Grundbekenntnis der Schweizer Wirtschaft zu einem verantwortungsvollen Umgang mit Daten

Im Zeitalter der Digitalisierung nimmt der Umgang mit Daten eine immer wichtigere Rolle ein. Daten werden gemeinhin als Rohstoff der digitalen Welt bezeichnet. Ein nachhaltiger und sorgsamer Umgang mit Daten, insbesondere mit Personendaten, und das dadurch geschaffene Vertrauen werden zu einem kritischen Erfolgsfaktor für Wirtschaft und Gesellschaft. Dabei gilt es ein ausgewogenes Verhältnis zwischen allgemeinen gesellschaftlichen Zielen, Unternehmensinteressen und den Interessen von Konsumentinnen und Konsumenten anzustreben. 

Das vorliegende Papier wurde durch eine repräsentative, branchenübergreifende und interdisziplinär zusammengesetzte Arbeitsgruppe aus dem Kreis der economiesuisse-Mitglieder erarbeitet. Es ist ein Bekenntnis der Schweizer Wirtschaft zum verantwortungsvollen Umgang mit Daten über ihren gesamten Lebenszyklus hinweg.

Auf der Grundlage der geltenden Gesetze wollen wir mit zehn Grundprinzipien und ergänzenden Ausführungen zu den fünf Phasen im Daten-Lebenszyklus – beginnend bei der Erfassung bis hin zur Löschung – Transparenz und damit Vertrauen schaffen.

Interessierten Unternehmen soll das Papier als Basis für die Umsetzung eigener Gestaltungsideen für den Umgang mit Daten in ihrem Verantwortungsbereich dienen.
Wir wünschen der interessierten Leserschaft eine spannende Lektüre und den Unternehmen viel Erfolg bei der Umsetzung ihrer Gestaltungsideen. 

Folgende Organisationen, welche die Thematik des verantwortungsvollen Umgangs mit Daten im Rahmen ihrer Aktivitäten nahe verfolgen, haben ausdrücklich erklärt, das «Grundbekenntnis» mitzutragen: 
 

Weiteren Organisationen steht es offen, ebenfalls eine Unterstützungserklärung abzugeben. Sie werden in der elektronischen Ausgabe sofort, in der gedruckten Fassung bei der nächsten Auflage ergänzt. Alle Trägerorganisationen werden in die weitere Entwicklung des «Grundbekenntnisses» mit einbezogen. 

Um die genannten Ziele zu erreichen, bekennt sich die Schweizer Wirtschaft zu folgenden zehn Grundprinzipien im Umgang mit Personendaten: 

1. Treu und Glauben

Wir halten uns beim Umgang mit Personendaten an Treu und Glauben. Treu und Glauben bezeichnet das Verhalten eines redlich, anständig und rücksichtsvoll handelnden Menschen und Unternehmens.

2. Transparenz und Erkennbarkeit

Wir gestalten die Beschaffung von Personendaten so, dass sie für die betroffene Person erkennbar ist und legen ihr auch den Zweck der Datenbearbeitung offen. Dieses Bekenntnis dient der Transparenz von Datenbearbeitungen und konkretisiert den Grundsatz von Treu und Glauben. Ist eine Datenbearbeitung transparent und erkennbar, verzichten wir zugunsten eines ökonomischen und benutzerfreundlichen Datenflusses soweit gesetzlich zulässig auf die Einholung einer Zustimmung der betroffenen Person.

3. Rechtmässigkeit

Wir bearbeiten Personendaten nur rechtmässig, das heisst in Einklang mit der jeweils anwendbaren Rechtsordnung.

4. Verhältnismässigkeit

Wir richten uns bei der Bearbeitung von Personendaten nach dem Verhältnismässigkeitsprinzip:  Personendaten werden nur soweit erfasst und bearbeitet, als dies für einen bestimmten Zweck notwendig und geeignet ist. Wir nehmen stets eine Interessenabwägung zwischen dem Zweck der Bearbeitung und dem Risiko eines Eingriffs in die Persönlichkeitsrechte der betroffenen Person vor. 

