Umset­zung des revi­dier­ten DSG

Stand: 17.07.2022

Wor­um geht’s?

Das schwei­ze­ri­sche Daten­schutz­ge­setz (DSG) befin­det sich in Revi­si­on. Die revi­dier­te Fas­sung des DSG (revDSG) liegt seit län­ge­rem vor, die zuge­hö­ri­ge Ver­ord­nung befin­det sich noch in der fina­len Aus­ar­bei­tung (Ent­wurf). Bei­de wer­den aber höchst­wahr­schein­lich am 1. Sep­tem­ber 2023 in Kraft tre­ten.

Das revi­dier­te Recht ist kei­ne Umset­zung der DSGVO, von ihr aber stark inspi­riert. Es legt den Fokus auf fol­gen­de Punkte:

  • Stär­kung der “Gover­nan­ce”: Die Ein­hal­tung des Daten­schut­zes soll dadurch gestärkt wer­den, dass Unter­neh­men bestimm­te Pflich­ten an ihre Orga­ni­sa­ti­on und Doku­men­ta­ti­on zu erfül­len haben. Das ver­grö­ssert den Auf­wand der Unternehmen.
  • Stär­kung der Trans­pa­renz: Das Daten­schutz­recht beruht zu einem wesent­li­chen Teil auf der Eigen­ver­ant­wor­tung betrof­fe­ner Per­so­nen Die­se Ver­ant­wor­tung kön­nen sie nur wahr­neh­men, wenn sie ver­ste­hen, wie mit ihren Daten umge­gan­gen wird. Das revDSG führt des­halb eine all­ge­mei­ne Infor­ma­ti­ons­pflicht ein: Anders als heu­te (mit Aus­nah­men) müs­sen Unter­neh­men nach dem revDSG auch über bana­le Daten­be­ar­bei­tung infor­mie­ren. Eine Ver­let­zung die­ser Pflicht kann sogar straf­bar sein. 
  • Stär­kung der Betrof­fe­nen­rech­te: Das revDSG gibt den Betrof­fe­nen des­halb wei­te­re Rech­te, um sich über Daten­be­ar­bei­tun­gen zusätz­lich zu infor­mie­ren und auf die­se ein­zu­wir­ken. Wich­tig ist wei­ter­hin vor allem das Aus­kunfts­recht, d.h. das Recht, von einem Unter­neh­men Anga­ben über der Bear­bei­tung der eige­nen Per­so­nen­da­ten zu erhal­ten. Die­ses Recht kann jeder­zeit und aus belie­bi­gen Grün­den ein­ge­setzt wer­den. Eine Falschaus­kunft kann straf­bar sein. 
  • Stär­kung der Durch­set­zung: Dem EDÖB kommt bei der Durch­set­zung des Daten­schutz­rechts eine wich­ti­ge Rol­le zu (er ist zustän­dig, Daten­be­ar­bei­tun­gen bei pri­va­ten Unter­neh­men und bei Bun­des­or­ga­nen zu über­wa­chen). Das revDSG gibt ihm erwei­ter­te Möglichkeiten.
  • Abschreckung: Eben­falls der Durch­set­zung dient die Abschreckung durch Stra­fen. Das heu­ti­ge DSG sieht nur in Aus­nah­me­fäl­len Bus­sen vor, aber nur bis CHF 10’000 und ohne prak­ti­sche Voll­streckung. Nach neu­em Recht kön­nen bestimm­te vor­sätz­li­che Ver­let­zun­gen mit Bus­se bis CHF 250’000 (für die ver­ant­wort­li­chen Per­so­nen selbst) bestraft werden.

Der Daten­schutz wird nicht nur durch die Revi­si­on des Daten­schutz­rechts gestärkt und ver­schärft. Auch die Erwar­tun­gen von Kun­den, Inve­sto­ren, Behör­den, Part­nern und des Publi­kums ändern sich – war der Daten­schutz für Sta­ke­hol­der lan­ge Zeit kein gro­sses The­ma, ausser­halb regu­lier­ter Bran­chen, gewinnt er nun stark an Beachtung. 

Eine gewis­se Daten­schutz­com­pli­an­ce ist des­halb auch Teil des Manage­ments von Sta­ke­hol­dern gewor­den. Unter­neh­men kön­nen eine Aus­ein­an­der­set­zung mit den Daten­schutz und eine ange­mes­se­ne Umset­zung der neu­en Anfor­de­run­gen des­halb nicht vermeiden. 

Umset­zung des revi­dier­ten Rechts

Einen One-Size-Fits-All-Ansatz gibt es dabei nicht. Zu unter­schied­lich sind Struk­tur und Kom­ple­xi­tät der Unter­neh­men, Kri­ti­ka­li­tät und Umfang der von ihnen bear­bei­te­ten Daten, Bedeu­tung der Daten­be­ar­bei­tung für ihr Geschäfts­mo­dell und die Erwar­tun­gen an den Umgang mit Personendaten.

Es haben sich in der Zwi­schen­zeit aber Erfah­rungs­wer­te gebil­det, die einen gewis­sen Best-Prac­ti­ce-Ansatz her­aus­bil­den. Die­sen Ansatz stel­len wir anschlie­ssend im Sin­ne einer Hil­fe­stel­lung vor allem für KMU kurz dar, mit Hin­wei­sen zum recht­li­chen Rah­men und Vor­schlä­gen für kon­kre­te Mass­nah­men. Beson­ders bei gro­ssen Unter­neh­men und Unter­neh­men in einem kom­ple­xen oder regu­lier­ten Umfeld wer­den sich zahl­rei­che wei­te­re Fra­gen stel­len. Aber auch die läng­ste Rei­se beginnt bekannt­lich mit dem ersten Schritt. 

