DSV: kei­ne Min­dest­an­for­de­run­gen an die Daten­si­cher­heit, kei­ne ent­spre­chen­de Straf­bar­keit, wei­te­re Anmerkungen

Han­nes Meyle, Anne-Sophie Morand und David Vasella


An sei­ner Sit­zung vom 31. August 2022 hat der Bun­des­rat die neue Daten­schutz­ver­ord­nung (DSV) sowie die neue Ver­ord­nung über Daten­schutz­zer­ti­fi­zie­run­gen (VDSZ) ver­ab­schie­det. Damit hat der Bun­des­rat von sei­ner Kom­pe­tenz Gebrauch gemacht, Aus­füh­rungs­vor­schrif­ten zum revi­dier­ten Daten­schutz­ge­setz (nDSG) zu erlassen.

Der Ent­wurf der Ver­ord­nung (E‑VDSG) sah zahl­rei­che Bestim­mun­gen vor, die inhalt­lich wei­ter als das nDSG gin­gen und ein­schnei­den­de Aus­wir­kun­gen gehabt hät­ten (wir haben berich­tet). Die E‑VDSG war in der Ver­nehm­las­sung daher har­scher Kri­tik aus­ge­setzt. Der Bun­des­rat hat der Kri­tik nicht in allen Punk­ten Rech­nung getra­gen, aber eini­ge wich­ti­ge Ver­bes­se­run­gen wur­den erreicht. Zur Über­sicht haben wir bereits eine hier als PDF abruf­ba­re Ver­gleichs­ta­bel­le zur Ver­fü­gung gestellt.

Der vor­lie­gen­de Bei­trag setzt sich inhalt­lich mit der DSV aus­ein­an­der und erläu­tert Kern­punk­te der fina­len Fas­sung der DSV und die wesent­li­chen Ände­run­gen im Ver­gleich zur E‑VDSG.

Daten­si­cher­heit (1. Abschnitt, Art. 1 – 6 DSV)

Die vor­sätz­li­che Ver­let­zung der Min­dest­an­for­de­run­gen an die Daten­si­cher­heit kann gemäss Art. 61 lit. c nDSG auf Antrag mit einer Bus­se von bis zu CHF 250’000 bestraft wer­den. Der Bun­des­rat wur­de dabei beauf­tragt, die Min­dest­an­for­de­run­gen an die Daten­si­cher­heit zu bestim­men (Art. 8 Abs. 3 nDSG). Die ent­spre­chen­den Vor­schrif­ten in der DSV sind daher für Ver­ant­wort­li­che und Auf­trags­be­ar­bei­ter von gro­sser Bedeu­tung. Eine nähe­re Betrach­tung zeigt jedoch, dass die Art. 1 – 6 DSV kei­ne ent­spre­chen­den Anfor­de­run­gen fest­le­gen, weil die DSV in die­sem Punkt nicht auf das nDSG abge­stimmt ist, son­dern vom heu­ti­gen Kon­zept der Daten­si­cher­heit nach dem DSG ausgeht.

Die DSV ent­hält kei­ne Min­dest­an­for­de­run­gen an die Daten­si­cher­heit i.S.d. nDSG

Art. 8 und Art. 5 lit. h nDSG defi­nie­ren die Daten­si­cher­heit enger als Art. 7 DSG

Der Bun­des­rat ist nach Art. 8 Abs. 3 nDSG beauf­tragt, Min­dest­an­for­de­run­gen der „Daten­si­cher­heit“ zu erlas­sen. Was Daten­si­cher­heit ist, defi­niert Art. 5 lit. h mit der Legal­de­fi­ni­ti­on der Ver­let­zung der Daten­si­cher­heit:

eine Ver­let­zung der Sicher­heit, die dazu führt, dass Per­so­nen­da­ten unbe­ab­sich­tigt oder wider­recht­lich ver­lo­ren­ge­hen, gelöscht, ver­nich­tet oder ver­än­dert wer­den oder Unbe­fug­ten offen­ge­legt oder zugäng­lich gemacht werden;

Im Ver­gleich zu Art. 5 lit. h nDSG liegt dem heu­ti­gen DSG ein viel brei­te­res Ver­ständ­nis der Daten­si­cher­heit zugrun­de. Art. 7 DSG:

1 Per­so­nen­da­ten müs­sen durch ange­mes­se­ne tech­ni­sche und orga­ni­sa­to­ri­sche Mass­nah­men gegen unbe­fug­tes Bear­bei­ten geschützt werden.
2 Der Bun­des­rat erlässt nähe­re Bestim­mun­gen über die Min­dest­an­for­de­run­gen an die Datensicherheit.

Das heu­ti­ge DSG ver­steht die Daten­si­cher­heit dem­nach als Gesamt­heit der Mass­nah­men gegen unbe­fug­tes Bear­bei­ten, das nDSG nur der Mass­nah­men gegen einen Daten­ver­lust oder eine ande­re Sicher­heits­ver­let­zung im eigent­li­chen Sinn, d.h. im Sin­ne der Security.

Das nDSG hat das Anlie­gen, dass die Ein­hal­tung des Daten­schut­zes gene­rell pro­ak­tiv sicher­ge­stellt wird, selbst­ver­ständ­lich nicht auf­ge­ge­ben, ver­steht dies aber nicht mehr als Teil der Daten­si­cher­heit, son­dern des Grund­sat­zes von Pri­va­cy by Design nach Art. 7 Abs. 1 und 2 nDSG. Art. 7 Abs. 1 nDSG (und nicht Art. 8 Abs. 1 nDSG) ent­spricht denn auch weit­ge­hend Art. 7 Abs. 1 DSG:

Art. 7 Abs. 1 DSG: 1 Per­so­nen­da­ten müs­sen durch ange­mes­se­ne tech­ni­sche und orga­ni­sa­to­ri­sche Mass­nah­men gegen unbe­fug­tes Bear­bei­ten geschützt werden.

Art. 7 Abs. 1 nDSG: 1 Der Ver­ant­wort­li­che ist ver­pflich­tet, die Daten­be­ar­bei­tung tech­nisch und orga­ni­sa­to­risch so aus­zu­ge­stal­ten, dass die Daten­schutz­vor­schrif­ten ein­ge­hal­ten wer­den, ins­be­son­de­re die Grund­sät­ze nach Arti­kel 6. Er berück­sich­tigt dies ab der Planung.

Dem Gesetz­ge­ber war die­ser Wech­sel des Kon­zepts der Daten­si­cher­heit bewusst. Die Bot­schaft zu Art. 8 nDSG (Daten­si­cher­heit):

Arti­kel [8] ver­pflich­tet sowohl den Ver­ant­wort­li­chen als auch den Auf­trags­be­ar­bei­ter dazu, für ihre Syste­me eine geeig­ne­te Sicher­heits­ar­chi­tek­tur vor­zu­se­hen und sie z. B. gegen Schad­soft­ware oder Daten­ver­lust zu schüt­zen. Arti­kel 7 Absatz 1 zielt hin­ge­gen dar­auf ab, mit tech­ni­schen Mit­teln die Ein­hal­tung von Daten­schutz­vor­schrif­ten sicher­zu­stel­len, z. B. dass die Daten­be­ar­bei­tung ver­hält­nis­mä­ssig bleibt.

Der Gesetz­ge­ber hat die Daten­si­cher­heit also bewusst vom all­ge­mei­nen Daten­schutz unter­schie­den und letz­te­ren dem Grund­satz von Pri­va­cy by Design zuge­wie­sen. Die Bot­schaft zu Art. 8 nDSG ver­weist in die­sem Zusam­men­hang übri­gens aus­drück­lich auf Art. 32 DSGVO (“Sicher­heit der Ver­ar­bei­tung”) – und nicht etwa auf Art. 5 (“Grund­sät­ze der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten”).

Feh­len­de Unter­schei­dung zwi­schen Daten­si­cher­heit und Daten­schutz in der DSV

Der Bun­des­rat hat sich bei der Legi­fe­rie­rung zur Daten­si­cher­heit in der DSV lei­der trotz­dem an die heu­ti­ge VDSG ange­lehnt. Das schien wohl nahe­lie­gend, denn Art. 7 Abs. 2 DSG sieht schon vor, dass der Bun­des­rat “nähe­re Bestim­mun­gen über die Min­dest­an­for­de­run­gen an die Daten­si­cher­heit” erlässt. Auf die­ser Basis hat­te der Bun­des­rat in der VDSG im 4. Abschnitt Bestim­mun­gen zu TOMs, zur Pro­to­kol­lie­rung, zum Bear­bei­tungs­re­gle­ment und zur Bekannt­ga­be von Daten erlassen.

Der Bun­des­rat hat nun also kur­zer­hand die Daten­si­cher­heits­be­stim­mun­gen der heu­ti­gen VDSG – mit Anpas­sun­gen (sie­he unse­re Ver­gleichs­ta­bel­le, PDF) – als straf­wür­di­ge Min­dest­vor­schrif­ten bestimmt und sagt dazu:

Mit den Bestim­mun­gen zur Daten­si­cher­heit erfüllt der Bun­des­rat den gesetz­li­chen Auf­trag gemäss Arti­kel 8 Absatz 3 nDSG. An die­se Min­dest­an­for­de­run­gen knüpft zudem die Straf­norm in Arti­kel 61 Buch­sta­be c nDSG) an. Der Grad an Sicher­heit, der ein­ge­hal­ten wer­den muss, damit die Straf­norm nicht ver­letzt wird, bestimmt sich dabei nach den Grund­sät­zen und Kri­te­ri­en des vor­lie­gen­den Abschnittes.

Nicht bedacht oder bewusst ver­nach­läs­sigt hat der Bun­des­rat dabei aber das neue, kon­zep­tio­nell enge­re Ver­ständ­nis der Daten­si­cher­heit im nDSG. Es geht, wie aus­ge­führt, nicht mehr um das unbe­fug­te Bear­bei­ten über­haupt, son­dern allein dar­um, eine Ver­let­zung der Secu­ri­ty zu verhindern.

Hät­te der Bun­des­rat bedacht, wie das nDSG die Daten­si­cher­heit begreift, hät­te er eine Tria­ge vor­neh­men müs­sen zwi­schen den Bestim­mun­gen der VDSG, die die Daten­si­cher­heit im eigent­li­chen Sin­ne regeln, und den Bestim­mun­gen, die all­ge­mei­ne Daten­schutz­an­lie­gen ver­fol­gen. Denn Art. 7 nDSG – Pri­va­cy by Design – gibt dem Bun­des­rat kei­ne Kom­pe­tenz zur Rechtsetzung.

Das hat der Bun­des­rat unter­las­sen. Er hat also dadurch sei­ne Rege­lungs­kom­pe­tenz über­schrit­ten, dass er nicht berück­sich­tigt hat, dass der Grund­satz von Pri­va­cy by Design im nDSG einen gro­ssen Teil der Daten­si­cher­heit nach heu­ti­gem Recht auf­ge­nom­men hat und die Kom­pe­tenz zur Aus­füh­rung der Anfor­de­run­gen an die Daten­si­cher­heit viel enger ist.

