FAQ zum Datenschutz

Um den Einstieg in das komplexe Gebiet des Datenschutzrechts zu erleichtern, haben wir häufige Fragen zusammengetragen und versuchen, sie leichtverständlich zu beantworten. 

Es versteht sich von selbst, dass die folgende Liste nicht vollständig ist. Die Auswahl der Fragen und unsere Antworten stellen keine Rechtsberatung dar. Sie stehen ausserhalb eines Mandats, und wir geben keine Gewährleistung und übernehmen auch keine Haftung. Wir können insbesondere nicht garantieren, dass eine Datenschutzbehörde oder ein Gericht nicht andere Auffassungen vertreten - im Gegenteil.

Die Liste ist Work in Progress. Aktueller Stand: 25.07.2022.

Übersicht

Weitere Informationen

Wir stellen Hinweise zur Umsetzung des revidierten DSG zur Verfügung. Sie finden weitere Angaben auch in unserer Linksammlung.

UmsetzungshinweiseLinks

Allgemeine Fragen

Das Datenschutzrecht ist die Gesamtheit der Rechtsnormen, die den Umgang mit Personendaten und den zusammenhängenden Rechten und Pflichten regeln.

Man kann zunächst das formelle und das materielle Datenschutzrecht unterscheiden: Das formelle Datenschutzrecht sind die Datenschutzgesetze des Bundes, der Kantone und der Gemeinden mit den entsprechenden Ausführungsbestimmungen. Das materielle Datenschutzrecht sind diese und alle weiteren Bestimmungen, die Personendaten regeln. Sie sind in diversen Erlassen verstreut, z.B. im Sozialversicherungsrecht, im Finanzmarktrecht, im Energierecht, im Fernmelderecht usw. Häufige Regelungsgegenstände sind Geheimnisbestimmungen (z.B. Art. 33 ATSG, Art. 86 BVG, Art. 47 BankG, Art. 69 FINIG, Art. 321 StGB, Art. 43 FMG usw.) und bei Bundesorganen gesetzliche Grundlagen für die Bearbeitung von Personendaten und ihre Bekanntgabe (z.B. Art. 84 f. KVG, Art. 4 BÜPF, Art. 112a DBG usw.).

Man kann auch das Datenschutzrecht im engeren und im weiteren Sinne unterscheiden. Datenschutzrecht im engeren Sinne regelt spezifisch den Umgang mit Personendaten, das Datenschutzrecht im weiteren Sinne den Umgang mit bestimmten Daten, die personenbezogen sein können oder es i.d.R. sind (etwa Geheimnisbestimmungen).

Schliesslich kann man das Datenschutzrecht als Teil des Datenrechts verstehen. Das Datenrecht umfasst alle Bestimmungen, die den Umgang mit Daten regeln, auch wenn sie nicht personenbezogen sind («Daten» verstanden als Informationen, die eine gewisse Verkörperung erfahren, und sei es nur als Laut – das Recht erfasst Informationen erst bei einer Verkörperung, die reine Information kann es nicht erfassen).   

Innerhalb des Datenschutzrechts lassen sich sodann Ebenen unterscheiden – man könnte dies als Zwiebelmodell beschreiben. Kern sind die materiellen Vorgaben an den Umgang mit Personendaten, vor allen die Bearbeitungsgrundsätze. Dazu kommen als weitere Schicht Pflichten des Verantwortlichen, die nicht direkt dem Umgang mit Personendaten betreffen, diesen aber absichern sollen. Das ist z.B. die Pflicht, ein Bearbeitungsverzeichnis zu führen, eine Datenschutzfolgenabschätzung durchzuführen oder eine Sicherheitsverletzung zu melden. Eine dritte Schicht bilden Betroffenenrechte, die dem Betroffenen eine Einwirkung auf die Datenbearbeitung ermöglichen sollen. Und als vierte Schicht kommen Kontrollbefugnisse des EDÖB und Sanktionen dazu.

In der Schweiz:

  • Derzeit vor allem im Datenschutzgesetz des Bundes (DSG) und in der Verordnung zum DSG (VDSG). Das gilt für private Unternehmen und für Bundesorgane. Für öffentliche Organe der Kantone und Gemeinden sind die kantonalen Datenschutzgesetze anwendbar (siehe Links).
  • Das Datenschutzrecht wird revidiert. Das revidierte DSG (revDSG) liegt in einer finalen Fassung vor. Die VDSG wird ebenfalls revidiert, ist derzeit aber erst im nicht finalen Entwurf bekannt (E-VDSG).
  • Je nach Gebiet und Tätigkeit gelten besondere Vorschriften, die eine bestimmte Branche oder eine bestimmte Tätigkeit regeln, z.B. das Gesetz gegen den unlauteren Wettbewerb, das Finanzmarktrecht, das Sozialversicherungsrecht etc. Hier finden sich oft auch datenschutzrechtliche Bestimmungen. Zudem können Geheimnisbestimmungen gelten, z.B. für Banken, andere Finanzinstitute, Ärzte, Fernmeldedienstanbieter, Krankenversicherer, Vorsorgeeinrichtungen usw. 

In Europa:

  • Hier gilt vor allem die DSGVO.
  • Auch wenn die DSGVO das Datenschutzrecht an sich umfassend regelt, bleibt den Mitgliedstaaten ein gewisser Spielraum. Die Mitgliedstaaten des EWR haben deshalb weiterhin eigene Datenschutzgesetze, mit denen sie Lücken der DSGVO füllen (siehe Links).
  • Je nach Gebiet gelten auch hier besondere Regelungen, z.B. im Bereich des E-Commerce oder bei Cookies und anderen Technologien im Internet und bei Apps.

Das Geheimnisschutzrecht schützt Geheimnisse. Dazu gehören die Berufsgeheimnisse z.B. der Ärzte, Psychologen, Anwälte, Bankmitarbeitenden, Mitarbeitenden von Finanzinstituten usw. Auch nach kantonalem Recht können Berufsgeheimnisse gelten, und auch nach dem Berufs- und Standesrecht. Verwandt mit dem Berufsgeheimnis ist auch das Amtsgeheimnis. 

Dazu kommen Geschäftsgeheimnisse, die z.B. das Strafrecht und das Lauterkeitsrecht schützen. 

Es gibt allerdings kein allgemeines Geheinmnisschutzrecht. Es gibt Grundstrukturen, insbesondere Gemeinsamkeiten beim Begriff des Geheimnisses und dem Tatbestand der Offenbarung. Es sind aber Nuancen je nach Geheimnis zu beachten. Bspw. kann sich der Geheimniswille, der bei den meisten Geheimnissen den Umfang des Geheimnisschutzes bestimmt, je nach Art des Geheimnisses unterscheiden. 

Ja, viele, und immer mehr. Beide Gebiete befinden sich in einer gewissen Konvergenz. Das liegt vor allem daran, dass beide Gebiete im Zuge der Digitalisierung stark an Bedeutung gewonnen haben und entsprechend detaillierter diskutiert werden. Diese vertieften Analysen fördern verstärkt Gemeinsamkeiten zutage, so etwa die Bedeutung der Erwartungen der geschützten Personen, d.h. der betroffenen Personen und der Geheimnisherren. 