Es ver­steht sich von selbst, dass die fol­gen­de Dar­stel­lung weder voll­stän­dig noch für alle Fäl­le pas­send ist – Unter­neh­men müs­sen sich mit dem Daten­schutz beschäf­ti­gen und kön­nen dabei vie­les, aber nicht alles aus­la­gern. Ent­spre­chend sind die fol­gen­den Hin­wei­se kei­ne Rechts­be­ra­tung. Sie ste­hen ausser­halb eines Man­dats, und wir geben kei­ne Gewähr­lei­stung und über­neh­men auch kei­ne Haftung. 

Hand­lungs­emp­feh­lun­gen

Die Umset­zung des revi­dier­ten Geset­zes ver­langt eine gewis­se Pla­nung. Aber mit Augen­mass – umfang­rei­che Pro­jekt­pla­nun­gen haben sich jeden­falls für KMU wenig bewährt. Meist las­sen sich die wesent­li­chen Auf­ga­ben recht rasch fest­le­gen. Eine detail­lier­te Gap-Ana­ly­se kann sinn­voll sein, eig­net sich oft aber eher für einen spä­te­ren Zeitpunkt.

Wich­tig ist aber, dass ein Pro­jekt – auch ein klei­nes – vom Manage­ment gestützt wird. Das ver­langt mess­ba­re Erfol­ge, und auch dies spricht dafür, die Pla­nung nicht aus­ufern zu lassen.

Aller­dings ist der Auf­wand der Umset­zung von der Kom­ple­xi­tät und Grö­sse des Unter­neh­mens abhän­gig, eben­so wie von den Anfor­de­run­gen und Erwar­tun­gen der Sta­ke­hol­der, d.h. bspw. der Kun­den und des Publi­kums und bei regu­lier­ten Unter­neh­men auch des Regu­la­tors (der FINMA, des BAG usw.). Und je heik­ler die bear­bei­te­ten Daten sind und je grö­sser ihr Gewicht im Geschäfts­mo­dell, desto höher sind die Risi­ken für das Unter­neh­men. Auch ein Bezug zu Euro­pa spielt eine Rol­le – u.U. müs­sen alle oder bestimm­te Daten­be­ar­bei­tun­gen auch der DSGVO entsprechen.

Bei Star­tups spielt auch ein mög­li­cher Exit eine Rol­le – hier soll­te das Unter­neh­men bei einer Due Dili­gence nicht ganz durchfallen.

Schliess­lich spielt ein Kon­zern­ver­bund eine gro­sse Rol­le. Ein KMU, das Teil einer Grup­pe mit Aus­lands­be­zug ist, muss u.U. die DSGVO umset­zen (wobei das sel­ten zu 100% erfor­der­lich oder mög­lich ist), kann idea­ler­wei­se aber auch auf bestehen­de Grund­la­gen aus dem Kon­zern zurückgreifen.

Todos

  • Über­le­gun­gen zu den genann­ten Punk­ten anstellen
  • mit dem Manage­ment über eine Umset­zung des revi­dier­ten Daten­schutz­rechts sprechen
  • über­le­gen, wer das Pro­jekt intern lei­ten soll und wer dafür die Ver­ant­wor­tung trägt
  • falls erfor­der­lich feh­len­des Fach­wis­sen einkaufen
  • Res­sour­cen pla­nen, ggf. exter­ne Anbie­ter um Offer­ten bitten
  • Zeit­plan abstecken

Das revi­dier­te Recht traut Unter­neh­men nicht mehr zu, den Daten­schutz zu gewähr­lei­sten, ohne dass eine gewis­se Struk­tur und Orga­ni­sa­ti­on geschaf­fen wird. Es ist zwar noch wesent­lich prin­zi­pi­en­ori­en­tier­ter als die DSGVO, aber bestimm­te Abläu­fe und Rah­men­be­din­gun­gen sind zu dokumentieren.

Wei­sung zum Datenschutz

Zunächst soll­te ein Unter­neh­men die Grund­sät­ze sei­nes Umgangs mit Per­so­nen­da­ten in einer inter­nen Richt­li­nie (Poli­cy) regeln. Zwin­gend ist das nicht, aber aus meh­re­ren Grün­den sinnvoll: 

  • Eine Poli­cy legt die Orga­ni­sa­ti­on des Unter­neh­mens im Bereich des Daten­schut­zes fest, und beson­ders auch die inter­nen Zustän­di­gen und Ver­ant­wort­lich­kei­ten. Damit ist eine Poli­cy auch ein Ele­ment der kor­rek­ten Dele­ga­ti­on und damit Ent­la­stung der Führungsorgane.
  • Eine Poli­cy hilft, das Bekennt­nis des Unter­neh­mens zu einem ange­mes­se­nen Daten­schutz intern zu kommunizieren.
  • Es ist abseh­bar, dass Unter­neh­men durch Kun­den und ggf. bei einer Über­nah­me öfter nach einer Poli­cy gefragt werden.
  • Wenn eine Daten­schutz­ver­let­zung geschieht, hilft eine Poli­cy bei der Ver­tei­di­gung oder zumin­dest beim Argu­ment, dass man den Daten­schutz nicht ganz ausser Acht gelas­sen hat.

