Hannes Meyle, Anne-Sophie Morand und David Vasella
An seiner Sitzung vom 31. August 2022 hat der Bundesrat die neue Datenschutzverordnung (DSV) sowie die neue Verordnung über Datenschutzzertifizierungen (VDSZ) verabschiedet. Damit hat der Bundesrat von seiner Kompetenz Gebrauch gemacht, Ausführungsvorschriften zum revidierten Datenschutzgesetz (nDSG) zu erlassen.
Der Entwurf der Verordnung (E‑VDSG) sah zahlreiche Bestimmungen vor, die inhaltlich weiter als das nDSG gingen und einschneidende Auswirkungen gehabt hätten (wir haben berichtet). Die E‑VDSG war in der Vernehmlassung daher harscher Kritik ausgesetzt. Der Bundesrat hat der Kritik nicht in allen Punkten Rechnung getragen, aber einige wichtige Verbesserungen wurden erreicht. Zur Übersicht haben wir bereits eine hier als PDF abrufbare Vergleichstabelle zur Verfügung gestellt.
Der vorliegende Beitrag setzt sich inhaltlich mit der DSV auseinander und erläutert Kernpunkte der finalen Fassung der DSV und die wesentlichen Änderungen im Vergleich zur E‑VDSG.
Datensicherheit (1. Abschnitt, Art. 1 – 6 DSV)
Die vorsätzliche Verletzung der Mindestanforderungen an die Datensicherheit kann gemäss Art. 61 lit. c nDSG auf Antrag mit einer Busse von bis zu CHF 250’000 bestraft werden. Der Bundesrat wurde dabei beauftragt, die Mindestanforderungen an die Datensicherheit zu bestimmen (Art. 8 Abs. 3 nDSG). Die entsprechenden Vorschriften in der DSV sind daher für Verantwortliche und Auftragsbearbeiter von grosser Bedeutung. Eine nähere Betrachtung zeigt jedoch, dass die Art. 1 – 6 DSV keine entsprechenden Anforderungen festlegen, weil die DSV in diesem Punkt nicht auf das nDSG abgestimmt ist, sondern vom heutigen Konzept der Datensicherheit nach dem DSG ausgeht.
Die DSV enthält keine Mindestanforderungen an die Datensicherheit i.S.d. nDSG
Art. 8 und Art. 5 lit. h nDSG definieren die Datensicherheit enger als Art. 7 DSG
Der Bundesrat ist nach Art. 8 Abs. 3 nDSG beauftragt, Mindestanforderungen der „Datensicherheit“ zu erlassen. Was Datensicherheit ist, definiert Art. 5 lit. h mit der Legaldefinition der Verletzung der Datensicherheit:
eine Verletzung der Sicherheit, die dazu führt, dass Personendaten unbeabsichtigt oder widerrechtlich verlorengehen, gelöscht, vernichtet oder verändert werden oder Unbefugten offengelegt oder zugänglich gemacht werden;
Im Vergleich zu Art. 5 lit. h nDSG liegt dem heutigen DSG ein viel breiteres Verständnis der Datensicherheit zugrunde. Art. 7 DSG:
1 Personendaten müssen durch angemessene technische und organisatorische Massnahmen gegen unbefugtes Bearbeiten geschützt werden.
2 Der Bundesrat erlässt nähere Bestimmungen über die Mindestanforderungen an die Datensicherheit.
Das heutige DSG versteht die Datensicherheit demnach als Gesamtheit der Massnahmen gegen unbefugtes Bearbeiten, das nDSG nur der Massnahmen gegen einen Datenverlust oder eine andere Sicherheitsverletzung im eigentlichen Sinn, d.h. im Sinne der Security.
Das nDSG hat das Anliegen, dass die Einhaltung des Datenschutzes generell proaktiv sichergestellt wird, selbstverständlich nicht aufgegeben, versteht dies aber nicht mehr als Teil der Datensicherheit, sondern des Grundsatzes von Privacy by Design nach Art. 7 Abs. 1 und 2 nDSG. Art. 7 Abs. 1 nDSG (und nicht Art. 8 Abs. 1 nDSG) entspricht denn auch weitgehend Art. 7 Abs. 1 DSG:
Art. 7 Abs. 1 DSG: 1 Personendaten müssen durch angemessene technische und organisatorische Massnahmen gegen unbefugtes Bearbeiten geschützt werden.
Art. 7 Abs. 1 nDSG: 1 Der Verantwortliche ist verpflichtet, die Datenbearbeitung technisch und organisatorisch so auszugestalten, dass die Datenschutzvorschriften eingehalten werden, insbesondere die Grundsätze nach Artikel 6. Er berücksichtigt dies ab der Planung.
Dem Gesetzgeber war dieser Wechsel des Konzepts der Datensicherheit bewusst. Die Botschaft zu Art. 8 nDSG (Datensicherheit):
Artikel [8] verpflichtet sowohl den Verantwortlichen als auch den Auftragsbearbeiter dazu, für ihre Systeme eine geeignete Sicherheitsarchitektur vorzusehen und sie z. B. gegen Schadsoftware oder Datenverlust zu schützen. Artikel 7 Absatz 1 zielt hingegen darauf ab, mit technischen Mitteln die Einhaltung von Datenschutzvorschriften sicherzustellen, z. B. dass die Datenbearbeitung verhältnismässig bleibt.
Der Gesetzgeber hat die Datensicherheit also bewusst vom allgemeinen Datenschutz unterschieden und letzteren dem Grundsatz von Privacy by Design zugewiesen. Die Botschaft zu Art. 8 nDSG verweist in diesem Zusammenhang übrigens ausdrücklich auf Art. 32 DSGVO (“Sicherheit der Verarbeitung”) – und nicht etwa auf Art. 5 (“Grundsätze der Verarbeitung personenbezogener Daten”).
Fehlende Unterscheidung zwischen Datensicherheit und Datenschutz in der DSV
Der Bundesrat hat sich bei der Legiferierung zur Datensicherheit in der DSV leider trotzdem an die heutige VDSG angelehnt. Das schien wohl naheliegend, denn Art. 7 Abs. 2 DSG sieht schon vor, dass der Bundesrat “nähere Bestimmungen über die Mindestanforderungen an die Datensicherheit” erlässt. Auf dieser Basis hatte der Bundesrat in der VDSG im 4. Abschnitt Bestimmungen zu TOMs, zur Protokollierung, zum Bearbeitungsreglement und zur Bekanntgabe von Daten erlassen.
Der Bundesrat hat nun also kurzerhand die Datensicherheitsbestimmungen der heutigen VDSG – mit Anpassungen (siehe unsere Vergleichstabelle, PDF) – als strafwürdige Mindestvorschriften bestimmt und sagt dazu:
Mit den Bestimmungen zur Datensicherheit erfüllt der Bundesrat den gesetzlichen Auftrag gemäss Artikel 8 Absatz 3 nDSG. An diese Mindestanforderungen knüpft zudem die Strafnorm in Artikel 61 Buchstabe c nDSG) an. Der Grad an Sicherheit, der eingehalten werden muss, damit die Strafnorm nicht verletzt wird, bestimmt sich dabei nach den Grundsätzen und Kriterien des vorliegenden Abschnittes.
Nicht bedacht oder bewusst vernachlässigt hat der Bundesrat dabei aber das neue, konzeptionell engere Verständnis der Datensicherheit im nDSG. Es geht, wie ausgeführt, nicht mehr um das unbefugte Bearbeiten überhaupt, sondern allein darum, eine Verletzung der Security zu verhindern.
Hätte der Bundesrat bedacht, wie das nDSG die Datensicherheit begreift, hätte er eine Triage vornehmen müssen zwischen den Bestimmungen der VDSG, die die Datensicherheit im eigentlichen Sinne regeln, und den Bestimmungen, die allgemeine Datenschutzanliegen verfolgen. Denn Art. 7 nDSG – Privacy by Design – gibt dem Bundesrat keine Kompetenz zur Rechtsetzung.
