Daten­schutz 101

Daten­schutz­recht ist in der Dog­ma­tik über­schau­ba­rer als man­che ande­re Rechts­ge­bie­te, wie die­se aber kom­plex in der Anwen­dung. Wir erläu­tern die wich­tig­sten Punk­te des­halb übersichtsweise:

All­ge­mei­nes zum Datenschutzrecht

Die­ser Abschnitt ent­hält eini­ge all­ge­mei­ne Infor­ma­tio­nen zum Daten­schutz­recht. Er kann auch über­sprun­gen wer­den – für das Ver­ständ­nis der wei­te­ren Aus­füh­run­gen ist er nicht notwendig.

Das Daten­schutz­recht ist die Gesamt­heit der Rechts­nor­men, die den Umgang mit Per­so­nen­da­ten und den zusam­men­hän­gen­den Rech­ten und Pflich­ten regeln.

Man kann zunächst das for­mel­le und das mate­ri­el­le Daten­schutz­recht unter­schei­den: Das for­mel­le Daten­schutz­recht sind die Daten­schutz­ge­set­ze des Bun­des, der Kan­to­ne und der Gemein­den mit den ent­spre­chen­den Aus­füh­rungs­be­stim­mun­gen. Das mate­ri­el­le Daten­schutz­recht sind die­se und alle wei­te­ren Bestim­mun­gen, die Per­so­nen­da­ten regeln. Sie sind in diver­sen Erlas­sen ver­streut, z.B. im Sozi­al­ver­si­che­rungs­recht, im Finanz­markt­recht, im Ener­gie­recht, im Fern­mel­de­recht usw. Häu­fi­ge Rege­lungs­ge­gen­stän­de sind Geheim­nis­be­stim­mun­gen (z.B. Art. 33 ATSG, Art. 86 BVG, Art. 47 BankG, Art. 69 FINIG, Art. 321 StGB, Art. 43 FMG usw.) und bei Bun­des­or­ga­nen gesetz­li­che Grund­la­gen für die Bear­bei­tung von Per­so­nen­da­ten und ihre Bekannt­ga­be (z.B. Art. 84 f. KVG, Art. 4 BÜPF, Art. 112a DBG usw.).

Man kann auch das Daten­schutz­recht im enge­ren und im wei­te­ren Sin­ne unter­schei­den. Daten­schutz­recht im enge­ren Sin­ne regelt spe­zi­fisch den Umgang mit Per­so­nen­da­ten, das Daten­schutz­recht im wei­te­ren Sin­ne den Umgang mit bestimm­ten Daten, die per­so­nen­be­zo­gen sein kön­nen oder es i.d.R. sind (etwa Geheimnisbestimmungen).

Schliess­lich kann man das Daten­schutz­recht als Teil des Daten­rechts ver­ste­hen. Das Daten­recht umfasst alle Bestim­mun­gen, die den Umgang mit Daten regeln, auch wenn sie nicht per­so­nen­be­zo­gen sind («Daten» ver­stan­den als Infor­ma­tio­nen, die eine gewis­se Ver­kör­pe­rung erfah­ren, und sei es nur als Laut – das Recht erfasst Infor­ma­tio­nen erst bei einer Ver­kör­pe­rung, die rei­ne Infor­ma­ti­on kann es nicht erfassen). 

Inner­halb des Daten­schutz­rechts las­sen sich sodann Ebe­nen unter­schei­den – man könn­te dies als Zwie­bel­mo­dell beschrei­ben. Kern sind die mate­ri­el­len Vor­ga­ben an den Umgang mit Per­so­nen­da­ten, vor allen die Bear­bei­tungs­grund­sät­ze. Dazu kom­men als wei­te­re Schicht Pflich­ten des Ver­ant­wort­li­chen, die nicht direkt dem Umgang mit Per­so­nen­da­ten betref­fen, die­sen aber absi­chern sol­len. Das ist z.B. die Pflicht, ein Bear­bei­tungs­ver­zeich­nis zu füh­ren, eine Daten­schutz­fol­gen­ab­schät­zung durch­zu­füh­ren oder eine Sicher­heits­ver­let­zung zu mel­den. Eine drit­te Schicht bil­den Betrof­fe­nen­rech­te, die dem Betrof­fe­nen eine Ein­wir­kung auf die Daten­be­ar­bei­tung ermög­li­chen sol­len. Und als vier­te Schicht kom­men Kon­troll­be­fug­nis­se des EDÖB und Sank­tio­nen dazu.

In der Schweiz:

  • Der­zeit vor allem im Daten­schutz­ge­setz des Bun­des (DSG) und in der Ver­ord­nung zum DSG (VDSG). Das gilt für pri­va­te Unter­neh­men und für Bun­des­or­ga­ne. Für öffent­li­che Orga­ne der Kan­to­ne und Gemein­den sind die kan­to­na­len Daten­schutz­ge­set­ze anwend­bar (sie­he Links).
  • Das Daten­schutz­recht wird revi­diert. Das revi­dier­te DSG (revDSG) liegt in einer fina­len Fas­sung vor. Die VDSG wird eben­falls revi­diert, ist der­zeit aber erst im nicht fina­len Ent­wurf bekannt (E‑VDSG).
  • Je nach Gebiet und Tätig­keit gel­ten beson­de­re Vor­schrif­ten, die eine bestimm­te Bran­che oder eine bestimm­te Tätig­keit regeln, z.B. das Gesetz gegen den unlau­te­ren Wett­be­werb, das Finanz­markt­recht, das Sozi­al­ver­si­che­rungs­recht etc. Hier fin­den sich oft auch daten­schutz­recht­li­che Bestim­mun­gen. Zudem kön­nen Geheim­nis­be­stim­mun­gen gel­ten, z.B. für Ban­ken, ande­re Finanz­in­sti­tu­te, Ärz­te, Fern­mel­de­dienst­an­bie­ter, Kran­ken­ver­si­che­rer, Vor­sor­ge­ein­rich­tun­gen usw. 

In Euro­pa:

  • Hier gilt vor allem die DSGVO.
  • Auch wenn die DSGVO das Daten­schutz­recht an sich umfas­send regelt, bleibt den Mit­glied­staa­ten ein gewis­ser Spiel­raum. Die Mit­glied­staa­ten des EWR haben des­halb wei­ter­hin eige­ne Daten­schutz­ge­set­ze, mit denen sie Lücken der DSGVO fül­len (sie­he Links).
  • Je nach Gebiet gel­ten auch hier beson­de­re Rege­lun­gen, z.B. im Bereich des E‑Commerce oder bei Coo­kies und ande­ren Tech­no­lo­gien im Inter­net und bei Apps.

Das Geheim­nis­schutz­recht schützt Geheim­nis­se. Dazu gehö­ren die Berufs­ge­heim­nis­se z.B. der Ärz­te, Psy­cho­lo­gen, Anwäl­te, Bank­mit­ar­bei­ten­den, Mit­ar­bei­ten­den von Finanz­in­sti­tu­ten usw. Auch nach kan­to­na­lem Recht kön­nen Berufs­ge­heim­nis­se gel­ten, und auch nach dem Berufs- und Stan­des­recht. Ver­wandt mit dem Berufs­ge­heim­nis ist auch das Amtsgeheimnis. 

Dazu kom­men Geschäfts­ge­heim­nis­se, die z.B. das Straf­recht und das Lau­ter­keits­recht schützen. 

Es gibt aller­dings kein all­ge­mei­nes Geheinm­nis­schutz­recht. Es gibt Grund­struk­tu­ren, ins­be­son­de­re Gemein­sam­kei­ten beim Begriff des Geheim­nis­ses und dem Tat­be­stand der Offen­ba­rung. Es sind aber Nuan­cen je nach Geheim­nis zu beach­ten. Bspw. kann sich der Geheim­nis­wil­le, der bei den mei­sten Geheim­nis­sen den Umfang des Geheim­nis­schut­zes bestimmt, je nach Art des Geheim­nis­ses unterscheiden. 

Ja, vie­le, und immer mehr. Bei­de Gebie­te befin­den sich in einer gewis­sen Kon­ver­genz. Das liegt vor allem dar­an, dass bei­de Gebie­te im Zuge der Digi­ta­li­sie­rung stark an Bedeu­tung gewon­nen haben und ent­spre­chend detail­lier­ter dis­ku­tiert wer­den. Die­se ver­tief­ten Ana­ly­sen för­dern ver­stärkt Gemein­sam­kei­ten zuta­ge, so etwa die Bedeu­tung der Erwar­tun­gen der geschütz­ten Per­so­nen, d.h. der betrof­fe­nen Per­so­nen und der Geheimnisherren. 

Dazu kommt eine stär­ke­re Steue­rung des Daten­schutz­rechts durch straf­recht­li­che Sank­tio­nen. Dadurch ver­stärkt sich das Daten­schutz­straf­recht, und zwar beson­ders in Situa­tio­nen, in denen Daten an Drit­te wei­ter­ge­ge­ben wer­den. Es ist kein Zufall, dass das revDSG gera­de in sol­chen Situa­tio­nen Stra­fen vor­sieht, z.B. bei der Auf­trags­be­ar­bei­tung, der Bekannt­ga­be ins Aus­land und der Bekannt­ga­be gehei­mer Per­so­nen­da­ten (wenn auch nicht aus­schliess­lich in die­sen Fäl­len). Die­se Sank­tio­nie­rung der Bekannt­ga­be bringt das Daten­schutz­recht näher an das Geheim­nis­schutz­recht, auch wenn es zwi­schen bei­den wei­ter­hin grund­le­gen­de Unter­schie­de gibt.

Grund­be­grif­fe

Per­so­nen­da­ten sind alle Anga­ben, die sich auf eine bestimm­te oder bestimm­ba­re Per­son bezie­hen (wobei das heu­ti­ge DSG auch Anga­ben erfasst, die sich auf eine juri­sti­sche Per­son bezie­hen, anders als die DSGVO und auch das revDSG).

Bestimmt ist eine Per­son, wenn ihre Iden­ti­tät aus dem Daten­satz selbst her­vor­geht (z.B. «am Diens­tag ass Frau Mül­ler mit Herrn Peters im Restau­rant X»). Zu viel mehr Dis­kus­sio­nen Anlass gibt die Fra­ge, wann und durch wen eine Per­son bestimm­bar ist. Das ist jeden­falls dann der Fall, wenn jemand, der Zugang zu einem Datum hat, die­ses einer Per­son zuord­nen kann, weil er über die erfor­der­li­chen Zusatz­in­for­ma­tio­nen ver­fügt («Mit­ar­bei­ter 123452» ist für die HR-Abtei­lung ein Per­so­nen­da­ten, für einen Aussen­ste­hen­den nicht unbedingt.

Dis­ku­tiert wird vor allem, ob erst dann von Bestimm­bar­keit aus­zu­ge­hen ist, wenn jemand mit Zugang zum Datum auf eine Per­son schlie­ssen kann («rela­ti­ver Ansatz») oder schon dann, wenn es ein belie­bi­ger Drit­ter könn­te («abso­lu­ter Ansatz»). In der Schweiz gilt nach dem Logi­step-Urteil des Bun­des­ge­richts der rela­ti­ve Ansatz. In Euro­pa gilt nach dem Brey­er-Ent­scheid des EuGH das­sel­be, aber die Anfor­de­run­gen an die Bestimm­bar­keit wer­den recht nied­rig angesetzt.

Eben­falls dis­ku­tiert wird, ob eine Iden­ti­fi­ka­ti­on Kennt­nis des Namens oder eines ande­ren gän­gi­gen Iden­ti­fi­ka­tors vor­aus­setzt, oder ob es schon genügt, dass eine Per­son – wenn auch unbe­kannt – von allen ande­ren unter­schie­den wer­den kann («Sin­gu­la­ri­sie­rung»). Euro­päi­sche Behör­den schei­nen sich ver­mehrt dem Kon­zept der Sin­gu­la­ri­sie­rung zuzu­wen­den, letzt­lich aus rei­nen Schutz­über­le­gun­gen und daher eher als poli­ti­schen als aus recht­li­chen Gründen.

Kei­ne Per­so­nen­da­ten sind Daten, die anony­mi­siert wurden.