Das Unter­neh­men soll­te sich im Rah­men der Poli­cy des­halb u.a. über­le­gen, wer wofür zustän­dig sein soll. Dabei stellt sich auch die Fra­ge, wel­ches Know­how und wel­che Res­sour­cen intern vor­han­den sind und was ein­ge­kauft wer­den soll. Eine Fra­ge der Orga­ni­sa­ti­on ist auch die Bestel­lung eines Daten­schutz­be­ra­ters (das ent­spricht mehr oder weni­ger dem “DPO” der DSGVO). Man muss kei­nen Daten­schutz­be­ra­ter bestel­len, aber es kann sinn­voll sein, beson­ders bei Unter­neh­men mit heik­len Daten und sol­chen mit beson­de­ren Kundenerwartungen.

Wei­te­re Poli­ci­es und Anweisungen

Ob wei­te­re Poli­ci­es, Wei­sun­gen oder Anlei­tun­gen erfor­der­lich sind, hängt von der Kom­ple­xi­tät der Orga­ni­sa­ti­on und von sei­nem Geschäfts­mo­dell ab. 

Sinn­voll ist aber jeden­falls eine Poli­cy zur Daten­lö­schung. Dazu fin­den sich anschlie­ssend Hinweise. 

Auch der Umgang mit Daten­si­cher­heits­ver­let­zun­gen ist wesent­lich. Zum einen führt das revDSG eine Pflicht ein, Sicher­heits­ver­let­zun­gen unter bestimm­ten Vor­aus­set­zun­gen dem EDÖB oder den betrof­fe­nen Per­so­nen mit­zu­tei­len. Dafür steht nur eine beschränk­te Frist zur Ver­fü­gung. Zum ande­ren führt ein fal­scher Umgang mit Sicher­heits­ver­let­zun­gen zu Repu­ta­ti­ons­ri­si­ken. Unter­neh­men müs­sen sich des­halb über­le­gen, wie sie sicher­stel­len, dass Sicher­heits­ver­let­zun­gen rasch ent­deckt und intern auf­ge­nom­men oder eska­liert werden.

Eben­falls sinn­voll kann eine gene­rel­le Anlei­tung sein  im Sin­ne mög­lichst ein­fa­cher und kon­kre­ter Hin­wei­se –, wie gene­rell mit ausser­ge­wöhn­li­chen Situa­tio­nen umzu­ge­hen ist, bspw. mit einer Sicher­heits­ver­let­zung, einem Aus­kunfts­be­geh­ren oder auch dem Ein­satz neu­er Software.

Todos

  • Aus­ar­bei­tung eines Ent­wurfs einer Poli­cy mit den wesent­li­chen Grund­sät­zen des Daten­schut­zes im Unternehmen
  • Abstim­mung mit den inter­nen betrof­fe­nen Per­so­nen – wer eine Auf­ga­be erhält, muss sie akzep­tie­ren und dafür ent­spre­chend vor­be­rei­tet wer­den (und die erfor­der­li­chen Res­sour­cen haben)
  • Über­le­gun­gen, ob wei­te­re Poli­ci­es oder Anwei­sun­gen sinn­voll sind, z.B. für die Daten­lö­schung oder den Umgang mit Sicherheitsverletzungen 
  • ggf. Aus­ar­bei­tung wei­te­rer Poli­ci­es oder Anweisungen

Das revi­dier­te Gesetz ver­langt, dass Unter­neh­men ein Ver­zeich­nis ihrer Bear­bei­tungs­tä­tig­kei­ten füh­ren – ein Ver­zeich­nis in Text­form (sofern die revi­dier­te Ver­ord­nung nichts ande­res fest­legt), z.B. als Excel, in Con­flu­ence, in einem ande­ren Tool oder mit einer spe­zia­li­sier­ten Soft­ware. In die­sem Ver­zeich­nis sind für ein­zel­ne Arten von Bear­bei­tun­gen (z.B. “Bewer­ber­ma­nage­ment”, “Lohn­zah­lun­gen”, “News­let­ter­ver­sand” usw.) bestimm­te Anga­ben zu erfassen. 

Das gilt nicht nur für soge­nann­te Ver­ant­wort­li­che, son­dern auch für Auf­trags­be­ar­bei­ter wie z.B. IT-Dienstleister.

Aller­dings sind Unter­neh­men von die­ser Pflicht vor­aus­sicht­lich befreit, wenn sie weni­ger als 250 Mit­ar­bei­ten­de beschäf­ti­gen. Sol­che Unter­neh­men müs­sen sich über­le­gen, ob sie frei­wil­lig ein Bear­bei­tungs­ver­zeich­nis füh­ren wol­len. Dafür spricht, dass es als Teil einer guten Com­pli­an­ce ange­se­hen wird, was bei einem Ver­stoss Argu­men­te in die Hand gibt. Dage­gen spricht, dass die lau­fen­de Füh­rung des Ver­zeich­nis­ses auf­wen­dig sein kann, und dass es dem Unter­neh­men prak­tisch gese­hen oft wenig nützt, wenn es qua­li­ta­tiv nicht gut und in Abläu­fe ein­ge­bet­tet ist.