Dazu kommt eine stärkere Steuerung des Datenschutzrechts durch strafrechtliche Sanktionen. Dadurch verstärkt sich das Datenschutzstrafrecht, und zwar besonders in Situationen, in denen Daten an Dritte weitergegeben werden. Es ist kein Zufall, dass das revDSG gerade in solchen Situationen Strafen vorsieht, z.B. bei der Auftragsbearbeitung, der Bekanntgabe ins Ausland und der Bekanntgabe geheimer Personendaten (wenn auch nicht ausschliesslich in diesen Fällen). Diese Sanktionierung der Bekanntgabe bringt das Datenschutzrecht näher an das Geheimnisschutzrecht, auch wenn es zwischen beiden weiterhin grundlegende Unterschiede gibt.

Zur Revision des DSG

Am 1. September 2023. Höchstwahrscheinlich. Voraussichtlich wird der Bundesrat im August 2022 das revDSG und die revidierte VDSG – die noch nicht in einer finalen Fassung bekannt ist – mit einem Jahr informeller Übergangsfrist auf den 1. September 2023 in Kraft setzen.

Ja, weil sie das Datenschutzrecht bis zu einem gewissen Grad formalistischer macht, weil sie den Datenschutzrecht generell verschärft und weil sie neue Sanktionen einführt.

Wichtig ist sie allerdings nicht nur deshalb. Auch die Erwartungen von Kunden, Investoren, Behörden, Partnern und des Publikums ändern sich - war der Datenschutz für Stakeholder lange Zeit kein grosses Thema, ausserhalb regulierter Branchen, gewinnt er nun stark an Beachtung.

Unternehmen können eine Auseinandersetzung mit den Datenschutz und eine angemessene Umsetzung der neuen Anforderungen deshalb nicht vermeiden.

Unsere Beiträge zur Revision finden sich hier.

Ja. Das revidierte DSG sieht Massnahmen und Prozesse vor, über die viele Unternehmen nicht oder nur unzureichend verfügen. Besonders unregulierte grössere Unternehmen, die nur oder überwiegend in der Schweiz tätig sind, sind herausgefordert. Wo die DSGVO bereits umgesetzt wurde – soweit das überhaupt möglich ist –, ist die Umsetzung einfacher, aber bestimmte Arbeiten werden auch hier erforderlich sein.

Hinweise zur Umsetzung finden sich hier.

Sie können unsere Beiträge zur Revision lesen. Sie können auch unseren Newsletter abonnieren

Hilfreiche Angaben finden Sie auch in der Botschaft des Bundesrats zum Entwurf des revDSG, z.B. hier oder hier. Und eine umfassende Darstellung finden Sie von David Rosenthal.

zur DSGVO

Die DSGVO ist die Datenschutz-Grundverordnung der EU und des EWR (der EWR umfasst die Mitgliedstaaten der EU und zusätzlich Norwegen, Island und das Fürstentum Liechtenstein). Die DSGVO ist am 27. April 2016 in Kraft getreten und gilt seit dem 25. Mai 2018.

Die DSGVO enthält strenge und teilweise weltfremde Bestimmungen. Dabei gibt es wesentliche Unterschiede zum schweizerischen Recht, auch zum revDSG. Bspw. verlangt jede Bearbeitung (nach der DSGVO: «Verarbeitung») von Personendaten (nach der DSGVO: «personenbezogene Daten») eine eigene Rechtsgrundlage. Das führt dazu, dass bei vielen Bearbeitungen, auch harmlosen, nach der geeigneten Rechtsgrundlage zu suchen ist. Und besonders aufwendig: Die DSGVO verlangt von Unternehmen, die Rechtmässigkeit ihrer Datenbearbeitungen umfassend zu dokumentieren. Wenn die anwendbaren Regeln eingehalten werden, aber eine entsprechende Dokumentation fehlt, stellt allein dieses Fehlen eine Verletzung der DSGVO dar, die sanktioniert werden kann. Das ist das weitere grosse Thema der DSGVO: Verletzungen können mit hohen Bussen belegt werden, und anders als in der Schweiz nicht nur einzelne Verletzungen und nicht nur bei Vorsatz.

Die DSGVO ist eine Verordnung, keine Richtlinie. Sie musste deshalb nicht in das mitgliedstaatliche Recht transponiert werden. Weil auch in der EU noch ein gewisser Föderalismus fortbesteht, lässt die DSGVO den Mitgliedstaaten Raum für zusätzliche, eigene Regelungen im Bereich des Datenschutzes. Das betrifft besonders den Arbeitsbereich, aber auch z.B. die Ausnahmen von den Betroffenenrechten sind durch die Staaten zu bestimmen. Zu beachten sind deshalb neben der DSGVO auch mitgliedstaatliche Datenschutzgesetze, z.B. das BDSG in Deutschland, das DSG in Liechtenstein, das DSG in Österreich oder das Loi Informatique et Libertés in Frankreich.

Jein. Es ist klar, dass das Datenschutzrecht lange Zeit kaum durchgesetzt wurde. Das galt in der Schweiz noch viel mehr als in Europa. Eine Verschärfung war durchaus sinnvoll. 

Andererseits hat die DSGVO grosse Mängel. Sie ist in Teilen weltfremd, und in vielen Punkten ist sie formalistisch. Das liegt allerdings nicht nur an der DSGVO, sondern auch an ihrer Interpretation durch Datenschutzaufsichtsbehörden, die oft dazu neigen, die DSGVO sehr streng auszulegen. Das schadet der Akzeptanz des Datenschutzrechts. Es ist auch deshalb nicht gerechtfertigt, weil es verschiedene Grundrechte gibt, die abzuwägen sind. Der Schutz betroffener Personen ist kein absolutes Anliegen. Es gibt z.B. auch die Wirtschaftsfreiheit. Das geht leider oft vergessen.

Das ist eine oft schwierig zu beantwortende Frage. Wahrscheinlich fallen bestimmte Bearbeitungen unter die DSGVO, wenn Sie eine der folgenden Fragen mit Ja beantworten können:

  • Haben Sie eine Tochtergesellschaft im EWR?
  • Haben Sie eine andere Niederlassung im EWR, z.B. eine Filiale, eine Zweigniederlassung, ein Rep Office, eine Vertretung? Mitarbeiter im Home Office reichen dafür kaum.
  • Tun Sie etwas dafür, Endkunden (natürliche Personen) im EWR als Kunden zu gewinnen, z.B. durch Direktmarketing oder durch eine entsprechend gestaltete Website? Grenzgänger sind allerdings keine Endkunden – im Ausland wohnhafte, für die Schweiz tätige Mitarbeitende genügen daher kaum für die Anwendung der DSGVO.
  • Haben Sie Endkunden (natürliche Personen) im EWR – nicht nur vereinzelte, zufällige, sondern eine relevante Zahl?
  • Betreiben Sie eine Form des Trackings durch eine Website oder eine App, und erfassen Sie dabei auch Daten von Personen im EWR?
  • Erfassen Sie sonst über eine gewisse Zeit hinweg Angaben über das Verhalten natürlicher Personen im EWR, z.B. durch einen Fahrtenschreiber oder durch ein Monitoring im Home Office?

Wenn Sie eine Frage mit Ja beantworten, sollten Sie die Anwendbarkeit der DSGVO genauer prüfen. Wenn nicht, ist es wenig wahrscheinlich, dass Sie unter die DSGVO fallen.

