11.2 Konkretes Anwendungsbeispiel Mietverhältnis Hier ist datenschutztechnisch von Belang, was ein Vermieter einen Mietinteressenten fragen darf. Gemäss eidgenössischem Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) sind selbstverständlich Fragen zu seiner Identität gestattet. Darunter fallen Name und Vorname, Geburtsdatum, Adresse und Telefonnummer sowie auch eine E-Mail-Adresse. Hingegen die Frage nach dem Zivilstand ist bereits nicht mehr verhältnismässig. Es darf aber beispielsweise gefragt werden, ob die Wohnung als Familienwohnung dient und wie viele Personen im Mietobjekt wohnen werden. Nicht zulässig ist die Frage nach der Konfession und der konkreten Nationalität der Mieter. Es darf aber gefragt werden, ob jemand eine ausländische Staatsangehörigkeit besitzt, da dies für die Dauer des Mietverhältnisses relevant sein kann. Wird dies bejaht, darf man sich nach der Art der Aufenthaltsbewilligung sowie deren Ablauf erkundigen. Zur Prüfung der Zahlungsfähigkeit darf nach dem Beruf und dem ungefähren Jahreseinkommen gefragt werden. Auch eine Kopie des Betreibungsregisterauszugs darf verlangt werden. Die Frage nach den aktuellen Wohnverhältnissen (Dauer, aktueller Mietzins) ist nicht gestattet. Referenzpersonen dürfen nur kontaktiert werden, wenn die betroffene Person ernsthaft als Mieter oder Mieterin in Frage kommt. Wiederum gestattet ist die Frage nach Haustieren und nach Musikinstrumenten. Hat sich der Vermieter für einen Mietinteressenten entschieden und den Mietvertrag unterzeichnet, darf er das Anmeldeformular sowie alle damit einhergehenden Informationen ins Mieterdossier aufnehmen und behalten. Die Unterlagen der anderen Mietinteressenten hingegen sind umgehend zu vernichten. 11.3 Die wichtigsten Neuerungen des revidierten DSG im Überblick – Erweiterte Nutzereinwilligung – Verbessertes Auskunftsrecht der betroffenen Person – Härtere Sanktionen: Es drohen privaten Personen Bussen bis zu CHF 250 000.00, Unternehmen können bis zu CHF 50 000.00 gebüsst werden. – Meldepflicht bei Verletzungen: Unternehmen müssen einen Cyberangriff oder eine Verletzung der Datensicherheit dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) und allen potenziell betroffenen Parteien so schnell wie möglich melden. Bei einem Sicherheitsvorfall müssen die für die Datenverarbeitung verantwortlichen Personen die folgenden Schritte einleiten: – Vorfall unverzüglich dem EDÖB melden – Art der Datenschutzverletzung darlegen – mögliche Folgen beschreiben – Abhilfemassnahmen erörtern und Risiken für Betroffene minimieren – Betroffene über die Datenschutzverletzung informieren – Die aktuellen Datenschutz- und Bearbeitungsgrundsätze müssen bereits bei der Planung und in das Design von Applikationen einfliessen. So entwickeln Unternehmen Applikationen nach dem «Security First» sowie «Privacy by Design and by Default»-Prinzip, anstatt die SicherheitFeatures nachträglich oder gar erst nach einem Vorfall zu verbessern. – Nur Daten natürlicher Personen werden geschützt. – Auch genetische und biometrische Daten gelten als schützenswerte Personendaten. – Besteht ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person, ist eine Datenschutz-Folgeabschätzung (DSFA) durchzuführen. – Das Führen eines Verzeichnisses der Verarbeitungstätigkeiten ist obligatorisch. Siehe Arbeitsverhältnis Kapitel 7.9 11 Datenschutzrecht | 197
RkJQdWJsaXNoZXIy Mjg5NDY1NA==