Todos

  • Prü­fung, ob die Aus­nah­me von der Pflicht greift, ein Bear­bei­tungs­ver­zeich­nis zu führen
  • Bestim­mung, in wel­cher Form ein Bear­bei­tungs­ver­zeich­nis geführt wer­den soll
  • Defi­ni­ti­on einer Vor­la­ge (das kann ein ein­fa­ches Excel mit einer Zei­le pro Bear­bei­tungs­tä­tig­keit sein)
  • Über­le­gun­gen zum Vor­ge­hen für die initia­le Erhe­bung und spä­ter die lau­fen­de Aktua­li­sie­rung des Verzeichnisses
  • ggf. Anlei­tung an die betref­fen­den Stel­len (Hin­wei­se, Bei­spie­le für die Erfas­sung usw.)
  • Erfas­sung der Bearbeitungstätigkeiten

Das heu­ti­ge DSG ver­langt nur in Aus­nah­me­fäl­len eine aus­drück­li­che Infor­ma­ti­on über die Bear­bei­tung von Per­so­nen­da­ten (wenn beson­ders schüt­zens­wer­te Per­so­nen­da­ten wie z.B. Gesund­heits­da­ten oder Per­sön­lich­keits­pro­fi­le beschafft wer­den). In den mei­sten Fäl­len reicht es, wenn sich eine Bear­bei­tung von selbst versteht.

Das ändert sich mit dem revi­dier­ten Gesetz. Ana­log zur DSGVO ver­langt das Gesetz bei allen Bear­bei­tun­gen eine Infor­ma­ti­on, sofern nicht eine Aus­nah­me greift. Das gilt sogar bei selbst­ver­ständ­li­chen und tri­via­len Bear­bei­tun­gen. Damit wird zwar nie­man­dem gehol­fen, aber eine Ver­let­zung die­ser Pflicht kann sogar straf­bar sein. 

Unter­neh­men soll­ten des­halb über ihre Bear­bei­tun­gen infor­mie­ren, meist in Form von Daten­schutz­er­klä­run­gen. Das sind Hin­wei­se oder Doku­men­te, die sich zur Daten­be­ar­bei­tung äussern – sie sind nicht Ver­trags­be­stand­teil und soll­ten in der Regel auch nicht Teil von AGB sein.

Wel­che und wie vie­le Daten­schutz­er­klä­run­gen erfor­der­lich sind, ist vom Geschäfts­mo­dell abhän­gig. Mei­stens wer­den es aber etwa fol­gen­de sein:

  • eine all­ge­mei­ne Daten­schutz­er­klä­rung, die auf der Web­site bereit­ge­stellt wird und die die mei­sten Bear­bei­tun­gen abdeckt, z.B. den Umgang mit End­kun­den­da­ten, mit Daten von Kon­takt­per­so­nen bei Kun­den und Lie­fe­ran­ten, beim Mar­ke­ting, bei der Zusam­men­ar­beit mit Part­nern usw.;
  • eine sepa­ra­te Coo­kie Noti­ce, die den Umgang mit Per­so­nen­da­ten über die Webseite(n) und ggf. Apps erklärt. Sie kann Teil der all­ge­mei­nen Daten­schutz­er­klä­rung sein, aber eine eige­ne Erklä­rung ent­spricht oft mehr den Erwartungen;
  • eine Daten­schutz­er­klä­rung für Mitarb-eiten­de. Sie kann sich auch zu Stel­len­be­wer­ben­den äussern, sofern hier nicht eine eige­ne Daten­schutz­er­klä­rung ver­wen­det wird.

Eine ande­re Fra­ge ist, auf wel­che Wei­se betrof­fe­ne Per­so­nen (d.h. Per­so­nen, deren Daten bear­bei­tet wer­den), auf die pas­sen­de Daten­schutz­er­klä­rung hin­ge­wie­sen wer­den. Dafür gibt es kei­ne One-Size-Fits-All-Lösung – ent­schei­dend sind die Schnitt­stel­len mit den betrof­fe­nen Per­so­nen. Sinn­voll sind aber Hinweise

  • in Ver­trä­gen, zumin­dest in Ver­trä­gen mit End­kun­den (AGB) und in Arbeits­ver­trä­gen oder ‑regle­men­ten,
  • in der Fuss­zei­le der Web­sei­te und in Apps,
  • in Kor­re­spon­denz mit betrof­fe­nen Per­so­nen, z.B. in einer E‑Mail-Signa­tur, in Rech­nun­gen, Bestell­for­mu­la­ren usw. Hier kön­nen und soll­ten auch Bestands­kun­den, deren Daten vor dem Inkraft­tre­ten des neu­en Geset­zes beschafft wor­den sind, auf die Daten­schutz­er­klä­rung auf­merk­sam gemacht werden.

Ein­wil­li­gun­gen sind nach schwei­ze­ri­schem Daten­schutz­recht dage­gen nicht häu­fig erfor­der­lich. An Ein­wil­li­gun­gen ist aber zu den­ken, wenn beson­ders schüt­zens­wer­te Daten (z.B. Gesund­heits­da­ten) wei­ter­ge­ge­ben wer­den und beim E‑Mail-Mar­ke­ting.

Todos

  • Aus­ar­bei­tung der Daten­schutz­er­klä­run­gen – dafür ste­hen Muster zur Ver­fü­gung, die sich mit den not­wen­di­gen Anpas­sun­gen als Aus­gangs­ma­te­ri­al eig­nen. Ein aus­führ­li­ches Muster fin­det sich hier, und wei­te­re Muster sind verfügbar
  • Über­le­gun­gen zu Hin­wei­sen auf die Daten­schutz­er­klä­run­gen bspw. in Ver­trä­gen und Musterkorrespondenz
  • allen­falls Über­le­gun­gen zu Anpas­sun­gen der Daten­be­ar­bei­tun­gen, z.B. zur Ablö­sung oder Ein­stel­lung bestimm­ter Ana­ly­se­tools auf Websites.