Aber: Die Schweiz hat eigene Regeln, die zu einer Anwendbarkeit der DSGVO führen können (im «IPRG»). Falls Sie Personendaten von Personen bearbeiten, die im EWR-Gebiet wohnen, können diese Personen i.d.R. vor einem schweizerischen Gericht klagen und verlangen, dass ihre Ansprüche nach dem Recht in ihrem Heimatstaat beurteilt werden. Das Gericht würde dann nicht die obigen Fragen prüfen, sondern nur noch fragen, ob Sie damit rechnen konnten, dass Sie Daten von Personendaten im EWR bearbeiten. Wenn ja, dann würde es das Heimatrecht des Klägers anwenden, und das kann die DSGVO sein. Wenn Sie also Grenzgänger beschäftigen, könnten diese ein Auskunftsbegehren stellen, und wenn Sie es nicht nach dem Standard der DSGVO beantworten, könnten diese Grenzgänger in der Schweiz an Ihrem Sitz klagen und Ansprüche nach der DSGVO beurteilen lassen. Uns ist bisher allerdings erst ein Fall bekannt, bei dem in der Schweiz auf Basis der DSGVO geklagt wurde (erfolglos).

Es gibt übrigens Fälle, in denen die DSGVO eingehalten werden muss oder sollte, auch wenn ein Unternehmen an sich nicht unter die DSGVO fällt. Das betrifft besonders Konzerngesellschaften, wenn der Konzern die DSGVO als allgemeinen Standard einhalten will, und IT-Dienstleister, deren Kunden ihrerseits die DSGVO einhalten müssen und von ihrem Dienstleister deshalb dasselbe verlangen.

Die Einhaltung der DSGVO kann auch Teil der Positionierung eines Unternehmens sein, als Teil der Nachhaltigkeit (als «Corporate Digital Responsibility») und des vertrauenswürdigen Umgangs mit Endkunden.

Begriffe

Personendaten sind alle Angaben, die sich auf eine bestimmte oder bestimmbare Person beziehen (wobei das heutige DSG auch Angaben erfasst, die sich auf eine juristische Person beziehen, anders als die DSGVO und auch das revDSG).

Bestimmt ist eine Person, wenn ihre Identität aus dem Datensatz selbst hervorgeht (z.B. «am Dienstag ass Frau Müller mit Herrn Peters im Restaurant X»). Zu viel mehr Diskussionen Anlass gibt die Frage, wann und durch wen eine Person bestimmbar ist. Das ist jedenfalls dann der Fall, wenn jemand, der Zugang zu einem Datum hat, dieses einer Person zuordnen kann, weil er über die erforderlichen Zusatzinformationen verfügt («Mitarbeiter 123452» ist für die HR-Abteilung ein Personendaten, für einen Aussenstehenden nicht unbedingt.

Diskutiert wird vor allem, ob erst dann von Bestimmbarkeit auszugehen ist, wenn jemand mit Zugang zum Datum auf eine Person schliessen kann («relativer Ansatz») oder schon dann, wenn es ein beliebiger Dritter könnte («absoluter Ansatz»). In der Schweiz gilt nach dem Logistep-Urteil des Bundesgerichts der relative Ansatz. In Europa gilt nach dem Breyer-Entscheid des EuGH dasselbe, aber die Anforderungen an die Bestimmbarkeit werden recht niedrig angesetzt.

Ebenfalls diskutiert wird, ob eine Identifikation Kenntnis des Namens oder eines anderen gängigen Identifikators voraussetzt, oder ob es schon genügt, dass eine Person – wenn auch unbekannt – von allen anderen unterschieden werden kann («Singularisierung»). Europäische Behörden scheinen sich vermehrt dem Konzept der Singularisierung zuzuwenden, letztlich aus reinen Schutzüberlegungen und daher eher als politischen als aus rechtlichen Gründen.

Keine Personendaten sind Daten, die anonymisiert wurden.

Das DSG und – mit bestimmten Änderungen – auch das revDSG betrachten bestimmte Arten von Personendaten als besonders heikel. Diese Daten werden in bestimmter Hinsicht besonders geschützt. Bspw. muss bereits nach dem heutigen DSG ausdrücklich informiert werden, wenn solche Daten beschafft werden. Und die Bekanntgabe besonders schützenswerter Personendaten an Dritte muss gerechtfertigt werden, d.h. grundsätzlich gilt sie als verletzend. Es gibt weitere Folgen der Einstufung als besonders schützenswerte Personendaten – sofern solche Daten auf Grundlage einer Einwilligung bearbeitet werden, kann diese nur ausdrücklich erteilt werden; ist die Bearbeitung umfangreich, muss eine Datenschutz-Folgenabschätzung durchgeführt werden, und werden solche Daten zu nicht personenbezogenen Zwecken z.B. der Statistik bearbeitet, gelten besondere Anforderungen. Bei Bundesorganen setzt die Bearbeitung besonders schützenswerter Daten überdies eine Rechtsgrundlage in einem Gesetz im formellen Sinn voraus, sofern keine Ausnahme greift.

Besonders schützenswerte Personendaten sind Daten über die religiösen, weltanschaulichen, politischen oder gewerkschaftlichen Ansichten oder Tätigkeiten (z.B. Zahlungen an eine religiöse Gemeinschaft, Angaben über die Teilnahme an einer gewerkschaftlichen Veranstaltung), die Gesundheit, die Intimsphäre (z.B. sexuelle Orientierung), die Rassenzugehörigkeit (z.B. Angabe über die Ethnie), biometrische Daten (z.B. ein Gesichtsscan für Zutritte), und Daten über Massnahmen der sozialen Hilfe oder administrative oder strafrechtliche Verfolgungen und Sanktionen.

Dass bestimmte Kategorien von Daten generell als besonders schützenswert eingestuft werden, widerspricht allerdings dem risikobasierten Ansatz, der auf das konkrete und nicht auf ein abstraktes Risiko Bezug nimmt. Es wäre auch nicht praktikabel, alle Daten mit entfernt oder potentiell besonders geschützten Inhalten als besonders schützenswert zu betrachten. Ein Foto eines Brillenträgers gilt deshalb nicht als Gesundheitsdatum, und ein regional zuordenbarer Name nicht als Datum über die Ethnie.

Nein. Jedenfalls nicht nach schweizerischem Recht – das hat der immer noch geltende Logistep-Entscheid des Bundesgerichts klargestellt. Es besteht dennoch eine Tendenz, IP-Adressen und anderen Unique Identifier wie z.B. eine Cookie-ID ohne eigentliche Begründung als Personendatum zu betrachten. Auch der EDÖB hat sich schon in diese Richtung geäussert. Und in Europa ist diese Tendenz klar, hier werden IP-Adressen grundsätzlich als Personendatum betrachtet.

«Bearbeiten» ist ein äusserst weiter Begriff. Jeder Umgang mit Personendaten ist ein Bearbeiten, selbst ihre Anonymisierung oder Löschung. Offen ist höchstens, ob schon das Sehen eines Personendatums eine Bearbeitung darstellt.

Was ist ein «Verantwortlicher»?

Das Datenschutzrecht kennt unterschiedliche Rollen je nach Einfluss auf eine bestimmte Datenbearbeitung. Die Bestimmung der Rollen der Beteiligten ist jeweils der Ausgangspunkt bei einer datenschutzrechtlichen Prüfung.