Das hat der Bundesrat unterlassen. Er hat also dadurch seine Regelungskompetenz überschritten, dass er nicht berücksichtigt hat, dass der Grundsatz von Privacy by Design im nDSG einen grossen Teil der Datensicherheit nach heutigem Recht aufgenommen hat und die Kompetenz zur Ausführung der Anforderungen an die Datensicherheit viel enger ist.
Keine Regelung der Datensicherheit in der DSV
Bei der Einordnung der Bestimmungen von Art. 1 – 6 DSV ist also wie folgt vorzugehen:
- Erstens ist jeweils zu fragen, ob die entsprechende Bestimmung der Datensicherheit nach neuem Recht dient oder aber dem Grundsatz von Privacy by Design.
- Zweitens ist zu unterscheiden zwischen einer allgemeinen Konkretisierung – die der Bundesrat auch ohne ausdrückliche gesetzliche Ermächtigung vornehmen darf, aber eben nur konkretisierend – und der Festlegung eigentlicher Mindestanforderungen i.S.v. Art. 8 Abs. 3 und Art. 61 lit. c nDSG. Mindestanforderungen beantworten dabei das „was“ (konkrete Massnahmen als Ergebnis einer Abwägung), eine allgemeine Konkretisierung der Datensicherheit das „wie“ (Vorgehen bei der Abwägung).
- Drittens ist bei Mindestanforderungen der Datensicherheit i.S.d. nDSG – falls es sie gibt – zu fragen, ob sie so konkret formuliert sind, dass sie vor Art. 1 StGB und dem ungeschriebenen Verfassungsgrundsatz „nulla poena sine lege (certa)“ standhalten.
Eine entsprechende Untersuchung führt zum Ergebnis, dass Art. 1 – 6 DSV keine Mindestanforderungen an die Datensicherheit enthalten. Alle diese Bestimmungen sind programmatischer Natur oder dienen dem Grundsatz von Privacy by Design.
Im Einzelnen:
Art. 1 DSV (Grundsätze)
Diese Bestimmung legt Grundsätze fest, die der Verantwortliche und der Auftragsbearbeiter zu beachten haben, wenn sie ein angemessenes Schutzniveau festlegen und dafür geeignete Massnahmen bestimmen. Diese Bestimmung ist der Datensicherheit zuzuordnen, was der Erläuterungsbericht auch zu Recht festhält. Sie enthält aber programmatische Grundsätze und keine konkreten Anforderungen an die Datensicherheit, schon gar keine Mindestanforderungen. Justiziabel ist diese Bestimmung in diesem Sinne nicht, denn aus Art. 1 DSV folgen auch bei wohlwollendster Betrachtung keine Mindestanforderungen, sondern nur allgemein gehaltene Anweisungen für das Vorgehen des Verantwortlichen bei der Bestimmung von Sicherheitsmassnahmen. Wie bereits erwähnt darf der Bundesrat eine solche Konkretisierung vornehmen, aber nicht gestützt auf Art. 8 Abs. 3 nDSG.
Geht der Verantwortliche nicht wie von Art. 1 DSV vorgesehen vor, bestimmt er z.B. den Schutzbedarf nicht lege artis oder berücksichtigt er bei der Risikobewertung relevante Faktoren nicht oder überprüft er seine Massnahmen nicht laufend, indiziert dies deshalb keine Verletzung von Mindestanforderungen an die Datensicherheit:
- Zum einen sieht Art. 1 DSV gerade keine Mindestanforderungen an das „was“ vor, sondern konkretisiert nur das „wie“.
- Zum anderen kann ein Verantwortlicher oder Auftragsbearbeiter auch unreflektiert starke Massnahmen treffen und dadurch eine angemessene Sicherheit erreichen. Das ist sogar häufig der Fall, wenn eine robuste Sicherheitsmassnahme für ein System angewendet wird, in dem verschiedene Datenkategorien mit unterschiedlichen Sicherheitsmassnahmen bearbeitet werden.
Insgesamt ist daher nicht ersichtlich, wie eine Verletzung von Art. 1 DSV nach Art. 61 lit. b i.V.m. Art. 8 Abs. 3 nDSG strafbar sein könnte.
Art. 2 DSV (Ziele)
Diese Bestimmung formuliert Schutzziele der Security – nach einer gängigen, aber nicht der einzigen Einteilung – und ist damit in erster Linie der Datensicherheit i.S.v. Art. 8 nDSG zuzuordnen. Diese Schutzziele greift Art. 3 DSV wieder auf.
Allerdings sieht Art. 2 lit. d das Schutzziel der Nachvollziehbarkeit vor. Das ist strenggenommen nicht unbedingt eine Massnahme der Datensicherheit i.S.v. Art. 8 i.V.m. Art. 5 lit. g nDSG, weil sie nicht – nicht direkt jedenfalls – dazu dient zu verhindern, dass Personendaten unbeabsichtigt oder widerrechtlich verlorengehen, gelöscht, vernichtet oder verändert werden oder Unbefugten offengelegt oder zugänglich gemacht werden. Indirekt mag die Nachvollziehbarkeit diesen Zielen dienen, weil andernfalls erfolgte Verletzungen im eigentlichen Sinne nur erschwert behoben werden können. An sich geht es bei der Nachvollziehbarkeit aber eher um Accountability.
Damit entsprechen die Ziele der DSV aber jenen des Informationssicherheitsgesetzes (siehe Art. 6 Abs. 2 ISG; siehe dazu hier), wie dies im Vernehmlassungsverfahren gefordert wurde. Art. 2 DSV ist allerdings programmatischer und nicht justiziabler Natur. Eine Vorgabe an bestimmte TOMs lässt sich daraus nicht ableiten, und erst recht keine Mindestanforderung. Auch hier ist daher nicht ersichtlich, wie eine Verletzung strafbar sein könnte.
Art. 3 DSV (TOMs)
Art. 3 DSV enthält Vorgaben für technische und organisatorische Massnahmen (TOMs) und konkretisiert damit die Datensicherheit. Dabei orientiert sich die Bestimmung an den Schutzzielen gemäss Art. 2 DSV, Vertraulichkeit, Verfügbarkeit, Integrität und Nachvollziehbarkeit. Auch Art. 3 DSV enthält indessen keine Mindestvorgaben, sondern konkretisiert lediglich diese Schutzziele.
Mindestanforderungen könnte man Art. 3 allenfalls deshalb entnehmen, weil gemäss Art. 3 DSV die Vertraulichkeit, Verfügbarkeit, Integrität und Nachvollziehbarkeit “zu gewährleisten“ sind. Der aktuelle Art. 9 VDSG hält demgegenüber fest, dass Massnahmen zu treffen sind, “die geeignet sind”, den Schutzzielen “gerecht zu werden”. Wenn das Wort „gewährleisten“ absolut zu verstehen wäre, wäre jede Verletzung eines Schutzziels Beweis dafür, dass eine entsprechende Massnahme fehlte. Das kann allerdings nicht gemeint sein. Der risikobasierte Ansatz ist unbestritten, das Wort “gewährleisten” in diesem Sinne als “anstreben” auszulegen.
Damit ist aber auch Art. 3 DSV programmatischer Natur. Art. 3 ist zusammen mit Art. 1 und 2 DSV als ein Ganzes zu lesen, das den Begriff der Datensicherheit konkretisiert. Mindestanforderungen an die Sicherheit werden aber nicht festgelegt. Insgesamt kann daher auch Art. 3 DSV nicht strafbewehrt sein.
Verantwortliche und Auftragsbearbeiter müssen ihre technischen und organisatorischen Massnahmen (TOMs) ausserdem nicht nach dem Aufbau von Art. 3 DSV gliedern. Vgl. z.B. den Erläuterungsbericht:
Es ist durchaus vorstellbar, dass nicht jedes Schutzziel in jedem Fall von Relevanz ist. Ist ein Schutzziel in einem Fall nicht von Relevanz, so müssen der Verantwortliche und Auftragsbearbeiter aber in der Lage sein, zu begründen, weshalb dies der Fall ist.
Klar ist, dass damit keine Beweislastumkehr erfolgt, weder im Zivil- noch im Verwaltungs- noch im Strafverfahren. Dafür hätte der Bundesrat auch gar keine Kompetenz gehabt.