Das revi­dier­te DSG ver­langt in bestimm­ten Fäl­len den Abschluss von Ver­trä­gen. Das ergibt sich dar­aus, dass das DSG ver­schie­de­ne Rol­len von Unter­neh­men unterscheidet: 

  • Ver­ant­wort­li­cher: Das ist das­je­ni­ge Unter­neh­men, das Daten im eige­nen Inter­es­se bear­bei­tet oder bear­bei­ten lässt und das über die­se Bear­bei­tung bestimmt. Ein Unter­neh­men ist z.B. ein Ver­ant­wort­li­cher für die Bear­bei­tung der Daten sei­ner Mit­ar­bei­ter und sei­ner (End-)Kunden.
  • Auf­trags­be­ar­bei­ter: Ein Auf­trags­be­ar­bei­ter bear­bei­tet auch Daten, aber nur als Dienst­lei­ster für einen Ver­ant­wort­li­chen. Ein Auf­trags­be­ar­bei­ter ist z.B. ein Hosting­dienst­lei­ster oder der Anbie­ter einer Cloud-basier­ten Soft­ware­lö­sung: Hier bestimmt der Ver­ant­wort­li­che über die Art und Wei­se der Daten­be­ar­bei­tung. Man­che Dienst­lei­ster sind aller­dings auch Ver­ant­wort­li­che – dann, wenn sie über die Art der Daten­be­ar­bei­tung weit­ge­hend selbst ent­schei­den. Ein Bei­spiel ist eine Anwaltskanzlei.

Auf­trags­be­ar­bei­tung

Weil sich die­se Rol­len bei der Bear­bei­tung so stark unter­schei­den, tun es auch die daten­schutz­recht­li­chen Pflich­ten. Der Ver­ant­wort­li­che muss das vol­le Pflich­ten­pro­gramm des DSG ein­hal­ten (des­halb heisst er auch “Ver­ant­wort­li­cher”). Ein Auf­trags­be­ar­bei­ter muss und kann das nicht im glei­chen Umfang, weil er bis zu einem gewis­sen Grad vom Ver­ant­wort­li­chen gesteu­ert wird – er ist sozu­sa­gen des­sen ver­län­ger­ter Arm. 

Dies ver­langt aber auch, dass der Ver­ant­wort­li­che und der Auf­trags­be­ar­bei­ter ihre Bezie­hung ver­trag­lich regeln. Dazu müs­sen sie einen sog. Auf­trags­be­ar­bei­tungs­ver­trag schlie­ssen – Regeln bspw. über das Wei­sungs­recht des Ver­ant­wort­li­chen, sein Recht, die Daten­be­ar­bei­tung zu prü­fen, und die Pflicht des Auf­trags­be­ar­bei­ters, die Daten­si­cher­heit zu gewähr­lei­sten und beim Ende sei­nes Auf­trags Daten zu löschen.

Fehlt ein sol­cher Ver­trag bei einer Auf­trags­be­ar­bei­tung, kann das nach dem revi­dier­ten DSG straf­bar sein. Der Ver­ant­wort­li­che muss des­halb sicher­stel­len, dass er sol­che Ver­trä­ge geschlos­sen hat oder schliesst. Bei Anbie­tern von Stan­dard­lö­sun­gen ist das i.d.R. der Fall – sie schlie­ssen sol­che Ver­trä­ge in ihre Stan­dard­ver­trä­ge ein. Bei ande­ren Anbie­tern kön­nen sie aber fehlen. 

Und beson­ders kon­zern­in­tern feh­len sol­che Ver­trä­ge nicht sel­ten, wenn eine Gesell­schaft kon­zern­in­tern zen­tra­le Dienst­lei­stun­gen wie z.B. ein CRM-System betreibt. Kon­zern­in­tern kön­nen auch wei­te­re Punk­te zu regeln sein, z.B. der Arbeits­ein­satz von Mit­ar­bei­ten­den einer Gesell­schaft für eine andere.

Gemein­sa­me Verantwortung

Neben der Auf­trags­be­ar­bei­tung gibt es auch die gemein­sa­me Ver­ant­wor­tung, wenn meh­re­re Unter­neh­men gemein­sam über eine Bear­bei­tung ent­schei­den. Das Kon­zept ist reich­lich unklar, aber kon­zern­in­tern ist eine gemein­sa­me Ver­ant­wor­tung häu­fig, wenn meh­re­re Kon­zern­ge­sell­schaf­ten die­sel­be Lösung z.B. für das Mit­ar­bei­ter­ma­nage­ment oder ein CRM ver­wen­den. Auch bei Part­ner­schaf­ten, bei denen Daten für ein gemein­sa­mes Pro­dukt bear­bei­tet wer­den, sind gemein­sa­me Ver­ant­wort­lich­kei­ten nicht selten.  Anders als die DSGVO ver­langt das revi­dier­te Gesetz nicht aus­drück­lich eige­ne Ver­ein­ba­rung zwi­schen den gemein­sam Ver­ant­wort­li­chen. Sie ist aber sinn­voll, denn hier ist eine Abgren­zung der Zustän­dig­kei­ten und Ver­ant­wor­tung oft schwie­rig. Es soll­te daher i.d.R. ver­ein­bart wer­den, wer die betrof­fe­nen Per­so­nen infor­miert, wer sich um Aus­kunfts­be­geh­ren küm­mert, wer die Daten­si­cher­heit gewähr­lei­stet usw. 

