Am 1. September 2023 ist das revidierte Datenschutzgesetz in der Schweiz in Kraft getreten. Viel wurde im Vorfeld darüber diskutiert. Vor allem die im Gesetz vorgesehenen Sanktionen (Busse von bis zu Fr. 250 000.–) lassen aufhorchen – und machen es notwendig, dass Datenbearbeiter der neuen Gesetzeslage besondere Aufmerksamkeit schenken. In diesem Beitrag wird in der gebotenen Kürze auf die wesentlichen Neuerungen des Gesetzes und insbesondere auf dessen Auswirkungen auf Hauseigentümer resp. Vermieter hingewiesen.
Unter dem revidierten Datenschutzgesetz gilt eine weitreichendere Informationspflicht gegenüber der betroffenen Person, weshalb Vermieter ihre Mieter nach neuem Recht umfangreicher informieren müssen.
Das neue Gesetz wartet insbesondere mit verschärften Transparenzbestimmungen auf. Für Datenbearbeiter gelten neu erhöhte Informationspflichten. Sie müssen Betroffenen Mitteilung über die Beschaffung persönlicher Daten (sog. Personendaten) machen und Auskunftsanfragen zeitnah, korrekt und umfassend beantworten. Bearbeitung – worunter auch die Aufbewahrung und Löschung fällt – und Beschaffung von Personendaten müssen verhältnismässig und zweckmässig erfolgen. Zudem muss die Datensicherheit gewährleistet sein, das heisst, dass die gespeicherten Daten gegen unbefugten Zugriff, Beschädigung oder Diebstahl gesichert sein müssen.
Besondere Vorsicht bei der Datenweitergabe
Datenbearbeiter sind angehalten, die notwendigen technischen und organisatorischen Massnahmen zu ergreifen, damit die Datenschutzvorschriften eingehalten werden können. Welche Massnahmen im spezifischen Einzelfall konkret zu ergreifen sind, hängt vom Stand der Technik, der Art und dem Umfang der Datenbearbeitung sowie dem sich daraus ergebenden Risiko ab. Die Verordnung zum Datenschutzgesetz regelt die entsprechenden Massnahmen. Bei der Bekanntgabe von Personendaten an Auftragsbearbeiter – also Dritte, die im Auftrag des Datenverantwortlichen Personendaten bearbeiten – ist sicherzustellen, dass diese ebenfalls in der Lage sind, die Datensicherheit zu gewährleisten. Besondere Vorsicht ist geboten, wenn Personendaten ins Ausland bekanntgegeben werden. Zwar ist die Bekanntgabe von Personendaten ins Ausland grundsätzlich zulässig, sofern der betroffene Staat einen «angemessenen» Datenschutz gewährleistet. Ist jedoch nicht klar, ob das betroffene Land über einen ausreichenden Schutz verfügt, empfiehlt es sich, eine explizite Einwilligung bei der betroffenen Person einzuholen.
Verstärkte Informationspflicht
Auch Immobilieneigentümer, Vermieter und Verwalter sind von der neuen Datenschutzgesetzgebung betroffen. Die bisherige zulässige Datenbearbeitung ist auch unter dem revidierten Gesetz in der Regel zulässig. Jedoch gilt unter dem revidierten Datenschutzgesetz eine weitreichendere Informationspflicht gegenüber der betroffenen Person, weshalb die Vermieterschaft Mieterinnen und Mieter nach neuem Recht umfangreicher informieren muss. Konkret muss mitgeteilt werden, wer für die Datenbearbeitung verantwortlich ist, wer Daten empfängt und in welchem Umfang die Daten bearbeitet werden (sog. Bearbeitungszweck). Die Informationspflicht entfällt, wenn die betroffene Person bereits über die entsprechenden Informationen verfügt, zum Beispiel weil sie die Personendaten selbst zugänglich macht oder die betroffene Person bereits schon zu einem früheren Zeitpunkt informiert wurde. Schliesslich wäre weiter darauf hinzuweisen, wenn Personendaten ins Ausland bekanntgegeben werden.
Das revidierte Datenschutzgesetz schreibt vor, dass Personendaten nach dem Wegfall des Bearbeitungszweckes zu löschen bzw. zu anonymisieren sind. Dies gilt grundsätzlich bei Daten von Mietinteressentenformularen, wenn kein Mietvertrag zustande kam. Ebenso ist dies bei der Beendigung des Mietverhältnisses der Fall, sofern keine weitere Rechtsbeziehung zwischen den Parteien besteht. Vorbehalten bleiben allfällige Aufbewahrungspflichten bzw. berechtigte
Aufbewahrungsinteressen.
Im Hinblick auf die äusserst einschneidenden Sanktionsmassnahmen ist es ratsam, sich mit den neuen Bestimmungen auseinanderzusetzen und die notwendigen technischen und organisatorischen Massnahmen umzusetzen. Sofern die obenerwähnten Informationspflichten (bereits) eingehalten werden, besteht hingegen keine konkrete Handlungspflicht für Liegenschaftseigentümer bzw. Vermieter.