Der «Verantwortliche» ist dabei dasjenige Unternehmen (i.d.R. ein Unternehmen; es kann auch eine einzelne Person sein), das über die Datenbearbeitung massgeblich bestimmt. Das wird durch zwei Kriterien bestimmt: Der Verantwortliche veranlasst die Datenbearbeitung, d.h. er setzt den Grund, dass sie in ihrer konkreten Form überhaupt stattfindet, und damit auch, welchem Zweck sie dient. Und er bestimmt die wesentlichen Rahmenbedingungen der Bearbeitung, d.h. welche Daten von welchen Personen wie lange bearbeitet werden und an wen sie allenfalls bekanntgegeben werden.

Ein Verantwortlicher ist z.B. ein Unternehmen für die Bearbeitung der Personendaten seiner Mitarbeitenden, oder ein Unternehmen für sein eigenes Direktmarketing, aber auch ein Bundesorgan, dem eine gesetzliche Aufgabe zugeordnet ist.

Ein Verantwortlicher bleibt auch dann verantwortlich, wenn er die Datenbearbeitung an einen Dienstleister auslagert. Es kann sogar sein, dass er die bearbeiteten Daten selbst weder hat noch sie kennt – auch dann kann ein Unternehmen verantwortlich sein, sofern es über die Datenbearbeitung eines Dritten massgeblich bestimmt.

Mehrere Unternehmen können sich die Rolle eines Verantwortlichen teilen – in diesem Fall sind sie «gemeinsam Verantwortliche». Das ist dann der Fall, wenn sie die Zwecke einer Bearbeitung und auch ihre wesentlichen Rahmenbedingungen gemeinsam bestimmen. Die genauen Kriterien sind allerdings schwer zu fassen. Das liegt zum einen an wenig klaren Stellungnahmen der europäischen Behörden und zum anderen an drei Urteilen des EuGH, in der einzelfallweise eine gemeinsame Verantwortung angenommen hat, wobei sich aber nur schwer ein roter Faden ausmachen lässt.

Man kann aber im Wesentlichen zwei Konstellationen der gemeinsamen Verantwortung unterscheiden:

Eine gemeinsame Verantwortung liegt oft vor, wenn mehrere Unternehmen dasselbe System für ähnliche Bearbeitungen verwenden und deshalb gemeinsam einen Dienstleister beiziehen. Besonders im Konzernverhältnis ist dies bei gemeinsam genutzten Konzerndienstleistungen naheliegend, z.B. bei einem gemeinsamen Management von Mitarbeiterdaten oder einer gemeinsamen CRM-Datenbank.

Eine gemeinsame Verantwortung kann auch dann vorliegen, wenn ein Verantwortlicher Daten bearbeitet und diese einem anderen Verantwortlichen weitergibt, dies im eigenen Interesse und im Wissen darum, für welche Zwecke und wie er diese Daten verwenden wird.

In der Praxis werden zunehmend gemeinsame Verantwortungen angenommen, wenn mehrere Unternehmen partnerschaftlich zusammenarbeiten und dabei beide massgeblichen Einfluss auf die Bearbeitung nehmen.

Das schweizerische Datenschutzrecht verlangt nicht ausdrücklich, dass gemeinsam Verantwortliche einen Vertrag schliessen, anders als dies die DSGVO in den meisten Fällen verlangt. Eine unbemerkte gemeinsame Verantwortung stellt deshalb nicht unbedingt einen Verstoss dar. Allerdings ist es sinnvoll, dass bei einer Vermischung von Bearbeitungen mehrerer Unternehmen eine Regelung getroffen wird, wer welche datenschutzrechtlichen Pflichten erfüllt, z.B. wer betroffene Personen über die Bearbeitung informiert, wer die Sicherheit gemeinsam genutzter IT-Systeme gewährleistet und wer sich um Anfragen von Betroffenen kümmert.

Solche Regelungen sind übrigens nicht nur bei gemeinsam Verantwortlichen sinnvoll, sondern oft auch dann, wenn mehrere Verantwortliche unabhängig zusammenarbeiten.

Ein Auftragsbearbeiter ist ein Unternehmen (oder eine Person), die zwar Daten bearbeitet, die aber nicht über die konkrete Bearbeitung bestimmt. Das trifft besonders – aber nicht nur – auf IT-Dienstleister zu. Bspw. ist ein Hostingdienstleister ein Auftragsbearbeiter, auch ein Cloud-Anbieter oder der Betreiber einer SaaS-Lösung. Je enger der Zweck der SaaS-Lösung ist, desto mehr Einfluss hat der Betreiber auf die Art einer Datenbearbeitung. Das tut er aber generisch durch die Systemgestaltung und nicht bezogen auf konkrete, einzelne Daten; über diese bestimmt der Verwender der Lösung. Deshalb bleibt der SaaS-Anbieter ein Auftragsbearbeiter.

Allerdings sind nicht alle Dienstleister zugleich Auftragsbearbeiter. Manche Dienstleister bearbeiten zwar Personendaten für die Erfüllung des Auftrags, bestimmen aber weitgehend frei. Ein Beispiel ist eine Anwaltskanzlei, die ein Verfahren für einen Klienten führt. Sie ist zwar ein Auftragnehmer, aber sie bestimmt selbst, welche Daten sie dafür benötigt. Faustregel: Ein Dienstleister ist ein Auftragsbearbeiter, wenn der Gegenstand der Dienstleistung vor allem die Bearbeitung von Personendaten ist. Ein Verantwortlicher ist er, wenn seine Dienstleistung anderer Art ist und er Personendaten nur als Nebenfolge dieser Dienstleistung bearbeitet.

Beispiele finden sich u.a. in einer Liste des Bayrischen Landesamts für Datenschutz und in einem Aufsatz von David Rosenthal.

 

Weitere Hinweise zur Auftragsbearbeitung finden Sie unter der entsprechenden Rubrik.

Anonymisierung und Pseudonymisierung

Auszugehen ist vom Begriff des Personendatums. Eine Information ist personenbezogen, wenn sie sich auf eine bestimmte oder bestimmbare Person bezieht. "Anonym" ist ein Datum, wenn es keinen Personenbezug hat, weil es nie personenbezogen war oder weil der Personenbezug später entfallen ist. "Anonymisiert" ist ein Datum, das Personenbezug hatte, bei der Personenbezug aber bewusst aufgehoben wurde. 

Das bedeutet, dass die Anforderungen an die Anonymisierung nicht höher liegen als umgekehrt die Anforderungen an den Personenbezug. 

Wenn ein Datum anonymisiert wurde, ist es kein Personendatum mehr. Das Datenschutzrecht gilt für dieses Datum deshalb nicht mehr. Datenschutzrechtlich ist die Bearbeitung dieses Datums daher nicht mehr eingeschränkt. 

Daraus folgt auch, dass eine Anonymisierung datenschutzrechtlich dieselbe Wirkung hat wie eine Löschung. Denn wenn das Datenschutzrecht für anonyme Daten nicht gilt, kann es auch nicht ihre Löschung verlangen.

Pseudonymisierung bedeutet, dass der Personenbezug bei einem Personendaten indirekt ist - er ist vorhanden, aber der Personenbezug ergibt sich nicht aus dem Datum selbst (also nicht "Frau Meyerhans"), sondern nur aus Zusatzinformationen (also "Mitarbeiterin 68796", wobei eine separate Tabelle die Nummer 68796 Frau Meyerhans zuordnet). 