Über­mitt­lung ins Ausland

Ein wich­ti­ges The­ma ist der­zeit die Über­mitt­lung von Per­so­nen­da­ten ins Aus­land. Sie ver­langt u.U. eben­falls den Abschluss oder eine Prü­fung von Ver­trä­gen. Dazu fin­den sich anschlie­ssend sepa­ra­te Hinweise.

Todos

  • Zusam­men­stel­lung der bestehen­den Ver­trä­ge mit Dienst­lei­stern bzw. Kun­den, wenn dabei Daten bear­bei­tet werden
  • Prü­fung der ent­spre­chen­den Rollen
  • Prü­fung der Ver­trä­ge auf den erfor­der­li­chen daten­schutz­recht­li­chen Mindestinhalt
  • ggf. Aus­ar­bei­tung einer Stan­dard­ver­ein­ba­rung für Auf­trags­be­ar­bei­tun­gen, beson­ders durch Unter­neh­men, die eine so star­ke Stel­lung haben, dass sie bei Dienst­lei­stern ihre eige­nen Ver­trä­ge ver­wen­den kön­nen, und bei Dienst­lei­stern, die Kun­den sol­che Ver­trä­ge anbie­ten müs­sen oder wol­len (beson­ders IT-Dienstleister)
  • ggf. Abschluss ent­spre­chen­der Ver­trä­ge mit Lie­fe­ran­ten, Kun­den und Partnern

Über­mitt­lung ins Ausland

Das Daten­schutz­recht will Schutz gewähr­lei­sten. Es kann eine Über­mitt­lung in Staa­ten des­halb nicht schran­ken­los zulas­sen, wenn dort der erfor­der­li­che Schutz fehlt. Wie die DSGVO und das heu­ti­ge DSG erlaubt das revi­dier­te DSG eine sol­che Über­mitt­lung des­halb zunächst nur, wenn der Emp­fän­ger­staat einen ange­mes­se­nen Daten­schutz gewähr­lei­stet. Wer­den Daten unzu­läs­sig expor­tiert, kann das nach dem revi­dier­ten DSG straf­bar sein.

Das ist bei allen EWR-Staa­ten und weni­gen wei­te­ren Staa­ten der Fall (der EDÖB führt eine Liste sol­cher Staa­ten, die Län­der­li­ste). Bei Anga­ben über juri­sti­sche Per­so­nen sind laut EDÖB aller­dings auch in sol­chen Staa­ten wei­te­re Mass­nah­men erfor­der­lich (was in der Pra­xis weit­ge­hend igno­riert wird). 

Bei ande­ren Staa­ten wie z.B. den USA oder Indi­en ist eine Über­mitt­lung nur zuläs­sig, wenn der feh­len­de gesetz­li­che Schutz durch den Abschluss eines aus­rei­chen­den Ver­trags mit dem Emp­fän­ger aus­ge­gli­chen wird. Das sind fast immer die soge­nann­ten Stan­dard­ver­trags­klau­seln oder “SCC”, die von der EU-Kom­mis­si­on aus­ge­ar­bei­tet wurden. 

Der EDÖB hat die­se SCC als aus­rei­chend akzep­tiert. Aller­dings ver­langt er, dass sie in eini­gen Punk­ten an das schwei­ze­ri­sche Recht ange­passt werden.

Es gibt auch Aus­nah­men – unter bestimm­ten Umstän­den kann auch bei sol­chen Staa­ten auf den Abschluss eines Ver­trags ver­zich­tet wer­den. Das sind aber eher sel­te­ne Aus­nah­men, die im Rah­men der Umset­zung des revi­dier­ten DSG kaum eine Rol­le spielen.

Unter­neh­men soll­ten des­halb prü­fen, ob sie Daten ins Aus­land bekannt­ge­ben. Das wird sehr oft der Fall sein – nicht nur bei einer Koope­ra­ti­on mit Unter­neh­men im Aus­land, son­dern beson­ders auch bei IT-Dienst­lei­stern. Fin­den sich die­se Dienst­lei­ster in einem Staat, der kei­nen ange­mes­se­nen Daten­schutz gewähr­lei­stet, müs­sen die Ver­trä­ge mit ihnen geprüft wer­den, ob sie die not­wen­di­gen Bestim­mun­gen enthalten.

Schrems II”

Die erwähn­ten SCC, die z.B. mit Daten­emp­fän­gern in den USA zu schlie­ssen sind, sind nur dies – Ver­trä­ge. Anders als das loka­le Recht bin­den sie die Behör­den nicht. Haben die­se zu weit­ge­hen­de Zugriffs­rech­te auf über­mit­tel­te Daten, ist dies aus der Optik des DSG pro­ble­ma­tisch, denn die­se Rech­te kön­nen durch die SCC kaum beschränkt werden.

Der euro­päi­sche Gerichts­hof hat des­halb ent­schie­den (im berüch­tig­ten “Schrems II”-Urteil), dass sich ein Expor­teur nicht blind auf die SCC ver­las­sen darf. Er muss viel­mehr das loka­le Recht prü­fen, und wenn die­ses über­schie­ssen­de Zugriffs­rech­te ver­mit­telt, muss er wei­te­re Mass­nah­men treffen.

