Die Bestimmungen der DSGVO sind für schweizerische Unternehmen relevant. Dies gilt insbesondere dann, wenn ein schweizerisches Unternehmen Personendaten im Auftrag eines Datenverantwortlichen in der EU bearbeitet, wenn ein schweizerisches Unternehmen sich mit einem Onlineshop spezifisch an EU-Bürger richtet oder auf einer Webseite die Internetaktivitäten von EU-Bürgern beobachtet. Nicht nur die DSGVO wirkt sich extraterritorial aus. Auch ohne explizite gesetzliche Regelung kann bereits das geltende schweizerische Datenschutzrecht auf internationale Verhältnisse Anwendung finden. Daran wird sich mit der Revision des schweizerischen Datenschutzgesetzes nichts ändern. Die Anwendbarkeit des schweizerischen Datenschutzgesetzes auf ausländische Unternehmen bzw. die Anwendbarkeit der DSGVO auf schweizerische Unternehmen ist das eine. In der Praxis schwieriger ist die Vollstreckung von datenschutzrechtlichen Massnahmen und Sanktionen im internationalen Verhältnis.

Die Rechtsnatur pseudonymisierter Bankkundendaten ist lange unklar geblieben. Nach jüngster Rechtsprechung sind solche Daten prinzipiell aus Sicht des Empfängers weder vom DSG noch vom Bankgeheimnis geschützt, sofern die Pseudonymisierung die Wiedererkennung der betroffenen Kunden wirksam verhindert. Angesichts der einschlägigen Rechtsprechung sind jedoch bestimmte Vorsichtsmassnahmen (namentlich eine gründliche Risikobewertung) vor der Weitergabe pseudonymisierter Bankkundendaten empfehlenswert.

Die Verfolgung der Bewegungen von Menschen ist eine höchst in die Privatsphäre eingreifende Massnahme. Daten, aus denen ableitbar ist, ob bestimmte Personen infiziert sein könnten, sind sehr sensibel. Die SwissCovid-App wurde deshalb im Zeichen der Datenvermeidung und Datensparsamkeit und der Transparenz ihrer Funktionen und der Verarbeitung personenbezogener Daten entwickelt. Dieser Artikel erarbeitet die Anforderungen an eine datenschutzfreundliche Contact-Tracing-App und diskutiert alternative Umsetzungsmöglichkeiten.

Das neue Datenschutzrecht – die DSGVO wie auch das revDSG – beruhen weiterhin auf dem Autonomieprinzip, obwohl dessen Prämissen fraglich sind. Die Stellung des Betroffenen wird dabei durch flankierende Massnahmen gestärkt. Leider wird das Autonomieprinzip aber oft überdehnt und dadurch im Grunde verletzt. Auch der Umgang mit Risiken ist nicht konsistent, gerade im revDSG. Das revDSG lässt aber Raum für eine prinzipienbasierte Anwendung, etwa dann, wenn die heutige Praxis zum Persönlichkeitsprofil – das vom Bearbeitungskontext abhängig ist – beim Profiling mit hohem Risiko weitergeführt wird und der Begriff des «hohen Risikos» auch sonst über das revDSG hinweg konsistent ausgelegt und konkretisiert wird.