Die Pseudonymisierung ist dann erfolgt, wenn diese Zuordnung separat vom pseudonymisierten Datum selbst aufbewahrt wird, d.h. genauer, wenn diejenige Stelle, Person oder Abteilung, die mit den pseudonymisierten Datum arbeitet, keinen Zugriff auf die entsprechende Zuordnung hat. Erforderlich ist daher eine gewisse organisatorische und informationelle Trennung.

Die Pseudonyisierung ist zunächst einmal eine Sicherheitsmassnahme. Sie führt nicht dazu, dass der Verantwortliche, der in seiner Organisation eine Pseudonymisierung vorgenommen hat, keine Personendaten mehr bearbeitet - das Datum ist pseudonymisiert, nicht anonymisiert. Sie erhöht aber den Schutz der betreffenden Daten. Sie kann deshalb dazu führen, dass der Grundsatz der Datensicherheit eingehalten wird, aber auch dazu, dass eher ein überwiegendes Interesse an der Bearbeitung bejaht werden kann. 

Bei einer Bekanntgabe eines pseudonymen Datums ist an den relativen Ansatz bei der Bestimmung des Personenbezugs zu denken. Ob ein Datum personenbezogen ist, entscheidet sich aus der Optik derjenigen Person, die Zugang zu diesem Datum hat oder für dessen Bearbeitung verantwortlich ist. Das hat folgende Wirkung: Gibt Person A ein pseudonymisiertes Datum, das für sie Personenbezug hat, an Person B bekannt, die dieses Datum nicht mit einer Person in Verbindung bringen kann (weil ihr die Zuordnung fehlt, über die Person A verfügt, die diese aber nicht an Person B bekanntgibt), so stellt dies keine Bekanntgabe eines Personendatums dar. Person A unterliegt für diese Bekanntgabe nicht dem Datenschutzrecht, und ebenso wenig Person B für ihren Umgang mit dem pseudonyem, für sie aber anonymen Datums. Das muss so sein - unterstünde Person B dem Datenschutzrecht, würde nicht mehr der relative, sondern der absolute Ansatz gelten.

Das bedeutet bspw., dass ein Arzt in der Schweiz eine nur durch einen Barcode individualisierte Blutprobe an ein Labor in den USA übermitteln kann, ohne dass die Beschränkungen der Auslandsbekanntgabe gelten.  Erhält er das Auswertungsergebnis zurück, stellt dies für ihn allerdings eine Datenbeschaffung dar. 

Selbstverständlich sind dennoch Sicherheitsmassnahmen zu treffen, u.a. eine Vereinbarung mit dem Empfänger, dass dieser die erhaltenen Daten nur zweckgebunden bearbeitet und sie vertraulich behandelt.

Das Bundesgericht war im Logistep-Urteil strenger - das Datenschutzrecht gelte in einem solchen Fall nicht nur für den Empfänger, sondern auch für die übermittelnde Stelle, für die die übermittelten Daten keinen Personenbezug haben. Wir halten dieses Urteil in diesem Punkt für ergebnisgeleitet und nicht zutreffend.

Grundsätze der Datenbearbeitung

Sowohl nach dem DSG – auch dem revDSG – als auch nach der DSGVO sind bei jeder Bearbeitung von Personendaten bestimmte Grundsätze einzuhalten. Das sind die Grundsätze der Transparenz, der Zweckbindung, der Verhältnismässigkeit, der Datenrichtigkeit und der Datensicherheit. Die Datensicherheit ist nach dem revDSG allerdings kein Bearbeitungsgrundsatz mehr oder jedenfalls kein typischer, nachdem die Bestimmung zur Persönlichkeitsverletzung keine Bezug mehr auf die Datensicherheit nimmt. Dazu kommt der Grundsatz von Treu und Glauben.

Das Verhältnis der Grundsätze untereinander ist wenig klar. Der Grundsatz von Treu und Glauben ist eher ein Auffangtatbestand. Entscheidend sind die drei zusammenhängenden Grundsätze von Transparenz, Zweckbindung und Verhältnismässigkeit:

Bezugspunkt der Bearbeitung ist jeweils ihr Zweck. An diesem Zweck misst sich die Verhältnismässigkeit, denn verhältnismässig im weiteren Sinne sind Bearbeitungen, die für den Zweck der Bearbeitung geeignet und erforderlich sind. Auch die Zweckbindung nimmt – offensichtlich – auf den Zweck Bezug.

Diesen Zweck setzt der Verantwortliche im Rahmen der weiteren Rechtsordnung frei. Er wird darin durch das DSG nicht beschränkt – es gilt die Wirtschaftsfreiheit, vorbehaltlich der Verletzung einer Verhaltensnorm z.B. aus dem Strafrecht (der EDÖB vergisst dies bisweilen, wenn er der Meinung ist, eine Datenbearbeitung sollte nicht sein – dann bezeichnet er sie kurzerhand als unverhältnismässig, ohne dass er berücksichtigt, dass der Verantwortliche den Zweck vielleicht weit gesetzt hat).

Der Verantwortliche setzt deshalb den Zweck, und das tut er durch Transparenz: Der Bearbeitungszweck ist derjenige Zweck, den der Verantwortliche kommuniziert oder der offensichtlich ist (d.h. aus den Umständen erkennbar ist). Im Ergebnis gilt also, dass der Verantwortliche den Zweck setzt, sich an diesen halten muss und Daten nur so bearbeiten darf, wie es für den Zweck erforderlich ist. Das ist an sich der Kern des materiellen Datenschutzrechts.

Wenn man will, kann man weitere Regeln als Bearbeitungsgrundsätze sehen, so das Verbot der Bekanntgabe von besonders schützenswerten Personendaten und heute von Persönlichkeitsprofilen an Dritte oder das Verbot, Personendaten gegen den geäusserten Willen des Betroffenen zu bearbeiten. Auch die grundsätzliche Bearbeitungsfreiheit veröffentlichter Daten kann als Bearbeitungsgrundsatz bezeichnet werden.

Transparenz heisst letztlich, dass die betroffene Person zumindest die Möglichkeit hat, eine Datenbearbeitung und ihren Zweck zu kennen. Das kann eine Information verlangen, aber es genügt schon, wenn die Bearbeitung aus den Umständen hervorgeht, also offensichtlich ist. Das revidierte DSG erwähnt diesen Grundsatz erstaunlicherweise nicht mehr ausdrücklich, aber er gilt weiterhin.

Was konkret transparent sein muss, d.h. welche Umstände der Bearbeitung – z.B. auch eine Bekanntgabe an Dritte – ist allerdings offen, das kann nur im Einzelfall beantwortet werden. Zur Transparenz kann sodann eine eigene Informationspflicht hinzukommen (s. dort).

Die Zweckbindung ist an sich ein Ausfluss aus dem Transparenzgrundsatz. Sie verlangt, dass Daten nur so bearbeitet werden, wie es für den (transparenten) Zweck erforderlich ist. Eine Zweckentfremdung ist deshalb verboten, jedenfalls ohne dass der neue Zweck seinerseits und rechtzeitig transparent ist. Allerdings gibt es untergeordnete Nebenzwecke, die die Schwelle der Zweckentfremdung noch nicht erreichen. Das stellt das revidierte DSG dadurch klar, dass es neben dem Ursprungszweck auch damit vereinbare Zwecke nennt.

