Was kommt mit dem neuen Datenschutzgesetz auf Stiftungen und Non-Profit-Organisationen in der Schweiz zu?
Wichtig ist zunächst einmal, dass sich nicht alles grundlegend ändert. So bleiben die datenschutzrechtlichen Grundprinzipien dieselben. Damit geht die Schweiz einen anderen Weg als die Europäische Union. In der EU ist jede Datenbearbeitung per se widerrechtlich. Dementsprechend muss man jede Bearbeitungshandlung rechtfertigen können. In der Schweiz hat der Gesetzgeber hingegen eine andere Variante gewählt: Solange man sich an die Grundprinzipien hält (Rechtmässigkeit, Treu und Glauben, Verhältnismässigkeit und Richtigkeit der Daten), ist eine Datenbearbeitung zulässig. Werden diese eingehalten, liegt keine Persönlichkeitsverletzung vor, und man benötigt in der Regel keine Rechtfertigung.
Das neue Datenschutzrecht sieht aber auch wichtige Erweiterungen vor. So muss ein Verzeichnis über die Datenbearbeitung geführt werden, die verantwortliche Person muss den Betroffenen angemessen informieren, sie hat eine weitreichende Meldepflicht, und auf Verlangen des Betroffenen muss sie umfassend Auskunft erteilen. Der Betroffene hat auch einen Löschungsanspruch. Gerade der Löschungsanspruch führt in der Praxis aber immer wieder zu Problemen. Einerseits ist es technisch nicht immer leicht, einen bestimmten Datensatz aus einer Datenbank zu löschen. Andererseits stehen dem Löschungsanspruch auch gewisse Pflichten und berechtigte Interessen von Stiftungen und Non-Profit-Organisationen gegenüber.
In der EU ist jede Datenbearbeitung per se widerrechtlich. In der Schweiz hat der Gesetzgeber hingegen eine andere Variante gewählt.“
Welche Aufbewahrungspflichten müssen Stiftungen und Non-Profit-Organisationen beachten?
Stiftungen sind zur ordentlichen Buchführung verpflichtet. Demnach müssen sie ihre Geschäftsbücher und Buchungsbelege mindestens zehn Jahre lang aufbewahren. Diese Dokumente enthalten auch personenbezogene Daten. Auch aus steuerrechtlicher Sicht bestehen Aufbewahrungspflichten. Geschäftsunterlagen sind nach Mehrwertsteuerrecht zum Teil sogar während 20 Jahren aufzubewahren. Es gibt also eine ganze Reihe von Vorschriften, die uns sagen, welche Daten wir für wie lange aufbewahren müssen.
Wie müssen Stiftungen in solchen Fällen mit Löschungsanträgen umgehen?
Grundsätzlich ist die Stiftung verpflichtet, die Löschung vorzunehmen. Sind jedoch Personendaten betroffen, die von den gesetzlichen Aufbewahrungspflichten erfasst sind, zum Beispiel in Geschäftsbüchern, Belegen und Steuerunterlagen, so dürfen und müssen diese für die Dauer der gesetzlichen Aufbewahrungsfrist beziehungsweise der absoluten Verjährungsfrist allfälliger Ansprüche verwahrt werden. An sich darf eine Datenbearbeitung gegen den Willen der betroffenen Person nicht erfolgen. Werden die Daten dennoch verarbeitet, ist die Datenbearbeitung widerrechtlich, widerspricht damit den genannten Grundprinzipien und stellt eine Persönlichkeitsverletzung dar. Die datenbearbeitende Stiftung oder Non-Profit-Organisation kann sich aber rechtfertigen. Eine solche Rechtfertigung stellt beispielsweise die Erfüllung gesetzlicher Pflichten dar. Die genannten Aufbewahrungsfristen sind solche Pflichten. Die Löschung kann damit verweigert werden. Denn der Löschungsanspruch gilt eben nicht absolut.
Bedeutet das, dass solche Löschungsanfragen nie zu einer sofortigen Löschung führen?
Nein, das heisst es nicht. Vielmehr ist es immer davon abhängig, welche Daten von der Anfrage betroffen sind. Handelt es sich beispielsweise um Daten von Destinatären, die Beiträge der Stiftung erhalten haben, so sind diese relevant für die Geschäftsbücher und die Buchungsbelege. Ein allfälliger Löschungsanspruch eines Destinatärs kann also im Widerspruch zur Aufbewahrungspflicht stehen. Handelt es sich hingegen um Personendaten, die für einen Newsletter bearbeitet werden, so könnten diese namentlich für die Geschäftsbücher nicht relevant sein. In diesem Fall muss also eine Löschung erfolgen. Es muss also immer geprüft werden, ob die Personendaten von Gesetzes wegen aufzubewahren sind.
Verjährungsfristen können bei der Frage nach einer Aufbewahrungspflicht beziehungsweise einem Aufbewahrungsrecht relevant sein. Wie spielen diese zusammen?
Neben der Erfüllung gesetzlicher Pflichten können auch überwiegende private Interessen Rechtfertigungsgründe darstellen. Könnte sich die Stiftung oder Non-Profit-Organisation mit Forderungen konfrontiert sehen oder solche geltend machen wollen, hat sie folglich ein Interesse daran, die hierfür erforderlichen Daten aufzubewahren. Verlangt nun jemand die Löschung seiner Daten, kann die Stiftung oder NPO den Antrag ablehnen, weil sie die Daten in einem allfälligen späteren Prozess benötigt. Sie kann die Datenbearbeitung gegen den Willen der Betroffenen mit dem Verweis auf das überwiegende Interesse rechtfertigen.
Ein allfälliger Prozess kann aber nur solange geführt werden, als die Verjährung nicht eingetreten ist. Spätestens nach Ablauf der absoluten Verjährungsfrist ist der Anspruch nicht mehr durchsetzbar. Dann besteht auch kein berechtigtes Interesse mehr an der Datenaufbewahrung. Die Löschung hat zu erfolgen. Die absoluten Verjährungsfristen können von zwei bis – nach der neuen Regelung – 20 Jahre dauern. Die Aufbewahrungs- und Verjährungsfristen können sich auch überschneiden. In diesem Fall gilt die längere Frist. Sobald diese abgelaufen ist, müssen die Daten gelöscht werden.
Sebastian Rieger ist Advokat und Leiter der Abteilung Recht und Finanzen bei Pro Fonds.