Kei­ne Rege­lung der Daten­si­cher­heit in der DSV

Bei der Ein­ord­nung der Bestim­mun­gen von Art. 1 – 6 DSV ist also wie folgt vorzugehen:

  1. Erstens ist jeweils zu fra­gen, ob die ent­spre­chen­de Bestim­mung der Daten­si­cher­heit nach neu­em Recht dient oder aber dem Grund­satz von Pri­va­cy by Design.
  2. Zwei­tens ist zu unter­schei­den zwi­schen einer all­ge­mei­nen Kon­kre­ti­sie­rung – die der Bun­des­rat auch ohne aus­drück­li­che gesetz­li­che Ermäch­ti­gung vor­neh­men darf, aber eben nur kon­kre­ti­sie­rend – und der Fest­le­gung eigent­li­cher Min­dest­an­for­de­run­gen i.S.v. Art. 8 Abs. 3 und Art. 61 lit. c nDSG. Min­dest­an­for­de­run­gen beant­wor­ten dabei das „was“ (kon­kre­te Mass­nah­men als Ergeb­nis einer Abwä­gung), eine all­ge­mei­ne Kon­kre­ti­sie­rung der Daten­si­cher­heit das „wie“ (Vor­ge­hen bei der Abwägung).
  3. Drit­tens ist bei Min­dest­an­for­de­run­gen der Daten­si­cher­heit i.S.d. nDSG – falls es sie gibt – zu fra­gen, ob sie so kon­kret for­mu­liert sind, dass sie vor Art. 1 StGB und dem unge­schrie­be­nen Ver­fas­sungs­grund­satz „nul­la poe­na sine lege (cer­ta)“ standhalten.

Eine ent­spre­chen­de Unter­su­chung führt zum Ergeb­nis, dass Art. 1 – 6 DSV kei­ne Min­dest­an­for­de­run­gen an die Daten­si­cher­heit ent­hal­ten. Alle die­se Bestim­mun­gen sind pro­gram­ma­ti­scher Natur oder die­nen dem Grund­satz von Pri­va­cy by Design.

Im Ein­zel­nen:

Art. 1 DSV (Grund­sät­ze)

Die­se Bestim­mung legt Grund­sät­ze fest, die der Ver­ant­wort­li­che und der Auf­trags­be­ar­bei­ter zu beach­ten haben, wenn sie ein ange­mes­se­nes Schutz­ni­veau fest­le­gen und dafür geeig­ne­te Mass­nah­men bestim­men. Die­se Bestim­mung ist der Daten­si­cher­heit zuzu­ord­nen, was der Erläu­te­rungs­be­richt auch zu Recht fest­hält. Sie ent­hält aber pro­gram­ma­ti­sche Grund­sät­ze und kei­ne kon­kre­ten Anfor­de­run­gen an die Daten­si­cher­heit, schon gar kei­ne Min­destanfor­de­run­gen. Justi­zia­bel ist die­se Bestim­mung in die­sem Sin­ne nicht, denn aus Art. 1 DSV fol­gen auch bei wohl­wol­lend­ster Betrach­tung kei­ne Min­dest­an­for­de­run­gen, son­dern nur all­ge­mein gehal­te­ne Anwei­sun­gen für das Vor­ge­hen des Ver­ant­wort­li­chen bei der Bestim­mung von Sicher­heits­mass­nah­men. Wie bereits erwähnt darf der Bun­des­rat eine sol­che Kon­kre­ti­sie­rung vor­neh­men, aber nicht gestützt auf Art. 8 Abs. 3 nDSG.

Geht der Ver­ant­wort­li­che nicht wie von Art. 1 DSV vor­ge­se­hen vor, bestimmt er z.B. den Schutz­be­darf nicht lege artis oder berück­sich­tigt er bei der Risi­ko­be­wer­tung rele­van­te Fak­to­ren nicht oder über­prüft er sei­ne Mass­nah­men nicht lau­fend, indi­ziert dies des­halb kei­ne Ver­let­zung von Min­dest­an­for­de­run­gen an die Datensicherheit:

  1. Zum einen sieht Art. 1 DSV gera­de kei­ne Min­dest­an­for­de­run­gen an das „was“ vor, son­dern kon­kre­ti­siert nur das „wie“.
  2. Zum ande­ren kann ein Ver­ant­wort­li­cher oder Auf­trags­be­ar­bei­ter auch unre­flek­tiert star­ke Mass­nah­men tref­fen und dadurch eine ange­mes­se­ne Sicher­heit errei­chen. Das ist sogar häu­fig der Fall, wenn eine robu­ste Sicher­heits­mass­nah­me für ein System ange­wen­det wird, in dem ver­schie­de­ne Daten­ka­te­go­rien mit unter­schied­li­chen Sicher­heits­mass­nah­men bear­bei­tet werden.

Ins­ge­samt ist daher nicht ersicht­lich, wie eine Ver­let­zung von Art. 1 DSV nach Art. 61 lit. b i.V.m. Art. 8 Abs. 3 nDSG straf­bar sein könnte.

Art. 2 DSV (Zie­le)

Die­se Bestim­mung for­mu­liert Schutz­zie­le der Secu­ri­ty – nach einer gän­gi­gen, aber nicht der ein­zi­gen Ein­tei­lung – und ist damit in erster Linie der Daten­si­cher­heit i.S.v. Art. 8 nDSG zuzu­ord­nen. Die­se Schutz­zie­le greift Art. 3 DSV wie­der auf.

Aller­dings sieht Art. 2 lit. d das Schutz­ziel der Nach­voll­zieh­bar­keit vor. Das ist streng­ge­nom­men nicht unbe­dingt eine Mass­nah­me der Daten­si­cher­heit i.S.v. Art. 8 i.V.m. Art. 5 lit. g nDSG, weil sie nicht – nicht direkt jeden­falls – dazu dient zu ver­hin­dern, dass Per­so­nen­da­ten unbe­ab­sich­tigt oder wider­recht­lich ver­lo­ren­ge­hen, gelöscht, ver­nich­tet oder ver­än­dert wer­den oder Unbe­fug­ten offen­ge­legt oder zugäng­lich gemacht wer­den. Indi­rekt mag die Nach­voll­zieh­bar­keit die­sen Zie­len die­nen, weil andern­falls erfolg­te Ver­let­zun­gen im eigent­li­chen Sin­ne nur erschwert beho­ben wer­den kön­nen. An sich geht es bei der Nach­voll­zieh­bar­keit aber eher um Accountability.

Damit ent­spre­chen die Zie­le der DSV aber jenen des Infor­ma­ti­ons­si­cher­heits­ge­set­zes (sie­he Art. 6 Abs. 2 ISG; sie­he dazu hier), wie dies im Ver­nehm­las­sungs­ver­fah­ren gefor­dert wur­de. Art. 2 DSV ist aller­dings pro­gram­ma­ti­scher und nicht justi­zia­bler Natur. Eine Vor­ga­be an bestimm­te TOMs lässt sich dar­aus nicht ablei­ten, und erst recht kei­ne Min­destanfor­de­rung. Auch hier ist daher nicht ersicht­lich, wie eine Ver­let­zung straf­bar sein könnte.

Art. 3 DSV (TOMs)

Art. 3 DSV ent­hält Vor­ga­ben für tech­ni­sche und orga­ni­sa­to­ri­sche Mass­nah­men (TOMs) und kon­kre­ti­siert damit die Daten­si­cher­heit. Dabei ori­en­tiert sich die Bestim­mung an den Schutz­zie­len gemäss Art. 2 DSV, Ver­trau­lich­keit, Ver­füg­bar­keit, Inte­gri­tät und Nach­voll­zieh­bar­keit. Auch Art. 3 DSV ent­hält indes­sen kei­ne Min­dest­vor­ga­ben, son­dern kon­kre­ti­siert ledig­lich die­se Schutz­zie­le.

Min­dest­an­for­de­run­gen könn­te man Art. 3 allen­falls des­halb ent­neh­men, weil gemäss Art. 3 DSV die Ver­trau­lich­keit, Ver­füg­bar­keit, Inte­gri­tät und Nach­voll­zieh­bar­keit “zu gewähr­lei­sten“ sind. Der aktu­el­le Art. 9 VDSG hält dem­ge­gen­über fest, dass Mass­nah­men zu tref­fen sind, “die geeig­net sind”, den Schutz­zie­len “gerecht zu wer­den”. Wenn das Wort „gewähr­lei­sten“ abso­lut zu ver­ste­hen wäre, wäre jede Ver­let­zung eines Schutz­ziels Beweis dafür, dass eine ent­spre­chen­de Mass­nah­me fehl­te. Das kann aller­dings nicht gemeint sein. Der risi­ko­ba­sier­te Ansatz ist unbe­strit­ten, das Wort “gewähr­lei­sten” in die­sem Sin­ne als “anstre­ben” auszulegen.

Damit ist aber auch Art. 3 DSV pro­gram­ma­ti­scher Natur. Art. 3 ist zusam­men mit Art. 1 und 2 DSV als ein Gan­zes zu lesen, das den Begriff der Daten­si­cher­heit kon­kre­ti­siert. Min­dest­an­for­de­run­gen an die Sicher­heit wer­den aber nicht fest­ge­legt. Ins­ge­samt kann daher auch Art. 3 DSV nicht straf­be­wehrt sein.

Ver­ant­wort­li­che und Auf­trags­be­ar­bei­ter müs­sen ihre tech­ni­schen und orga­ni­sa­to­ri­schen Mass­nah­men (TOMs) ausser­dem nicht nach dem Auf­bau von Art. 3 DSV glie­dern. Vgl. z.B. den Erläuterungsbericht:

Es ist durch­aus vor­stell­bar, dass nicht jedes Schutz­ziel in jedem Fall von Rele­vanz ist. Ist ein Schutz­ziel in einem Fall nicht von Rele­vanz, so müs­sen der Ver­ant­wort­li­che und Auf­trags­be­ar­bei­ter aber in der Lage sein, zu begrün­den, wes­halb dies der Fall ist.

Klar ist, dass damit kei­ne Beweis­last­um­kehr erfolgt, weder im Zivil- noch im Ver­wal­tungs- noch im Straf­ver­fah­ren. Dafür hät­te der Bun­des­rat auch gar kei­ne Kom­pe­tenz gehabt.