Das DSG kennt ebenso wie das revDSG kein grundsätzliches Verbot der Datenbearbeitung, anders als die DSGVO. Eine Datenbearbeitung muss deshalb grundsätzlich nicht gerechtfertigt werden. Das gilt auch für die Bearbeitung besonders schützenswerter Personendaten, heute für die Bearbeitung von Persönlichkeitsprofilen und nach dem revDSG für ein Profiling, selbst ein Profiling mit hohem Risiko. Es ist deshalb falsch, wenn der EDÖB eine Bearbeitung von besonders schützenswerten Personendaten nur mit einer Einwilligung erlauben will. Falls aber ein Bearbeitungsgrundsatz verletzt wird, ist die entsprechende Bearbeitung nur zulässig, wenn diese Verletzung gerechtfertigt ist.

Rechtfertigen muss und kann man nicht eine Bearbeitung, sondern nur eine Verletzung eines Bearbeitungsgrundsatzes. Das DSG wie auch das revDSG sieht drei Rechtfertigungsgründe vor: 

  • Einwilligung: Betroffene können in eine Bearbeitung entgegen eines Grundsatzes einwilligen. Eine Einwilligung ist allerdings nur wirksam, wenn der Betroffene ausreichend informiert ist und wenn seine Einwilligung freiwillig erteilt wurde. Das wirft die Frage auf, unter welchen Umständen eine Einwilligung freiwillig ist, wenn sie zur Bedingung etwa eines Vertragsschlusses gemacht wurde ("Kopplungsverbot").
  • Gesetz: Eine Bearbeitung, die das Gesetz vorgibt oder freistellt, ist auch datenschutzrechtlich erlaubt. 
  • Überwiegende Interessen: Wenn die Interessen an der fraglichen Bearbeitung die entgegenstehenden Interessen des Betroffenen überwiegen, ist die entsprechende Bearbeitung erlaubt. Dabei sind jeweils alle Interessen an einer Bearbeitung zu berücksichtigen, auch kommerzielle Interessen und auch jene des Betroffenen. Es können auch öffentliche Interessen sein.

An sich nichts Neues. Der Grundsatz von Privacy by Design meint nur, dass die Einhaltung des Datenschutzrechts proaktiv sicherzustellen ist, also schon dann, wenn eine Bearbeitung geplant wird. Infolgedessen muss eine Applikation bspw. in der Lage sein, Daten zu löschen oder Zugriffsrechte rollenbasiert zu vergeben. 

Die DSGVO und das revDSG sehen diesen Grundsatz nun ausdrücklich vor. Nach dem revDSG hat er aber nur eine Wirkung: Wenn ein Verantwortlicher das Datenschutzrecht verletzt, kann er diese nicht mit Sachzwängen rechtfertigen (z.B. dem zu hohen Aufwand, um eine Applikation umzuschreiben, damit sie löschfähig wird), sofern er diesem Sachzwang mit rechtzeitiger Planung hätte begegnen können. Immerhin greift für bestehende Bearbeitungen unter bestimmten Voraussetzungen eine Übergangsregelung.

Organisation des Datenschutzes

Der Begriff der Governance oder Data Governance ist nicht allgemeingültig definiert. Man kann sie als Konzept des Datenmanagements verstehen, mit dem ein Unternehmen versucht, Daten während ihres gesamten Lifecycle nicht aus seiner Kontrolle zu entlassen.

Wir verstehen sie hier aber als Gesamtheit der Regeln, die nicht direkt auf die Einhaltung des materiellen Datenschutzrechts zielen, sondern die organisatorische und prozessuale Pflichten des Verantwortlichen und teilweise des Auftragsbearbeiters betreffen.

Hier unterscheiden sich das DSG bzw. das revidierte DSG und die DSGVO. Beide sehen aber bestimmte Pflichten des Verantwortlichen und teilweise des Auftragsbearbeiters vor, die das Ziel haben, die Einhaltung des Datenschutzrechts auf einer organisatorischen Ebene abzusichern. Dazu gehören folgende Pflichten: 

  • Organisatorische Pflichten, wobei die DSGVO auch hier strenger ist. Unter bestimmten Umständen müssen Verantwortliche oder Auftragsbearbeiter einen Datenschutzbeauftragten (DPO) bestellen. Das revDSG sieht einen unabhängigen "Datenschutzberater" vor, dessen Bestellung aber in freiwillig bleibt.
  • Dokumentationspflichten, wobei die DSGVO hier viel strenger ist als das revDSG. Der Entwurf der Verordnung sieht weitere entsprechende Pflichten vor, aber ohne gesetzliche Grundlage. Sowohl nach dem revDSG als auch nach der DSGVO müssen Verantwortliche und Auftragsbearbeiter aber ein Bearbeitungsverzeichnis führen.
  • Prozessuale Pflichten - auch hier ist die DSGVO strenger. Sie verlangt indirekt, dass der Verantwortliche und der Auftragsbearbeiter Weisungen zum Umgang mit Personendaten erlassen. Das ist auch unter dem revDSG sinnvoll, aber keine eigene Pflicht. Sowohl nach der DSGVO als auch nach dem revDSG besteht aber eine Pflicht, bei voraussichtlich besonders riskanten Bearbeitungen eine Datenschutz-Folgenabschätzung durchzuführen, d.h. eine struktierte und dokumentierte Bewertung der Risiken für betroffene Personen. Ebenfalls besteht jeweils eine Pflicht, bestimmte Datensicherheitsverletzung der zuständigen Behörde oder auch dem Betroffenen mitzuteilen.

Die DSGVO sieht zur Überwachung der Einhaltung der DSGVO und zur Untersützung des Verantwortlichen bzw. Auftragsbearbeiters die Rolle des "Datenschutzbeauftragten" vor (oft nach dem englischen "Data Protection Officer" als DPO abgekürzt). Das revDSG nimmt diese Idee auf und kennt den "Datenschutzberater" (DSB). 

DPO und DSB sind als unabhängige Stellen innerhalb der Organisation des Unternehmens gedacht. Sie sind als Arbeitnehmer zwar den Weisungen des Unternehmens unterstellt, aber nicht in Bezug auf ihre Funktion als DPO und DSB. Das Unternehmen darf ihnen deshalb nicht vorschreiben, welche Bearbeitungen sie prüfen oder wie sie die Einhaltung des Datenschutzrechts beurteilen. 

Damit ihre Unabhängigkeit nicht gefährdet wird, dürfen sie keine Rollen oder Aufgaben haben, bei denen sie selbst über Datenbearbeitungen entscheiden würden. Sie können deshalb im Rechtsdienst oder der Compliance angesiedelt sein, oder eine eigene Stelle bilden, oder auch in der IT arbeiten, aber nicht als Leiter solcher Funktionen, auch nicht als Leiter des Marketing. 

Zudem sind DPO und DSB Ansprechpersonen für Betroffene und Behörden. Ihre Kontaktangaben müssen deshalb veröffentlicht werden, z.B. in einer Datenschutzerklärung.

Die DSGVO sieht vor, dass unter bestimmten Umständen ein DPO bestellt werden muss. Das trifft bei privaten Unternehmen in folgenden Fällen zu:

  • die Kerntätigkeit besteht in Bearbeitungen, die eine umfangreiche regelmässige und systematische Überwachung Betroffener erforderlich machen, oder
  • die Kerntätigkeit besteht in einer umfangreichen Bearbeitung besonders schützenswerter Personendaten oder von Daten über strafrechtliche Verurteilungen und Straftaten. Die Bearbeitung von Mitarbeiterdaten genügt aber nicht.