Kaum ein The­ma ist der­zeit so umstrit­ten wie die­ses. Zum einen ist unklar, ob sich der Expor­teur dar­auf ver­las­sen darf, dass die loka­len Behör­den an den von ihm über­mit­tel­ten Daten kein Inter­es­se haben wer­den (was in den aller­mei­sten Fäl­len zutref­fen wird). Zum ande­ren ist unklar, wie dem Risi­ko eines Zugriffs über­haupt begeg­net wer­den kann, denn auch tech­ni­sche Mass­nah­men kön­nen die­sen Zugriff in den mei­sten Fäl­len kaum ausschliessen.

In der Pra­xis schät­zen Unter­neh­men die Risi­ken eines Behör­den­zu­griffs mit einem For­mu­lar ein, und wenn die Wahr­schein­lich­keit eines Zugriffs sehr nied­rig ist, haben sie kei­nen Grund zur Annah­me, dass ein Zugriff erfolgt. In die­sem Fall ver­las­sen sie sich auf die SCC. Rechts­si­cher ist die­ses Vor­ge­hen nicht, aber eine ver­nünf­ti­ge Alter­na­ti­ve fehlt.

Das revi­dier­te Gesetz ver­langt, dass Unter­neh­men ein Ver­zeich­nis ihrer Bear­bei­tungs­tä­tig­kei­ten füh­ren – ein Ver­zeich­nis in Text­form (sofern die revi­dier­te Ver­ord­nung nichts ande­res fest­legt), z.B. als Excel, in Con­flu­ence, in einem ande­ren Tool oder mit einer spe­zia­li­sier­ten Soft­ware. In die­sem Ver­zeich­nis sind für ein­zel­ne Arten von Bear­bei­tun­gen (z.B. “Bewer­ber­ma­nage­ment”, “Lohn­zah­lun­gen”, “News­let­ter­ver­sand” usw.) bestimm­te Anga­ben zu erfassen. 

Das gilt nicht nur für soge­nann­te Ver­ant­wort­li­che, son­dern auch für Auf­trags­be­ar­bei­ter wie z.B. IT-Dienstleister.

Aller­dings sind Unter­neh­men von die­ser Pflicht vor­aus­sicht­lich befreit, wenn sie weni­ger als 250 Mit­ar­bei­ten­de beschäf­ti­gen. Sol­che Unter­neh­men müs­sen sich über­le­gen, ob sie frei­wil­lig ein Bear­bei­tungs­ver­zeich­nis füh­ren wol­len. Dafür spricht, dass es als Teil einer guten Com­pli­an­ce ange­se­hen wird, was bei einem Ver­stoss Argu­men­te in die Hand gibt. Dage­gen spricht, dass die lau­fen­de Füh­rung des Ver­zeich­nis­ses auf­wen­dig sein kann, und dass es dem Unter­neh­men prak­tisch gese­hen oft wenig nützt, wenn es qua­li­ta­tiv nicht gut und in Abläu­fe ein­ge­bet­tet ist.

Todos

  • Bestands­auf­nah­me, wo Daten in Staa­ten über­mit­telt wer­den, die kei­nen ange­mes­se­nen Schutz aufweisen
  • Prü­fung, ob auf die ent­spre­chen­de Bekannt­ga­be ver­zich­tet bzw. ob ein Dienst­lei­ster durch einen CH/EU-Anbie­ter ersetzt wer­den könnte
  • Prü­fung, ob mit dem Emp­fän­ger im ent­spre­chen­den unsi­che­ren Staat eine Ver­ein­ba­rung besteht, die die SCC einschliesst
  • falls dem so ist, Prü­fung, ob die SCC auf dem aktu­el­len Stand sind und ob sie die not­wen­di­gen Anpas­sun­gen auf die Schweiz ent­hal­ten (z.B. in Form eines stan­dar­di­sier­ten Zusat­zes, eines “Swiss Addendum”)
  • ggf. Abschluss wei­te­rer Ver­trä­ge (SCC)

Neben den genann­ten Punk­ten sind natür­lich wei­te­re Punk­te zu beden­ken. Ohne Anspruch auf Voll­stän­dig­keit: zwei der wich­tig­sten Punk­te sind sicher die Daten­lö­schung und die Datensicherheit.

Daten­lö­schung

Daten dür­fen gene­rell und schon nach dem heu­ti­gen Daten­schutz­recht nicht län­ger auf­be­wahrt wer­den, als dafür ein legi­ti­mer Zweck besteht. 

Das betrifft z.B. 

  • Geschäfts­zwecke, die eine Bear­bei­tung von Daten erfor­der­lich machen, bspw. im Arbeits­ver­hält­nis oder gegen­über Kun­den und Lieferanten
  • Geschäfts­zwecke, die nicht zwin­gend sind, aber legi­tim, z.B. die Spei­che­rung von Daten für Mar­ke­ting­zwecke, zur Doku­men­ta­ti­on, zur Erstel­lung von Sta­ti­sti­ken usw. 
  • gesetz­li­che Auf­be­wah­rungs­pflich­ten, die auch eine Auf­be­wah­rung von Per­so­nen­da­ten ver­lan­gen kön­nen, bspw. für Buch­hal­tungs­zwecke, im Steu­er­be­reich und im Arbeitsverhältnis. 