Art. 4 DSV (Pro­to­kol­lie­rung)

Die Zuord­nung von Art. 4 DSV zur Daten­si­cher­heit oder aber zu Pri­va­cy by Design ist auf den ersten Blick nicht ein­fach. „Pro­to­kol­lie­rung“ klingt tech­nisch und damit nach Daten­si­cher­heit, aber es wäre ein grund­le­gen­des Miss­ver­ständ­nis, alle tech­ni­schen Mass­nah­men der Daten­si­cher­heit im eigent­li­chen Sin­ne zuzu­ord­nen – auch Pri­va­cy by Design, d.h. die Ein­hal­tung des Daten­schutz­rechts ganz all­ge­mein, kann mit tech­ni­schen Mass­nah­men abge­si­chert werden.

Nach dem Erläu­te­rungs­be­richt ist die Pro­to­kol­lie­rung vor allem eine Fra­ge der Accoun­ta­bi­li­ty und nicht der Daten­si­cher­heit:

Die Pro­to­kol­lie­rung stellt eine Mass­nah­me im Sin­ne von Arti­kel 3 DSV dar. Dadurch wird dem Umstand Rech­nung getra­gen, dass das Schwei­zer Recht im Unter­schied zur DSGVO kei­ne all­ge­mei­ne «Rechen­schafts­pflicht» vor­sieht. Über­dies wird die Pro­to­kol­lie­rung auch von gewis­sen euro­päi­schen Daten­schutz­be­hör­den emp­foh­len. Ausser­dem han­delt es sich bei der Pro­to­kol­lie­rung um ein klas­si­sches, prä­ven­ti­ves Mit­tel zur Gewähr­lei­stung der Cybersicherheit.

Das zeigt sich auch dar­in, dass nach Art. 4 eine Pro­to­kol­lie­rung dann nicht erfor­der­lich ist, wenn

die prä­ven­ti­ven Mass­nah­men den Daten­schutz nicht gewähr­lei­sten…, ins­be­son­de­re dann …, wenn sonst nach­träg­lich nicht fest­ge­stellt wer­den kann, ob die Daten für die­je­ni­gen Zwecke bear­bei­tet wur­den, für die sie beschafft oder bekannt­ge­ge­ben wurden.

Es geht also um die Zweck­bin­dung und gene­rell dar­um, den „Daten­schutz“ zu gewähr­lei­sten. Das ist kei­ne Fra­ge der Daten­si­cher­heit. Dass dies das Ziel von Art. 4 DSV ist, ist auch aus histo­ri­scher Sicht deut­lich. Art. 4 DSV über­nimmt den heu­ti­gen Art. 10 VDSG, wie der Erläu­te­rungs­be­richt festhält:

Die Pro­to­kol­lie­rung wird in Arti­kel 10 VDSG gere­gelt, der auf­grund des Ver­wei­ses in Arti­kel 20 Absatz 1 erster Satz VDSG auch auf Bun­des­or­ga­ne Anwen­dung fin­det. Arti­kel 4 über­nimmt die­se Rege­lung in geän­der­ter Form.

Art. 10 VDSG wur­de vom Bun­des­amt für Justiz im Kom­men­tar zur VDSG wie folgt erläutert:

Es geht ins­be­son­de­re dar­um, zu kon­trol­lie­ren, ob die Daten nicht für unvor­her­ge­se­he­ne oder unver­ein­ba­re Zwecke ver­wen­det wer­den. Das Risi­ko einer Zweck­ent­frem­dung steigt, wenn das Infor­ma­ti­ons­sy­stem, in dem die Daten gespei­chert sind, einer gro­ssen Anzahl von Benut­zern zugäng­lich gemacht wird oder phy­sisch oder optisch mit ande­ren Daten­samm­lun­gen ver­knüpft ist. Es ist nicht not­wen­dig alles zu pro­to­kol­lie­ren. In die­sem Zusam­men­hang ist auch der in Art. 8 fest­ge­schrie­be­ne Grund­satz zu berück­sich­ti­gen und das Prin­zip der Ver­hält­nis­mä­ssig­keit anzu­wen­den (Art. 4 Abs. 2 DSG und Art. 8 Abs. 2 VDSG). Die Pro­to­kol­le die­nen der Über­prü­fung der Ein­hal­tung der Datenschutzvorschriften.

Auch die Ent­ste­hungs­ge­schich­te von Art. 4 DSV zeigt also deut­lich, dass die Pro­to­kol­lie­rung die Zweck­bin­dung – und nicht die Daten­si­cher­heit i.e.S. – sicher­stel­len soll. Die Pro­to­kol­lie­rung ist damit kei­ne Fra­ge der Daten­si­cher­heit, und die Unter­las­sung der Pro­to­kol­lie­rung kann nicht straf­bar sein. 

Nicht aus­zu­schlie­ssen ist frei­lich, dass die Pro­to­kol­lie­rung als Mass­nah­me der Nach­voll­zieh­bar­keit indi­rekt auch der Daten­si­cher­heit im eigent­li­chen Sin­ne zuzu­ord­nen ist. Eine Straf­bar­keit wür­de dann aber vor­aus­set­zen, dass eine Straf­ver­fol­gungs­be­hör­de im Ein­zel­fall nach­weist, dass die Pro­to­kol­lie­rung für die Daten­si­cher­heit im eigent­li­chen Sin­ne not­wen­dig gewe­sen wäre und dass dem Ver­ant­wort­li­chen oder Auf­trags­be­ar­bei­ter bzw. den für die­se han­deln­den Per­so­nen dies zumin­dest in Umris­sen bewusst war.

Art. 5 und 6 DSV (Bear­bei­tungs­re­gle­ment)

Das Bear­bei­tungs­re­gle­ment ist eben­falls eine Über­nah­me aus der VDSG (Art. 11 für Pri­va­te und Art. 21 für Bun­des­or­ga­ne). Dabei geht es wier­der­um nicht um die Daten­si­cher­heit, son­dern um Accoun­ta­bi­li­ty. Das sagt der Bun­des­rat im Erläu­te­rungs­be­richt ausdrücklich:

Ein Bear­bei­tungs­re­gle­ment erstel­len muss­te der «Inha­ber einer mel­de­pflich­ti­gen auto­ma­ti­sier­ten Daten­samm­lung» nach Arti­kel 11a Absatz 3 DSG, der nicht auf­grund von Arti­kel 11a Absatz 5 Buch­sta­ben b – d DSG von der Pflicht, sei­ne Daten­samm­lun­gen anzu­mel­den, aus­ge­nom­men war (Art. 11 Abs. 1 VDSG). Da die Mel­de­pflicht für pri­va­te Ver­ant­wort­li­che (Art. 11a DSG) im nDSG nicht mehr besteht, kann Arti­kel 11 VDSG nicht unver­än­dert über­nom­men wer­den. Gemäss dem in der DSGVO vor­ge­se­he­nen Grund­satz der Rechen­schafts­pflicht oder «accoun­ta­bi­li­ty» muss der Ver­ant­wort­li­che die Ein­hal­tung der Grund­sät­ze der Daten­be­ar­bei­tung nach­wei­sen kön­nen (Art. 5 Abs. 2 DSGVO). Das Schwei­zer Recht kennt kei­ne all­ge­mei­ne Rechen­schafts­pflicht oder «accoun­ta­bi­li­ty», aber die Pflicht zur Erstel­lung eines Bear­bei­tungs­re­gle­ments erfüllt den­sel­ben Zweck.

Die Pflicht zur Erstel­lung des Bear­bei­tungs­re­gle­ments knüpft zwar an ein erhöh­tes Risi­ko an, aber das macht die­se Pflicht nicht zu einer Sicher­heits­pflicht, son­dern zeigt ledig­lich, dass der risi­ko­ba­sier­te Ansatz nicht nur bei der Daten­si­cher­heit im eigent­li­chen Sin­ne gilt, son­dern bei der pro­ak­ti­ven Com­pli­an­ce ganz all­ge­mein. Das zeigt auch die Bot­schaft zu Art. 7 nDSG (u.a. Pri­va­cy by Design):

Absatz 2 prä­zi­siert die Anfor­de­run­gen an die Vor­keh­ren nach Absatz 1. Die­se müs­sen ins­be­son­de­re … ange­mes­sen sein. … Die Norm bringt den risi­ko­ba­sier­ten Ansatz zum Ausdruck.

Dies über­sieht der Bun­des­rat, wenn er sich im Erläu­te­rungs­be­richt an die­ser Stel­le ohne wei­te­re Aus­füh­run­gen auf die Daten­si­cher­heit – und nicht die Accoun­ta­bi­li­ty – bezieht.

Wei­te­re Bemer­kun­gen zu ein­zel­nen Bestimmungen

Art. 1 Grundsätze

Risi­ko­ba­sier­ter Ansatz

Gemäss Art. 1 Abs. 1 DSV müs­sen die tech­ni­schen und orga­ni­sa­to­ri­schen Mass­nah­men im Hin­blick auf das Risi­ko für die kon­kret bear­bei­te­ten Per­so­nen­da­ten ange­mes­sen sein. Das ver­langt eine Beur­tei­lung des Schutz­be­darfs. Art. 1 Abs. 2 DSV ent­hält dafür Kri­te­ri­en, und Art. 1 Abs. 3 DSV Kri­te­ri­en zur Beur­tei­lung des Risi­kos. Art. 1 DSV bezieht sich dabei auf das Risi­ko für die Per­so­nen­da­ten, meint aber sicher das Risi­ko für die betrof­fe­nen Per­so­nen. Das ist ein gro­sser Unter­schied, denn ein hohes Risi­ko für harm­lo­se Daten kann ein nied­ri­ges Risi­ko für Betrof­fe­ne bedeu­ten. In den Kri­te­ri­en von Art. 1 DSV kommt der risi­ko­ba­sier­te Ansatz bei der pro­spek­ti­ven Com­pli­an­ce (dazu auch hier) zum Aus­druck: Sicher­heits­mass­nah­men müs­sen ange­mes­sen sein, nicht weni­ger, aber auch nicht mehr. Der Erläuterungsbericht:

Der Schutz­be­darf wird auf der Grund­la­ge der Art der bear­bei­te­ten Daten sowie des Zwecks, der Art, des Umfangs und der Umstän­de der Daten­be­ar­bei­tung beur­teilt. Dabei geht es ins­be­son­de­re um das Schutz­ni­veau, das ange­sichts des Risi­kos für die Per­sön­lich­keits- und Grund­rech­te der betrof­fe­nen Per­so­nen gewähr­lei­stet wer­den muss. Je höher der Schutz­be­darf, desto stren­ger sind die Anfor­de­run­gen an die Mass­nah­men.

Bedeu­tung der Kosten

In der Ver­nehm­las­sung war zudem die Rege­lung nun von Art. 1 Abs. 4 DSV dis­ku­tiert wor­den, wonach bei Fest­le­gung der tech­ni­schen und orga­ni­sa­to­ri­schen Mass­nah­men u.a. die “Imple­men­tie­rungs­ko­sten” zu berück­sich­ti­gen sind. Genau­er: Art. 1 DSV ver­langt eine “ange­mes­se­ne” Daten­si­cher­heit. Dafür sind “geeig­ne­te” Mass­nah­men zu bestim­men. Dabei wie­der­um spie­len die Kosten eine Rolle.