5. Datenqualität

Wir sorgen dafür, dass die Personendaten in Bezug auf die konkrete Bearbeitung und deren Zweck vollständig, aktuell und richtig sind.

6. Zweckbestimmung und Nutzungsbegrenzung

Wir bearbeiten Personendaten nur zu dem Zweck, der bei der Beschaffung angegeben wurde, aus den Umständen ersichtlich, mit dem ursprünglichen Zweck vernünftigerweise vereinbar oder gesetzlich vorgesehen ist.

7. Sicherung

Wir sichern Personendaten durch angemessene technische, vertragliche und organisatorische Schutzmassnahmen gegen Risiken wie beispielsweise Verlust, unerlaubten Zugang, Zerstörung, Nutzung, Veränderung oder Offenlegung durch Unbefugte.

8. Informationelle Selbstbestimmung

Bei der Datenbearbeitung wahren wir den Schutz der Persönlichkeit der betroffenen Person. Auf Anfrage bestätigen wir das Vorhandensein von Daten der betroffenen Person und übermitteln ihr die von ihr gelieferten Daten mit den verfügbaren Angaben über deren Herkunft und Zweck ihrer Bearbeitung. Besteht ein Recht auf Löschung oder Änderung, so kommen wir dem nach. 

9. Diskriminierungsverbot

Wir bekennen uns dazu, dass durch Datenbearbeitungen niemand durch unzulässige Diskriminierung benachteiligt werden darf. Eine solche liegt vor, wenn eine sachlich nicht begründete, ungleiche Bearbeitung von vergleichbaren Personendaten vorgenommen wird.

10. Verantwortlichkeit 

Wir sind für die Einhaltung dieser Grundprinzipien verantwortlich.

Wir definieren als Verantwortliche klare Regeln für Rollen, Prozesse und eingesetzte Technologien. Kernelemente einer solchen Governance sind Transparenz, Verantwortlichkeitsprinzip und Datenethik. Mit einem risikobasierten Ansatz schützen wir die Persönlichkeits- und Freiheitsrechte der betroffenen Person, was das Vertrauen in die Datenbearbeitung fördern soll. Dazu identifizieren wir die Risiken, die aus der Datenbearbeitung entstehen und stellen den Persönlichkeitsschutz der betroffenen Person in Abwägung mit dem allgemeinen oder besonderen Nutzen der Bearbeitung sicher. Wir unterziehen die Daten-Governance einer ethischen Überprüfung.

Die Datenkreation und -erfassung von Personendaten durch das Unternehmen hat in der Praxis verschiedene Quellen:

Aktiv zur Verfügung gestellte Personendaten werden von der betroffenen Person bekannt gegeben. Dies geschieht zum Beispiel bei Anfragen, Bestellungen oder der Registrierung für Newsletter.

Beobachtete Personendaten werden ohne aktives Zutun der betroffenen Person automatisch erfasst. Mögliche Quellen sind beispielsweise Bezahlsysteme, Sensoren wie Kameras, Standort- und Bewegungsdaten oder Cookies auf Websites. 

Mittels Datenanalyse erzeugte Personendaten werden durch Algorithmen oder Systeme der Künstlichen Intelligenz (KI) aus zur Verfügung gestellten anderen Daten erzeugt. Beispiele sind die Ermittlung von Präferenzen einer Person für bestimmte Güter oder Dienstleistungen oder die Berechnung der Kundenrentabilität aus der Anzahl der Besuche in einem Geschäft und der gekauften Artikel.

• Wir bekennen uns dazu, dass wir die Erhebung von Personendaten auf das für den Zweck der Erhebung Notwendige beschränken. Die Erhebung erfolgt zudem transparent und erkennbar.

  So erheben wir als verantwortliche Unternehmen beispielsweise keine Personendaten, lediglich weil sie vielleicht in Zukunft nützlich sein könnten.
   

• Vor der Kreation und Erfassung von Daten beurteilen wir das Risiko für die Rechte und Freiheiten der betroffenen Person.
   