Wenn aber kei­ne legi­ti­men Grün­de für eine Spei­che­rung mehr bestehen und auch kei­ne gesetz­li­che Auf­be­wah­rungs­pflicht mehr gilt, müs­sen Per­so­nen­da­ten gelöscht oder anony­mi­siert wer­den. Eine Löschung hat auch Vor­tei­le – die Risi­ken einer Sicher­heits­ver­let­zung kön­nen sin­ken, die Infor­ma­ti­ons­pflicht wird weni­ger rasch ver­letzt und Aus­kunfts­be­geh­ren sind ein­fa­cher kor­rekt zu beantworten. 

In ein­fa­che­ren Ver­hält­nis­sen kann die­se Löschung z.T. von Hand erfol­gen, bspw. bei Bewer­ber­d­os­siers, bei Unter­la­gen von Mit­ar­bei­tern, die das Unter­neh­men vor lan­ger Zeit ver­las­sen haben oder bei ehe­ma­li­gen Kun­den, wenn kei­ne Ver­jäh­rungs­frist mehr greift. 

Eine Löschung von Hand ist aber feh­ler­an­fäl­lig und unvoll­stän­dig. Auto­ma­ti­sier­te Lösch­rou­ti­nen zu imple­men­tie­ren kann aber eine aus­ge­spro­chen anspruchs­vol­le, lang­wie­ri­ge und kost­spie­li­ge Auf­ga­be sein, beson­ders bei Unter­neh­men, deren kom­ple­xe IT orga­nisch gewach­sen ist. 

Ein ver­nünf­ti­ger Mit­tel­weg – zumin­dest für den Beginn – ist meist eine Kom­bi­na­ti­on einer Wei­sung zur Auf­be­wah­rung und Löschung mit einer geeig­ne­ten Kon­fi­gu­ra­ti­on der Appli­ka­tio­nen. Falls sich ein System nicht so kon­fi­gu­rie­ren lässt, dass es Daten zu einer bestimm­ten Zeit löscht, kann eine Archi­vie­rung einen gewis­sen Ersatz darstellen. 

  • Wo mit Gewiss­heit ver­al­te­te Daten lie­gen: Beginn einer Auf­räum­ak­ti­on (z.B. bei geteil­ten Ord­nern, die alte Bewer­ber­d­os­siers enthalten)
  • Abklä­rung der wesent­li­chen Auf­be­wah­rungs­fri­sten (eine Mischung aus Auf­be­wah­rungs­pflich­ten und Ver­jäh­rungs­fri­sten), am besten in einer Lösch-Policy
  • Defi­ni­ti­on von Regeln für das hän­di­sche Löschen (eben­falls in der Lösch-Policy)
  • Kon­fi­gu­ra­ti­on von Appli­ka­tio­nen zur auto­ma­ti­schen Löschung, soweit mög­lich und sinnvoll

Todos

  • Wo mit Gewiss­heit ver­al­te­te Daten lie­gen: Beginn einer Auf­räum­ak­ti­on (z.B. bei geteil­ten Ord­nern, die alte Bewer­ber­d­os­siers enthalten)
  • Abklä­rung der wesent­li­chen Auf­be­wah­rungs­fri­sten (eine Mischung aus Auf­be­wah­rungs­pflich­ten und Ver­jäh­rungs­fri­sten), am besten in einer Lösch-Policy
  • Defi­ni­ti­on von Regeln für das hän­di­sche Löschen (eben­falls in der Lösch-Policy)
  • Kon­fi­gu­ra­ti­on von Appli­ka­tio­nen zur auto­ma­ti­schen Löschung, soweit mög­lich und sinnvoll

Daten­si­cher­heit

Das revi­dier­te Recht ver­schärft die Anfor­de­run­gen an die Daten­si­cher­heit grund­sätz­lich nicht, sieht man von der Pflicht Mel­dung bestimm­ter Sicher­heits­ver­let­zun­gen ab. Nicht aus­ge­schlos­sen ist eine Straf­bar­keit bei gewis­sen Ver­let­zun­gen, aber der­zeit ist das unwahr­schein­lich. Was sich aber ver­schärft, ist die Bedro­hungs­la­ge. Angrif­fe wie Ran­som-Angrif­fe, CFO Frauds und ande­re neh­men stark zu, und sie sind oft erfolgreich. 

Unter­neh­men müs­sen sich des­halb zwin­gend mit der Sicher­heit ihrer Syste­me aus­ein­an­der­set­zen. Das wird häu­fig den Ein­satz exter­ner Spe­zia­li­sten ver­lan­gen. Oft kön­nen aber schon ein­fa­che­re Mass­nah­men einen erheb­li­chen Sicher­heits­ge­winn brin­gen, z.B. eine Prü­fung, ob Zugriffs­rech­te noch den aktu­el­len Rol­len und Funk­tio­nen ent­spre­chen und Zugriffs­rech­te ehe­ma­li­ger MIt­ar­bei­ten­der wider­ru­fen wurden. 

Aller­dings ist es damit nicht getan. Erfah­rungs­ge­mäss sind es oft Mit­ar­bei­ter, die Ein­falls­tor einer Sicher­heits­ver­let­zung sind. Sie müs­sen des­halb infor­miert und geschult wer­den, z.B. um Phis­hing-Angrif­fe erken­nen zu können. 

Todos

  • sofern die Sicher­heits­mass­nah­men nicht auf dem aktu­el­len Stand sind: ent­spre­chen­de Prü­fung der eige­nen Syste­me und Schnittstellen 
  • Schu­lung der Mit­ar­bei­ten­den in einem geeig­ne­ten Mass und Turnus