Das DSG und – mit bestimm­ten Ände­run­gen – auch das revDSG betrach­ten bestimm­te Arten von Per­so­nen­da­ten als beson­ders hei­kel. Die­se Daten wer­den in bestimm­ter Hin­sicht beson­ders geschützt. Bspw. muss bereits nach dem heu­ti­gen DSG aus­drück­lich infor­miert wer­den, wenn sol­che Daten beschafft wer­den. Und die Bekannt­ga­be beson­ders schüt­zens­wer­ter Per­so­nen­da­ten an Drit­te muss gerecht­fer­tigt wer­den, d.h. grund­sätz­lich gilt sie als ver­let­zend. Es gibt wei­te­re Fol­gen der Ein­stu­fung als beson­ders schüt­zens­wer­te Per­so­nen­da­ten – sofern sol­che Daten auf Grund­la­ge einer Ein­wil­li­gung bear­bei­tet wer­den, kann die­se nur aus­drück­lich erteilt wer­den; ist die Bear­bei­tung umfang­reich, muss eine Daten­schutz-Fol­gen­ab­schät­zung durch­ge­führt wer­den, und wer­den sol­che Daten zu nicht per­so­nen­be­zo­ge­nen Zwecken z.B. der Sta­ti­stik bear­bei­tet, gel­ten beson­de­re Anfor­de­run­gen. Bei Bun­des­or­ga­nen setzt die Bear­bei­tung beson­ders schüt­zens­wer­ter Daten über­dies eine Rechts­grund­la­ge in einem Gesetz im for­mel­len Sinn vor­aus, sofern kei­ne Aus­nah­me greift.

Beson­ders schüt­zens­wer­te Per­so­nen­da­ten sind Daten über die reli­giö­sen, welt­an­schau­li­chen, poli­ti­schen oder gewerk­schaft­li­chen Ansich­ten oder Tätig­kei­ten (z.B. Zah­lun­gen an eine reli­giö­se Gemein­schaft, Anga­ben über die Teil­nah­me an einer gewerk­schaft­li­chen Ver­an­stal­tung), die Gesund­heit, die Intim­sphä­re (z.B. sexu­el­le Ori­en­tie­rung), die Ras­sen­zu­ge­hö­rig­keit (z.B. Anga­be über die Eth­nie), bio­me­tri­sche Daten (z.B. ein Gesichts­scan für Zutrit­te), und Daten über Mass­nah­men der sozia­len Hil­fe oder admi­ni­stra­ti­ve oder straf­recht­li­che Ver­fol­gun­gen und Sanktionen.

Dass bestimm­te Kate­go­rien von Daten gene­rell als beson­ders schüt­zens­wert ein­ge­stuft wer­den, wider­spricht aller­dings dem risi­ko­ba­sier­ten Ansatz, der auf das kon­kre­te und nicht auf ein abstrak­tes Risi­ko Bezug nimmt. Es wäre auch nicht prak­ti­ka­bel, alle Daten mit ent­fernt oder poten­ti­ell beson­ders geschütz­ten Inhal­ten als beson­ders schüt­zens­wert zu betrach­ten. Ein Foto eines Bril­len­trä­gers gilt des­halb nicht als Gesund­heits­da­tum, und ein regio­nal zuor­den­ba­rer Name nicht als Datum über die Ethnie.

Nein. Jeden­falls nicht nach schwei­ze­ri­schem Recht – das hat der immer noch gel­ten­de Logi­step-Ent­scheid des Bun­des­ge­richts klar­ge­stellt. Es besteht den­noch eine Ten­denz, IP-Adres­sen und ande­ren Uni­que Iden­ti­fier wie z.B. eine Coo­kie-ID ohne eigent­li­che Begrün­dung als Per­so­nen­da­tum zu betrach­ten. Auch der EDÖB hat sich schon in die­se Rich­tung geäu­ssert. Und in Euro­pa ist die­se Ten­denz klar, hier wer­den IP-Adres­sen grund­sätz­lich als Per­so­nen­da­tum betrach­tet. Was heisst «Bear­bei­ten»? Was ist ein «Ver­ant­wort­li­cher»? Was sind «gemein­sam Ver­ant­wort­li­che»? Müs­sen gemein­sam Ver­ant­wort­li­che einen Ver­trag schlie­ssen? Was ist ein Auftragsbearbeiter?

Aus­zu­ge­hen ist vom Begriff des Per­so­nen­da­tums. Eine Infor­ma­ti­on ist per­so­nen­be­zo­gen, wenn sie sich auf eine bestimm­te oder bestimm­ba­re Per­son bezieht. “Anonym” ist ein Datum, wenn es kei­nen Per­so­nen­be­zug hat, weil es nie per­so­nen­be­zo­gen war oder weil der Per­so­nen­be­zug spä­ter ent­fal­len ist. “Anony­mi­siert” ist ein Datum, das Per­so­nen­be­zug hat­te, bei der Per­so­nen­be­zug aber bewusst auf­ge­ho­ben wurde.

Das bedeu­tet, dass die Anfor­de­run­gen an die Anony­mi­sie­rung nicht höher lie­gen als umge­kehrt die Anfor­de­run­gen an den Personenbezug.

Wenn ein Datum anony­mi­siert wur­de, ist es kein Per­so­nen­da­tum mehr. Das Daten­schutz­recht gilt für die­ses Datum des­halb nicht mehr. Daten­schutz­recht­lich ist die Bear­bei­tung die­ses Datums daher nicht mehr eingeschränkt.

Dar­aus folgt auch, dass eine Anony­mi­sie­rung daten­schutz­recht­lich die­sel­be Wir­kung hat wie eine Löschung. Denn wenn das Daten­schutz­recht für anony­me Daten nicht gilt, kann es auch nicht ihre Löschung verlangen.

Pseud­ony­mi­sie­rung bedeu­tet, dass der Per­so­nen­be­zug bei einem Per­so­nen­da­ten indi­rekt ist – er ist vor­han­den, aber der Per­so­nen­be­zug ergibt sich nicht aus dem Datum selbst (also nicht “Frau Mey­er­hans”), son­dern nur aus Zusatz­in­for­ma­tio­nen (also “Mit­ar­bei­te­rin 68796”, wobei eine sepa­ra­te Tabel­le die Num­mer 68796 Frau Mey­er­hans zuordnet).

Die Pseud­ony­mi­sie­rung ist dann erfolgt, wenn die­se Zuord­nung sepa­rat vom pseud­ony­mi­sier­ten Datum selbst auf­be­wahrt wird, d.h. genau­er, wenn die­je­ni­ge Stel­le, Per­son oder Abtei­lung, die mit den pseud­ony­mi­sier­ten Datum arbei­tet, kei­nen Zugriff auf die ent­spre­chen­de Zuord­nung hat. Erfor­der­lich ist daher eine gewis­se orga­ni­sa­to­ri­sche und infor­ma­tio­nel­le Trennung.

Die Pseud­ony­isie­rung ist zunächst ein­mal eine Sicher­heits­mass­nah­me. Sie führt nicht dazu, dass der Ver­ant­wort­li­che, der in sei­ner Orga­ni­sa­ti­on eine Pseud­ony­mi­sie­rung vor­ge­nom­men hat, kei­ne Per­so­nen­da­ten mehr bear­bei­tet – das Datum ist pseud­ony­mi­siert, nicht anony­mi­siert. Sie erhöht aber den Schutz der betref­fen­den Daten. Sie kann des­halb dazu füh­ren, dass der Grund­satz der Daten­si­cher­heit ein­ge­hal­ten wird, aber auch dazu, dass eher ein über­wie­gen­des Inter­es­se an der Bear­bei­tung bejaht wer­den kann. 

Bei einer Bekannt­ga­be eines pseud­ony­men Datums ist an den rela­ti­ven Ansatz bei der Bestim­mung des Per­so­nen­be­zugs zu den­ken. Ob ein Datum per­so­nen­be­zo­gen ist, ent­schei­det sich aus der Optik der­je­ni­gen Per­son, die Zugang zu die­sem Datum hat oder für des­sen Bear­bei­tung ver­ant­wort­lich ist. Das hat fol­gen­de Wir­kung: Gibt Per­son A ein pseud­ony­mi­sier­tes Datum, das für sie Per­so­nen­be­zug hat, an Per­son B bekannt, die die­ses Datum nicht mit einer Per­son in Ver­bin­dung brin­gen kann (weil ihr die Zuord­nung fehlt, über die Per­son A ver­fügt, die die­se aber nicht an Per­son B bekannt­gibt), so stellt dies kei­ne Bekannt­ga­be eines Per­so­nen­da­tums dar. Per­son A unter­liegt für die­se Bekannt­ga­be nicht dem Daten­schutz­recht, und eben­so wenig Per­son B für ihren Umgang mit dem pseud­ony­em, für sie aber anony­men Datums. Das muss so sein – unter­stün­de Per­son B dem Daten­schutz­recht, wür­de nicht mehr der rela­ti­ve, son­dern der abso­lu­te Ansatz gelten.

Das bedeu­tet bspw., dass ein Arzt in der Schweiz eine nur durch einen Bar­code indi­vi­dua­li­sier­te Blut­pro­be an ein Labor in den USA über­mit­teln kann, ohne dass die Beschrän­kun­gen der Aus­lands­be­kannt­ga­be gel­ten. Erhält er das Aus­wer­tungs­er­geb­nis zurück, stellt dies für ihn aller­dings eine Daten­be­schaf­fung dar. 

Selbst­ver­ständ­lich sind den­noch Sicher­heits­mass­nah­men zu tref­fen, u.a. eine Ver­ein­ba­rung mit dem Emp­fän­ger, dass die­ser die erhal­te­nen Daten nur zweck­ge­bun­den bear­bei­tet und sie ver­trau­lich behandelt.

Das Bun­des­ge­richt war im Logi­step-Urteil stren­ger – das Daten­schutz­recht gel­te in einem sol­chen Fall nicht nur für den Emp­fän­ger, son­dern auch für die über­mit­teln­de Stel­le, für die die über­mit­tel­ten Daten kei­nen Per­so­nen­be­zug haben. Wir hal­ten die­ses Urteil in die­sem Punkt für ergeb­nis­ge­lei­tet und nicht zutreffend.

«Bear­bei­ten» ist ein äusserst wei­ter Begriff. Jeder Umgang mit Per­so­nen­da­ten ist ein Bear­bei­ten, selbst ihre Anony­mi­sie­rung oder Löschung. Offen ist höch­stens, ob schon das Sehen eines Per­so­nen­da­tums eine Bear­bei­tung darstellt.

Das Daten­schutz­recht kennt unter­schied­li­che Rol­len je nach Ein­fluss auf eine bestimm­te Daten­be­ar­bei­tung. Die Bestim­mung der Rol­len der Betei­lig­ten ist jeweils der Aus­gangs­punkt bei einer daten­schutz­recht­li­chen Prüfung.

Der «Ver­ant­wort­li­che» ist dabei das­je­ni­ge Unter­neh­men (i.d.R. ein Unter­neh­men; es kann auch eine ein­zel­ne Per­son sein), das über die Daten­be­ar­bei­tung mass­geb­lich bestimmt. Das wird durch zwei Kri­te­ri­en bestimmt: Der Ver­ant­wort­li­che ver­an­lasst die Daten­be­ar­bei­tung, d.h. er setzt den Grund, dass sie in ihrer kon­kre­ten Form über­haupt statt­fin­det, und damit auch, wel­chem Zweck sie dient. Und er bestimmt die wesent­li­chen Rah­men­be­din­gun­gen der Bear­bei­tung, d.h. wel­che Daten von wel­chen Per­so­nen wie lan­ge bear­bei­tet wer­den und an wen sie allen­falls bekannt­ge­ge­ben werden.

Ein Ver­ant­wort­li­cher ist z.B. ein Unter­neh­men für die Bear­bei­tung der Per­so­nen­da­ten sei­ner Mit­ar­bei­ten­den, oder ein Unter­neh­men für sein eige­nes Direkt­mar­ke­ting, aber auch ein Bun­des­or­gan, dem eine gesetz­li­che Auf­ga­be zuge­ord­net ist.

Ein Ver­ant­wort­li­cher bleibt auch dann ver­ant­wort­lich, wenn er die Daten­be­ar­bei­tung an einen Dienst­lei­ster aus­la­gert. Es kann sogar sein, dass er die bear­bei­te­ten Daten selbst weder hat noch sie kennt – auch dann kann ein Unter­neh­men ver­ant­wort­lich sein, sofern es über die Daten­be­ar­bei­tung eines Drit­ten mass­geb­lich bestimmt.