Die Mitgliedstaaten sehen teilweise strengere Anforderungen vor, so z.B. Deutschland. 

Unternehmen können einen DPO auch freiwillig bestellen. Dann müssen sie aber alle Anforderungen an den DPO einhalten.

Das revDSG verlangt keine Bestellung eines DSB - sie ist immer freiwillig. Wer einen DSB bestellt, hat aber gewisse - praktisch wenig relevante - Erleichterungen bei Datenschutz-Folgenabschätzungen. Eine freiwillige Bestellung wird u.U. aber von Kunden, betroffenen Personen oder auch Aufsichtsbehörden erwartet.

Ein Bearbeitungsverzeichnis ist ein Inventar der unterschiedlichen Bearbeitungstätigkeiten.

Verantwortliche müssen ihre Bearbeitungstätigkeiten nach dem revDSG wie auch der DSGVO erfassen, jeweils unter Angabe

  • der Identität des oder der Verantwortlichen
  • nur nach der DSGVO: des EU-Vertreters und des DPO, falls vorhanden
  • der Bearbeitungszwecke
  • der Kategorien betroffener Personen
  • der Kategorien bearbeiteter Personendaten
  • der Kategorien der Empfänger
  • wenn möglich der Aufbewahrungsdauer oder der entsprechenden Kriterien
  • wenn möglich der anwendbaren Sicherheitsmassnahmen (TOMs)
  • im Fall einer Auslandsbekanntgabe der Staaten (revDSG: alle; DSGVO: nur Staaten ausserhalb des EWR und ggf. der anwendbaren Garantien zur Absicherung der Auslandsübermittlung (CH: alle; DSGVO nur in einem bestimmten Fall)

Auftragsbearbeiter müssen ebenfalls ein Bearbeitungsverzeichnis führen, aber mit weniger inhaltlichen Anforderungen.

Bearbeitungsverzeichnisse müssen auf dem aktuellen Stand gehalten werden, was i.d.R. interne Vorgaben oder Prozesse erfordert.

Jeder Verantwortliche und jeder Auftragsbearbeiter müssen ein Bearbeitungsverzeichnis führen.

Es gibt aber die "KMU-Ausnahme". Das revDSG verlangt vom Bundesrat, eine Ausnahme für Unternehmen mit weniger als 250 Mitarbeitenden zu schaffen, vorbehaltlich eines hohen Risikos. Der Entwurf der VDSG sieht deshalb vor, dass Verantwortliche und Auftragsbearbeiter kein Bearbeitungsverzeichnis führen müssen, sofern 

  • sie am Anfang eines Jahres weniger als 250 Mitarbeitende beschäftigen, und
  • nicht umfangreich besonders schützenswerte Personendaten bearbeitet werden und
  • kein Profiling mit hohem Risiko durchgeführt wird. 

Bei diesen Risiken müssen die entsprechenden Bearbeitungen - aber auch nur diese - in einem Verzeichnis erfasst werden.

Das Datenschutzrecht verfolgt generell einen risikobasierten Ansatz. Das heisst, dass der Verantwortliche und der Auftragsbearbeiter ihre Massnahmen zur Einhaltung des Datenschutzrechts an den Risiken für die Betroffenen ausrichten müssen - je höher diese Risiken, desto höher die Anforderungen an den Schutz der Betroffenen z.B. durch stärkere Sicherheitsmassnahmen. 

Das verlangt ganz allgemein, dass Unternehmen die Risiken ihrer Datenbearbeitungen einschätzen, und sie müssen die Einhaltung des Datenschutzrechts proaktiv sicherstellen (das meint der Grundsatz von "privacy by design"). 

Wenn sie dabei feststellen, dass bestimmte Datenbearbeitungen voraussichtlich besonders riskant sind, müssen sie eine Datenschutz-Folgenabschätzung (DSFA) durchführen. Das gilt nach dem revDSG wie auch nach der DSGVO. 

Eine DSFA ist deshalb nichts weiter als dies - eine Risikobewertung. Zu bewerten sind die Risiken, wie sie sich ex ante präsentieren, die sog. Bruttorisiken. Zu berücksichtigen sind sodann risikosenkende Massnahmen, und am Ende das verbleibende Risiko, das Nettorisiko. Dies alles ist zu dokumentieren, und wenn ein DPO oder ein Datenschutzberater bestellt wurden, sind sie einzubeziehen. 

Sollte sich ausnahmsweise zeigen, dass die Nettorisiken nach wie vor hoch sind, muss dies der zuständigen Datenschutzbehörde mitgeteilt werden. In der Schweiz ist das der EDÖB. Eine solche Mitteilungspflicht entfällt aber, wenn ein unabhängiger Datenschutzberater bestellt wurde und an der DSFA beteiligt war.

Information

Nach dem heutigen DSG nicht unbedingt. Eine Information ist derzeit nur notwendig, soweit sich eine Bearbeitung nicht von selbst versteht oder wenn besonders schützenswerte Personendaten oder Persönlichkeitsprofile beschafft werden (und natürlich soweit eine spezialgesetzliche Regelung wie z.B. Art. 3 VVG eine Information über Datenbearbeitungen verlangt). 

Nach dem revDSG und nach der DSGVO ist das anders. Hier besteht grundsätzlich eine Informationspflicht über alle Datenbearbeitungen, soweit nicht eine Ausnahme anwendbar ist.

Es gibt Ausnahmen von der allgemeinen Informationspflicht. Relevant sind v.a. folgende Ausnahmen, nach dem revDSG:

  • soweit die betroffene Person bereits ausreichend informiert wurde (z.B. durch jemand anderen),
  • soweit eine Bearbeitung gesetzlich vorgeschrieben ist (z.B. bei Pflichten nach dem Geldwäschereigesetz oder bei der Pflicht zur Bearbeitung bestimmter Personendaten im Arbeitsverhältnis). Auch Bundesorgane müssen deshalb meist nicht informieren, tun es oft aber trotzdem,
  • soweit die Information nicht möglich ist oder unverhältnismässig aufwendig wäre, 
  • soweit überwiegende Interessen Dritter einer Information entgegenstehen,
  • soweit und solange die Information den Zweck der Bearbeitung vereiteln würde, z.B. bei internen Untersuchungen, 
  • soweit es überwiegende Interessen eines Unternehmens verlangen, aber nur, wenn Personendaten nicht an Dritte ausserhalb des Konzerns bekanntgegeben werden,
  • bei Bundesorganen, wenn der Information überwiegende öffentliche Interessen entgegenstehen oder die Information eine Ermittlung, eine Untersuchung oder ein Verfahren gefährden gefährden würde.

Die DSGVO überlässt die Regelung der Ausnahmen weitgehend den Mitgliedstaaten, weshalb das anwendbare lokale Recht konsultiert werden muss.