Art. 4 DSV (Protokollierung)
Die Zuordnung von Art. 4 DSV zur Datensicherheit oder aber zu Privacy by Design ist auf den ersten Blick nicht einfach. „Protokollierung“ klingt technisch und damit nach Datensicherheit, aber es wäre ein grundlegendes Missverständnis, alle technischen Massnahmen der Datensicherheit im eigentlichen Sinne zuzuordnen – auch Privacy by Design, d.h. die Einhaltung des Datenschutzrechts ganz allgemein, kann mit technischen Massnahmen abgesichert werden.
Nach dem Erläuterungsbericht ist die Protokollierung vor allem eine Frage der Accountability und nicht der Datensicherheit:
Die Protokollierung stellt eine Massnahme im Sinne von Artikel 3 DSV dar. Dadurch wird dem Umstand Rechnung getragen, dass das Schweizer Recht im Unterschied zur DSGVO keine allgemeine «Rechenschaftspflicht» vorsieht. Überdies wird die Protokollierung auch von gewissen europäischen Datenschutzbehörden empfohlen. Ausserdem handelt es sich bei der Protokollierung um ein klassisches, präventives Mittel zur Gewährleistung der Cybersicherheit.
Das zeigt sich auch darin, dass nach Art. 4 eine Protokollierung dann nicht erforderlich ist, wenn
die präventiven Massnahmen den Datenschutz nicht gewährleisten…, insbesondere dann …, wenn sonst nachträglich nicht festgestellt werden kann, ob die Daten für diejenigen Zwecke bearbeitet wurden, für die sie beschafft oder bekanntgegeben wurden.
Es geht also um die Zweckbindung und generell darum, den „Datenschutz“ zu gewährleisten. Das ist keine Frage der Datensicherheit. Dass dies das Ziel von Art. 4 DSV ist, ist auch aus historischer Sicht deutlich. Art. 4 DSV übernimmt den heutigen Art. 10 VDSG, wie der Erläuterungsbericht festhält:
Die Protokollierung wird in Artikel 10 VDSG geregelt, der aufgrund des Verweises in Artikel 20 Absatz 1 erster Satz VDSG auch auf Bundesorgane Anwendung findet. Artikel 4 übernimmt diese Regelung in geänderter Form.
Art. 10 VDSG wurde vom Bundesamt für Justiz im Kommentar zur VDSG wie folgt erläutert:
Es geht insbesondere darum, zu kontrollieren, ob die Daten nicht für unvorhergesehene oder unvereinbare Zwecke verwendet werden. Das Risiko einer Zweckentfremdung steigt, wenn das Informationssystem, in dem die Daten gespeichert sind, einer grossen Anzahl von Benutzern zugänglich gemacht wird oder physisch oder optisch mit anderen Datensammlungen verknüpft ist. Es ist nicht notwendig alles zu protokollieren. In diesem Zusammenhang ist auch der in Art. 8 festgeschriebene Grundsatz zu berücksichtigen und das Prinzip der Verhältnismässigkeit anzuwenden (Art. 4 Abs. 2 DSG und Art. 8 Abs. 2 VDSG). Die Protokolle dienen der Überprüfung der Einhaltung der Datenschutzvorschriften.
Auch die Entstehungsgeschichte von Art. 4 DSV zeigt also deutlich, dass die Protokollierung die Zweckbindung – und nicht die Datensicherheit i.e.S. – sicherstellen soll. Die Protokollierung ist damit keine Frage der Datensicherheit, und die Unterlassung der Protokollierung kann nicht strafbar sein.
Nicht auszuschliessen ist freilich, dass die Protokollierung als Massnahme der Nachvollziehbarkeit indirekt auch der Datensicherheit im eigentlichen Sinne zuzuordnen ist. Eine Strafbarkeit würde dann aber voraussetzen, dass eine Strafverfolgungsbehörde im Einzelfall nachweist, dass die Protokollierung für die Datensicherheit im eigentlichen Sinne notwendig gewesen wäre und dass dem Verantwortlichen oder Auftragsbearbeiter bzw. den für diese handelnden Personen dies zumindest in Umrissen bewusst war.
Art. 5 und 6 DSV (Bearbeitungsreglement)
Das Bearbeitungsreglement ist ebenfalls eine Übernahme aus der VDSG (Art. 11 für Private und Art. 21 für Bundesorgane). Dabei geht es wierderum nicht um die Datensicherheit, sondern um Accountability. Das sagt der Bundesrat im Erläuterungsbericht ausdrücklich:
Ein Bearbeitungsreglement erstellen musste der «Inhaber einer meldepflichtigen automatisierten Datensammlung» nach Artikel 11a Absatz 3 DSG, der nicht aufgrund von Artikel 11a Absatz 5 Buchstaben b – d DSG von der Pflicht, seine Datensammlungen anzumelden, ausgenommen war (Art. 11 Abs. 1 VDSG). Da die Meldepflicht für private Verantwortliche (Art. 11a DSG) im nDSG nicht mehr besteht, kann Artikel 11 VDSG nicht unverändert übernommen werden. Gemäss dem in der DSGVO vorgesehenen Grundsatz der Rechenschaftspflicht oder «accountability» muss der Verantwortliche die Einhaltung der Grundsätze der Datenbearbeitung nachweisen können (Art. 5 Abs. 2 DSGVO). Das Schweizer Recht kennt keine allgemeine Rechenschaftspflicht oder «accountability», aber die Pflicht zur Erstellung eines Bearbeitungsreglements erfüllt denselben Zweck.
Die Pflicht zur Erstellung des Bearbeitungsreglements knüpft zwar an ein erhöhtes Risiko an, aber das macht diese Pflicht nicht zu einer Sicherheitspflicht, sondern zeigt lediglich, dass der risikobasierte Ansatz nicht nur bei der Datensicherheit im eigentlichen Sinne gilt, sondern bei der proaktiven Compliance ganz allgemein. Das zeigt auch die Botschaft zu Art. 7 nDSG (u.a. Privacy by Design):
Absatz 2 präzisiert die Anforderungen an die Vorkehren nach Absatz 1. Diese müssen insbesondere … angemessen sein. … Die Norm bringt den risikobasierten Ansatz zum Ausdruck.
Dies übersieht der Bundesrat, wenn er sich im Erläuterungsbericht an dieser Stelle ohne weitere Ausführungen auf die Datensicherheit – und nicht die Accountability – bezieht.
Weitere Bemerkungen zu einzelnen Bestimmungen
Art. 1 Grundsätze
Risikobasierter Ansatz
Gemäss Art. 1 Abs. 1 DSV müssen die technischen und organisatorischen Massnahmen im Hinblick auf das Risiko für die konkret bearbeiteten Personendaten angemessen sein. Das verlangt eine Beurteilung des Schutzbedarfs. Art. 1 Abs. 2 DSV enthält dafür Kriterien, und Art. 1 Abs. 3 DSV Kriterien zur Beurteilung des Risikos. Art. 1 DSV bezieht sich dabei auf das Risiko für die Personendaten, meint aber sicher das Risiko für die betroffenen Personen. Das ist ein grosser Unterschied, denn ein hohes Risiko für harmlose Daten kann ein niedriges Risiko für Betroffene bedeuten. In den Kriterien von Art. 1 DSV kommt der risikobasierte Ansatz bei der prospektiven Compliance (dazu auch hier) zum Ausdruck: Sicherheitsmassnahmen müssen angemessen sein, nicht weniger, aber auch nicht mehr. Der Erläuterungsbericht:
Der Schutzbedarf wird auf der Grundlage der Art der bearbeiteten Daten sowie des Zwecks, der Art, des Umfangs und der Umstände der Datenbearbeitung beurteilt. Dabei geht es insbesondere um das Schutzniveau, das angesichts des Risikos für die Persönlichkeits- und Grundrechte der betroffenen Personen gewährleistet werden muss. Je höher der Schutzbedarf, desto strenger sind die Anforderungen an die Massnahmen.