Meh­re­re Unter­neh­men kön­nen sich die Rol­le eines Ver­ant­wort­li­chen tei­len – in die­sem Fall sind sie «gemein­sam Ver­ant­wort­li­che». Das ist dann der Fall, wenn sie die Zwecke einer Bear­bei­tung und auch ihre wesent­li­chen Rah­men­be­din­gun­gen gemein­sam bestim­men. Die genau­en Kri­te­ri­en sind aller­dings schwer zu fas­sen. Das liegt zum einen an wenig kla­ren Stel­lung­nah­men der euro­päi­schen Behör­den und zum ande­ren an drei Urtei­len des EuGH, in der ein­zel­fall­wei­se eine gemein­sa­me Ver­ant­wor­tung ange­nom­men hat, wobei sich aber nur schwer ein roter Faden aus­ma­chen lässt.

Man kann aber im Wesent­li­chen zwei Kon­stel­la­tio­nen der gemein­sa­men Ver­ant­wor­tung unterscheiden:

Eine gemein­sa­me Ver­ant­wor­tung liegt oft vor, wenn meh­re­re Unter­neh­men das­sel­be System für ähn­li­che Bear­bei­tun­gen ver­wen­den und des­halb gemein­sam einen Dienst­lei­ster bei­zie­hen. Beson­ders im Kon­zern­ver­hält­nis ist dies bei gemein­sam genutz­ten Kon­zern­dienst­lei­stun­gen nahe­lie­gend, z.B. bei einem gemein­sa­men Manage­ment von Mit­ar­bei­ter­da­ten oder einer gemein­sa­men CRM-Datenbank.

Eine gemein­sa­me Ver­ant­wor­tung kann auch dann vor­lie­gen, wenn ein Ver­ant­wort­li­cher Daten bear­bei­tet und die­se einem ande­ren Ver­ant­wort­li­chen wei­ter­gibt, dies im eige­nen Inter­es­se und im Wis­sen dar­um, für wel­che Zwecke und wie er die­se Daten ver­wen­den wird.

In der Pra­xis wer­den zuneh­mend gemein­sa­me Ver­ant­wor­tun­gen ange­nom­men, wenn meh­re­re Unter­neh­men part­ner­schaft­lich zusam­men­ar­bei­ten und dabei bei­de mass­geb­li­chen Ein­fluss auf die Bear­bei­tung nehmen.

Das schwei­ze­ri­sche Daten­schutz­recht ver­langt nicht aus­drück­lich, dass gemein­sam Ver­ant­wort­li­che einen Ver­trag schlie­ssen, anders als dies die DSGVO in den mei­sten Fäl­len ver­langt. Eine unbe­merk­te gemein­sa­me Ver­ant­wor­tung stellt des­halb nicht unbe­dingt einen Ver­stoss dar. Aller­dings ist es sinn­voll, dass bei einer Ver­mi­schung von Bear­bei­tun­gen meh­re­rer Unter­neh­men eine Rege­lung getrof­fen wird, wer wel­che daten­schutz­recht­li­chen Pflich­ten erfüllt, z.B. wer betrof­fe­ne Per­so­nen über die Bear­bei­tung infor­miert, wer die Sicher­heit gemein­sam genutz­ter IT-Syste­me gewähr­lei­stet und wer sich um Anfra­gen von Betrof­fe­nen kümmert.

Sol­che Rege­lun­gen sind übri­gens nicht nur bei gemein­sam Ver­ant­wort­li­chen sinn­voll, son­dern oft auch dann, wenn meh­re­re Ver­ant­wort­li­che unab­hän­gig zusammenarbeiten.

Ein Auf­trags­be­ar­bei­ter ist ein Unter­neh­men (oder eine Per­son), die zwar Daten bear­bei­tet, die aber nicht über die kon­kre­te Bear­bei­tung bestimmt. Das trifft beson­ders – aber nicht nur – auf IT-Dienst­lei­ster zu. Bspw. ist ein Hosting­dienst­lei­ster ein Auf­trags­be­ar­bei­ter, auch ein Cloud-Anbie­ter oder der Betrei­ber einer SaaS-Lösung. Je enger der Zweck der SaaS-Lösung ist, desto mehr Ein­fluss hat der Betrei­ber auf die Art einer Daten­be­ar­bei­tung. Das tut er aber gene­risch durch die System­ge­stal­tung und nicht bezo­gen auf kon­kre­te, ein­zel­ne Daten; über die­se bestimmt der Ver­wen­der der Lösung. Des­halb bleibt der SaaS-Anbie­ter ein Auftragsbearbeiter.

Aller­dings sind nicht alle Dienst­lei­ster zugleich Auf­trags­be­ar­bei­ter. Man­che Dienst­lei­ster bear­bei­ten zwar Per­so­nen­da­ten für die Erfül­lung des Auf­trags, bestim­men aber weit­ge­hend frei. Ein Bei­spiel ist eine Anwalts­kanz­lei, die ein Ver­fah­ren für einen Kli­en­ten führt. Sie ist zwar ein Auf­trag­neh­mer, aber sie bestimmt selbst, wel­che Daten sie dafür benö­tigt. Faust­re­gel: Ein Dienst­lei­ster ist ein Auf­trags­be­ar­bei­ter, wenn der Gegen­stand der Dienst­lei­stung vor allem die Bear­bei­tung von Per­so­nen­da­ten ist. Ein Ver­ant­wort­li­cher ist er, wenn sei­ne Dienst­lei­stung ande­rer Art ist und er Per­so­nen­da­ten nur als Neben­fol­ge die­ser Dienst­lei­stung bearbeitet.

Bei­spie­le fin­den sich u.a. in einer Liste des Bay­ri­schen Lan­des­amts für Daten­schutz.

Wei­te­re Hin­wei­se zur Auf­trags­be­ar­bei­tung fin­den Sie unter der ent­spre­chen­den Rubrik.

Zur Revi­si­on des Datenschutzrechts

Das revi­dier­te DSG und die Ver­ord­nung (DSV) sind am 1. Sep­tem­ber 2023 getreten.

Ja, weil sie das Daten­schutz­recht bis zu einem gewis­sen Grad for­ma­li­sti­scher macht, weil sie den Daten­schutz­recht gene­rell ver­schärft und weil sie neue Sank­tio­nen einführt.

Wich­tig ist sie aller­dings nicht nur des­halb. Auch die Erwar­tun­gen von Kun­den, Inve­sto­ren, Behör­den, Part­nern und des Publi­kums ändern sich – war der Daten­schutz für Stake­hol­der lan­ge Zeit kein gro­sses The­ma, ausser­halb regu­lier­ter Bran­chen, gewinnt er nun stark an Beachtung.

Unter­neh­men kön­nen eine Aus­ein­an­der­set­zung mit den Daten­schutz und eine ange­mes­se­ne Umset­zung der neu­en Anfor­de­run­gen des­halb nicht vermeiden.

Unse­re Bei­trä­ge zur Revi­si­on fin­den sich hier.

Ja. Das revi­dier­te DSG sieht Mass­nah­men und Pro­zes­se vor, über die vie­le Unter­neh­men nicht oder nur unzu­rei­chend ver­fü­gen. Beson­ders unre­gu­lier­te grö­sse­re Unter­neh­men, die nur oder über­wie­gend in der Schweiz tätig sind, sind her­aus­ge­for­dert. Wo die DSGVO bereits umge­setzt wur­de – soweit das über­haupt mög­lich ist –, ist die Umset­zung ein­fa­cher, aber bestimm­te Arbei­ten wer­den auch hier erfor­der­lich sein.

Hin­wei­se zur Umset­zung fin­den sich hier.

Sie kön­nen unse­re Bei­trä­ge zur Revi­si­on lesen. Sie kön­nen auch unse­ren News­let­ter abon­nie­ren

Hilf­rei­che Anga­ben fin­den Sie auch in der Bot­schaft des Bun­des­rats zum Ent­wurf des revDSG, z.B. hier oder hier. Und eine umfas­sen­de Dar­stel­lung fin­den Sie von David Rosen­thal.

Zur DSGVO

DSGVO” steht für “Daten­schutz-Grund­ver­ord­nung”. Das ist eine Ver­ord­nung, die den Umgang mit Per­so­nen­da­ten regelt und in der gan­zen EU und dem rest­li­chen EWR anwend­bar ist, also auch in Liech­ten­stein, Island und Norwegen. 

Die DSGVO ist meist stren­ger als das schwei­ze­ri­sche DSG, und teils sehr detail­ver­liebt und formalistisch. 

Sie kann auch auf Unter­neh­men in der Schweiz anwend­bar sein. Ob das auch auf Sie zutrifft, kön­nen Sie hier her­aus­fin­den.

Jein. Es ist klar, dass das Daten­schutz­recht lan­ge Zeit kaum durch­ge­setzt wur­de. Das galt in der Schweiz noch viel mehr als in Euro­pa. Eine Ver­schär­fung war durch­aus sinnvoll. 

Ande­rer­seits hat die DSGVO gro­sse Män­gel. Sie ist in Tei­len welt­fremd, und in vie­len Punk­ten ist sie for­ma­li­stisch. Das liegt aller­dings nicht nur an der DSGVO, son­dern auch an ihrer Inter­pre­ta­ti­on durch Daten­schutz­auf­sichts­be­hör­den, die oft dazu nei­gen, die DSGVO sehr streng aus­zu­le­gen. Das scha­det der Akzep­tanz des Daten­schutz­rechts. Es ist auch des­halb nicht gerecht­fer­tigt, weil es ver­schie­de­ne Grund­rech­te gibt, die abzu­wä­gen sind. Der Schutz betrof­fe­ner Per­so­nen ist kein abso­lu­tes Anlie­gen. Es gibt z.B. auch die Wirt­schafts­frei­heit. Das geht lei­der oft vergessen.

Das ist eine oft schwie­rig zu beant­wor­ten­de Fra­ge. Wahr­schein­lich fal­len bestimm­te Bear­bei­tun­gen unter die DSGVO, wenn Sie eine der fol­gen­den Fra­gen mit Ja beant­wor­ten können:

  • Haben Sie eine Toch­ter­ge­sell­schaft im EWR?
  • Haben Sie eine ande­re Nie­der­las­sung im EWR, z.B. eine Filia­le, eine Zweig­nie­der­las­sung, ein Rep Office, eine Ver­tre­tung? Mit­ar­bei­ter im Home Office rei­chen dafür kaum.
  • Tun Sie etwas dafür, End­kun­den (natür­li­che Per­so­nen) im EWR als Kun­den zu gewin­nen, z.B. durch Direkt­mar­ke­ting oder durch eine ent­spre­chend gestal­te­te Web­site? Grenz­gän­ger sind aller­dings kei­ne End­kun­den – im Aus­land wohn­haf­te, für die Schweiz täti­ge Mit­ar­bei­ten­de genü­gen daher kaum für die Anwen­dung der DSGVO.
  • Haben Sie End­kun­den (natür­li­che Per­so­nen) im EWR – nicht nur ver­ein­zel­te, zufäl­li­ge, son­dern eine rele­van­te Zahl?
  • Betrei­ben Sie eine Form des Trackings durch eine Web­site oder eine App, und erfas­sen Sie dabei auch Daten von Per­so­nen im EWR?
  • Erfas­sen Sie sonst über eine gewis­se Zeit hin­weg Anga­ben über das Ver­hal­ten natür­li­cher Per­so­nen im EWR, z.B. durch einen Fahr­ten­schrei­ber oder durch ein Moni­to­ring im Home Office?

Wenn Sie eine Fra­ge mit Ja beant­wor­ten, soll­ten Sie die Anwend­bar­keit der DSGVO genau­er prü­fen. Wenn nicht, ist es wenig wahr­schein­lich, dass Sie unter die DSGVO fallen.