Der Begriff der “Kosten” war in der Ver­nehm­las­sung als zu eng kri­ti­siert wor­den. Der Erläu­te­rungs­be­richt hält hier­zu nun fest:

Der Begriff “Kosten” ist im wei­ten Sinn zu ver­ste­hen. Er ist nicht auf die finan­zi­el­len Kosten beschränkt, son­dern umfasst auch die erfor­der­li­chen per­so­nel­len und zeit­li­chen Ressourcen.

So weit so gut – aber:

Ver­ant­wort­li­che und Auf­trags­be­ar­bei­ter kön­nen sich ins­be­son­de­re nicht mit der Begrün­dung von der Pflicht einer ange­mes­se­nen Daten­si­cher­heit befrei­en, dass damit über­mä­ssi­ge Kosten ver­bun­den sind; viel­mehr müs­sen sie jeden­falls in der Lage sein, eine ange­mes­se­ne Daten­si­cher­heit zu gewährleisten.

Das ist falsch. Wenn dem so wäre, d.h. wenn die Kosten kei­ne Rol­le spie­len, solan­ge noch kei­ne ange­mes­se­ne Sicher­heit erreicht ist, wür­den die Kosten nie eine Rol­le spie­len; denn mehr als ange­mes­se­ne Sicher­heit ist nie erfor­der­lich, und bis dahin wären die Kosten ohne Bedeu­tung. Sie könn­ten nur ein Fak­tor sein bei der Aus­wahl mög­li­cher Mass­nah­men glei­cher Wir­kung. Dies sagt der Erläu­te­rungs­be­richt zwar sogar, aber das wäre eine Selbst­ver­ständ­lich­keit, die kei­ner Rege­lung bedarf.

Rich­ti­ger­wei­se sind die Kosten bereits bei der Bestim­mung der Ange­mes­sen­heit der erreich­ten Daten­si­cher­heit ein Fak­tor. Das ist in der DSGVO aner­kannt, und der Bun­des­rat will aus­drück­lich kei­ne Anfor­de­run­gen an die Daten­si­cher­heit, die jene der DSGVO über­stei­gen (Erläu­te­rungs­be­richt: “[…] damit Schwei­zer Unter­neh­men, die […] eine gemäss der DSGVO kon­for­me Daten­si­cher­heit gewähr­lei­sten, auch in der Schweiz davon aus­ge­hen kön­nen, dass sie die Min­dest­an­for­de­run­gen erfül­len”). Im Ergeb­nis stellt es des­halb kei­ne Ver­let­zung der Daten­si­cher­heit dar – und kann nicht straf­bar sein -, wenn der Ver­ant­wort­li­che oder der Auf­trags­be­ar­bei­ter bei der Bestim­mung der ange­mes­se­nen Daten­si­cher­heit und der geeig­ne­ten Mass­nah­men unter ande­rem auch die Kosten berücksichtigen.

Dis­ku­tiert wur­de auch die Über­prü­fung der Sicher­heits­mass­nah­men. Die DSV ver­langt nicht mehr, wie der E‑VDSG, dass die Mass­nah­men “in ange­mes­se­nen Abstän­den” über­prüft wer­den, son­dern dass sie “über die gesam­te Bear­bei­tungs­dau­er hin­weg” über­prüft wer­den. Das bedeu­tet gemäss dem Erläuterungsbericht:

Der Über­prü­fungs­be­darf hängt ins­be­son­de­re von der Gefähr­dungs­la­ge […] ab: Je höher er ist, desto häu­fi­ger müs­sen die Mass­nah­men regel­mä­ssig über­prüft wer­den. Die neue For­mu­lie­rung geht in Rich­tung einer stän­di­gen Über­prü­fung. Sie lässt dem Ver­ant­wort­li­chen und dem Auf­trags­be­ar­bei­ter jedoch einen gro­ssen Ermes­sens­spiel­raum. Eine Über­prü­fung kann sich zusätz­lich auf­drän­gen, wenn eine Ver­let­zung der Daten­si­cher­heit erfolgt oder die Bear­bei­tung von Per­so­nen­da­ten ange­passt wor­den ist.

Eine unter­las­se­ne Über­prü­fung der Mass­nah­men kann für sich genom­men aller­dings kei­ne Ver­let­zung der Min­dest­vor­ga­ben an die Daten­si­cher­heit dar­stel­len und ent­spre­chend nicht zu einer Bus­se füh­ren (s. dazu bereits oben).

Art. 4 – 6 Pro­to­kol­lie­rung und Bearbeitungsreglement

Vor­be­mer­kun­gen

Dass es bei den Pflich­ten der Pro­to­kol­lie­rung und des Bear­bei­tungs­re­gle­ments nicht um Fra­gen der Daten­si­cher­heit geht, son­dern um all­ge­mei­ne daten­schutz­recht­li­che Pflich­ten (Accoun­ta­bi­li­ty bzw. Pri­va­cy by Design), wur­de oben bereits fest­ge­hal­ten. Von ihrer Rechts­na­tur unab­hän­gig set­zen die­se Pflich­ten jeweils erhöh­te Risi­ken vor­aus, näm­lich dass

  1. beson­ders schüt­zens­wer­te Per­so­nen­da­ten in gro­ssem Umfang auto­ma­ti­siert bear­bei­tet wer­den oder
  2. ein Pro­filing mit hohem Risi­ko durch­ge­führt wird.

Bei der Pro­to­kol­lie­rung kommt als nega­ti­ve Vor­aus­set­zung dazu, dass die “prä­ven­ti­ven Mass­nah­men den Daten­schutz nicht gewähr­lei­sten” können.

Was ist eine „auto­ma­ti­sier­te Bearbeitung“?

Unklar ist zunächst, was eine auto­ma­ti­sier­te Bear­bei­tung von Per­so­nen­da­ten ist. Der Erläu­te­rungs­be­richt geht auf die­se Vor­aus­set­zung nicht ein, obwohl die Fra­ge bereits im Ver­nehm­las­sungs­ver­fah­ren auf­kam. Es ist des­halb wohl auf das nDSG zurück­zu­grei­fen. Damit bleibt aber ins­be­son­de­re offen, ob es genügt, wenn die frag­li­che Bear­bei­tung mit Hil­fe com­pu­ter­ge­stütz­ter Tech­ni­ken vor­ge­nom­men wird oder ob die Bear­bei­tung aus­schliess­lich auto­ma­ti­siert erfol­gen muss. Prak­ti­sche Bei­spie­le oder wei­te­re Infor­ma­tio­nen las­sen sich dem Erläu­tern­den Bericht hier lei­der nicht entnehmen.

Aller­dings darf die Aus­le­gung eines ein­schrän­ken­den Tat­be­stands­ele­ments nicht dazu füh­ren, dass die­ses fak­tisch nicht ein­schränkt. Die Ver­wen­dung eines Com­pu­ters kann des­halb nicht genü­gen, denn Kar­tei­kar­ten mit Pati­en­ten­da­ten wer­den bestimmt nicht im gro­ssem Umfang aus­schliess­lich hän­disch bear­bei­tet. Man muss daher eine aus­schliess­lich auto­ma­ti­sier­te Bear­bei­tung ver­lan­gen.

Bear­bei­tung von schüt­zens­wer­ten Per­so­nen­da­ten in gro­ssem Umfang

Auch die Tat­be­stands­vor­aus­set­zung der Bear­bei­tung von schüt­zens­wer­ten Per­so­nen­da­ten “in gro­ssem Umfang”, wie sie Art. 4 DSV vor­aus­setzt, wird nicht bestimmt. Der Erläu­te­rungs­be­richt stellt im Zusam­men­hang mit Art. 5 DSV fest, dass die nur “ver­ein­zel­te” Bear­bei­tung beson­ders schüt­zens­wer­ter Per­so­nen­da­ten nicht erfasst sei, und dass “ins­be­son­de­re ‘tra­di­tio­nel­le’ KMU” nicht betrof­fen sei­en. Zu Art. 24 (Aus­nah­me beim Bear­bei­tungs­ver­zeich­nis, s. dazu unten) hält der Erläu­te­rungs­be­richt wei­ter aber fest, dass eine Bear­bei­tung beson­ders schüt­zens­wer­ter Daten als umfang­reich gilt, wenn sie gro­sse Men­gen von Daten oder eine gro­sse Zahl von Per­so­nen betref­fen. Das müss­te auch hier gel­ten (was immer das im Ergeb­nis dann bedeutet).

… “prä­ven­ti­ven Mass­nah­men den Daten­schutz nicht gewährleisten”

Die Pro­to­kol­lie­rungs­pflicht von Art. 4 Abs. 1 DSV setzt ausser­dem wie die heu­ti­ge VDSG vor­aus, dass “die prä­ven­ti­ven Mass­nah­men den Daten­schutz nicht gewähr­lei­sten” kön­nen. Dass dies belegt, dass es nicht um Daten­si­cher­heit, son­dern den all­ge­mei­nen Daten­schutz und damit um Pri­va­cy by Design geht, wur­de oben bereits ausgeführt.

Der Erläu­te­rungs­be­richt führt dazu sodann aus, die­ses Merk­mal sei “von unter­ge­ord­ne­ter Bedeu­tung”, “da die prä­ven­ti­ven Mass­nah­men den Daten­schutz nur sel­ten gewähr­lei­sten”. Das ist eine erstaun­li­che Aus­sa­ge. Wenn damit gemeint ist, dass prä­ven­ti­ve Mass­nah­men die Ein­hal­tung des Daten­schut­zes nie mit abso­lu­ter Sicher­heit gewähr­lei­sten kön­nen, ist das natür­lich rich­tig – es gilt ja der risi­ko­ba­sier­te Ansatz. Aber wel­chen Sinn hat dann das Tat­be­stands­ele­ment der feh­len­den Gewähr­lei­stung des Datenschutzes?

Immer­hin steht in Art. 4 Abs. 1, dass eine Pro­to­kol­lie­rung ins­be­son­de­re dann erfol­gen muss, “wenn sonst nach­träg­lich nicht fest­ge­stellt wer­den kann, ob die Daten für die­je­ni­gen Zwecke bear­bei­tet wur­den, für die sie beschafft oder bekannt­ge­ge­ben wur­den”. Man muss dies wohl schlicht so aus­le­gen, dass eine Pro­to­kol­lie­rung bei son­sti­gen Vor­aus­set­zun­gen dann erfor­der­lich ist, wenn sie im Rah­men einer Gesamt­be­trach­tung aus Pri­va­cy by Design-Sicht sinn­vol­ler­wei­se not­wen­dig ist.

Dabei hat der Ver­ant­wort­li­che – der Auf­trags­be­ar­bei­ter kann die­se Abwä­gung kaum selbst durch­füh­ren – gro­ssen Ermessensspielraum.