Bedeutung der Kosten
In der Vernehmlassung war zudem die Regelung nun von Art. 1 Abs. 4 DSV diskutiert worden, wonach bei Festlegung der technischen und organisatorischen Massnahmen u.a. die “Implementierungskosten” zu berücksichtigen sind. Genauer: Art. 1 DSV verlangt eine “angemessene” Datensicherheit. Dafür sind “geeignete” Massnahmen zu bestimmen. Dabei wiederum spielen die Kosten eine Rolle.
Der Begriff der “Kosten” war in der Vernehmlassung als zu eng kritisiert worden. Der Erläuterungsbericht hält hierzu nun fest:
Der Begriff “Kosten” ist im weiten Sinn zu verstehen. Er ist nicht auf die finanziellen Kosten beschränkt, sondern umfasst auch die erforderlichen personellen und zeitlichen Ressourcen.
So weit so gut – aber:
Verantwortliche und Auftragsbearbeiter können sich insbesondere nicht mit der Begründung von der Pflicht einer angemessenen Datensicherheit befreien, dass damit übermässige Kosten verbunden sind; vielmehr müssen sie jedenfalls in der Lage sein, eine angemessene Datensicherheit zu gewährleisten.
Das ist falsch. Wenn dem so wäre, d.h. wenn die Kosten keine Rolle spielen, solange noch keine angemessene Sicherheit erreicht ist, würden die Kosten nie eine Rolle spielen; denn mehr als angemessene Sicherheit ist nie erforderlich, und bis dahin wären die Kosten ohne Bedeutung. Sie könnten nur ein Faktor sein bei der Auswahl möglicher Massnahmen gleicher Wirkung. Dies sagt der Erläuterungsbericht zwar sogar, aber das wäre eine Selbstverständlichkeit, die keiner Regelung bedarf.
Richtigerweise sind die Kosten bereits bei der Bestimmung der Angemessenheit der erreichten Datensicherheit ein Faktor. Das ist in der DSGVO anerkannt, und der Bundesrat will ausdrücklich keine Anforderungen an die Datensicherheit, die jene der DSGVO übersteigen (Erläuterungsbericht: “[…] damit Schweizer Unternehmen, die […] eine gemäss der DSGVO konforme Datensicherheit gewährleisten, auch in der Schweiz davon ausgehen können, dass sie die Mindestanforderungen erfüllen”). Im Ergebnis stellt es deshalb keine Verletzung der Datensicherheit dar – und kann nicht strafbar sein -, wenn der Verantwortliche oder der Auftragsbearbeiter bei der Bestimmung der angemessenen Datensicherheit und der geeigneten Massnahmen unter anderem auch die Kosten berücksichtigen.
Diskutiert wurde auch die Überprüfung der Sicherheitsmassnahmen. Die DSV verlangt nicht mehr, wie der E‑VDSG, dass die Massnahmen “in angemessenen Abständen” überprüft werden, sondern dass sie “über die gesamte Bearbeitungsdauer hinweg” überprüft werden. Das bedeutet gemäss dem Erläuterungsbericht:
Der Überprüfungsbedarf hängt insbesondere von der Gefährdungslage […] ab: Je höher er ist, desto häufiger müssen die Massnahmen regelmässig überprüft werden. Die neue Formulierung geht in Richtung einer ständigen Überprüfung. Sie lässt dem Verantwortlichen und dem Auftragsbearbeiter jedoch einen grossen Ermessensspielraum. Eine Überprüfung kann sich zusätzlich aufdrängen, wenn eine Verletzung der Datensicherheit erfolgt oder die Bearbeitung von Personendaten angepasst worden ist.
Eine unterlassene Überprüfung der Massnahmen kann für sich genommen allerdings keine Verletzung der Mindestvorgaben an die Datensicherheit darstellen und entsprechend nicht zu einer Busse führen (s. dazu bereits oben).
Art. 4 – 6 Protokollierung und Bearbeitungsreglement
Vorbemerkungen
Dass es bei den Pflichten der Protokollierung und des Bearbeitungsreglements nicht um Fragen der Datensicherheit geht, sondern um allgemeine datenschutzrechtliche Pflichten (Accountability bzw. Privacy by Design), wurde oben bereits festgehalten. Von ihrer Rechtsnatur unabhängig setzen diese Pflichten jeweils erhöhte Risiken voraus, nämlich dass
- besonders schützenswerte Personendaten in grossem Umfang automatisiert bearbeitet werden oder
- ein Profiling mit hohem Risiko durchgeführt wird.
Bei der Protokollierung kommt als negative Voraussetzung dazu, dass die “präventiven Massnahmen den Datenschutz nicht gewährleisten” können.
Was ist eine „automatisierte Bearbeitung“?
Unklar ist zunächst, was eine automatisierte Bearbeitung von Personendaten ist. Der Erläuterungsbericht geht auf diese Voraussetzung nicht ein, obwohl die Frage bereits im Vernehmlassungsverfahren aufkam. Es ist deshalb wohl auf das nDSG zurückzugreifen. Damit bleibt aber insbesondere offen, ob es genügt, wenn die fragliche Bearbeitung mit Hilfe computergestützter Techniken vorgenommen wird oder ob die Bearbeitung ausschliesslich automatisiert erfolgen muss. Praktische Beispiele oder weitere Informationen lassen sich dem Erläuternden Bericht hier leider nicht entnehmen.
Allerdings darf die Auslegung eines einschränkenden Tatbestandselements nicht dazu führen, dass dieses faktisch nicht einschränkt. Die Verwendung eines Computers kann deshalb nicht genügen, denn Karteikarten mit Patientendaten werden bestimmt nicht im grossem Umfang ausschliesslich händisch bearbeitet. Man muss daher eine ausschliesslich automatisierte Bearbeitung verlangen.
Bearbeitung von schützenswerten Personendaten in grossem Umfang
Auch die Tatbestandsvoraussetzung der Bearbeitung von schützenswerten Personendaten “in grossem Umfang”, wie sie Art. 4 DSV voraussetzt, wird nicht bestimmt. Der Erläuterungsbericht stellt im Zusammenhang mit Art. 5 DSV fest, dass die nur “vereinzelte” Bearbeitung besonders schützenswerter Personendaten nicht erfasst sei, und dass “insbesondere ‘traditionelle’ KMU” nicht betroffen seien. Zu Art. 24 (Ausnahme beim Bearbeitungsverzeichnis, s. dazu unten) hält der Erläuterungsbericht weiter aber fest, dass eine Bearbeitung besonders schützenswerter Daten als umfangreich gilt, wenn sie grosse Mengen von Daten oder eine grosse Zahl von Personen betreffen. Das müsste auch hier gelten (was immer das im Ergebnis dann bedeutet).
… “präventiven Massnahmen den Datenschutz nicht gewährleisten”
Die Protokollierungspflicht von Art. 4 Abs. 1 DSV setzt ausserdem wie die heutige VDSG voraus, dass “die präventiven Massnahmen den Datenschutz nicht gewährleisten” können. Dass dies belegt, dass es nicht um Datensicherheit, sondern den allgemeinen Datenschutz und damit um Privacy by Design geht, wurde oben bereits ausgeführt.
Der Erläuterungsbericht führt dazu sodann aus, dieses Merkmal sei “von untergeordneter Bedeutung”, “da die präventiven Massnahmen den Datenschutz nur selten gewährleisten”. Das ist eine erstaunliche Aussage. Wenn damit gemeint ist, dass präventive Massnahmen die Einhaltung des Datenschutzes nie mit absoluter Sicherheit gewährleisten können, ist das natürlich richtig – es gilt ja der risikobasierte Ansatz. Aber welchen Sinn hat dann das Tatbestandselement der fehlenden Gewährleistung des Datenschutzes?
Immerhin steht in Art. 4 Abs. 1, dass eine Protokollierung insbesondere dann erfolgen muss, “wenn sonst nachträglich nicht festgestellt werden kann, ob die Daten für diejenigen Zwecke bearbeitet wurden, für die sie beschafft oder bekanntgegeben wurden”. Man muss dies wohl schlicht so auslegen, dass eine Protokollierung bei sonstigen Voraussetzungen dann erforderlich ist, wenn sie im Rahmen einer Gesamtbetrachtung aus Privacy by Design-Sicht sinnvollerweise notwendig ist.
