Das nDSG schreibt vor, dass betroffene Personen präzise, transparent und in klarer und verständlicher Sprache sowie in leicht zugänglicher Form über die Identität des Verantwortlichen, den Bearbeitungszweck sowie allfällige Empfängerinnen und Empfänger dieser Daten zu informieren sind. Die Datenschutzerklärung ist grundsätzlich in den Sprachen der Website resp. des Angebots zu veröffentlichen. Diese sogenannte Informationspflicht ist ein wesentlicher Teil des Grundsatzes der Transparenz. Diese Informationen muss die betroffene Person erhalten, bevor ihre Daten beschafft werden. Zwar gibt es Ausnahmen von dieser Regelung – zum Beispiel dann, wenn die betroffene Person bereits über die Verwendung ihrer Daten Bescheid weiss, oder wenn die Bearbeitung im Gesetz vorgesehen ist.

Werden die Personendaten ins Ausland bekanntgegeben, muss der oder die Verantwortliche die betroffene Person auch über den Staat informieren, in den die Daten gelangen. Eine Bekanntgabe ins Ausland liegt beispielsweise vor, wenn die Daten auf Servern im Ausland gespeichert werden (Cloud). Die betroffene Person hat in diesem Zusammenhang auch das Recht, jederzeit Informationen zur Bearbeitung ihrer Daten zu verlangen. Zum Beispiel muss eine Arztpraxis darüber Auskunft geben können, wie lange Gesundheitsdaten gespeichert werden.

Für eine Arztpraxis kann diese neue Informationspflicht unter Umständen bedeuten, dass eine Datenschutzerklärung erstellt oder die bestehende Datenschutzerklärung angepasst werden muss. Um diesen Prozess zu erleichtern, stellt die FMH eine Muster-Datenschutzerklärung zur Verfügung. Wichtig ist, dass Vorlagen nicht ungeprüft übernommen, sondern gemäss den eigenen Gegebenheiten angepasst werden. Ist das entsprechende Fachwissen nicht inhouse verfügbar, ist es empfehlenswert, sich externe Unterstützung zu holen. Vorsicht vor Auskünften aus dem Internet: Abgesehen von offiziellen Behördenauskünften sind Informationen aus dem Internet in der Regel nicht verbindlich.

Schliesslich muss der oder die Verantwortliche die betroffene Person auch über eine Entscheidung informieren, die ausschliesslich auf einer automatisierten Bearbeitung beruht und die für die betroffene Person mit einer Rechtsfolge verbunden ist oder sie erheblich beeinträchtigt. Denkbar sind solche automatisierten Einzelentscheidungen bspw. im Bereich der Diagnostik mittels Algorithmen. Die betroffene Person kann in diesem Fall verlangen, dass die automatisierte Einzelentscheidung von einer natürlichen Person überprüft wird.