Pro­to­kol­lie­rung bei Bundesorganen

Für Bun­des­or­ga­ne gilt eine stren­ge­re Rege­lung: Nach Art. 4 Abs. 2 DSV müs­sen Bun­des­or­ga­ne und ihre Auf­trags­be­ar­bei­ter (auch pri­va­te Auf­trags­be­ar­bei­ter, die als Hilfs­per­son nicht selbst zum Bun­des­or­gan wer­den, die hier aber punk­tu­ell der glei­chen Rege­lung unter­wor­fen wer­den) bei jeder auto­ma­ti­sier­ten Bear­bei­tung zumin­dest das Spei­chern, Ver­än­dern, Lesen, Bekannt­ge­ben, Löschen und Ver­nich­ten der Daten.

Der Umfang der Pro­to­kol­lie­rungs­pflicht bestimmt sich nach Art. 4 Abs. 3 danach, ob die betref­fen­den Per­so­nen­da­ten öffent­lich zugäng­lich sind oder nicht:

  1. Bei öffent­lich zugäng­li­chen Per­so­nen­da­ten sind gemäss Art. 4 Abs. 1 und 2 DSV “zumin­dest das Spei­chern, Ver­än­dern, Löschen und Ver­nich­ten der Daten zu protokollieren”.
  2. In allen ande­ren Fäl­len ist zusätz­lich auch das Lesen und Bekannt­ge­ben zu protokollieren.

Die­se Bestim­mung, d.h. Art. 4 Abs. 3 DSV, dürf­te sich nur auf die Bear­bei­tung durch Bun­des­or­ga­ne (Abs. 2) und nicht auch jene durch Pri­va­te (Abs. 1) beziehen.

Wei­ter gilt bei Bun­des­or­ga­nen – aber nur bei ihnen – eine Über­gangs­be­stim­mung (Art. 46 DSV): Soweit eine Bear­bei­tung eines Bun­des­or­gans nicht Schen­gen-rele­vant ist, gilt die beson­de­re Pro­to­kol­lie­rungs­pflicht von Art. 4 Abs. 2 DSV erst ab dem 1. Sep­tem­ber 2026 oder nach Ende des Lebens­zy­klus des Systems (je nach­dem, wel­ches Ereig­nis zuerst ein­tritt). In der Zwi­schen­zeit gilt die Pro­to­kol­lie­rungs­re­ge­lung für Private.

Umfang der Protokollierungspflicht

Art. 4 Abs. 4 DSV regelt, wel­che Infor­ma­tio­nen aus der Pro­to­kol­lie­rung min­de­stens her­vor­ge­hen müs­sen, näm­lich die Iden­ti­tät des Bear­bei­ters und all­fäl­li­ger Emp­fän­ger sowie die Art, das Datum und die Uhr­zeit der Bear­bei­tung. Soft­ware- und System­an­bie­ter müs­sen wer­den ent­spre­chen­de Funk­tio­nen bereit­stel­len müs­sen, damit Ver­ant­wort­li­che und Auf­trags­be­ar­bei­ter die Daten­schutz­vor­schrif­ten ein­hal­ten können.

Art. 4 Abs. 5 ent­hält Vor­ga­ben über die Auf­be­wah­rung und Zugäng­lich­keit der Pro­to­kol­le. Im Gegen­satz zum Wort­laut der aktu­el­len VDSG beträgt die Auf­be­wah­rungs­dau­er nicht mehr exakt ein Jahr, son­dern “min­de­stens” ein Jahr; Pro­to­kol­le dür­fen also auch län­ger auf­be­wahrt werden.

Bei­be­hal­ten wur­de dafür lei­der das beson­de­re Zweck­ent­frem­dungs­ver­bot: Pro­to­kol­le dür­fen nur zur “Über­prü­fung der Anwen­dung der Daten­schutz­vor­schrif­ten oder die Wah­rung oder Wie­der­her­stel­lung der Ver­trau­lich­keit, Inte­gri­tät, Ver­füg­bar­keit und Nach­voll­zieh­bar­keit der Daten” ver­wen­det wer­den. Das dient eben­falls nicht der Daten­si­cher­heit und bleibt bun­des­rechts­wid­rig. Der Ver­ord­nungs­ge­ber hat kei­ne Kom­pe­tenz, die all­ge­mei­nen Grund­sät­ze – nament­lich die Frei­heit des Ver­ant­wort­li­chen zur Bestim­mung des Bear­bei­tungs­zwecks durch Trans­pa­renz – ein­zu­schrän­ken. Pro­to­kol­le dür­fen des­halb wei­ter­hin und ent­ge­gen dem Ver­ord­nungs­text für ande­re Zwecke ver­wen­det wer­den, z.B. im Rah­men einer inter­nen Untersuchung.

Bear­bei­tungs­re­gle­ment

Der Inhalt des Bear­bei­tungs­re­gle­ments für pri­va­te Per­so­nen und für Bun­des­or­ga­ne folgt aus Art. 5 Abs. 2 DSV und 6 Abs. 2 DSV. Danach muss das Regle­ment “ins­be­son­de­re Anga­ben zur inter­nen Orga­ni­sa­ti­on, zum Daten­be­ar­bei­tungs- und Kon­troll­ver­fah­ren sowie zu den Mass­nah­men zur Gewähr­lei­stung der Daten­si­cher­heit enthalten”.

Der Erläu­te­rungs­be­richt (S. 28) sieht wei­ter vor, das Bear­bei­tungs­re­gle­ment sei “als eine Doku­men­ta­ti­on oder ein Hand­buch aus­zu­ge­stal­ten und soll­te dem Ver­ant­wort­li­chen auch dazu die­nen”; Der dar­in ver­wie­se­ne Kom­men­tar des Bun­des­am­tes für Justiz zur VDSG, Ziff. 6.1.4, führt wei­ter aus:

Die­ses Regle­ment beinhal­tet Anga­ben über die inter­ne Orga­ni­sa­ti­on des Inha­bers der Daten­samm­lung, sowie über die Struk­tur, in wel­che die Daten­samm­lung oder das auto­ma­ti­sier­te Bear­bei­tungs­sy­stem ein­ge­bet­tet ist. Es beschreibt vor allem die Daten­be­ar­bei­tungs- und Kon­troll­pro­ze­du­ren, beinhal­tet also die Doku­men­te betref­fend die Pla­nung, Aus­ar­bei­tung und den Betrieb der Daten­samm­lung und der ein­ge­setz­ten Infor­ma­tik­mit­tel

und:

Das Regle­ment muss auch das Ver­fah­ren zur Aus­übung des Aus­kunfts­rechts und des Rechts auf Daten­her­aus­ga­be oder ‑über­tra­gung ent­hal­ten. Die Kon­troll­ver­fah­ren müs­sen es ermög­li­chen, die Zugriffs­be­rech­ti­gun­gen, die Art und den Umfang des Zugriffs fest­zu­stel­len. Schliess­lich ist es von ent­schei­den­der Bedeu­tung, dass das Bear­bei­tungs­re­gle­ment auch die tech­ni­schen und orga­ni­sa­to­ri­schen Mass­nah­men zur Gewähr­lei­stung der ange­mes­se­nen Daten­si­cher­heit umfasst.

Deut­lich wird dadurch auch, dass ein Ver­ant­wort­li­cher oder Auf­trags­be­ar­bei­ter nicht unbe­dingt meh­re­re Regle­men­te füh­ren muss, z.B. eines pro ris­kan­ter Bear­bei­tungs­tä­tig­keit. Viel­mehr kann ein ein­zi­ges Regle­ment aus­rei­chen – es ist oft sogar sinn­vol­ler, nur eines zu pfle­gen, weil der Inhalt des Regle­ments u.U. nur bear­bei­tungs­über­grei­fend dar­ge­stellt wer­den kann.

Zudem über­schnei­den sich die für das Bear­bei­tungs­re­gle­ment erfor­der­li­chen Inhal­te mit dem Bear­bei­tungs­ver­zeich­nis (Art. 12 nDSG). Der Bericht zur E‑VDSG führ­te dazu noch aus, man kön­ne bestimm­te Anga­ben aus dem Bear­bei­tungs­ver­zeich­nis kopie­ren. Der Erläu­te­rungs­be­richt zur DSV geht auf Über­schnei­dun­gen zwi­schen dem Bear­bei­tungs­ver­zeich­nis, all­fäl­li­gen Pro­to­kol­lie­rungs­pflich­ten und der Pflicht zum Erstel­len eines Bear­bei­tungs­re­gle­ments nicht näher ein, obwohl die Dop­pel­spu­rig­kei­ten und der dar­aus resul­tie­ren­de Mehr­auf­wand im Ver­nehm­las­sungs­ver­fah­ren ver­schie­dent­lich kri­ti­siert wor­den waren.

Ein Bear­bei­tungs­re­gle­ment pri­va­ter Per­so­nen könn­te vor die­sem Hin­ter­grund als Über­sichts­do­ku­ment gestal­tet sein, das auf bestehen­de Doku­men­te, Wei­sun­gen und Richt­li­ni­en ver­weist. Urkun­den­ein­heit kann hier nicht ver­langt wer­den, eben­so wenig wie beim Bear­bei­tungs­ver­zeich­nis, das sei­ner­seits auf ande­re Unter­la­gen ver­wei­sen kann.

Wie bereits aus­ge­führt ist das Unter­las­sen des Erstel­lens eines Bear­bei­tungs­re­gle­ments kei­ne Daten­si­cher­heits­mass­nah­men und damit auch nicht straf­bar (s. oben).

Bear­bei­tung durch Auf­trags­be­ar­bei­ter (Art. 7 DSV)

Art. 7 DSV regelt die Vor­aus­set­zun­gen der Auf­trags­be­ar­bei­tung gemäss Art. 9 nDSG. Ein vor­sätz­li­cher Ver­stoss gegen die Vor­aus­set­zun­gen des Art. 9 nDSG kann gemäss Art. 61 lit. b nDSG mit Bus­se bis zu CHF 250’000 bestraft werden.

Nach­dem die Vor­schrif­ten zur Auf­trags­be­ar­bei­tung im E‑VDSG im Ver­nehm­las­sungs­ver­fah­ren stark kri­ti­siert wor­den waren, da sie über die gesetz­li­chen Rege­lun­gen hin­aus­gin­gen, bestä­tigt Art. 7 DSV nun ledig­lich, was bereits vor dem Hin­ter­grund des Art. 28 Abs. 2 DSGVO gän­gi­ge Pra­xis ist und schon in der Bot­schaft zum nDSG fest­ge­hal­ten wur­de: Die Beauf­tra­gung von Unter­auf­trags­be­ar­bei­tern ist in all­ge­mei­ner oder kon­kre­ter Wei­se zu geneh­mi­gen (Art. 7 Abs. 1 DSV). Bei einer all­ge­mei­nen Geneh­mi­gung ist der Ver­ant­wort­li­che zu infor­mie­ren und kann wider­spre­chen (Art. 7 Abs. 2 DSV). For­mel­le Vor­ga­ben dafür ent­hält Art. 7 DSV nicht.