Dabei hat der Verantwortliche – der Auftragsbearbeiter kann diese Abwägung kaum selbst durchführen – grossen Ermessensspielraum.
Protokollierung bei Bundesorganen
Für Bundesorgane gilt eine strengere Regelung: Nach Art. 4 Abs. 2 DSV müssen Bundesorgane und ihre Auftragsbearbeiter (auch private Auftragsbearbeiter, die als Hilfsperson nicht selbst zum Bundesorgan werden, die hier aber punktuell der gleichen Regelung unterworfen werden) bei jeder automatisierten Bearbeitung zumindest das Speichern, Verändern, Lesen, Bekanntgeben, Löschen und Vernichten der Daten.
Der Umfang der Protokollierungspflicht bestimmt sich nach Art. 4 Abs. 3 danach, ob die betreffenden Personendaten öffentlich zugänglich sind oder nicht:
- Bei öffentlich zugänglichen Personendaten sind gemäss Art. 4 Abs. 1 und 2 DSV “zumindest das Speichern, Verändern, Löschen und Vernichten der Daten zu protokollieren”.
- In allen anderen Fällen ist zusätzlich auch das Lesen und Bekanntgeben zu protokollieren.
Diese Bestimmung, d.h. Art. 4 Abs. 3 DSV, dürfte sich nur auf die Bearbeitung durch Bundesorgane (Abs. 2) und nicht auch jene durch Private (Abs. 1) beziehen.
Weiter gilt bei Bundesorganen – aber nur bei ihnen – eine Übergangsbestimmung (Art. 46 DSV): Soweit eine Bearbeitung eines Bundesorgans nicht Schengen-relevant ist, gilt die besondere Protokollierungspflicht von Art. 4 Abs. 2 DSV erst ab dem 1. September 2026 oder nach Ende des Lebenszyklus des Systems (je nachdem, welches Ereignis zuerst eintritt). In der Zwischenzeit gilt die Protokollierungsregelung für Private.
Umfang der Protokollierungspflicht
Art. 4 Abs. 4 DSV regelt, welche Informationen aus der Protokollierung mindestens hervorgehen müssen, nämlich die Identität des Bearbeiters und allfälliger Empfänger sowie die Art, das Datum und die Uhrzeit der Bearbeitung. Software- und Systemanbieter müssen werden entsprechende Funktionen bereitstellen müssen, damit Verantwortliche und Auftragsbearbeiter die Datenschutzvorschriften einhalten können.
Art. 4 Abs. 5 enthält Vorgaben über die Aufbewahrung und Zugänglichkeit der Protokolle. Im Gegensatz zum Wortlaut der aktuellen VDSG beträgt die Aufbewahrungsdauer nicht mehr exakt ein Jahr, sondern “mindestens” ein Jahr; Protokolle dürfen also auch länger aufbewahrt werden.
Beibehalten wurde dafür leider das besondere Zweckentfremdungsverbot: Protokolle dürfen nur zur “Überprüfung der Anwendung der Datenschutzvorschriften oder die Wahrung oder Wiederherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Nachvollziehbarkeit der Daten” verwendet werden. Das dient ebenfalls nicht der Datensicherheit und bleibt bundesrechtswidrig. Der Verordnungsgeber hat keine Kompetenz, die allgemeinen Grundsätze – namentlich die Freiheit des Verantwortlichen zur Bestimmung des Bearbeitungszwecks durch Transparenz – einzuschränken. Protokolle dürfen deshalb weiterhin und entgegen dem Verordnungstext für andere Zwecke verwendet werden, z.B. im Rahmen einer internen Untersuchung.
Bearbeitungsreglement
Der Inhalt des Bearbeitungsreglements für private Personen und für Bundesorgane folgt aus Art. 5 Abs. 2 DSV und 6 Abs. 2 DSV. Danach muss das Reglement “insbesondere Angaben zur internen Organisation, zum Datenbearbeitungs- und Kontrollverfahren sowie zu den Massnahmen zur Gewährleistung der Datensicherheit enthalten”.
Der Erläuterungsbericht (S. 28) sieht weiter vor, das Bearbeitungsreglement sei “als eine Dokumentation oder ein Handbuch auszugestalten und sollte dem Verantwortlichen auch dazu dienen”; Der darin verwiesene Kommentar des Bundesamtes für Justiz zur VDSG, Ziff. 6.1.4, führt weiter aus:
Dieses Reglement beinhaltet Angaben über die interne Organisation des Inhabers der Datensammlung, sowie über die Struktur, in welche die Datensammlung oder das automatisierte Bearbeitungssystem eingebettet ist. Es beschreibt vor allem die Datenbearbeitungs- und Kontrollprozeduren, beinhaltet also die Dokumente betreffend die Planung, Ausarbeitung und den Betrieb der Datensammlung und der eingesetzten Informatikmittel
und:
Das Reglement muss auch das Verfahren zur Ausübung des Auskunftsrechts und des Rechts auf Datenherausgabe oder ‑übertragung enthalten. Die Kontrollverfahren müssen es ermöglichen, die Zugriffsberechtigungen, die Art und den Umfang des Zugriffs festzustellen. Schliesslich ist es von entscheidender Bedeutung, dass das Bearbeitungsreglement auch die technischen und organisatorischen Massnahmen zur Gewährleistung der angemessenen Datensicherheit umfasst.
Deutlich wird dadurch auch, dass ein Verantwortlicher oder Auftragsbearbeiter nicht unbedingt mehrere Reglemente führen muss, z.B. eines pro riskanter Bearbeitungstätigkeit. Vielmehr kann ein einziges Reglement ausreichen – es ist oft sogar sinnvoller, nur eines zu pflegen, weil der Inhalt des Reglements u.U. nur bearbeitungsübergreifend dargestellt werden kann.
Zudem überschneiden sich die für das Bearbeitungsreglement erforderlichen Inhalte mit dem Bearbeitungsverzeichnis (Art. 12 nDSG). Der Bericht zur E‑VDSG führte dazu noch aus, man könne bestimmte Angaben aus dem Bearbeitungsverzeichnis kopieren. Der Erläuterungsbericht zur DSV geht auf Überschneidungen zwischen dem Bearbeitungsverzeichnis, allfälligen Protokollierungspflichten und der Pflicht zum Erstellen eines Bearbeitungsreglements nicht näher ein, obwohl die Doppelspurigkeiten und der daraus resultierende Mehraufwand im Vernehmlassungsverfahren verschiedentlich kritisiert worden waren.
Ein Bearbeitungsreglement privater Personen könnte vor diesem Hintergrund als Übersichtsdokument gestaltet sein, das auf bestehende Dokumente, Weisungen und Richtlinien verweist. Urkundeneinheit kann hier nicht verlangt werden, ebenso wenig wie beim Bearbeitungsverzeichnis, das seinerseits auf andere Unterlagen verweisen kann.
Wie bereits ausgeführt ist das Unterlassen des Erstellens eines Bearbeitungsreglements keine Datensicherheitsmassnahmen und damit auch nicht strafbar (s. oben).
Bearbeitung durch Auftragsbearbeiter (Art. 7 DSV)
Art. 7 DSV regelt die Voraussetzungen der Auftragsbearbeitung gemäss Art. 9 nDSG. Ein vorsätzlicher Verstoss gegen die Voraussetzungen des Art. 9 nDSG kann gemäss Art. 61 lit. b nDSG mit Busse bis zu CHF 250’000 bestraft werden.
Nachdem die Vorschriften zur Auftragsbearbeitung im E‑VDSG im Vernehmlassungsverfahren stark kritisiert worden waren, da sie über die gesetzlichen Regelungen hinausgingen, bestätigt Art. 7 DSV nun lediglich, was bereits vor dem Hintergrund des Art. 28 Abs. 2 DSGVO gängige Praxis ist und schon in der Botschaft zum nDSG festgehalten wurde: Die Beauftragung von Unterauftragsbearbeitern ist in allgemeiner oder konkreter Weise zu genehmigen (Art. 7 Abs. 1 DSV). Bei einer allgemeinen Genehmigung ist der Verantwortliche zu informieren und kann widersprechen (Art. 7 Abs. 2 DSV). Formelle Vorgaben dafür enthält Art. 7 DSV nicht.