• In Fällen der Datenkreation und -erfassung ohne Wissen der betroffenen Person sorgen wir im Sinne einer Good Corporate Data Governance gegenüber der betroffenen Person für eine angemessene Transparenz bei der Datenbearbeitung. Dabei tragen wir allfälligen gegensätzlichen Interessen angemessen Rechnung.

Die Datenhaltung beginnt mit Eintritt der Daten in den Verantwortungsbereich eines Unternehmens und endet mit dem Austritt aus diesem oder durch Löschung beziehungsweise Vernichtung.

Daten können sowohl auf unternehmensinternen Systemen (beispielsweise Server, On-/Offline-Storage) wie auch auf Systemen von Dritten (beispielsweise Cloud) gespeichert werden.
 

• Wir bewahren Personendaten nicht länger als notwendig auf. Wenn der ursprüngliche Zweck für die Erhebung nicht mehr vorhanden ist und keine Rechtsgrundlage für die weitere Speicherung der Daten besteht, so löschen oder vernichten wir die Personendaten oder wir ergreifen eine Massnahme, die für die betroffene Person den gleichen Effekt hat.
   

• Wir orientieren uns für die Datensicherheitsanforderungen am Risiko, welches die Datenbearbeitung bestimmter Daten für die Persönlichkeit der betroffenen Person mit sich bringt.
   

• Wir ergreifen die erforderlichen und geeigneten technischen, organisatorischen und vertraglichen Massnahmen, um die gehaltenen Personendaten dem Risiko entsprechend angemessen zu schützen.

  Zwecks Aufbaus eines Sicherheitssystems im verantwortlichen Unternehmen richten wir uns an bestehenden Sicherheitsstandards aus. Mit zunehmender Sensibilität der Daten unterliegt das Sicherheitssystem, insbesondere die Sicherheitsvorkehrungen, Schutzmechanismen und Verfügbarkeiten, höheren Anforderungen.
   

• Zugriffsrechte richten wir nach dem «Need-to-know»-Prinzip aus. Die mit der Bearbeitung betrauten Personen haben nur auf die in Zusammenhang mit ihrer Arbeit notwendigen Daten Zugriff.

Die Datennutzung erfolgt zweckgebunden. Wir setzen Profiling, das Arbeitsabläufe beschleunigt und einen positiven Nutzen für die betroffene Person haben kann, verhältnismässig ein und nutzen wo angebracht Pseudonymisierung und Anonymisierung bei der Datennutzung, um die Identität der betroffenen Person zu schützen.

• Wir bearbeiten Personendaten zweckgebunden. Das heisst, die Bearbeitung muss mit dem bestimmten und für die Person erkennbaren Beschaffungszweck vereinbar sein.
   

• Profiling kann Arbeitsabläufe beschleunigen und auch für die betroffene Person einen positiven Nutzen haben. Es ist aus dem Alltagsgeschäft nicht mehr wegzudenken. Wir setzen Profiling verhältnismässig ein und führen, soweit notwendig, eine Risikoabschätzung in Bezug auf die verwendeten Daten und Folgen für die betroffene Person durch.
   

• Wir verwenden Methoden der Pseudonymisierung und Anonymisierung, um die Identität der betroffenen Person bei der Datennutzung zu schützen.

  Bei einer Pseudonymisierung darf lediglich der Inhaber eines De-Pseudonymisierungsschlüssels weiterhin die Möglichkeit haben, eine Zuordnung der Daten zu einer bestimmten Person vorzunehmen. Dabei gelten pseudonymisierte Daten nur für Inhaber des Schlüssels weiterhin als Personendaten.

  Bei einer Anonymisierung ist eine Re-Identifikation einer bestimmten Person aus den Daten in einer angemessenen und in einer für den Verantwortlichen zumutbaren Weise, auf Basis der neusten Technik, ausgeschlossen. Weil damit die Bestimmbarkeit einzelner Personen ausgeschlossen ist, stellen anonymisierte Daten keine Personendaten mehr dar und fallen somit nicht unter die Datenschutzgesetzgebung.
   