Bekannt­ga­be von Per­so­nen­da­ten ins Aus­land (Art. 8 – 12 DSV)

Die Bekannt­ga­be von Per­so­nen­da­ten ins in Län­der ohne ange­mes­se­nes Daten­schutz­ni­veau ist eines der The­men, das Unter­neh­men der­zeit vor beson­ders gro­sse daten­schutz­recht­li­che Her­aus­for­de­run­gen stellt – vor allem, wenn man allen behörd­li­chen und gericht­li­chen Ent­schei­dun­gen gerecht wer­den will (dazu https://datenrecht.ch/auslandsbekanntgabe/). Dies gilt umso mehr, als vor­sätz­li­che Ver­stö­sse gegen die ent­spre­chen­den Art. 16 und 17 nDSG gemäss Art. 61 lit. a nDSG bus­sen­be­wehrt sind. Unter­neh­men wer­den die Ent­wick­lun­gen auf schwei­ze­ri­scher und euro­päi­scher Ebe­ne wei­ter­hin auf­merk­sam – und mit der gebo­te­nen Ruhe – ver­fol­gen müssen.

Begrü­ssens­wert ist aber Art. 10 Abs. 1 DSV:

1 Gibt der Ver­ant­wort­li­che oder der Auf­trags­be­ar­bei­ter Per­so­nen­da­ten mit­tels Stan­dard­da­ten­schutz­klau­seln nach Arti­kel 16 Absatz 2 Buch­sta­be d DSG ins Aus­land bekannt, so trifft er ange­mes­se­ne Mass­nah­men, um sicher­zu­stel­len, dass die Emp­fän­ge­rin oder der Emp­fän­ger die­se beachtet

Die Mass­nah­men zur Absi­che­rung der Stan­dard­ver­trags­klau­seln müs­sen nur “ange­mes­sen” sein. Das lässt deut­lich den risi­ko­ba­sier­ten Ansatz bei der Über­mitt­lung ins Aus­land erken­nen: Wenn die Mass­nah­men zur Absi­che­rung der Stan­dard­ver­trags­klau­seln nur ange­mes­sen sein müs­sen, darf ein Rest­ri­si­ko hin­ge­nom­men wer­den, dass die Ein­hal­tung der Stan­dard­klau­seln durch den Emp­fän­ger durch sein loka­les Recht unter­lau­fen wer­den, solan­ge die­ses Risi­ko ange­mes­sen miti­giert wur­de. Das ist ein aus­drück­li­ches Bekennt­nis zum risi­ko­ba­sier­ten Ansatz auch bei der Über­mitt­lung ins Aus­land, das will­kom­men ist (dazu datenrecht.ch/edoeb-zweifel-am-risikobasierten-ansatz).

Zu begrü­ssen ist auch, dass die aktu­ell noch gemäss Art. 6 VDSG gel­ten­de Pflicht, wonach der Ver­ant­wort­li­che den EDÖB über Garan­tien und Daten­schutz­re­geln nach Art. 6 Abs. 2 Bst. c und g DSG infor­mie­ren muss, nicht ins DSV über­nom­men wurde.

Neu ist auch, dass nicht mehr der EDÖB, son­dern der Bun­des­rat bestimmt, wel­che Staa­ten oder Orga­ni­sa­tio­nen einen ange­mes­se­nen Daten­schutz auf­wei­sen (Art. 16 Abs. 1 nDSG). Art. 8 DSV ent­hält die erfor­der­li­chen Kri­te­ri­en zur Beur­tei­lung der Ange­mes­sen­heit des Daten­schut­zes und begriff­li­che Klarstellungen.

Art. 9 DSV regelt neu die erfor­der­li­chen Inhal­te für Daten­schutz­klau­seln und spe­zi­fi­sche Garan­tien. Art. 10 DSV ent­hält Vor­ga­ben für Stan­dard­da­ten­schutz­klau­seln, wobei in der Pra­xis ohne­hin vor allem die von der EU-Kom­mis­si­on ver­ab­schie­de­ten Stan­dard­da­ten­schutz­klau­seln ver­wen­det wer­den. Art. 11 DSV regelt neu die Anfor­de­run­gen an ver­bind­li­che unter­neh­mens­in­ter­ne Daten­schutz­vor­schrif­ten (auch als “Bin­ding Cor­po­ra­te Rules” bezeich­net) und Art. 12 DSV Ver­hal­tens­ko­di­zes und Zertifizierungen.

Pflich­ten des Ver­ant­wort­li­chen (Art. 13 – 15 DSV)

Moda­li­tä­ten der Informationspflicht

Eine wesent­li­che und pra­xis­re­le­van­te Neue­rung unter dem nDSG ist die Ein­füh­rung einer gene­rel­len Infor­ma­ti­ons­pflicht (Art. 19 ff. nDSG). Art. 13 DSV prä­zi­siert die­se Pflicht nicht wei­ter, son­dern bestimmt ledig­lich allgemein:

Der Ver­ant­wort­li­che muss der betrof­fe­nen Per­son die Infor­ma­ti­on über die Beschaf­fung von Per­so­nen­da­ten in prä­zi­ser, trans­pa­ren­ter, ver­ständ­li­cher und leicht zugäng­li­cher Form mitteilen.

Damit sagt die DSV nichts Neu­es. Wie die­se Anfor­de­run­gen genau zu ver­ste­hen sind und ob die Adjek­ti­ve “prä­zi­se” und “ver­ständ­lich” eigen­stän­di­ge Bedeu­tung haben, bleibt auch nach dem Ver­nehm­las­sungs­ver­fah­ren und ent­spre­chen­der Kri­tik offen. Gemäss dem Erläu­tern­den Bericht muss der Ver­ant­wort­li­che aber

bei der Wahl der Infor­ma­ti­ons­form sicher­stel­len, dass die betrof­fe­ne Per­son bei der Beschaf­fung ihrer Per­so­nen­da­ten die wich­tig­sten Infor­ma­tio­nen stets auf der ersten Kom­mu­ni­ka­ti­ons­stu­fe erhält. Erfolgt die Kom­mu­ni­ka­ti­on zum Bei­spiel über eine Inter­net­sei­te, kann eine gute Pra­xis dar­in bestehen, dass alle wesent­li­chen Infor­ma­tio­nen auf einen Blick, z. B. in Form einer geglie­der­ten Über­sicht ver­füg­bar sind. Um wei­te­re Infor­ma­tio­nen zu erhal­ten, kann die betrof­fe­ne Per­son danach auf die­se zuerst ange­zeig­ten Infor­ma­tio­nen klicken, wor­auf sich ein Fen­ster mit detail­lier­te­ren Anga­ben öffnet.

Das ist nichts Neu­es, lässt aber das The­ma des Medi­en­bruchs anklin­gen, wenn AGB oder ein ande­res auch gedruck­tes Doku­ment auf eine Daten­schutz­er­klä­rung im Inter­net ver­wei­sen. Hier­zu fährt der Erläu­te­rungs­be­richt fort:

Es ist aller­dings fest­zu­hal­ten, dass die Kom­mu­ni­ka­ti­on über eine Web­site nicht immer genügt: Die betrof­fe­ne Per­son muss wis­sen, dass sie die Infor­ma­tio­nen auf einer bestimm­ten Web­site fin­det. Im Fall eines Tele­fon­ge­sprächs kön­nen die Infor­ma­tio­nen auch münd­lich mit­ge­teilt und allen­falls durch einen Link zu einer Web­site ergänzt wer­den. Bei auf­ge­zeich­ne­ten Infor­ma­tio­nen muss die betrof­fe­ne Per­son die Mög­lich­keit haben, sich aus­führ­li­che­re Infor­ma­tio­nen anzuhören.

Dar­aus wird klar: Es genügt, z.B. aus AGB auf eine Daten­schutz­er­klä­rung im Inter­net zu ver­wei­sen, und zwar auch dann, wenn die AGB kei­ne wei­te­ren Anga­ben z.B. zum Bear­bei­tungs­zweck oder den Betrof­fe­nen­rech­ten vor­weg­neh­men und auch dann, wenn die AGB kei­nen QR-Code ent­hal­ten, denn auch ohne dies weiss der Betrof­fe­ne, auf­grund des Hin­wei­ses, “dass sie die Infor­ma­tio­nen auf einer bestimm­ten Web­site fin­det”. Der Medi­en­bruch ist damit grund­sätz­lich zuläs­sig bzw. unschädlich.

Wei­ter wur­de in der DSV die Regu­lie­rung von Pik­to­gram­men nicht über­nom­men, so dass Unter­neh­men Pik­to­gram­me wie bei­spiels­wei­se Pri­va­cy Icons wei­ter­hin ohne zusätz­li­che Hür­den ver­wen­den dür­fen. Auch die Arti­kel 14 – 17 E‑VDSG, die Infor­ma­ti­ons­pflich­ten vor­sa­hen, die über das nDSG hin­aus­gin­gen, wur­den gestri­chen. Eben­so wur­de der Lap­sus beho­ben, Auf­trags­be­ar­bei­tern Infor­ma­ti­ons­pflich­ten zuzuschreiben.

Auf­be­wah­rung der Datenschutz-Folgeabschätzung

Art. 14 DSV kon­kre­ti­siert die Dau­er der Auf­be­wah­rung der Daten­schutz-Fol­ge­ab­schät­zung auf min­de­stens zwei Jah­re nach Been­di­gung der Daten­be­ar­bei­tung. Der Erläu­te­rungs­be­richt weist dar­auf hin, dass der EDÖB für die Umset­zung der Daten­schutz-Fol­ge­ab­schät­zung von sei­ner Kom­pe­tenz Gebrauch machen kann, Arbeits­in­stru­men­te als Emp­feh­lun­gen der guten Pra­xis zu erarbeiten.