Bekanntgabe von Personendaten ins Ausland (Art. 8 – 12 DSV)
Die Bekanntgabe von Personendaten ins in Länder ohne angemessenes Datenschutzniveau ist eines der Themen, das Unternehmen derzeit vor besonders grosse datenschutzrechtliche Herausforderungen stellt – vor allem, wenn man allen behördlichen und gerichtlichen Entscheidungen gerecht werden will (dazu https://datenrecht.ch/auslandsbekanntgabe/). Dies gilt umso mehr, als vorsätzliche Verstösse gegen die entsprechenden Art. 16 und 17 nDSG gemäss Art. 61 lit. a nDSG bussenbewehrt sind. Unternehmen werden die Entwicklungen auf schweizerischer und europäischer Ebene weiterhin aufmerksam – und mit der gebotenen Ruhe – verfolgen müssen.
Begrüssenswert ist aber Art. 10 Abs. 1 DSV:
1 Gibt der Verantwortliche oder der Auftragsbearbeiter Personendaten mittels Standarddatenschutzklauseln nach Artikel 16 Absatz 2 Buchstabe d DSG ins Ausland bekannt, so trifft er angemessene Massnahmen, um sicherzustellen, dass die Empfängerin oder der Empfänger diese beachtet
Die Massnahmen zur Absicherung der Standardvertragsklauseln müssen nur “angemessen” sein. Das lässt deutlich den risikobasierten Ansatz bei der Übermittlung ins Ausland erkennen: Wenn die Massnahmen zur Absicherung der Standardvertragsklauseln nur angemessen sein müssen, darf ein Restrisiko hingenommen werden, dass die Einhaltung der Standardklauseln durch den Empfänger durch sein lokales Recht unterlaufen werden, solange dieses Risiko angemessen mitigiert wurde. Das ist ein ausdrückliches Bekenntnis zum risikobasierten Ansatz auch bei der Übermittlung ins Ausland, das willkommen ist (dazu datenrecht.ch/edoeb-zweifel-am-risikobasierten-ansatz).
Zu begrüssen ist auch, dass die aktuell noch gemäss Art. 6 VDSG geltende Pflicht, wonach der Verantwortliche den EDÖB über Garantien und Datenschutzregeln nach Art. 6 Abs. 2 Bst. c und g DSG informieren muss, nicht ins DSV übernommen wurde.
Neu ist auch, dass nicht mehr der EDÖB, sondern der Bundesrat bestimmt, welche Staaten oder Organisationen einen angemessenen Datenschutz aufweisen (Art. 16 Abs. 1 nDSG). Art. 8 DSV enthält die erforderlichen Kriterien zur Beurteilung der Angemessenheit des Datenschutzes und begriffliche Klarstellungen.
Art. 9 DSV regelt neu die erforderlichen Inhalte für Datenschutzklauseln und spezifische Garantien. Art. 10 DSV enthält Vorgaben für Standarddatenschutzklauseln, wobei in der Praxis ohnehin vor allem die von der EU-Kommission verabschiedeten Standarddatenschutzklauseln verwendet werden. Art. 11 DSV regelt neu die Anforderungen an verbindliche unternehmensinterne Datenschutzvorschriften (auch als “Binding Corporate Rules” bezeichnet) und Art. 12 DSV Verhaltenskodizes und Zertifizierungen.
Pflichten des Verantwortlichen (Art. 13 – 15 DSV)
Modalitäten der Informationspflicht
Eine wesentliche und praxisrelevante Neuerung unter dem nDSG ist die Einführung einer generellen Informationspflicht (Art. 19 ff. nDSG). Art. 13 DSV präzisiert diese Pflicht nicht weiter, sondern bestimmt lediglich allgemein:
Der Verantwortliche muss der betroffenen Person die Information über die Beschaffung von Personendaten in präziser, transparenter, verständlicher und leicht zugänglicher Form mitteilen.
Damit sagt die DSV nichts Neues. Wie diese Anforderungen genau zu verstehen sind und ob die Adjektive “präzise” und “verständlich” eigenständige Bedeutung haben, bleibt auch nach dem Vernehmlassungsverfahren und entsprechender Kritik offen. Gemäss dem Erläuternden Bericht muss der Verantwortliche aber
bei der Wahl der Informationsform sicherstellen, dass die betroffene Person bei der Beschaffung ihrer Personendaten die wichtigsten Informationen stets auf der ersten Kommunikationsstufe erhält. Erfolgt die Kommunikation zum Beispiel über eine Internetseite, kann eine gute Praxis darin bestehen, dass alle wesentlichen Informationen auf einen Blick, z. B. in Form einer gegliederten Übersicht verfügbar sind. Um weitere Informationen zu erhalten, kann die betroffene Person danach auf diese zuerst angezeigten Informationen klicken, worauf sich ein Fenster mit detaillierteren Angaben öffnet.
Das ist nichts Neues, lässt aber das Thema des Medienbruchs anklingen, wenn AGB oder ein anderes auch gedrucktes Dokument auf eine Datenschutzerklärung im Internet verweisen. Hierzu fährt der Erläuterungsbericht fort:
Es ist allerdings festzuhalten, dass die Kommunikation über eine Website nicht immer genügt: Die betroffene Person muss wissen, dass sie die Informationen auf einer bestimmten Website findet. Im Fall eines Telefongesprächs können die Informationen auch mündlich mitgeteilt und allenfalls durch einen Link zu einer Website ergänzt werden. Bei aufgezeichneten Informationen muss die betroffene Person die Möglichkeit haben, sich ausführlichere Informationen anzuhören.
Daraus wird klar: Es genügt, z.B. aus AGB auf eine Datenschutzerklärung im Internet zu verweisen, und zwar auch dann, wenn die AGB keine weiteren Angaben z.B. zum Bearbeitungszweck oder den Betroffenenrechten vorwegnehmen und auch dann, wenn die AGB keinen QR-Code enthalten, denn auch ohne dies weiss der Betroffene, aufgrund des Hinweises, “dass sie die Informationen auf einer bestimmten Website findet”. Der Medienbruch ist damit grundsätzlich zulässig bzw. unschädlich.
Weiter wurde in der DSV die Regulierung von Piktogrammen nicht übernommen, so dass Unternehmen Piktogramme wie beispielsweise Privacy Icons weiterhin ohne zusätzliche Hürden verwenden dürfen. Auch die Artikel 14 – 17 E‑VDSG, die Informationspflichten vorsahen, die über das nDSG hinausgingen, wurden gestrichen. Ebenso wurde der Lapsus behoben, Auftragsbearbeitern Informationspflichten zuzuschreiben.
Aufbewahrung der Datenschutz-Folgeabschätzung
Art. 14 DSV konkretisiert die Dauer der Aufbewahrung der Datenschutz-Folgeabschätzung auf mindestens zwei Jahre nach Beendigung der Datenbearbeitung. Der Erläuterungsbericht weist darauf hin, dass der EDÖB für die Umsetzung der Datenschutz-Folgeabschätzung von seiner Kompetenz Gebrauch machen kann, Arbeitsinstrumente als Empfehlungen der guten Praxis zu erarbeiten.