Aber: Die Schweiz hat eige­ne Regeln, die zu einer Anwend­bar­keit der DSGVO füh­ren kön­nen (im «IPRG»). Falls Sie Per­so­nen­da­ten von Per­so­nen bear­bei­ten, die im EWR-Gebiet woh­nen, kön­nen die­se Per­so­nen i.d.R. vor einem schwei­ze­ri­schen Gericht kla­gen und ver­lan­gen, dass ihre Ansprü­che nach dem Recht in ihrem Hei­mat­staat beur­teilt wer­den. Das Gericht wür­de dann nicht die obi­gen Fra­gen prü­fen, son­dern nur noch fra­gen, ob Sie damit rech­nen konn­ten, dass Sie Daten von Per­so­nen­da­ten im EWR bear­bei­ten. Wenn ja, dann wür­de es das Hei­mat­recht des Klä­gers anwen­den, und das kann die DSGVO sein. Wenn Sie also Grenz­gän­ger beschäf­ti­gen, könn­ten die­se ein Aus­kunfts­be­geh­ren stel­len, und wenn Sie es nicht nach dem Stan­dard der DSGVO beant­wor­ten, könn­ten die­se Grenz­gän­ger in der Schweiz an Ihrem Sitz kla­gen und Ansprü­che nach der DSGVO beur­tei­len las­sen. Uns ist bis­her aller­dings erst ein Fall bekannt, bei dem in der Schweiz auf Basis der DSGVO geklagt wur­de (erfolg­los).

Es gibt übri­gens Fäl­le, in denen die DSGVO ein­ge­hal­ten wer­den muss oder soll­te, auch wenn ein Unter­neh­men an sich nicht unter die DSGVO fällt. Das betrifft beson­ders Kon­zern­ge­sell­schaf­ten, wenn der Kon­zern die DSGVO als all­ge­mei­nen Stan­dard ein­hal­ten will, und IT-Dienst­lei­ster, deren Kun­den ihrer­seits die DSGVO ein­hal­ten müs­sen und von ihrem Dienst­lei­ster des­halb das­sel­be verlangen.

Die Ein­hal­tung der DSGVO kann auch Teil der Posi­tio­nie­rung eines Unter­neh­mens sein, als Teil der Nach­hal­tig­keit (als «Cor­po­ra­te Digi­tal Respon­si­bi­li­ty») und des ver­trau­ens­wür­di­gen Umgangs mit Endkunden.

Orga­ni­sa­ti­on des Datenschutzes

Die DSGVO sieht zur Über­wa­chung der Ein­hal­tung der DSGVO und zur Unter­süt­zung des Ver­ant­wort­li­chen bzw. Auf­trags­be­ar­bei­ters die Rol­le des “Daten­schutz­be­auf­trag­ten” vor (oft nach dem eng­li­schen “Data Pro­tec­tion Offi­cer” als DPO abge­kürzt). Das revDSG nimmt die­se Idee auf und kennt den “Daten­schutz­be­ra­ter” (DSB). 

DPO und DSB sind als unab­hän­gi­ge Stel­len inner­halb der Orga­ni­sa­ti­on des Unter­neh­mens gedacht. Sie sind als Arbeit­neh­mer zwar den Wei­sun­gen des Unter­neh­mens unter­stellt, aber nicht in Bezug auf ihre Funk­ti­on als DPO und DSB. Das Unter­neh­men darf ihnen des­halb nicht vor­schrei­ben, wel­che Bear­bei­tun­gen sie prü­fen oder wie sie die Ein­hal­tung des Daten­schutz­rechts beurteilen. 

Damit ihre Unab­hän­gig­keit nicht gefähr­det wird, dür­fen sie kei­ne Rol­len oder Auf­ga­ben haben, bei denen sie selbst über Daten­be­ar­bei­tun­gen ent­schei­den wür­den. Sie kön­nen des­halb im Rechts­dienst oder der Com­pli­ance ange­sie­delt sein, oder eine eige­ne Stel­le bil­den, oder auch in der IT arbei­ten, aber nicht als Lei­ter sol­cher Funk­tio­nen, auch nicht als Lei­ter des Marketing. 

Zudem sind DPO und DSB Ansprech­per­so­nen für Betrof­fe­ne und Behör­den. Ihre Kon­takt­an­ga­ben müs­sen des­halb ver­öf­fent­licht wer­den, z.B. in einer Datenschutzerklärung.

Die DSGVO sieht zur Über­wa­chung der Ein­hal­tung der DSGVO und zur Unter­süt­zung des Ver­ant­wort­li­chen bzw. Auf­trags­be­ar­bei­ters die Rol­le des “Daten­schutz­be­auf­trag­ten” vor (oft nach dem eng­li­schen “Data Pro­tec­tion Offi­cer” als DPO abge­kürzt). Das revDSG nimmt die­se Idee auf und kennt den “Daten­schutz­be­ra­ter” (DSB). 

DPO und DSB sind als unab­hän­gi­ge Stel­len inner­halb der Orga­ni­sa­ti­on des Unter­neh­mens gedacht. Sie sind als Arbeit­neh­mer zwar den Wei­sun­gen des Unter­neh­mens unter­stellt, aber nicht in Bezug auf ihre Funk­ti­on als DPO und DSB. Das Unter­neh­men darf ihnen des­halb nicht vor­schrei­ben, wel­che Bear­bei­tun­gen sie prü­fen oder wie sie die Ein­hal­tung des Daten­schutz­rechts beurteilen. 

Damit ihre Unab­hän­gig­keit nicht gefähr­det wird, dür­fen sie kei­ne Rol­len oder Auf­ga­ben haben, bei denen sie selbst über Daten­be­ar­bei­tun­gen ent­schei­den wür­den. Sie kön­nen des­halb im Rechts­dienst oder der Com­pli­ance ange­sie­delt sein, oder eine eige­ne Stel­le bil­den, oder auch in der IT arbei­ten, aber nicht als Lei­ter sol­cher Funk­tio­nen, auch nicht als Lei­ter des Marketing. 

Zudem sind DPO und DSB Ansprech­per­so­nen für Betrof­fe­ne und Behör­den. Ihre Kon­takt­an­ga­ben müs­sen des­halb ver­öf­fent­licht wer­den, z.B. in einer Datenschutzerklärung.

Ein Bear­bei­tungs­ver­zeich­nis ist ein Inven­tar der unter­schied­li­chen Bearbeitungstätigkeiten.

Ver­ant­wort­li­che müs­sen ihre Bear­bei­tungs­tä­tig­kei­ten nach dem revDSG wie auch der DSGVO erfas­sen, jeweils unter Angabe

  • der Iden­ti­tät des oder der Verantwortlichen
  • nur nach der DSGVO: des EU-Ver­tre­ters und des DPO, falls vorhanden
  • der Bear­bei­tungs­zwecke
  • der Kate­go­rien betrof­fe­ner Personen
  • der Kate­go­rien bear­bei­te­ter Personendaten
  • der Kate­go­rien der Empfänger
  • wenn mög­lich der Auf­be­wah­rungs­dau­er oder der ent­spre­chen­den Kriterien
  • wenn mög­lich der anwend­ba­ren Sicher­heits­mass­nah­men (TOMs)
  • im Fall einer Aus­lands­be­kannt­ga­be der Staa­ten (revDSG: alle; DSGVO: nur Staa­ten ausser­halb des EWR und ggf. der anwend­ba­ren Garan­tien zur Absi­che­rung der Aus­lands­über­mitt­lung (CH: alle; DSGVO nur in einem bestimm­ten Fall)

Auf­trags­be­ar­bei­ter müs­sen eben­falls ein Bear­bei­tungs­ver­zeich­nis füh­ren, aber mit weni­ger inhalt­li­chen Anforderungen.

Bear­bei­tungs­ver­zeich­nis­se müs­sen auf dem aktu­el­len Stand gehal­ten wer­den, was i.d.R. inter­ne Vor­ga­ben oder Pro­zes­se erfordert.

Jeder Ver­ant­wort­li­che und jeder Auf­trags­be­ar­bei­ter müs­sen ein Bear­bei­tungs­ver­zeich­nis führen.

Es gibt aber die “KMU-Aus­nah­me”. Das revDSG ver­langt vom Bun­des­rat, eine Aus­nah­me für Unter­neh­men mit weni­ger als 250 Mit­ar­bei­ten­den zu schaf­fen, vor­be­halt­lich eines hohen Risi­kos. Der Ent­wurf der VDSG sieht des­halb vor, dass Ver­ant­wort­li­che und Auf­trags­be­ar­bei­ter kein Bear­bei­tungs­ver­zeich­nis füh­ren müs­sen, sofern 

  • sie am Anfang eines Jah­res weni­ger als 250 Mit­ar­bei­ten­de beschäf­ti­gen, und
  • nicht umfang­reich beson­ders schüt­zens­wer­te Per­so­nen­da­ten bear­bei­tet wer­den und
  • kein Pro­fil­ing mit hohem Risi­ko durch­ge­führt wird. 

Bei die­sen Risi­ken müs­sen die ent­spre­chen­den Bear­bei­tun­gen – aber auch nur die­se – in einem Ver­zeich­nis erfasst werden.

Bun­des­or­ga­ne – das sind auch bspw. Pen­si­ons­kas­sen und pri­vat­recht­lich orga­ni­sier­te Orga­ni­sa­tio­nen, die eine Bun­des­auf­ga­be erfül­len – müs­sen ein Bear­bei­tungs­ver­zeich­nis füh­ren. Sie müs­sen es zudem dem EDÖB mel­den und dafür ein Benut­zer­ac­count eröff­nen. Man kann das Ver­zeich­nis dem EDÖB aber auch so schicken. Die Ver­zeich­nis­se der Bun­des­or­ga­ne wer­den ver­öf­fent­licht.

Das Daten­schutz­recht ver­folgt gene­rell einen risi­ko­ba­sier­ten Ansatz. Das heisst, dass der Ver­ant­wort­li­che und der Auf­trags­be­ar­bei­ter ihre Mass­nah­men zur Ein­hal­tung des Daten­schutz­rechts an den Risi­ken für die Betrof­fe­nen aus­rich­ten müs­sen – je höher die­se Risi­ken, desto höher die Anfor­de­run­gen an den Schutz der Betrof­fe­nen z.B. durch stär­ke­re Sicherheitsmassnahmen. 

Das ver­langt ganz all­ge­mein, dass Unter­neh­men die Risi­ken ihrer Daten­be­ar­bei­tun­gen ein­schät­zen, und sie müs­sen die Ein­hal­tung des Daten­schutz­rechts pro­ak­tiv sicher­stel­len (das meint der Grund­satz von “pri­va­cy by design”). 

Wenn sie dabei fest­stel­len, dass bestimm­te Daten­be­ar­bei­tun­gen vor­aus­sicht­lich beson­ders ris­kant sind, müs­sen sie eine Daten­schutz-Fol­gen­ab­schät­zung (DSFA) durch­füh­ren. Das gilt nach dem revDSG wie auch nach der DSGVO. 

Eine DSFA ist des­halb nichts wei­ter als dies – eine Risi­ko­be­wer­tung. Zu bewer­ten sind die Risi­ken, wie sie sich ex ante prä­sen­tie­ren, die sog. Brut­to­ri­si­ken. Zu berück­sich­ti­gen sind sodann risi­ko­sen­ken­de Mass­nah­men, und am Ende das ver­blei­ben­de Risi­ko, das Net­to­ri­si­ko. Dies alles ist zu doku­men­tie­ren, und wenn ein DPO oder ein Daten­schutz­be­ra­ter bestellt wur­den, sind sie einzubeziehen. 

Soll­te sich aus­nahms­wei­se zei­gen, dass die Net­to­ri­si­ken nach wie vor hoch sind, muss dies der zustän­di­gen Daten­schutz­be­hör­de mit­ge­teilt wer­den. In der Schweiz ist das der EDÖB. Eine sol­che Mit­tei­lungs­pflicht ent­fällt aber, wenn ein unab­hän­gi­ger Daten­schutz­be­ra­ter bestellt wur­de und an der DSFA betei­ligt war.

Wel­che Grund­sät­ze gel­ten bei der Bear­bei­tung von Personendaten?

Sowohl nach dem DSG – auch dem revDSG – als auch nach der DSGVO sind bei jeder Bear­bei­tung von Per­so­nen­da­ten bestimm­te Grund­sät­ze ein­zu­hal­ten. Das sind die Grund­sät­ze der Trans­pa­renz, der Zweck­bin­dung, der Ver­hält­nis­mä­ssig­keit, der Daten­rich­tig­keit und der Daten­si­cher­heit. Die Daten­si­cher­heit ist nach dem revDSG aller­dings kein Bear­bei­tungs­grund­satz mehr oder jeden­falls kein typi­scher, nach­dem die Bestim­mung zur Per­sön­lich­keits­ver­let­zung kei­ne Bezug mehr auf die Daten­si­cher­heit nimmt. Dazu kommt der Grund­satz von Treu und Glauben.