Mel­dung von Ver­let­zun­gen der Datensicherheit

Art. 24 nDSG regelt neu die Pflicht des Ver­ant­wort­li­chen, Daten­si­cher­heits­ver­let­zun­gen an den EDÖB zu mel­den, wenn die­se vor­aus­sicht­lich zu einem hohen Risi­ko für die Per­sön­lich­keit oder die Grund­rech­te der betrof­fe­nen Per­so­nen füh­ren. Art. 15 DSV kon­kre­ti­siert hier­zu die Min­dest­an­for­de­run­gen der­ar­ti­ger Mel­dun­gen. Danach sind jeden­falls die fol­gen­den Anga­ben erforderlich:

  1. Art der Verletzung;
  2. Fol­gen, ein­schliess­lich der all­fäl­li­gen Risi­ken, für die betrof­fe­nen Personen;
  3. Mass­nah­men, die getrof­fen wur­den oder vor­ge­se­hen sind, um den Man­gel zu behe­ben und die Fol­gen, ein­schliess­lich der all­fäl­li­gen Risi­ken, zu mindern;
  4. Namen und die Kon­takt­da­ten einer Ansprechperson;
  5. soweit mög­lich Zeit­punkt und Dau­er der Ver­let­zung, Kate­go­rien und unge­fäh­re Anzahl der betrof­fe­nen Per­so­nen­da­ten und Personen

Im Wesent­li­chen ent­spre­chen die­se Anga­ben im Wesent­li­chen den Min­dest­in­for­ma­tio­nen gemäss Art. 33 Abs. 3 DSGVO, mit Aus­nah­me der Abga­ben zu Zeit­punkt und Dau­er der Ver­let­zung, die Art. 15 DSV ver­langt, nicht aber Art. 33 DSGVO. Man hät­te sich hier bes­ser enger an die DSGVO ange­lehnt. Aller­dings darf man die “Art” der Ver­let­zung i.S.v. Art. 33 DSGVO wohl so ver­ste­hen, dass Zeit­punkt und Dau­er ein­ge­schlos­sen sind. Wenn Auf­trags­be­ar­bei­tungs­ver­ein­ba­run­gen (ADV) bei Mel­dun­gen durch Auf­trags­be­ar­bei­ter die Anga­ben nach Art. 33 Abs. 3 DSGVO ver­lan­gen, was oft der Fall ist, drängt sich eine Anpas­sung auf­grund von Art. 15 DSV also nicht auf.

Wenn nicht alle Anga­ben gleich­zei­tig gemacht wer­den kön­nen, erlaubt Art. 15 Abs. 2 DSV dem Ver­ant­wort­li­chen nun (wie Art. 33 Abs. 4 DSGVO), die Anga­ben gestaf­felt zu melden.

Betr. die Mel­dung an den EDÖB hält der Erläu­te­rungs­be­richt wei­ter fest:

arbei­tet der EDÖB der­zeit an der Ent­wick­lung einer web­ba­sier­ten Mel­deober­flä­che, vor­aus­sicht­lich in Form eines inter­ak­ti­ven For­mu­lars. Im Rah­men die­ses Pro­jek­tes prüft der EDÖB der­zeit auch die Mög­lich­keit eines gemein­sa­men Mel­de­por­tals zusam­men mit ande­ren Bundesorganen

Für den Fall, dass der Ver­ant­wort­li­che gemäss Art. 24 Abs. 4 nDSG ver­pflich­tet ist, eine Mel­dung an die betrof­fe­ne Per­son vor­zu­neh­men (wenn es zum Schutz der Per­son erfor­der­lich ist oder der EDÖB es ver­langt), ver­pflich­tet Art. 24 Abs. 3 DSV den Ver­ant­wort­li­chen, die Per­son “in ein­fa­cher und ver­ständ­li­cher Spra­che” zu infor­mie­ren. Zu beach­ten ist ausser­dem die Pflicht, die Daten­si­cher­heits­ver­let­zun­gen zu doku­men­tie­ren (dafür bie­tet sich ein stan­dar­di­sier­tes Erfas­sungs­for­mu­lar an) und für min­de­stens zwei Jah­re ab dem Zeit­punkt der Mel­dung auf­zu­be­wah­ren (Art. 15 Abs. 4 DSV). Für Unter­neh­men, die bereits Pro­zes­se zur Mel­dung von Daten­si­cher­heits­ver­let­zun­gen gemäss der DSGVO ein­ge­rich­tet haben, ergibt sich also wenig Neu­es. Alle ande­ren müs­sen bis zum Inkraft­tre­ten des nDSG und der DSV ent­spre­chen­de Ver­fah­ren sicherstellen.

Rech­te der betrof­fe­nen Per­son (Art. 16 – 22 DSV)

Aus­kunfts­recht

Nach Art. 16 Abs. 1 DSV kann ein Aus­kunfts­be­geh­ren “schrift­lich” gestellt wer­den und, im Ein­ver­ständ­nis mit dem Ver­ant­wort­li­chen, auch münd­lich. Dazu der Erläuterungsbericht:

Schrift­lich” im Sin­ne von Arti­kel 16 Absatz 1 DSV umfasst jeg­li­che For­men, die den Nach­weis durch Text ermög­li­chen. Nicht gemeint ist hin­ge­gen die soge­nann­te ein­fa­che Schrift­lich­keit nach den Arti­keln 13 – 15 des Obligationenrechts.

Aus­kunfts­be­geh­ren kön­nen danach auch per E‑Mail gestellt werden.

Beim Aus­kunfts­recht wur­de in der Ver­nehm­las­sung u.a. die Doku­men­ta­ti­ons­pflicht der Grün­de für eine Ver­wei­ge­rung, Ein­schrän­kung oder den Auf­schub und die drei­jäh­ri­ge Auf­be­wah­rungs­pflicht kri­ti­siert. In der DSV wur­de die­se Pflicht nun fallengelassen.

Eben­falls kri­ti­siert wur­de Art. 21 Abs. 3 E‑VDSG, wonach Aus­kunfts­be­geh­ren an Auf­trags­be­ar­bei­ter wei­ter­zu­lei­ten waren, wenn der Ver­ant­wort­li­che zur Aus­kunft nicht selbst in der Lage ist. Das ist eben­falls ent­fal­len. Art. 17 DSV bestimmt nun viel­mehr und sinn­vol­ler­wei­se, dass der Auf­trags­be­ar­bei­ter den Ver­ant­wort­li­chen bei der Ertei­lung der Aus­kunft zu unter­stüt­zen hat, was in Auf­trags­be­ar­bei­tungs­ver­ein­ba­run­gen in aller Regel ohne­hin ver­ein­bart wird (nach der DSV aber nicht aus­drück­lich ver­ein­bart wer­den muss).

Bei der gemein­sa­men Ver­ant­wort­lich­keit - deren Begriff unbe­stimmt bleibt – hält die DSV nun fest, dass der Auf­trags­be­ar­bei­ter sei­ne Rech­te bei jedem der gemein­sam Ver­ant­wort­li­chen gel­tend machen kann. Das ist rich­tig und wirft die Fra­ge auf, ob eine Daten­schutz­er­klä­rung alle der gemein­sam Ver­ant­wort­li­chen nen­nen muss. Das trifft wohl nicht zu: Gibt eine Daten­schutz­er­klä­rung im Fall der gemein­sa­men Ver­ant­wort­lich­keit nur eine Anlauf­stel­le an, ist der betrof­fe­nen Per­son bereits gedient. Das macht die Vor­ga­be der DSV kei­nes­wegs hin­fäl­lig; im Gegen­teil, die­se stellt nun klar, dass die betrof­fe­ne Per­son an das Ange­bot der zen­tra­len Anlauf­stel­le nicht gebun­den ist.

Bei­be­hal­ten wur­de wei­ter die Vor­ga­be, dass der Ver­ant­wort­li­che ange­mes­se­ne Mass­nah­men tref­fen muss, um die betrof­fe­ne Per­son zu iden­ti­fi­zie­ren. Was dies im Ein­zel­nen heisst, ist offen, aber jeden­falls hat die betrof­fe­ne Per­son hier eine Mitwirkungsobliegenheit.

Prä­zi­siert wur­de sodann Art. 23 E‑VDSG zu den Aus­nah­men von der Kosten­lo­sig­keit. Die maxi­ma­le Kosten­be­tei­li­gung bleibt lei­der bei CHF 300, wie schon nach der heu­ti­gen VDSG. Das steht zum mög­li­chen Auf­wand des Ver­ant­wort­li­chen in kei­nem Ver­hält­nis. In die­sem Zusam­men­hang ist dar­an zu erin­nern, dass Art. 2 ZGB auch im Daten­schutz­recht unein­ge­schränkt gilt, und eine Fall­grup­pe des Rechts­miss­brauchs ist das kras­se Miss­ver­hält­nis der Inter­es­sen, d.h. wenn das Inter­es­se, das der Berech­tig­te an der Rechts­aus­übung hat, in kei­nem ver­nünf­ti­gen Ver­hält­nis zu den Nach­tei­len steht, wel­che die Gegen­par­tei dadurch erlei­det. Im Bereich des Aus­kunfts­rechts wur­de die­se Fall­grup­pe soweit ersicht­lich bis­her zwar nicht ange­wen­det. Wenn die Kosten­be­tei­li­gung auf einen so nied­ri­gen Betrag fest­ge­legt ist, führt dies aber eher zu einem Miss­ver­hält­nis der Inter­es­sen, was wie­der­um eher zur Rechts­miss­bräuch­lich­keit eines Aus­kunfts­be­geh­rens füh­ren kann.

Art. 19 Abs. 3 DSV bestimmt im Zusam­men­hang mit den Kosten, dass der Ver­ant­wort­li­che der betrof­fe­nen Per­son die Höhe der Betei­li­gung vor Aus­kunfts­er­tei­lung mit­tei­len muss, und bestä­tigt die betrof­fe­ne Per­son ihr Gesuch dann nicht inner­halb von zehn Tagen, gilt es als zurück­ge­zo­gen. Ent­spre­chend beginnt die die 30 Tage-Frist von Arti­kel 18 Abs. 1 DSV beginnt nach Ablauf der Bedenk­zeit zu laufen.

Daten­her­aus­ga­be und ‑über­tra­gung (Por­ta­bi­li­tät)

Das nDSG sieht in Art. 28 f. das Recht auf “Daten­her­aus­ga­be und ‑über­tra­gung” (Por­ta­bi­li­tät) vor. Im Ver­ord­nungs­ent­wurf war nur ana­log auf die Bestim­mun­gen zum Aus­kunfts­recht ver­wie­sen wor­den. Auf­grund der Kri­tik in der Ver­nehm­las­sung ent­hält die DSV in Art. 20 – 22 nun kon­kre­ti­sie­ren­de Bestim­mun­gen, die aller­dings nicht all­zu hilf­reich sind – auch der Ver­ord­nungs­ge­ber weiss offen­bar nicht wirk­lich, wie mit dem Por­ta­bi­li­täts­recht umge­gan­gen wer­den soll: Art. 20 bestimmt den „Umfang des Anspruchs“ auf Datenportabilität:

  • Erfasst sind “wis­sent­lich und wil­lent­lich zur Ver­fü­gung” gestell­te Daten (nach dem Erläu­te­rungs­be­richt z.B. „Kon­takt­da­ten über ein Online-For­mu­lar“ oder „Likes“) und
  • Daten, die der Ver­ant­wort­li­che im Rah­men der Nut­zung eines Diensts oder Geräts erhebt (“obser­ved data”, nach dem Erläu­te­rungs­be­richt z.B. „Such­ab­fra­gen, Akti­vi­tä­ten-Pro­to­kol­le, Ver­lauf einer Website-Nutzung“),
  • nicht aber Daten, die der Ver­ant­wort­li­chen durch eige­ne Aus­wer­tung erzeugt (“deri­ved data”; z.B. „die Bewer­tung des Gesund­heits­zu­stands eines Nut­zers, Nut­zer- oder Risi­ko­pro­fi­le, Kre­dit­ri­si­ko­ana­ly­sen etc.“).