Meldung von Verletzungen der Datensicherheit
Art. 24 nDSG regelt neu die Pflicht des Verantwortlichen, Datensicherheitsverletzungen an den EDÖB zu melden, wenn diese voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen führen. Art. 15 DSV konkretisiert hierzu die Mindestanforderungen derartiger Meldungen. Danach sind jedenfalls die folgenden Angaben erforderlich:
- Art der Verletzung;
- Folgen, einschliesslich der allfälligen Risiken, für die betroffenen Personen;
- Massnahmen, die getroffen wurden oder vorgesehen sind, um den Mangel zu beheben und die Folgen, einschliesslich der allfälligen Risiken, zu mindern;
- Namen und die Kontaktdaten einer Ansprechperson;
- soweit möglich Zeitpunkt und Dauer der Verletzung, Kategorien und ungefähre Anzahl der betroffenen Personendaten und Personen
Im Wesentlichen entsprechen diese Angaben im Wesentlichen den Mindestinformationen gemäss Art. 33 Abs. 3 DSGVO, mit Ausnahme der Abgaben zu Zeitpunkt und Dauer der Verletzung, die Art. 15 DSV verlangt, nicht aber Art. 33 DSGVO. Man hätte sich hier besser enger an die DSGVO angelehnt. Allerdings darf man die “Art” der Verletzung i.S.v. Art. 33 DSGVO wohl so verstehen, dass Zeitpunkt und Dauer eingeschlossen sind. Wenn Auftragsbearbeitungsvereinbarungen (ADV) bei Meldungen durch Auftragsbearbeiter die Angaben nach Art. 33 Abs. 3 DSGVO verlangen, was oft der Fall ist, drängt sich eine Anpassung aufgrund von Art. 15 DSV also nicht auf.
Wenn nicht alle Angaben gleichzeitig gemacht werden können, erlaubt Art. 15 Abs. 2 DSV dem Verantwortlichen nun (wie Art. 33 Abs. 4 DSGVO), die Angaben gestaffelt zu melden.
Betr. die Meldung an den EDÖB hält der Erläuterungsbericht weiter fest:
arbeitet der EDÖB derzeit an der Entwicklung einer webbasierten Meldeoberfläche, voraussichtlich in Form eines interaktiven Formulars. Im Rahmen dieses Projektes prüft der EDÖB derzeit auch die Möglichkeit eines gemeinsamen Meldeportals zusammen mit anderen Bundesorganen
Für den Fall, dass der Verantwortliche gemäss Art. 24 Abs. 4 nDSG verpflichtet ist, eine Meldung an die betroffene Person vorzunehmen (wenn es zum Schutz der Person erforderlich ist oder der EDÖB es verlangt), verpflichtet Art. 24 Abs. 3 DSV den Verantwortlichen, die Person “in einfacher und verständlicher Sprache” zu informieren. Zu beachten ist ausserdem die Pflicht, die Datensicherheitsverletzungen zu dokumentieren (dafür bietet sich ein standardisiertes Erfassungsformular an) und für mindestens zwei Jahre ab dem Zeitpunkt der Meldung aufzubewahren (Art. 15 Abs. 4 DSV). Für Unternehmen, die bereits Prozesse zur Meldung von Datensicherheitsverletzungen gemäss der DSGVO eingerichtet haben, ergibt sich also wenig Neues. Alle anderen müssen bis zum Inkrafttreten des nDSG und der DSV entsprechende Verfahren sicherstellen.
Rechte der betroffenen Person (Art. 16 – 22 DSV)
Auskunftsrecht
Nach Art. 16 Abs. 1 DSV kann ein Auskunftsbegehren “schriftlich” gestellt werden und, im Einverständnis mit dem Verantwortlichen, auch mündlich. Dazu der Erläuterungsbericht:
“Schriftlich” im Sinne von Artikel 16 Absatz 1 DSV umfasst jegliche Formen, die den Nachweis durch Text ermöglichen. Nicht gemeint ist hingegen die sogenannte einfache Schriftlichkeit nach den Artikeln 13 – 15 des Obligationenrechts.
Auskunftsbegehren können danach auch per E‑Mail gestellt werden.
Beim Auskunftsrecht wurde in der Vernehmlassung u.a. die Dokumentationspflicht der Gründe für eine Verweigerung, Einschränkung oder den Aufschub und die dreijährige Aufbewahrungspflicht kritisiert. In der DSV wurde diese Pflicht nun fallengelassen.
Ebenfalls kritisiert wurde Art. 21 Abs. 3 E‑VDSG, wonach Auskunftsbegehren an Auftragsbearbeiter weiterzuleiten waren, wenn der Verantwortliche zur Auskunft nicht selbst in der Lage ist. Das ist ebenfalls entfallen. Art. 17 DSV bestimmt nun vielmehr und sinnvollerweise, dass der Auftragsbearbeiter den Verantwortlichen bei der Erteilung der Auskunft zu unterstützen hat, was in Auftragsbearbeitungsvereinbarungen in aller Regel ohnehin vereinbart wird (nach der DSV aber nicht ausdrücklich vereinbart werden muss).
Bei der gemeinsamen Verantwortlichkeit - deren Begriff unbestimmt bleibt – hält die DSV nun fest, dass der Auftragsbearbeiter seine Rechte bei jedem der gemeinsam Verantwortlichen geltend machen kann. Das ist richtig und wirft die Frage auf, ob eine Datenschutzerklärung alle der gemeinsam Verantwortlichen nennen muss. Das trifft wohl nicht zu: Gibt eine Datenschutzerklärung im Fall der gemeinsamen Verantwortlichkeit nur eine Anlaufstelle an, ist der betroffenen Person bereits gedient. Das macht die Vorgabe der DSV keineswegs hinfällig; im Gegenteil, diese stellt nun klar, dass die betroffene Person an das Angebot der zentralen Anlaufstelle nicht gebunden ist.
Beibehalten wurde weiter die Vorgabe, dass der Verantwortliche angemessene Massnahmen treffen muss, um die betroffene Person zu identifizieren. Was dies im Einzelnen heisst, ist offen, aber jedenfalls hat die betroffene Person hier eine Mitwirkungsobliegenheit.
Präzisiert wurde sodann Art. 23 E‑VDSG zu den Ausnahmen von der Kostenlosigkeit. Die maximale Kostenbeteiligung bleibt leider bei CHF 300, wie schon nach der heutigen VDSG. Das steht zum möglichen Aufwand des Verantwortlichen in keinem Verhältnis. In diesem Zusammenhang ist daran zu erinnern, dass Art. 2 ZGB auch im Datenschutzrecht uneingeschränkt gilt, und eine Fallgruppe des Rechtsmissbrauchs ist das krasse Missverhältnis der Interessen, d.h. wenn das Interesse, das der Berechtigte an der Rechtsausübung hat, in keinem vernünftigen Verhältnis zu den Nachteilen steht, welche die Gegenpartei dadurch erleidet. Im Bereich des Auskunftsrechts wurde diese Fallgruppe soweit ersichtlich bisher zwar nicht angewendet. Wenn die Kostenbeteiligung auf einen so niedrigen Betrag festgelegt ist, führt dies aber eher zu einem Missverhältnis der Interessen, was wiederum eher zur Rechtsmissbräuchlichkeit eines Auskunftsbegehrens führen kann.
Art. 19 Abs. 3 DSV bestimmt im Zusammenhang mit den Kosten, dass der Verantwortliche der betroffenen Person die Höhe der Beteiligung vor Auskunftserteilung mitteilen muss, und bestätigt die betroffene Person ihr Gesuch dann nicht innerhalb von zehn Tagen, gilt es als zurückgezogen. Entsprechend beginnt die die 30 Tage-Frist von Artikel 18 Abs. 1 DSV beginnt nach Ablauf der Bedenkzeit zu laufen.
Datenherausgabe und ‑übertragung (Portabilität)
Das nDSG sieht in Art. 28 f. das Recht auf “Datenherausgabe und ‑übertragung” (Portabilität) vor. Im Verordnungsentwurf war nur analog auf die Bestimmungen zum Auskunftsrecht verwiesen worden. Aufgrund der Kritik in der Vernehmlassung enthält die DSV in Art. 20 – 22 nun konkretisierende Bestimmungen, die allerdings nicht allzu hilfreich sind – auch der Verordnungsgeber weiss offenbar nicht wirklich, wie mit dem Portabilitätsrecht umgegangen werden soll: Art. 20 bestimmt den „Umfang des Anspruchs“ auf Datenportabilität:
- Erfasst sind “wissentlich und willentlich zur Verfügung” gestellte Daten (nach dem Erläuterungsbericht z.B. „Kontaktdaten über ein Online-Formular“ oder „Likes“) und
- Daten, die der Verantwortliche im Rahmen der Nutzung eines Diensts oder Geräts erhebt (“observed data”, nach dem Erläuterungsbericht z.B. „Suchabfragen, Aktivitäten-Protokolle, Verlauf einer Website-Nutzung“),
- nicht aber Daten, die der Verantwortlichen durch eigene Auswertung erzeugt (“derived data”; z.B. „die Bewertung des Gesundheitszustands eines Nutzers, Nutzer- oder Risikoprofile, Kreditrisikoanalysen etc.“).