Das Ver­hält­nis der Grund­sät­ze unter­ein­an­der ist wenig klar. Der Grund­satz von Treu und Glau­ben ist eher ein Auf­fang­tat­be­stand. Ent­schei­dend sind die drei zusam­men­hän­gen­den Grund­sät­ze von Trans­pa­renz, Zweck­bin­dung und Verhältnismässigkeit:

Bezugs­punkt der Bear­bei­tung ist jeweils ihr Zweck. An die­sem Zweck misst sich die Ver­hält­nis­mä­ssig­keit, denn ver­hält­nis­mä­ssig im wei­te­ren Sin­ne sind Bear­bei­tun­gen, die für den Zweck der Bear­bei­tung geeig­net und erfor­der­lich sind. Auch die Zweck­bin­dung nimmt – offen­sicht­lich – auf den Zweck Bezug.

Die­sen Zweck setzt der Ver­ant­wort­li­che im Rah­men der wei­te­ren Rechts­ord­nung frei. Er wird dar­in durch das DSG nicht beschränkt – es gilt die Wirt­schafts­frei­heit, vor­be­halt­lich der Ver­let­zung einer Ver­hal­tens­norm z.B. aus dem Straf­recht (der EDÖB ver­gisst dies bis­wei­len, wenn er der Mei­nung ist, eine Daten­be­ar­bei­tung soll­te nicht sein – dann bezeich­net er sie kur­zer­hand als unver­hält­nis­mä­ssig, ohne dass er berück­sich­tigt, dass der Ver­ant­wort­li­che den Zweck viel­leicht weit gesetzt hat).

Der Ver­ant­wort­li­che setzt des­halb den Zweck, und das tut er durch Trans­pa­renz: Der Bear­bei­tungs­zweck ist der­je­ni­ge Zweck, den der Ver­ant­wort­li­che kom­mu­ni­ziert oder der offen­sicht­lich ist (d.h. aus den Umstän­den erkenn­bar ist). Im Ergeb­nis gilt also, dass der Ver­ant­wort­li­che den Zweck setzt, sich an die­sen hal­ten muss und Daten nur so bear­bei­ten darf, wie es für den Zweck erfor­der­lich ist. Das ist an sich der Kern des mate­ri­el­len Datenschutzrechts.

Wenn man will, kann man wei­te­re Regeln als Bear­bei­tungs­grund­sät­ze sehen, so das Ver­bot der Bekannt­ga­be von beson­ders schüt­zens­wer­ten Per­so­nen­da­ten und heu­te von Per­sön­lich­keits­pro­fi­len an Drit­te oder das Ver­bot, Per­so­nen­da­ten gegen den geäu­sser­ten Wil­len des Betrof­fe­nen zu bear­bei­ten. Auch die grund­sätz­li­che Bear­bei­tungs­frei­heit ver­öf­fent­lich­ter Daten kann als Bear­bei­tungs­grund­satz bezeich­net werden.

Trans­pa­renz heisst letzt­lich, dass die betrof­fe­ne Per­son zumin­dest die Mög­lich­keit hat, eine Daten­be­ar­bei­tung und ihren Zweck zu ken­nen. Das kann eine Infor­ma­ti­on ver­lan­gen, aber es genügt schon, wenn die Bear­bei­tung aus den Umstän­den her­vor­geht, also offen­sicht­lich ist. Das revi­dier­te DSG erwähnt die­sen Grund­satz erstaun­li­cher­wei­se nicht mehr aus­drück­lich, aber er gilt weiterhin.

Was kon­kret trans­pa­rent sein muss, d.h. wel­che Umstän­de der Bear­bei­tung – z.B. auch eine Bekannt­ga­be an Drit­te – ist aller­dings offen, das kann nur im Ein­zel­fall beant­wor­tet wer­den. Zur Trans­pa­renz kann sodann eine eige­ne Infor­ma­ti­ons­pflicht hin­zu­kom­men (s. dort).

Die Zweck­bin­dung ist an sich ein Aus­fluss aus dem Trans­pa­renz­grund­satz. Sie ver­langt, dass Daten nur so bear­bei­tet wer­den, wie es für den (trans­pa­ren­ten) Zweck erfor­der­lich ist. Eine Zweck­ent­frem­dung ist des­halb ver­bo­ten, jeden­falls ohne dass der neue Zweck sei­ner­seits und recht­zei­tig trans­pa­rent ist. Aller­dings gibt es unter­ge­ord­ne­te Neben­zwecke, die die Schwel­le der Zweck­ent­frem­dung noch nicht errei­chen. Das stellt das revi­dier­te DSG dadurch klar, dass es neben dem Ursprungs­zweck auch damit ver­ein­ba­re Zwecke nennt.

Das DSG kennt eben­so wie das revDSG kein grund­sätz­li­ches Ver­bot der Daten­be­ar­bei­tung, anders als die DSGVO. Eine Daten­be­ar­bei­tung muss des­halb grund­sätz­lich nicht gerecht­fer­tigt wer­den. Das gilt auch für die Bear­bei­tung beson­ders schüt­zens­wer­ter Per­so­nen­da­ten, heu­te für die Bear­bei­tung von Per­sön­lich­keits­pro­fi­len und nach dem revDSG für ein Pro­fil­ing, selbst ein Pro­fil­ing mit hohem Risi­ko. Es ist des­halb falsch, wenn der EDÖB eine Bear­bei­tung von beson­ders schüt­zens­wer­ten Per­so­nen­da­ten nur mit einer Ein­wil­li­gung erlau­ben will. Falls aber ein Bear­bei­tungs­grund­satz ver­letzt wird, ist die ent­spre­chen­de Bear­bei­tung nur zuläs­sig, wenn die­se Ver­let­zung gerecht­fer­tigt ist.

Recht­fer­ti­gen muss und kann man nicht eine Bear­bei­tung, son­dern nur eine Ver­let­zung eines Bear­bei­tungs­grund­sat­zes. Das DSG wie auch das revDSG sieht drei Recht­fer­ti­gungs­grün­de vor: 

  • Ein­wil­li­gung: Betrof­fe­ne kön­nen in eine Bear­bei­tung ent­ge­gen eines Grund­sat­zes ein­wil­li­gen. Eine Ein­wil­li­gung ist aller­dings nur wirk­sam, wenn der Betrof­fe­ne aus­rei­chend infor­miert ist und wenn sei­ne Ein­wil­li­gung frei­wil­lig erteilt wur­de. Das wirft die Fra­ge auf, unter wel­chen Umstän­den eine Ein­wil­li­gung frei­wil­lig ist, wenn sie zur Bedin­gung etwa eines Ver­trags­schlus­ses gemacht wur­de (“Kopp­lungs­ver­bot”).
  • Gesetz: Eine Bear­bei­tung, die das Gesetz vor­gibt oder frei­stellt, ist auch daten­schutz­recht­lich erlaubt. 
  • Über­wie­gen­de Inter­es­sen: Wenn die Inter­es­sen an der frag­li­chen Bear­bei­tung die ent­ge­gen­ste­hen­den Inter­es­sen des Betrof­fe­nen über­wie­gen, ist die ent­spre­chen­de Bear­bei­tung erlaubt. Dabei sind jeweils alle Inter­es­sen an einer Bear­bei­tung zu berück­sich­ti­gen, auch kom­mer­zi­el­le Inter­es­sen und auch jene des Betrof­fe­nen. Es kön­nen auch öffent­li­che Inter­es­sen sein.

An sich nichts Neu­es. Der Grund­satz von Pri­va­cy by Design meint nur, dass die Ein­hal­tung des Daten­schutz­rechts pro­ak­tiv sicher­zu­stel­len ist, also schon dann, wenn eine Bear­bei­tung geplant wird. Infol­ge­des­sen muss eine Appli­ka­ti­on bspw. in der Lage sein, Daten zu löschen oder Zugriffs­rech­te rol­len­ba­siert zu vergeben. 

Die DSGVO und das revDSG sehen die­sen Grund­satz nun aus­drück­lich vor. Nach dem revDSG hat er aber nur eine Wir­kung: Wenn ein Ver­ant­wort­li­cher das Daten­schutz­recht ver­letzt, kann er die­se nicht mit Sach­zwän­gen recht­fer­ti­gen (z.B. dem zu hohen Auf­wand, um eine Appli­ka­ti­on umzu­schrei­ben, damit sie lösch­fä­hig wird), sofern er die­sem Sach­zwang mit recht­zei­ti­ger Pla­nung hät­te begeg­nen kön­nen. Immer­hin greift für bestehen­de Bear­bei­tun­gen unter bestimm­ten Vor­aus­set­zun­gen eine Übergangsregelung.

Wie muss über Daten­be­schaf­fun­gen infor­miert werden?

Nach dem heu­ti­gen DSG nicht unbe­dingt. Eine Infor­ma­ti­on ist der­zeit nur not­wen­dig, soweit sich eine Bear­bei­tung nicht von selbst ver­steht oder wenn beson­ders schüt­zens­wer­te Per­so­nen­da­ten oder Per­sön­lich­keits­pro­fi­le beschafft wer­den (und natür­lich soweit eine spe­zi­al­ge­setz­li­che Rege­lung wie z.B. Art. 3 VVG eine Infor­ma­ti­on über Daten­be­ar­bei­tun­gen verlangt). 

Nach dem revDSG und nach der DSGVO ist das anders. Hier besteht grund­sätz­lich eine Infor­ma­ti­ons­pflicht über alle Daten­be­ar­bei­tun­gen, soweit nicht eine Aus­nah­me anwend­bar ist.

Es gibt Aus­nah­men von der all­ge­mei­nen Infor­ma­ti­ons­pflicht. Rele­vant sind v.a. fol­gen­de Aus­nah­men, nach dem revDSG:

  • soweit die betrof­fe­ne Per­son bereits aus­rei­chend infor­miert wur­de (z.B. durch jemand anderen),
  • soweit eine Bear­bei­tung gesetz­lich vor­ge­schrie­ben ist (z.B. bei Pflich­ten nach dem Geld­wä­sche­rei­ge­setz oder bei der Pflicht zur Bear­bei­tung bestimm­ter Per­so­nen­da­ten im Arbeits­ver­hält­nis). Auch Bun­des­or­ga­ne müs­sen des­halb meist nicht infor­mie­ren, tun es oft aber trotzdem,
  • soweit die Infor­ma­ti­on nicht mög­lich ist oder unver­hält­nis­mä­ssig auf­wen­dig wäre, 
  • soweit über­wie­gen­de Inter­es­sen Drit­ter einer Infor­ma­ti­on entgegenstehen,
  • soweit und solan­ge die Infor­ma­ti­on den Zweck der Bear­bei­tung ver­ei­teln wür­de, z.B. bei inter­nen Untersuchungen, 
  • soweit es über­wie­gen­de Inter­es­sen eines Unter­neh­mens ver­lan­gen, aber nur, wenn Per­so­nen­da­ten nicht an Drit­te ausser­halb des Kon­zerns bekannt­ge­ge­ben werden,
  • bei Bun­des­or­ga­nen, wenn der Infor­ma­ti­on über­wie­gen­de öffent­li­che Inter­es­sen ent­ge­gen­ste­hen oder die Infor­ma­ti­on eine Ermitt­lung, eine Unter­su­chung oder ein Ver­fah­ren gefähr­den gefähr­den würde.

Die DSGVO über­lässt die Rege­lung der Aus­nah­men weit­ge­hend den Mit­glied­staa­ten, wes­halb das anwend­ba­re loka­le Recht kon­sul­tiert wer­den muss.