Art. 21 betrifft sodann tech­ni­sche Fra­gen:

  • Ein “gän­gi­ges elek­tro­ni­sches For­mat” ist ein For­mat, das die Über­mitt­lung “mit ver­hält­nis­mä­ssi­gem Auf­wand” erlaubt über­tra­gen und wei­ter­ver­wen­det wer­den, wobei Ver­ant­wort­li­che nicht ver­pflich­tet wer­den, kom­pa­ti­ble Daten­be­ar­bei­tungs­sy­ste­me zu über­neh­men oder beizubehalten;
  • ein “unver­hält­nis­mä­ssi­ger Auf­wand für die Über­tra­gung […] auf einen ande­ren Ver­ant­wort­li­chen” soll (wohl: nur) dann vor­lie­gen, wenn die Über­tra­gung tech­nisch nicht mög­lich ist (eine gewag­te Behaup­tung – unmög­lich und unver­hält­nis­mä­ssig auf­wen­dig sind selbst­ver­ständ­lich zwei ver­schie­de­ne Dinge).

Beson­de­re Bestim­mun­gen zur Daten­be­ar­bei­tung durch pri­va­te Personen

Art. 23 Daten­schutz­be­ra­ter und Datenschutzberaterin

Pri­va­te Ver­ant­wort­li­che kön­nen einen Daten­schutz­be­ra­ter ernen­nen. Art. 25 E‑VDSG hat­te hier­zu Auf­ga­ben und Anfor­de­run­gen kon­kre­ti­siert, unter ande­rem eine Pflicht, die Bear­bei­tung von Daten zu prü­fen. Dies war in der Ver­nehm­las­sung kri­ti­siert wor­den, und der Bun­des­rat hat Art. 25 E‑VDSG nun gestri­chen (was nicht bedeu­tet, dass der Daten­schutz­be­ra­ter auf­grund sei­ner Funk­ti­on nicht doch eine Prüf­o­b­lie­gen­heit hät­te, ana­log zu Art. 39 Abs. 1 lit. b DSGVO).

Neu hat der Daten­schutz­be­ra­ter aber das Recht, “in wich­ti­gen Fäl­len” das ober­ste Lei­tungs- oder Ver­wal­tungs­or­gan zu infor­mie­ren. Das ist eine sinn­vol­le Rege­lung, die Cor­po­ra­te Gover­nan­ce-Grund­sät­zen ent­spricht (vgl. z.B. Rz. 75 f. des FINMA RS Cor­po­ra­te Gover­nan­ce – Ban­ken) und die sich auch in der DSGVO fin­det. Frag­lich ist aber die Beschrän­kung auf die wich­ti­gen Fäl­le. Jeden­falls obliegt die Beur­tei­lung, wann ein wich­ti­ger Fall vor­liegt, dem Daten­schutz­be­ra­ter und nicht dem Ver­ant­wort­li­chen selbst.

Falls ein pri­va­ter Ver­ant­wort­li­cher einen Daten­schutz­be­ra­ter bestellt, was frei­wil­lig bleibt, muss er dies nicht dem EDÖB mel­den, aber wenn er es nicht tut, kann er die Aus­nah­me – Mel­dung der DSFA bei hohen Net­to­ri­si­ken – nicht in Anspruch neh­men. Bun­des­or­ga­ne müs­sen den Daten­schutz­be­ra­ter immer dem EDÖB mel­den (Art. 27 Abs. 2 DSV).

Inter­es­sant ist zudem die Rege­lung der Ver­öf­fent­li­chung des Daten­schutz­be­ra­ters: Pri­va­te Ver­ant­wort­li­che müs­sen sei­ne Kon­takt­an­ga­ben ver­öf­fent­li­chen, wenn sie besag­te Aus­nah­me in Anspruch neh­men wol­len, wobei das nDSG nicht bestimmt, wie zu ver­öf­fent­li­chen ist. Bun­des­or­ga­ne müs­sen die Bestel­lung des Daten­schutz­be­ra­ters ver­öf­fent­li­chen, und zwar (Art. 27 DSV) “im Inter­net”. Die­se Ver­öf­fent­li­chung wird häu­fig in einer Daten­schutz­er­klä­rung erfol­gen (auch wenn Bun­des­or­ga­ne meist kei­ne Daten­schutz­er­klä­rung haben müs­sen), und die­se darf offen­bar im Inter­net publi­ziert wer­den. Das ist ein wei­te­rer Beleg dafür, dass das Inter­net als zugäng­lich gilt und ein Medi­en­bruch ent­spre­chend unschäd­lich ist (s. oben).

Art. 24 Aus­nah­me von der Pflicht zur Füh­rung eines Bearbeitungsverzeichnisses

Art. 12 nDSG regelt die Pflicht eines Ver­ant­wort­li­chen und Auf­trags­be­ar­bei­ters zur Füh­rung eines Bear­bei­tungs­ver­zeich­nis­ses. In Abs. 5 wird fest­ge­hal­ten, dass der Bun­des­rat von die­ser Pflicht Aus­nah­men für Unter­neh­men vor­se­hen kann, die weni­ger als 250 Mit­ar­bei­ten­de beschäf­ti­gen und deren Daten­be­ar­bei­tung ein gerin­ges Risi­ko von Ver­let­zun­gen der Per­sön­lich­keit der betrof­fe­nen Per­so­nen mit sich bringt. Nach dem Erläu­te­rungs­be­richt geht es dabei um ange­stell­te Per­so­nen und nicht um FTE:

Unter­neh­men und ande­re pri­vat­recht­li­che Orga­ni­sa­tio­nen mit weni­ger als 250 Mit­ar­bei­ten­den am 1. Janu­ar eines Jah­res (unab­hän­gig vom Beschäf­ti­gungs­grad) sowie natür­li­che Per­so­nen von der Pflicht befreit …, ein Ver­zeich­nis der Bear­bei­tungs­tä­tig­kei­ten zu führen.

Damit pro­fi­tiert die über­wie­gen­de Mehr­heit der KMU von die­ser Aus­nah­me, sofern sie nicht

  • beson­ders schüt­zens­wer­te Per­so­nen­da­ten in gro­ssem Umfang bear­bei­ten oder
  • ein Pro­filing mit hohem Risi­ko durchführen.

Umfang­reich“ heisst dabei gemäss Erläu­te­rungs­be­richt folgendes:

Als umfang­rei­che Bear­bei­tun­gen beson­ders schüt­zens­wer­ter Daten gel­ten ins­be­son­de­re Daten­be­ar­bei­tun­gen, die gro­sse Men­gen von Daten oder eine gro­sse Zahl von Per­so­nen betreffen.

Es geht also nicht um eine Zahl von Daten, die rela­tiv zur gesam­ten bear­bei­te­ten Daten­men­ge gross ist, son­dern um eine abso­lut gese­hen gro­sse Daten­men­ge oder gro­sse Zahl von Per­so­nen. Greift eine sol­che Gegen­aus­nah­me, muss ein Bear­bei­tungs­ver­zeich­nis geführt wer­den, aller­dings nur für die­je­ni­gen Bear­bei­tun­gen, die unter eine sol­che Gegen­aus­nah­me fal­len. Selbst­ver­ständ­lich bleibt es auch den KMU, die in der Regel von der Pflicht aus­ge­nom­men sind, nicht ver­wehrt, frei­wil­lig ein Ver­zeich­nis der Bear­bei­tungs­tä­tig­kei­ten zu füh­ren. In der Pra­xis ist dies aller­dings oft weni­ger hilf­reich, als es zunächst schei­nen mag (vgl. unse­re Umset­zungs­hin­wei­se).

Beson­de­re Bestim­mun­gen zur Daten­be­ar­bei­tung durch Bundesorgane

Die Bestim­mun­gen zum Daten­schutz­be­ra­ter bei Bun­des­or­ga­nen haben im Ver­gleich zur E‑VDSG kei­ne gra­vie­ren­den Ände­run­gen erfah­ren. Gene­rell wird die Rol­le des Daten­schutz­be­ra­ters bei Bun­des­or­ga­nen gestärkt:

  • Nach Art. 27 ist das Bun­des­or­gan ver­pflich­tet, dafür zu sor­gen, dass der Daten­schutz­be­ra­ter über Ver­let­zun­gen der Daten­si­cher­heit infor­miert wird.
  • Der Daten­schutz­be­ra­ter berät den Ver­ant­wort­li­chen sodann bei der Fra­ge, ob die Ver­let­zung einer Mel­de­pflicht im Sin­ne von Art. 24 nDSG unter­liegt. Die ent­spre­chen­de Mel­dung von Ver­let­zun­gen der Daten­si­cher­heit an den EDÖB wur­de in der E‑VDSG als Pflicht der Daten­schutz­be­ra­ten­den auf­ge­führt. Unter der DSV ist dies nun kor­rek­ter­wei­se eine Pflicht des Bundesorgans.
  • Art. 31 E‑VDSG, wel­cher die Infor­ma­ti­on des Daten­schutz­be­ra­ters durch das Bun­des­or­gan bei Pro­jek­ten zur auto­ma­ti­sier­ten Daten­be­ar­bei­tung vor­sah, wur­de gestri­chen – dies, weil sich die Infor­ma­ti­ons­pflicht des Bun­des­or­gans bereits gestützt auf die all­ge­mei­nen Beratungs‑, Unter­stüt­zungs- und Kon­troll­auf­ga­ben der Daten­schutz­be­ra­ten­den ergibt.

Die Mel­dung an den EDÖB bei auto­ma­ti­sier­ten Bear­bei­tungs­tä­tig­kei­ten gemäss Art. 32 E‑VDSG wur­de in der Ver­nehm­las­sung stark kri­ti­siert. Trotz­dem hat der Bun­des­rat die Mel­dung an den EDÖB bei geplan­ten auto­ma­ti­sier­ten Bear­bei­tungs­tä­tig­kei­ten mit nur weni­gen Prä­zi­sie­run­gen in die neue Ver­ord­nung über­nom­men (Art. 31 DSV).Bei den Rege­lun­gen zu den Pilot­ver­su­chen haben sich kei­ne gro­ssen Ände­run­gen im Ver­gleich zur E‑VDSG erge­ben. In Art. 33 DSV ist nach wie vor nicht gere­gelt, inner­halb wel­cher Frist die Stel­lung­nah­me des EDÖB zur Fra­ge der Ein­hal­tung der Bewil­li­gungs­vor­aus­set­zun­gen nach Art. 35 DSG zu erwar­ten sein wird. Für die Pla­nungs­si­cher­heit wäre eine sol­che Frist begrü­ssens­wert gewesen.