Art. 21 betrifft sodann technische Fragen:
- Ein “gängiges elektronisches Format” ist ein Format, das die Übermittlung “mit verhältnismässigem Aufwand” erlaubt übertragen und weiterverwendet werden, wobei Verantwortliche nicht verpflichtet werden, kompatible Datenbearbeitungssysteme zu übernehmen oder beizubehalten;
- ein “unverhältnismässiger Aufwand für die Übertragung […] auf einen anderen Verantwortlichen” soll (wohl: nur) dann vorliegen, wenn die Übertragung technisch nicht möglich ist (eine gewagte Behauptung – unmöglich und unverhältnismässig aufwendig sind selbstverständlich zwei verschiedene Dinge).
Besondere Bestimmungen zur Datenbearbeitung durch private Personen
Art. 23 Datenschutzberater und Datenschutzberaterin
Private Verantwortliche können einen Datenschutzberater ernennen. Art. 25 E‑VDSG hatte hierzu Aufgaben und Anforderungen konkretisiert, unter anderem eine Pflicht, die Bearbeitung von Daten zu prüfen. Dies war in der Vernehmlassung kritisiert worden, und der Bundesrat hat Art. 25 E‑VDSG nun gestrichen (was nicht bedeutet, dass der Datenschutzberater aufgrund seiner Funktion nicht doch eine Prüfobliegenheit hätte, analog zu Art. 39 Abs. 1 lit. b DSGVO).
Neu hat der Datenschutzberater aber das Recht, “in wichtigen Fällen” das oberste Leitungs- oder Verwaltungsorgan zu informieren. Das ist eine sinnvolle Regelung, die Corporate Governance-Grundsätzen entspricht (vgl. z.B. Rz. 75 f. des FINMA RS Corporate Governance – Banken) und die sich auch in der DSGVO findet. Fraglich ist aber die Beschränkung auf die wichtigen Fälle. Jedenfalls obliegt die Beurteilung, wann ein wichtiger Fall vorliegt, dem Datenschutzberater und nicht dem Verantwortlichen selbst.
Falls ein privater Verantwortlicher einen Datenschutzberater bestellt, was freiwillig bleibt, muss er dies nicht dem EDÖB melden, aber wenn er es nicht tut, kann er die Ausnahme – Meldung der DSFA bei hohen Nettorisiken – nicht in Anspruch nehmen. Bundesorgane müssen den Datenschutzberater immer dem EDÖB melden (Art. 27 Abs. 2 DSV).
Interessant ist zudem die Regelung der Veröffentlichung des Datenschutzberaters: Private Verantwortliche müssen seine Kontaktangaben veröffentlichen, wenn sie besagte Ausnahme in Anspruch nehmen wollen, wobei das nDSG nicht bestimmt, wie zu veröffentlichen ist. Bundesorgane müssen die Bestellung des Datenschutzberaters veröffentlichen, und zwar (Art. 27 DSV) “im Internet”. Diese Veröffentlichung wird häufig in einer Datenschutzerklärung erfolgen (auch wenn Bundesorgane meist keine Datenschutzerklärung haben müssen), und diese darf offenbar im Internet publiziert werden. Das ist ein weiterer Beleg dafür, dass das Internet als zugänglich gilt und ein Medienbruch entsprechend unschädlich ist (s. oben).
Art. 24 Ausnahme von der Pflicht zur Führung eines Bearbeitungsverzeichnisses
Art. 12 nDSG regelt die Pflicht eines Verantwortlichen und Auftragsbearbeiters zur Führung eines Bearbeitungsverzeichnisses. In Abs. 5 wird festgehalten, dass der Bundesrat von dieser Pflicht Ausnahmen für Unternehmen vorsehen kann, die weniger als 250 Mitarbeitende beschäftigen und deren Datenbearbeitung ein geringes Risiko von Verletzungen der Persönlichkeit der betroffenen Personen mit sich bringt. Nach dem Erläuterungsbericht geht es dabei um angestellte Personen und nicht um FTE:
Unternehmen und andere privatrechtliche Organisationen mit weniger als 250 Mitarbeitenden am 1. Januar eines Jahres (unabhängig vom Beschäftigungsgrad) sowie natürliche Personen von der Pflicht befreit …, ein Verzeichnis der Bearbeitungstätigkeiten zu führen.
Damit profitiert die überwiegende Mehrheit der KMU von dieser Ausnahme, sofern sie nicht
- besonders schützenswerte Personendaten in grossem Umfang bearbeiten oder
- ein Profiling mit hohem Risiko durchführen.
„Umfangreich“ heisst dabei gemäss Erläuterungsbericht folgendes:
Als umfangreiche Bearbeitungen besonders schützenswerter Daten gelten insbesondere Datenbearbeitungen, die grosse Mengen von Daten oder eine grosse Zahl von Personen betreffen.
Es geht also nicht um eine Zahl von Daten, die relativ zur gesamten bearbeiteten Datenmenge gross ist, sondern um eine absolut gesehen grosse Datenmenge oder grosse Zahl von Personen. Greift eine solche Gegenausnahme, muss ein Bearbeitungsverzeichnis geführt werden, allerdings nur für diejenigen Bearbeitungen, die unter eine solche Gegenausnahme fallen. Selbstverständlich bleibt es auch den KMU, die in der Regel von der Pflicht ausgenommen sind, nicht verwehrt, freiwillig ein Verzeichnis der Bearbeitungstätigkeiten zu führen. In der Praxis ist dies allerdings oft weniger hilfreich, als es zunächst scheinen mag (vgl. unsere Umsetzungshinweise).
Besondere Bestimmungen zur Datenbearbeitung durch Bundesorgane
Die Bestimmungen zum Datenschutzberater bei Bundesorganen haben im Vergleich zur E‑VDSG keine gravierenden Änderungen erfahren. Generell wird die Rolle des Datenschutzberaters bei Bundesorganen gestärkt:
- Nach Art. 27 ist das Bundesorgan verpflichtet, dafür zu sorgen, dass der Datenschutzberater über Verletzungen der Datensicherheit informiert wird.
- Der Datenschutzberater berät den Verantwortlichen sodann bei der Frage, ob die Verletzung einer Meldepflicht im Sinne von Art. 24 nDSG unterliegt. Die entsprechende Meldung von Verletzungen der Datensicherheit an den EDÖB wurde in der E‑VDSG als Pflicht der Datenschutzberatenden aufgeführt. Unter der DSV ist dies nun korrekterweise eine Pflicht des Bundesorgans.
- Art. 31 E‑VDSG, welcher die Information des Datenschutzberaters durch das Bundesorgan bei Projekten zur automatisierten Datenbearbeitung vorsah, wurde gestrichen – dies, weil sich die Informationspflicht des Bundesorgans bereits gestützt auf die allgemeinen Beratungs‑, Unterstützungs- und Kontrollaufgaben der Datenschutzberatenden ergibt.
Die Meldung an den EDÖB bei automatisierten Bearbeitungstätigkeiten gemäss Art. 32 E‑VDSG wurde in der Vernehmlassung stark kritisiert. Trotzdem hat der Bundesrat die Meldung an den EDÖB bei geplanten automatisierten Bearbeitungstätigkeiten mit nur wenigen Präzisierungen in die neue Verordnung übernommen (Art. 31 DSV).Bei den Regelungen zu den Pilotversuchen haben sich keine grossen Änderungen im Vergleich zur E‑VDSG ergeben. In Art. 33 DSV ist nach wie vor nicht geregelt, innerhalb welcher Frist die Stellungnahme des EDÖB zur Frage der Einhaltung der Bewilligungsvoraussetzungen nach Art. 35 DSG zu erwarten sein wird. Für die Planungssicherheit wäre eine solche Frist begrüssenswert gewesen.