Ausrichtung von Leistungen stellt, muss seine Verhältnisse bis an die Grenze der Intimsphäre offenlegen. Mit der Unterzeichnung des Anmeldeformulars werden zudem alle Personen (insbesondere Arbeitgeber, Ärztinnen und Ärzte, Versicherungen, Amtsstellen) ermächtigt, diejenigen Auskünfte zu erteilen, die für die Abklärung des Leistungsanspruchs notwendig sind. Diese Personen sind sodann zur Auskunftserteilung verpflichtet. Damit unterschreibt eine gesuchstellende Person sozusagen eine Generalvollmacht, denn sie kann zum Voraus nicht wissen, an welche Personen und an welche Stellen sich die Sozialversicherung dann tatsächlich wenden wird.
Im Gegenzug hat die gesuchstellende Person ein schützenswertes Interesse daran, dass die über sie angelegten Daten nicht an jede beliebige Drittperson weitergegeben werden. Das Bundesgesetz über den allgemeinen Teil des Sozialversicherungsrechts (ATSG) sieht deshalb eine Schweigepflicht derjenigen Personen vor, die an der Durchführung der Sozialversicherungen beteiligt sind. Dies bedeutet, dass die Sozialversicherungen gegenüber Dritten (z.B. Arbeitgeber) zur Verschwiegenheit verpflichtet sind.
Beispiel
Seit einem Unfall ist Herr S in seiner bisherigen Tätigkeit arbeitsunfähig. Er stellt daher bei der IV ein Gesuch um Ausrichtung einer IV-Rente. Mit der Unterzeichnung des Anmeldeformulars ermächtigt Herr S seinen Arbeitgeber, seine Ärzte und auch die Unfallversicherung, der IV auf Anfrage hin Auskünfte zu erteilen. Aufgrund der Schweigepflicht ist die IV aber nicht befugt, dem Arbeitgeber weitergehende Auskünfte zu erteilen.
Als eine Ausnahme zur allgemeinen Schweigepflicht ist die Amts- und Verwaltungshilfe zu betrachten. Damit können die Sozialver-sicherungen durch schriftliche und begründete Anfrage bei Verwaltungs- und Rechtspflegebehörden oder bei anderen Sozialversicherungen Auskünfte einholen, die zur Anspruchsüberprüfung notwendig sind.
Zu dieser Ausnahme gibt es für die seit 1.1.2022 zu den Versicherungsakten gehörenden Tonaufnahmen im Rahmen einer medizinischen Begutachtung eine spezielle Regelung: Die Tonaufnahme darf nur von der versicherten Person selbst, von den Auftrag gebenden Versicherungsträgern (z.B. IV-Stelle, die die Begutachtung angeordnet hat), von den Entscheidbehörden (z.B. kantonales Versicherungsgericht im Rahmen eines Rechtsmittelverfahrens) sowie von der Eidgenössische Kommission für Qualitätssicherung in der medizinischen Begutachtung abgehört werden. Eine andere, am konkreten Verfahren nicht beteiligte Sozialversicherung hat demgegenüber kein Abhörrecht.
Rechtliche Grundlagen
- Geltungsbereich des Eidgenössischen Datenschutzgesetzes:
Art. 2 und 3 DSG - Geltungsbereiche der kantonalen Datenschutzgesetze: kantonale Datenschutzgesetze
- Besonders schützenswerte Personendaten: Art. 5 lit. c DSG, kantonale Datenschutzgesetze
- Bearbeitung von Daten: Art. 5 lit. e und 6-13 DSG, Art 7 DSV, kantonale Datenschutzgesetze
- Bearbeitung von Daten durch Bundesorgane:
Art. 33-42 DSG, Art. 25-28 DSV - Bearbeitung von Daten durch Private:
Art. 30-32 DSG, Art. 23 und 24 DSV - Bearbeitung von Daten durch öffentliche Organe der Kantone und der Gemeinden und durch private Trägerschaften mit öffentlichen Aufgaben: kantonale Datenschutzgesetze
- Strafbestimmungen: Art. 60-66 DSG, kantonale Datenschutzgesetze
- Geltendmachung Datenschutzverletzung durch öffentliche Organe: Bundesgesetz über das Verwaltungsverfahren, kantonale Verwaltungsverfahrensgesetze
- Auskunftsrecht: Art. 25-29 DSG, Art. 16-22 DSV, kantonale Datenschutzgesetze
- Akteneinsicht im Sozialversicherungsrecht:
Art. 47 und 48 ATSG, Art. 8-9b ATSV - Abhörrecht Tonaufnahmen der medizinischen Begutachtung
Art. 7l ATSV - Ermächtigung zur Auskunftserteilung im Sozialversicherungsrecht:
Art. 28 ATSG - Schweigepflicht im Sozialversicherungsrecht:
Art. 33 ATSG - Amts- und Verwaltungshilfe im Sozialversicherungsrecht:
Art. 32 ATSG