• Wir fördern die Verständlichkeit der Datennutzung für die betroffene Person. Dafür wählen wir zwecks Vereinfachung der Verständlichkeit von Informationen eine geeignete Kommunikationsform, so beispielsweise Piktogramme. Bei der Verwendung von Piktogrammen orientieren wir uns an allfälligen bestehenden Standards.

In einer immer mehr digitalisierten und aufgrund von Kosten und Effizienz zunehmend arbeitsteilig und grenzüberschreitend organisierten Wirtschaft ist Datenverkehr eine alltägliche Form von Datenbearbeitung.

Datenverkehr umfasst jede Form der Übermittlung sowohl durch Sendung oder gewährten Zugriff von Daten zwischen Personen und Unternehmen, unabhängig vom Rechtsgrund.

• Wir informieren die betroffene Person spezifisch über Datenverkehr, der nicht ohne Weiteres erkennbar ist. Das erlaubt der betroffenen Person das eigenverantwortliche Handeln im Umgang mit den eigenen Daten.
   

• Wir begrüssen einen grenzüberschreitenden, einheitlichen Datenraum, der ein angemessenes Datenschutzniveau gewährleistet und keine unnötigen Hürden aufbaut. Dies gilt auch innerhalb von Konzernen, im Rahmen von Outsourcing-Lösungen und Vertriebsketten.
   

• Wir treffen alle notwendigen Massnahmen gemäss aktuellem Stand der Technik, um Daten vor dem Zugriff unbefugter Dritter zu schützen.
  
  In Länderkonstellationen mit angemessenem Datenschutz sind keine zusätzlichen Schutzmassnahmen notwendig.
  
  In den anderen Fällen ergreifen wir zusätzliche notwendige Massnahmen personeller, organisatorischer, technischer oder vertraglicher Art.
   

• Im Rahmen der rechtlichen Vorgaben geben wir der betroffenen Person auf Anfrage Auskunft über Daten, die wir von ihr erhalten oder über sie gesammelt haben.
   

• Wir bekennen uns zu einer sinnvollen Datenportabilität.

  Diese Datenportabilität wird mit gängigen, typischerweise elektronischen Formaten erfüllt.

  Es handelt sich dabei um die Daten, welche die betroffene Person zur Verfügung gestellt hat.
   

• Wir achten darauf, dass der Datenaustausch mit Dritten den vorliegenden Grundprinzipien genügt.

Unter Löschen oder Vernichten wird die unwiderrufliche Zerstörung, Unkenntlichmachung oder die irreversible Entfernung von Personendaten verstanden.

Wo eine solche unwiderrufliche Löschung nicht möglich ist, ergreifen wir eine Massnahme, welche die gleiche Wirkung hat. 

Zuvor vorhandene Daten sind nach dem Vorgang des Löschens oder Vernichtens nicht mehr vorhanden oder unkenntlich.

• Jede Datenbearbeitung soll so ausgestaltet sein, dass Personendaten entsprechend den gesetzlichen Vorschriften gelöscht oder vernichtet werden können.
   

• Daten werden gelöscht oder vernichtet, sobald der Bearbeitungszweck erreicht ist, die Aufbewahrungsfristen abgelaufen sind oder die betroffene Person dies im Rahmen der geltenden Gesetzgebung verlangt.
   

• Die Anonymisierung stellt eine Alternative zur Löschung oder Vernichtung dar.
   

• Wir stellen sicher, dass die Anforderungen und Vorgaben für die Löschung oder Vernichtung der Daten auch für Datenbestände eingehalten werden, die bei Dritten bearbeitet werden.
   

• Wir gestalten unsere Prozesse so, dass Löschungs- oder Vernichtungsvorgänge nach dem Stand der Technik durchgeführt werden können und ein Plan für die Löschung oder Vernichtung vorliegt (Data Governance). 

Wir bedanken uns bei der branchenübergreifenden Arbeitsgruppe Datenkodex und deren Fachexperten für die gute Zusammenarbeit.