Das revDSG ver­langt eine Infor­ma­ti­on zu fol­gen­den Punkten: 

  • Name und Kon­takt­an­ga­ben des für die betref­fen­de Bear­bei­tung Verantwortlichen
  • falls ein Daten­schutz­be­ra­ter bestellt wur­de: sei­ne Kontaktdaten
  • die Zwecke der Datenbearbeitung
  • falls die Daten nicht vom Betrof­fe­nen selbst stam­men, son­dern von jemand ande­rem: die Art der bear­bei­te­ten Daten
  • wenn Daten wei­ter­ge­ge­ben wer­den: die­se Emp­fän­ger oder die Kate­go­rien der Emp­fän­ger (auch kon­zern­in­tern und auch bei einer Wei­ter­ga­be an Auftragsbearbeiter)
  • wenn Daten ins Aus­land gelan­gen (auch über (Unter-)Auftragsbearbeiter: die betref­fen­den Län­der oder Regio­nen, und ggf. den Abschluss der SCC oder die Anwen­dung einer Aus­nah­me vom Ver­bot der Bekannt­ga­be in Staa­ten ohne ange­mes­se­nen Schutz

Die DSGVO ist etwas stren­ger – es muss zusätz­lich über fol­gen­de Punk­te infor­miert werden: 

  • falls ein DPO bestellt wur­de: sei­ne Kontaktangaben
  • falls ein EU-Ver­tre­ter bestellt wur­de: sei­ne Kontaktangaben
  • die Rechts­grund­la­ge der Bear­bei­tung (z.B. die damit ver­folg­ten berech­tig­ten Interessen)
  • die Dau­er der Spei­che­rung bzw. Bear­bei­tung oder die Kri­te­ri­en zur Bestim­mung der Dauer
  • ob der Betrof­fe­ne eine Pflicht hat, sei­ne Daten bekanntzugeben
  • Rech­te der Betrof­fe­nen: Aus­kunft, Berich­ti­gung oder Löschung, Ein­schrän­kung, Wider­spruchs, Daten­über­trag­bar­keit, Wider­ruf der Ein­wil­li­gung, Beschwer­de bei einer Behörde

Dafür müs­sen nach der DSGVO nicht alle Län­der genannt wer­den, son­dern nur Län­der ausser­halb des EWR.

Je nach­dem kön­nen wei­te­re Infor­ma­ti­ons­pflich­ten gelten: 

  • Nach dem Grund­satz der Trans­pa­renz alles, was der Betrof­fe­ne wirk­lich wis­sen muss, d.h. was über­rra­schend, aber rele­vant wäre, und 
  • im Fall einer auto­ma­ti­sier­ten Ein­zel­ent­schei­dung wei­te­re Anga­ben, das aber nicht unbe­dingt in einer Daten­schutz­er­klä­rung, son­dern wenn die betref­fen­de Ent­schei­dung gefällt wird.

Das Daten­schutz­recht gibt nicht genau vor, wie infor­miert wer­den muss. Üblich sind Daten­schutz­er­klä­run­gen, aber eine Infor­ma­ti­on kann auch in AGB ent­hal­ten sein, sofern klar ist, was Ver­trags­be­stand­teil und was (Datenschutz-)Information ist, auch wenn dies oft nicht sinn­voll ist.

Man kann auch im Rah­men eines Ein­wil­li­gungs­for­mu­lars infor­mie­ren, oder durch einen Hin­weis auf einer Web­site, die Daten erhebt, oder durch ein geson­der­tes Schrei­ben usw. Mög­lich ist auch eine münd­li­che Infor­ma­ti­on, z.B. in einer Telefonansage.

Ent­schei­dend ist nur, dass der Betrof­fe­ne die Infor­ma­ti­on recht­zei­tig zur Kennt­nis neh­men und ver­ste­hen kann.

Mög­lich ist auch eine Infor­ma­ti­on durch jemand ande­ren. Das ist oft not­wen­dig. Wenn ein Bank­kun­de z.B. Infor­ma­tio­nen über einen Bevoll­mäch­ti­gen oder einen an Ver­mö­gens­wer­ten wirt­schaft­lich Berech­tig­ten bekannt­gibt, kann oft nur er – und nicht die Bank – infor­mie­ren. In die­sem Fall kann die Bank mit dem Kun­den ver­ein­ba­ren, dass die­ser die wei­te­ren Per­so­nen infor­miert. Dass muss der Kun­de sogar, denn auch er ist ein Ver­ant­wort­li­cher für die Bekannt­ga­be die­ser Daten an die Bank.

Das hängt vom Geschäft ab und vor allem auch von der Inter­ak­ti­on mit Betrof­fe­nen. Unter­neh­men ver­su­chen meist, nicht zuvie­le Daten­schutz­er­klä­run­gen zu haben, weil alle ver­wal­tet und aktua­li­siert wer­den müs­sen. Üblich ist etwa folgendes: 

  • Eine all­ge­mei­ne Daten­schutz­er­klä­rung, die mög­lichst vie­le der Bear­bei­tun­gen abdeckt (sofern sie dabei ver­ständ­lich bleibt), z.B. den Umgang mit End­kun­den­da­ten, mit Daten von Kon­takt­per­so­nen bei Kun­den und Lie­fe­ran­ten, beim Mar­ke­ting und für Neben­zwecke wie Sta­ti­stik, Ver­wal­tung, Com­pli­ance, Rechts­wah­rung, Unter­neh­mens­trans­ak­tio­nen usw.
  • eine Daten­schutz­er­klä­rung für Coo­kies und gene­rell den Umgang mit Daten über Web­sites und Apps 
  • eine Daten­schutz­er­klä­rung für die eige­nen Mitarbeitenden
  • eine Daten­schutz­er­klä­rung für Bewerber

Zusätz­lich kön­nen je nach­dem wei­te­re Daten­schutz­er­klä­run­gen sinn­voll sein, beson­ders wenn bestimm­te Bear­bei­tun­gen nicht unhei­kel sind, aber nur eine klei­ne­re, abge­grenz­te Grup­pe von Per­so­nen betrifft. Hier wer­den die ent­spre­chen­den Infor­ma­tio­nen statt in einer umfang­rei­chen all­ge­mei­nen Daten­schutz­er­klä­rung oft bes­ser in einer spe­zia­li­sier­ten, klei­ne­ren Daten­schutz­er­klä­rung abgedeckt.

Nein. Eine Daten­schutz­er­klä­rung ist nicht Ver­trags­be­stand­teil, son­dern Infor­ma­ti­on. Eine Ein­wil­li­gung in die Daten­schutz­er­klä­rung ist nicht not­wen­dig und soll­te auch ver­mie­den wer­den. Andern­falls besteht die Gefahr, dass die Daten­be­ar­bei­tung sich auf eine Ein­wil­li­gung stützt – wird sie wider­ru­fen, könn­te die ent­spre­chen­de Bear­bei­tung des­halb unzu­läs­sig werden. 

Es ist auch nicht zwin­gend, dass der Betrof­fe­ne bestä­tigt, die Daten­schutz­er­klä­rung gele­sen zu haben. Es reicht, wenn der Ver­ant­wort­li­che nach­wei­sen kann, dass der Betrof­fe­ne die Daten­schutz­er­klä­rung auf zumut­ba­re Wei­se zur Kennt­nis neh­men konnte.

Das ist nicht ganz geklärt. In der Schweiz ist die all­ge­mei­ne Pra­xis die, dass im Inter­net infor­miert wer­den kann, weil dem Betrof­fe­nen der Besuch einer Inter­net­sei­te zumut­bar ist. Schliess­lich sind die Bun­des­ge­set­ze auch in der im Inter­net ver­öf­fent­lich­ten Fas­sung ver­bind­lich – selbst der Gesetz­ge­ber geht also davon aus, dass das Inter­net ver­wen­det wird. Dass das nicht für alle Per­so­nen gilt, ist klar, aber kein Gegen­ar­gu­ment, es gibt immer Per­so­nen­grup­pen, die ein bestimm­tes For­mat nicht ver­wen­den kön­nen (z.B. Sehbehinderte). 

Das gibt aber nur, wenn den Betrof­fe­nen klar ist bzw. sein soll­te, dass ein Ver­ant­wort­li­cher Per­so­nen­da­ten von ihnen bear­bei­tet, z.B. weil sie mit dem Ver­ant­wort­li­chen einen Ver­trag haben – andern­falls wis­sen sie nicht, dass sie auf des­sen Web­site Infor­ma­tio­nen zum Daten­schutz kon­sul­tie­ren kön­nen. Bei nicht erkenn­ba­ren Bear­bei­tun­gen soll­te des­halb aktiv auf die Fund­stel­le der Datenschutzerklärung(e) z.B. in Inter­net hin­ge­wie­sen wer­den (z.B. auf einer Mit­tei­lung, in einer E‑Mail-Signa­tur, in einer Rech­nung usw.). 

In der Schweiz geht man all­ge­mein davon aus, dass ein ein­fa­cher Hin­weis auf die Daten­schutz­er­klä­rung genügt, unter Anga­be des Links. Nicht erfor­der­lich sind ein QR-Code oder bestimm­te Min­des­an­ga­ben zur Bear­bei­tung. Es reicht z.B. der Hin­weis “Infor­ma­tio­nen zu unse­rem Umgang mit Per­so­nen­da­ten fin­den sich auf www.xyz.ch”. 

Bei der DSGVO ist die Pra­xis stren­ger. Hier wer­den zumin­dest bestimm­te Grund­an­ga­ben ver­langt, dort, wo auf die Daten­schutz­er­klä­rung im Inter­net ver­wie­sen wird.

Wel­che Rech­te haben betrof­fe­ne Personen?

Das Daten­schutz­recht ver­langt vom Ver­ant­wort­li­chen zwar die Ein­hal­tung diver­ser Pflich­ten. Trotz­dem geht es davon aus, dass Betrof­fe­ne eine gro­sse Mit­ver­ant­wor­tung bei der Bear­bei­tung ihrer Daten haben. Dazu gibt ihnen das Daten­schutz­recht eine Rei­he von Instru­men­ten in die Hand, mit denen sie auf die­se Bear­bei­tung ein­wir­ken kön­nen – das sind die Betroffenenrechte.

Betrof­fe­ne haben zunächst das Recht, über die Bear­bei­tung ihrer Daten infor­miert zu wer­den, denn wenn sie von die­ser Bear­bei­tung nichts wis­sen, kön­nen sie auch wei­te­re Rech­te nicht ausüben. 

Das wich­tig­ste Betrof­fe­nen­recht neben der Infor­ma­tin ist das Recht auf Aus­kunft. Damit kön­nen sie vom Ver­ant­wort­li­chen wei­te­re Anga­ben über die Bear­bei­tung ihrer Daten ver­lan­gen. Nach dem revDSG und der DSGVO kön­nen sie auch eine maschi­nen­les­ba­re Kopie bestimm­ter Daten ver­lan­gen – die Idee ist, dass sie damit leich­ter zwi­schen Anbie­tern wech­seln kön­nen, auch wenn sich das vor­aus­sicht­lich kaum bewäh­ren wird.

Anschlie­ssend kön­nen die Betrof­fe­nen auf die­se Bear­bei­tung Ein­fluss neh­men. Sie kön­nen ihr teil­wei­se oder ganz wider­spre­chen (wobei sich das revDSG und die DSGVO hier stark unter­schei­den), und sie kön­nen auch ver­lan­gen, dass unrich­ti­ge Daten berich­tigt werden. 

Schliess­lich kön­nen sie Ein­wil­li­gun­gen wider­ru­fen, und sie kön­nen sich bei der zustän­di­gen Behör­de beschweren. 

Über die­se Rech­te müs­sen die Betrof­fe­nen nach der DSGVO infor­miert wer­den. Nach dem revDSG ist das nicht zwin­gend, aber es ist üblich.

Was gilt bei der Auftragsbearbeitung?

Dazu fin­den Sie unter “Begrif­fe” Informationen.

Das kommt dar­auf an: 

  • Ein Auf­trags­be­ar­bei­ter ist das exter­ne Dienst­lei­stungs­un­ter­neh­men i.d.R. dann, wenn eine Daten­be­ar­bei­tung Gegen­stand der ver­ein­bar­ten Lei­stun­gen ist, z.B. bei einem SaaS-Anbieter. 
  • Wenn Daten den Macht­be­reich des Ver­ant­wort­li­chen nicht ver­las­sen, auch nicht durch exter­ne Daten­zu­griffs­rech­te, son­dern nur von Ange­stell­ten des Dienst­lei­sters auf Infra­struk­tur des Ver­ant­wort­li­chen und unter des­sen Kon­trol­le und Wei­sungs­ge­walt ein­ge­se­hen oder bear­bei­tet wer­den kön­nen, ist der Dienst­lei­ster kein Auf­trags­be­ar­bei­ter, und auch die betref­fen­den Ange­stell­ten sind es nicht. Arbeits- und sozi­al­ver­si­che­rungs­recht­lich han­delt es sich dabei zwar i.d.R. nicht um Ange­stell­te des Ver­ant­wort­li­chen. Aber daten­schutz­recht­lich sind sie wie Ange­stell­te zu behan­deln, weil sie gleich wie Ange­stell­te sub­or­di­niert sind. Hier braucht es also kei­nen Auf­trags­be­ar­bei­tungs­ver­trag. Eine ver­trag­li­che Rege­lung mit dem Dienst­lei­ster und gewis­se Ver­pflich­tun­gen der ein­ge­setz­ten Ange­stell­ten sind aber den­noch erforderlich.

Ja und nein. Das revDSG wie auch die DSGVO (und das heu­ti­ge DSG) pri­vi­le­gie­ren die Auf­trags­be­ar­bei­tung, aller­dings in unter­schied­li­cher Hin­sicht. Die DSGVO ver­langt für jede Bear­bei­tung eine Rechts­grund­la­ge, weil jede Bear­bei­tung grund­sätz­lich unter­sagt ist. «Pri­vi­le­gie­rung» bedeu­tet in die­sen Zusam­men­hang vor allem, dass die Bekannt­ga­be an den Auf­trags­be­ar­bei­ter kei­ne eige­ne Rechts­grund­la­ge vor­aus­setzt. Das ist nach dem DSG und dem revDSG anders – die Bear­bei­tung ist zuläs­sig, sofern sie die Bear­bei­tungs­grund­sät­ze ein­hält. Die Pri­vi­le­gie­rung ist inso­fern weni­ger wich­tig. Bei beson­ders schüt­zens­wer­ten Per­so­nen­da­ten immer­hin führt sie dazu, dass die Bekannt­ga­be an den Auf­trags­be­ar­bei­ter ohne Recht­fer­ti­gungs­grund zuläs­sig ist.

Die­se Pri­vi­le­gie­rung folgt dar­aus, dass der Auf­trags­be­ar­bei­ter gewis­ser­ma­ssen der ver­län­ger­te Arm des Ver­ant­wort­li­chen ist und daten­schutz­recht­lich zu sei­ner Sphä­re gezählt wird. Das setzt aller­dings vor­aus, dass der Ver­ant­wort­li­che und der Auf­trags­be­ar­bei­ter einen Ver­trag schlie­ssen, der bestimm­ten Anfor­de­run­gen entspricht.

Auf­trags­be­ar­bei­ter haben oft ein Inter­es­se dar­an, bestimm­te Daten ihrer Kun­den, der Ver­ant­wort­li­chen, für eige­ne Zwecke zu ver­wen­den – bspw. weil sie eine Form des Machi­ne Lear­ning ein­set­zen und Auf­trags­da­ten als Trai­nings­da­ten ein­set­zen oder weil sie Auf­trags­da­ten für eige­ne Auf­be­wah­rungs­zwecke spei­chern wol­len (auch wenn Auf­be­wah­rungs­vor­schrif­ten sel­ten für Auf­trags­da­ten gel­ten werden).

Es ist nicht unüb­lich, Auf­trags­be­ar­bei­tern eine gewis­se Bear­bei­tung zu eige­nen Zwecken zu gestat­ten, oft ohne genaue­re recht­li­che Ana­ly­se. Streng­ge­nom­men stel­len sich aber eini­ge Fra­gen. Der Auf­trags­be­ar­bei­ter ist in einer sol­chen Kon­stel­la­ti­on ein Ver­ant­wort­li­cher. Im ent­spre­chen­den Umfang ent­fällt daher die Pri­vi­le­gie­rung, und die Bekannt­ga­be an den Auf­trags­be­ar­bei­ter als Ver­ant­wort­li­cher kann je nach­dem trans­pa­renz­pflich­tig sein. Sofern die DSGVO gilt, setzt die­se Bekannt­ga­be zudem eine Rechts­grund­la­ge vor­aus, die zu prü­fen und in einer Daten­schutz­er­klä­rung auch zu nen­nen ist. Auch die wei­te­re Bear­bei­tung durch den Auf­trags­be­ar­bei­ter – nun als Ver­ant­wort­li­cher – ver­langt eine Rechts­grund­la­ge und eine Infor­ma­ti­on, um die sich der Auf­trags­be­ar­bei­ter küm­mern muss, was in der prak­ti­schen Umset­zung anspruchs­voll sein kann.

Kei­ne Ver­wen­dung von Auf­trags­da­ten liegt dage­gen dann vor, wenn der Auf­trags­be­ar­bei­ter Daten über Kon­takt­per­so­nen des Ver­ant­wort­li­chen für sein eige­nes Ver­trags­ma­nage­ment, sein CRM oder sei­ne Rech­nung­stel­lung ver­wen­det. Hier ist der Ver­ant­wort­li­che ein Ver­ant­wort­li­cher. Man kann sich daher fra­gen, ob bei einem Auf­trags­be­ar­bei­ter in einem Staat ohne ange­mes­se­nes Schutz­ni­veau nicht auch immer die Stan­dard­ver­trags­klau­seln für Ver­ant­wort­li­che (d.h. heu­te das Modul 1) zum Ein­satz kom­men müss­te, was in der Pra­xis aller­dings sel­ten so umge­setzt wird.

Was gibt bei der Datensicherheit?

Das Daten­schutz­recht geht das The­ma der Daten­si­cher­heit von unter­schied­li­chen Aus­gangs­punk­ten her: 

  • Gene­rell ver­langt das Daten­schutz­recht vom Ver­ant­wort­li­chen wie auch vom Auf­trags­be­ar­bei­ter, ein ange­mes­se­nes Schutz­ni­veau zu gewähr­lei­sten. Unter­neh­men müs­sen des­halb die Risi­ken für Betrof­fe­ne ein­schät­zen und ange­mes­se­ne Mass­nah­men vorsehen.
  • Ggf. sind Sicher­heits­mass­nah­men im Rah­men einer Daten­schutz-Fol­gen­ab­schät­zung zu bewerten.
  • Die Gewähr­lei­stung der Daten­si­cher­heit ist ein legi­ti­mer Zweck, der eine Bear­bei­tung von Per­so­nen­da­ten recht­fer­ti­gen kann.
  • Eine Ver­let­zung der Daten­si­cher­heit kann zu wei­te­ren Ver­let­zun­gen füh­ren (eine Ein­wil­li­gung wird eine Bear­bei­tung z.B. immer nur unter still­schwei­gen­den Vor­aus­set­zung legi­ti­mie­ren, dass die Daten­si­cher­heit ein­ge­hal­ten wird).
  • Ver­ant­wort­li­che müs­sen im Ver­hält­nis zum Auf­trags­be­ar­bei­ter ver­ein­ba­ren, dass die­ser wäh­rend der Auf­trags­be­ar­bei­tung ange­mes­se­ne Schutz­mass­nah­men aufrechterhält.
  • Ver­ant­wort­li­che müs­sen Auf­trags­be­ar­bei­ter und deren Sicher­heits­mass­nah­men daher vor­ab prü­fen (“Ven­dor Assess­ment”). Die DSGVO ver­langt zudem, dass sol­che Prü­fun­gen doku­men­tiert wer­den. Das revDSG ver­langt dies nicht, aber wenn Prü­fun­gen durch­ge­führt wer­den, soll­te dies selbst­ständ­lich doku­men­tiert sein. 
  • Ver­let­zun­gen der Daten­si­cher­heit sind – nach der DSGVO – zu doku­men­tie­ren, und das revDSG wie auch die DSGVO ver­lan­gen vom Ver­ant­wort­li­chen, Ver­let­zun­gen unter Umstän­den der zustän­di­gen Behör­de oder auch betrof­fe­nen Per­so­nen mitzuteilen.
  • Auf­trags­be­ar­bei­ter müs­sen Sicher­heits­ver­let­zun­gen dem Ver­ant­wort­li­chen mitteilen. 
  • Sicher­heits­mass­nah­men müs­sen im Bear­bei­tungs­ver­zeich­nis genannt oder refe­ren­ziert werden. 

Das Daten­schutz­recht gibt das zu errei­chen­de Schutz­ni­veau nicht vor. Es sagt nur, dass die­ses den Risi­ken für die Betrof­fe­nen ange­mes­sen sein muss. Die heu­ti­ge VDSG und ähn­lich auch der Ent­wurf der revi­dier­ten VDSG geben immer­hin vor, dass dabei Art und Umstän­de der Daten­be­ar­bei­tung, die Risi­ken für Betrof­fe­ne, der Stand der Tech­nik und mple­men­tie­rungs­ko­sten zu berück­sich­ti­gen sind. Je nach Bran­che kön­nen aber beson­de­re Anfor­de­run­gen gel­ten, und eben­so für öffent­li­che Organe.

Man kann die Anfor­de­run­gen an die Daten­si­cher­heit dadurch kon­kre­ti­sie­ren, dass man nach bestimm­ten Risi­ken fragt, oder genau­er gesagt, nach typi­schen Bedro­hungs­sze­na­ri­en. Die­sen Sze­na­ri­en müs­sen die Sicher­heits­mass­nah­men begeg­nen. Dar­aus erge­ben sich wie­der­um sog. Schutz­zie­le. Sie sind kei­ne umfas­sen­de Dar­stel­lung der Daten­si­cher­heit, hel­fen als typi­sche Aus­rich­tung aber bei der Prü­fung und Bewer­tung von Sicherheitsmassnahmen. 

Der Ent­wurf der revi­dier­ten VDSG sieht fol­gen­de Schutz­zie­le vor: 

  • Zugriffs­kon­trol­le: Kon­trol­le der Zugriffs­rech­te auf Daten
  • Zugangs­kon­trol­le: Kon­trol­le des Zugangs zu Anla­gen und Systemen
  • Daten­trä­ger­kon­trol­le: Kon­trol­le der Ver­fü­gung über Datenträger
  • Spei­cher­kon­trol­le: Kon­trol­le gespei­cher­ter Daten
  • Benut­zer­kon­trol­le: Kon­trol­le über Fernzugriffe
  • Trans­port­kon­trol­le: Kon­trol­le wäh­rend der Datenübermittlung
  • Ein­ga­be­kon­trol­le: Kon­trol­le über die Ein­ga­be und Ände­rung von Daten
  • Bekannt­ga­be­kon­trol­le: Kon­trol­le über die Bekannt­ga­be von Daten
  • Erken­nung und Wie­der­her­stel­lung: Erken­nen und Kon­trol­le von Zwischenfällen. 

Man kann die Daten­si­cher­heit auch anders betrach­ten, mehr vom Ergeb­nis und weni­ger von den Risi­ken her. Die Daten­si­cher­heit soll dabei vor allem drei Punk­te gewährleisten: 

  • die Ver­trau­lich­keit von Daten, 
  • die Inte­gri­tät von Daten und
  • die Ver­füg­bar­keit von Daten. 

Nach dem eng­li­schen “Con­fi­den­tia­li­ty, Inte­gri­ty” und “Avai­la­bil­ty” wird des­halb auch von “CIA” gesprochen.

Das Daten­schutz­recht umschreibt Sicher­heits­mass­nah­men als “tech­ni­sche und orga­ni­sa­to­ri­sche Mass­nah­men”, oft als “TOMs” abgekürzt. 

Tech­ni­sche Mass­nah­men sind Mass­nah­men, die tech­nisch imple­men­tiert wer­den, z.B. ein Pass­wort­schutz oder eine Trans­port­ver­schlüs­se­lung. Orga­ni­sa­to­ri­sche Mass­nah­men set­zen bei Men­schen an, z.B. durch ein Vier­au­gen­prin­zip, eine Clean Desk-Wei­sung, Ver­trä­ge, Kon­trol­len oder Schu­lun­gen. Tech­ni­sche Mass­nah­men gel­ten ten­den­zi­ell als stärker.

Wel­che Sicher­heits­mass­nah­men jeweils erfor­der­lich sind, ist eine Fra­ge der Umstän­de, z.B. des Systems der Daten­be­ar­bei­tung, der Risi­ken und der fak­tisch in Fra­ge kom­men­den Mass­nah­men. Die DSGVO nennt nicht abschlie­ssend fol­gen­de Mass­nah­men, die teil­wei­se aber eher Schutz­zie­le denn Mass­nah­men sind:

  • Pseud­ony­mi­sie­rung und Verschlüsselung;
  • Fähig­keit, die Ver­trau­lich­keit, Inte­gri­tät, Ver­füg­bar­keit und Belast­bar­keit der Syste­me und Dien­ste im Zusam­men­hang mit der Ver­ar­bei­tung auf Dau­er sicherzustellen;
  • Fähig­keit, die Ver­füg­bar­keit der per­so­nen­be­zo­ge­nen Daten und den Zugang zu ihnen bei einem phy­si­schen oder tech­ni­schen Zwi­schen­fall rasch wiederherzustellen
  • Ver­fah­ren zur regel­mä­ssi­gen Über­prü­fung, Bewer­tung und Eva­lu­ie­rung der Wirk­sam­keit der tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men zur Gewähr­lei­stung der Sicher­heit der Verarbeitung.

Der EDÖB hat in sei­nem etwas ange­jahr­ten Leit­fa­den zu tech­ni­schen und orga­ni­sa­to­ri­schen Mass­nah­men Bei­spie­le auf­ge­führt (die je nach Umstän­den erfor­der­lich sind oder nicht).

Kon­kre­te Sicher­heits­mass­nah­men wer­den auch in bran­chen­spe­zi­fi­schen Rege­lun­gen vor­ge­ge­ben, z.B. – selbst­re­dend nicht abschlie­ssend – für die Kre­dit­kar­ten­bran­che im Payment Card Indu­stry Data Secu­ri­ty Stan­dard (PCI DSS), für Ban­ken und Wert­pa­pier­häu­ser im Rund­schrei­ben Ope­ra­tio­nel­le Risi­ken, in den Leit­li­ni­en der Ban­kier­ver­ei­ni­gung für Data Leaka­ge Pre­ven­ti­on und den Emp­feh­lun­gen für das Busi­ness Con­ti­nui­ty Manage­ment, und für den Bund im kom­men­den Informationssicherheitsgesetz.

Das heu­ti­ge DSG ver­steht den Grund­satz der Daten­si­cher­heit brei­ter und sieht ihn ent­spre­chend durch jede unbe­fug­te Bear­bei­tung ver­letzt. Das revDSG und die DSGVO sind enger: Der Grund­satz der Daten­si­cher­heit betrifft nur die eigent­li­che Sicherheit. 

Eine Sicher­heits­ver­let­zung ist ent­spre­chend defi­niert, im revDSG wie in der DSGVO. Sie besteht jeweils dar­in, dass 

  • eine Ver­let­zung der Sicher­heit ein­tritt, also ein Ver­sa­gen einer tech­ni­schen oder einer orga­ni­sa­to­ri­schen Massnahme,
  • die zwei­tens eine bestimm­te Fol­ge hat, näm­lich dazu führt, dass Per­so­nen­da­ten unbe­ab­sich­tigt oder wider­recht­lich ver­lo­ren­ge­hen, gelöscht, ver­nich­tet oder ver­än­dert wer­den oder Unbe­fug­ten offen­ge­legt oder zugäng­lich gemacht werden.

Kei­ne Sicher­heits­ver­let­zung ist eine unbe­fug­te Bear­bei­tung durch den Ver­ant­wort­li­chen, z.B. eine unter­las­se­ne Löschung oder eine uner­laub­te Zweckänderung. 

Das heu­ti­ge DSG sieht kei­ne aus­drück­li­che Pflicht vor, Sicher­heits­ver­let­zun­gen dem EDÖB oder den betrof­fe­nen Per­so­nen zu mel­den. In Aus­nah­me­fäl­len kann sich eine sol­che Pflicht aber aus all­ge­mei­nen Grund­sät­zen ergeben. 

Die DSGVO kennt aber Mel­de­pflich­ten, und auch das revDSG führt sol­che Pflich­ten ein.

Mel­de­pflich­ten kön­nen sich auch aus bran­chen­spe­zi­fi­schen Rege­lun­gen erge­ben. Die­se gehen aber weni­ger von der Ver­let­zung des Schut­zes von Per­so­nen­da­ten aus son­dern gene­rell von Vor­fäl­len, die in der betref­fen­den Bran­che rele­vant sind. Ein Bei­spiel ist die Pflicht, nach Art. 29 FINMAG auf­sichts­re­le­van­te Vor­fäl­le der FINMA zu melden. 

Nach dem revDSG müs­sen Ver­ant­wort­li­che dem EDÖB eine Sicher­heits­ver­let­zung mel­den, falls die­se “vor­aus­sicht­lich zu einem hohen Risi­ko” für die betrof­fe­nen Per­so­nen führt. Hier unter­schei­det sich das revDSG von der DSGVO – nach der DSGVO sind alle Sicher­heits­ver­let­zun­gen zu mel­den, die zu einem Risi­ko führen.

Man kann dem EDÖB Sicher­heits­ver­let­zun­gen auch frei­wil­lig mel­den. In der Regel ist davon abzuraten.

Nach dem revDSG muss der Ver­ant­wort­li­che die betrof­fe­nen Per­so­nen dann über eine Sicher­heits­ver­let­zung – mit Bezug auf ihre Daten – infor­mie­ren, wenn es zum Schutz der betrof­fe­nen Per­son erfor­der­lich ist. Das kann z.B. dann der Fall sein, wenn Zugangs­da­ten zu einem Kon­to ent­wen­det wur­den und die betrof­fe­ne Per­son die­sel­ben Zugangs­da­ten womög­lich ander­wei­tig ein­setzt oder das betrof­fe­ne Kon­to nur selbst sper­ren kann. 

Eben­falls mit­zu­tei­len sich Sicher­heits­ver­let­zun­gen, wenn der EDÖB es ver­langt (aber nicht unbe­dingt so, wie er es verlangt).

Wie regeln Kon­zer­ne ihren inter­nen Datenverkehr?

Grund­sätz­lich nicht. Juri­sti­sche Per­so­nen inner­halb eines Kon­zerns wer­den gleich behan­delt wie unver­bun­de­ne Unter­neh­men. Die Bekannt­ga­be zwi­schen Kon­zern­un­ter­neh­men ist des­halb nicht privilegiert.

Bestimm­te Erleich­te­run­gen gibt es aber dennoch:

Wenn Per­so­nen­da­ten an Drit­te – d.h. ande­re Ver­ant­wort­li­che – bekannt­ge­ge­ben wer­den, ver­liert das bekannt­ge­ben­de Unter­neh­men das Recht, sich gegen ein Aus­kunfts­be­geh­ren auf sei­ne eige­nen über­wie­gen­den Inter­es­sen zu beru­fen. Das­sel­be gilt für die ent­spre­chen­de Aus­nah­me von der Infor­ma­ti­ons­pflicht. Nach dem revDSG tritt die­se Fol­ge aber jeweils nicht ein, wenn der emp­fan­gen­de Ver­ant­wort­li­che zum glei­chen Kon­zern wie der bekannt­ge­ben­de Ver­ant­wort­li­che gehört.
Das Risi­ko bei einer kon­zern­in­ter­nen Bekannt­ga­be kann nied­ri­ger sein. Ent­spre­chend kann eine Bekannt­ga­be eher gerecht­fer­tigt sein (und nach der DSGVO steigt die Chan­ce, die Bekannt­ga­be mit einem berech­tig­ten Inter­es­se zu legitimieren).

Fak­tisch kön­nen natür­lich wei­te­re Erleich­te­run­gen bestehen:

Bei einer ein­heit­li­chen Lei­tung kann das Daten­schutz­recht leich­ter bzw. ins­ge­samt effi­zi­en­ter umge­setzt wer­den.
Kon­zern­in­ter­ne Rah­men­ver­trä­ge erleich­tern die Bekannt­ga­be.
Ein DPO oder Daten­schutz­be­ra­ter kann unter bestimm­ten Vor­aus­set­zun­gen für meh­re­re Kon­zern­ge­sell­schaf­ten vor­ge­se­hen werden.

Es bestehen fak­tisch aber auch Erschwe­run­gen bzw. Risiken:

Das Risi­ko einer man­geln­den Abgren­zung zwi­schen den Gesell­schaf­ten steigt, z.B. unbe­merk­ter gemein­sa­mer Ver­ant­wort­lich­kei­ten, unbe­merk­ter Auf­trags­be­ar­bei­tun­gen oder unbe­merk­ter Über­mitt­lun­gen ins Aus­land.
Eine Kon­zern­zen­tra­le kann ver­su­chen, dem gesam­ten Kon­zern – auch für die Schweiz – undif­fe­ren­ziert die DSGVO als Stan­dard auf­zu­er­le­gen.
Mit­ar­bei­ten­de kön­nen für meh­re­re Kon­zern­ge­sell­schaf­ten tätig wer­den. Das erschwert die Abgren­zung der Ver­ant­wort­lich­kei­ten, was bspw. die Beant­wor­tung eines Aus­kunfts­be­geh­rens erheb­lich erschwe­ren kann.
Es kann zu unbe­merk­tem Arbeits­ver­leih kom­men.
Es kann dazu füh­ren, dass geld­wer­te Lei­stun­gen zwi­schen Kon­zern­ge­sell­schaf­ten nicht kor­rekt ver­rech­net wer­den, was zu nega­ti­ven Steu­er­fol­gen füh­ren kann.

Da im Daten­schutz­recht ein Kon­zern­pri­vi­leg weit­ge­hend fehlt, regeln Kon­zer­ne ihre Daten­flüs­se nicht anders als unver­bun­de­ne Unter­neh­men, z.B. durch Auf­trags­be­ar­bei­tungs­ver­trä­ge oder den Abschluss der Standardvertragsklauseln. 

Aller­dings kön­nen die­se Ver­trä­ge ver­ein­heit­licht wer­den, z.B. durch einen kon­zern­wei­ten Rah­men­ver­trag. Die­se Ver­trä­ge wer­den oft als “Intra-Group Data Trans­fer Agree­ment” (“IGDTA”) oder – wenn sie etwas brei­ter sind – als “Intra­group Data Pro­tec­tion Agree­ment (“IDPA”) bezeichnet. 

Damit sind kon­zern­wei­te Rah­men­ver­trä­ge zur Rege­lung der inter­nen Daten­flüs­se gemeint. Sie regeln oft fol­gen­de Punkte: 

  • Gel­tungs­be­reich des Ver­trags, ein­schliess­lich des Bei­tritts neu­er Kon­zern­ge­sell­schaf­ten oder des Aus­tritts z.B. bei einem Verkauf; 
  • gene­rel­le Daten­schutz­mass­nah­men, z.B. Ver­trau­lich­keit, Ein­hal­tung der Zweck­bin­dung, Gewähr­lei­stung eines ange­mes­se­nen Sicher­heits­ni­veaus oder gegen­sei­ti­ge Unter­stüt­zung bei Betrof­fe­nen­be­geh­ren und Behördenanfragen; 
  • Lei­stun­gen einer zen­tra­len Stel­le, z.B. der Holding;
  • Manage­ment des Ver­trags durch eine zen­tra­le Stel­le, ein­schliess­lich des Bei- und Aus­tritts und von Vertragsanpassungen; 
  • Gel­tung der Stan­dard­ver­trags­klau­seln bei kon­zern­in­ter­nen Über­mitt­lun­gen in Staa­ten ohne ange­mes­se­nes Schutzniveau; 
  • Rege­lung der Auf­trags­be­ar­bei­tun­gen durch ein­heit­li­che Vertragsbestimmungen;
  • Rege­lung gemein­sa­mer Ver­ant­wort­lich­kei­ten durch ein­heit­li­che Vertragsbestimmungen;
  • das Manage­ment der ein­zel­nen Ver­trags­be­zie­hun­gen (z.B. Auf­trags­be­ar­bei­tun­gen), für die die im IDPA vor­ge­se­he­nen Muster­be­stim­mun­gen zur Anwen­dung kommen;
  • Bestel­lung von Kon­zern­ge­sell­schaf­ten als EU‑, UK- oder CH-Vertreter; 
  • nach den ein­zel­nen natio­na­len Rech­ten zusätz­lich erfor­der­li­che Bestimmungen.

Soweit uns bekannt nicht frei im Inter­net erhält­lich. Wir arbei­ten i.d.R. aber mit Vor­la­gen, die an den kon­kre­ten Fall ange­passt wer­den können.