Das revDSG verlangt eine Information zu folgenden Punkten: 

  • Name und Kontaktangaben des für die betreffende Bearbeitung Verantwortlichen
  • falls ein Datenschutzberater bestellt wurde: seine Kontaktdaten
  • die Zwecke der Datenbearbeitung
  • falls die Daten nicht vom Betroffenen selbst stammen, sondern von jemand anderem: die Art der bearbeiteten Daten
  • wenn Daten weitergegeben werden: diese Empfänger oder die Kategorien der Empfänger (auch konzernintern und auch bei einer Weitergabe an Auftragsbearbeiter)
  • wenn Daten ins Ausland gelangen (auch über (Unter-)Auftragsbearbeiter: die betreffenden Länder oder Regionen, und ggf. den Abschluss der SCC oder die Anwendung einer Ausnahme vom Verbot der Bekanntgabe in Staaten ohne angemessenen Schutz

Die DSGVO ist etwas strenger - es muss zusätzlich über folgende Punkte informiert werden: 

  • falls ein DPO bestellt wurde: seine Kontaktangaben
  • falls ein EU-Vertreter bestellt wurde: seine Kontaktangaben
  • die Rechtsgrundlage der Bearbeitung (z.B. die damit verfolgten berechtigten Interessen)
  • die Dauer der Speicherung bzw. Bearbeitung oder die Kriterien zur Bestimmung der Dauer
  • ob der Betroffene eine Pflicht hat, seine Daten bekanntzugeben
  • Rechte der Betroffenen: Auskunft, Berichtigung oder Löschung, Einschränkung, Widerspruchs, Datenübertragbarkeit, Widerruf der Einwilligung, Beschwerde bei einer Behörde

Dafür müssen nach der DSGVO nicht alle Länder genannt werden, sondern nur Länder ausserhalb des EWR.

Je nachdem können weitere Informationspflichten gelten: 

  • Nach dem Grundsatz der Transparenz alles, was der Betroffene wirklich wissen muss, d.h. was überrraschend, aber relevant wäre, und 
  • im Fall einer automatisierten Einzelentscheidung weitere Angaben, das aber nicht unbedingt in einer Datenschutzerklärung, sondern wenn die betreffende Entscheidung gefällt wird.

Das Datenschutzrecht gibt nicht genau vor, wie informiert werden muss. Üblich sind Datenschutzerklärungen, aber eine Information kann auch in AGB enthalten sein, sofern klar ist, was Vertragsbestandteil und was (Datenschutz-)Information ist, auch wenn dies oft nicht sinnvoll ist.

Man kann auch im Rahmen eines Einwilligungsformulars informieren, oder durch einen Hinweis auf einer Website, die Daten erhebt, oder durch ein gesondertes Schreiben usw. Möglich ist auch eine mündliche Information, z.B. in einer Telefonansage.

Entscheidend ist nur, dass der Betroffene die Information rechtzeitig zur Kenntnis nehmen und verstehen kann.

Möglich ist auch eine Information durch jemand anderen. Das ist oft notwendig. Wenn ein Bankkunde z.B. Informationen über einen Bevollmächtigen oder einen an Vermögenswerten wirtschaftlich Berechtigten bekanntgibt, kann oft nur er - und nicht die Bank - informieren. In diesem Fall kann die Bank mit dem Kunden vereinbaren, dass dieser die weiteren Personen informiert. Dass muss der Kunde sogar, denn auch er ist ein Verantwortlicher für die Bekanntgabe dieser Daten an die Bank.

Das hängt vom Geschäft ab und vor allem auch von der Interaktion mit Betroffenen. Unternehmen versuchen meist, nicht zuviele Datenschutzerklärungen zu haben, weil alle verwaltet und aktualisiert werden müssen. Üblich ist etwa folgendes: 

  • Eine allgemeine Datenschutzerklärung, die möglichst viele der Bearbeitungen abdeckt (sofern sie dabei verständlich bleibt), z.B. den Umgang mit Endkundendaten, mit Daten von Kontaktpersonen bei Kunden und Lieferanten, beim Marketing und für Nebenzwecke wie Statistik, Verwaltung, Compliance, Rechtswahrung, Unternehmenstransaktionen usw.
  • eine Datenschutzerklärung für Cookies und generell den Umgang mit Daten über Websites und Apps 
  • eine Datenschutzerklärung für die eigenen Mitarbeitenden
  • eine Datenschutzerklärung für Bewerber

Zusätzlich können je nachdem weitere Datenschutzerklärungen sinnvoll sein, besonders wenn bestimmte Bearbeitungen nicht unheikel sind, aber nur eine kleinere, abgegrenzte Gruppe von Personen betrifft. Hier werden die entsprechenden Informationen statt in einer umfangreichen allgemeinen Datenschutzerklärung oft besser in einer spezialisierten, kleineren Datenschutzerklärung abgedeckt.

Nein. Eine Datenschutzerklärung ist nicht Vertragsbestandteil, sondern Information. Eine Einwilligung in die Datenschutzerklärung ist nicht notwendig und sollte auch vermieden werden. Andernfalls besteht die Gefahr, dass die Datenbearbeitung sich auf eine Einwilligung stützt - wird sie widerrufen, könnte die entsprechende Bearbeitung deshalb unzulässig werden. 

Es ist auch nicht zwingend, dass der Betroffene bestätigt, die Datenschutzerklärung gelesen zu haben. Es reicht, wenn der Verantwortliche nachweisen kann, dass der Betroffene die Datenschutzerklärung auf zumutbare Weise zur Kenntnis nehmen konnte.

Das ist nicht ganz geklärt. In der Schweiz ist die allgemeine Praxis die, dass im Internet informiert werden kann, weil dem Betroffenen der Besuch einer Internetseite zumutbar ist. Schliesslich sind die Bundesgesetze auch in der im Internet veröffentlichten Fassung verbindlich - selbst der Gesetzgeber geht also davon aus, dass das Internet verwendet wird. Dass das nicht für alle Personen gilt, ist klar, aber kein Gegenargument, es gibt immer Personengruppen, die ein bestimmtes Format nicht verwenden können (z.B. Sehbehinderte). 

Das gibt aber nur, wenn den Betroffenen klar ist bzw. sein sollte, dass ein Verantwortlicher Personendaten von ihnen bearbeitet, z.B. weil sie mit dem Verantwortlichen einen Vertrag haben - andernfalls wissen sie nicht, dass sie auf dessen Website Informationen zum Datenschutz konsultieren können. Bei nicht erkennbaren Bearbeitungen sollte deshalb aktiv auf die Fundstelle der Datenschutzerklärung(e) z.B. in Internet hingewiesen werden (z.B. auf einer Mitteilung, in einer E-Mail-Signatur, in einer Rechnung usw.). 

In der Schweiz geht man allgemein davon aus, dass ein einfacher Hinweis auf die Datenschutzerklärung genügt, unter Angabe des Links. Nicht erforderlich sind ein QR-Code oder bestimmte Mindesangaben zur Bearbeitung. Es reicht z.B. der Hinweis "Informationen zu unserem Umgang mit Personendaten finden sich auf www.xyz.ch". 

Bei der DSGVO ist die Praxis strenger. Hier werden zumindest bestimmte Grundangaben verlangt, dort, wo auf die Datenschutzerklärung im Internet verwiesen wird.

Ja, z.B. hier: 

Es sind auch zahlreiche Datenschutzerklärungs-Generatoren im Internet verfügbar, manche mit guter Qualität. Zu beachten sind die Lizenzhinweise, die dabei vorgegeben werden können und die nicht unbedingt besonders professionell wirken. 

Muster und Vorlagen sind auch von uns erhältlich.

Rechte von betroffenen Personen

Das Datenschutzrecht verlangt vom Verantwortlichen zwar die Einhaltung diverser Pflichten. Trotzdem geht es davon aus, dass Betroffene eine grosse Mitverantwortung bei der Bearbeitung ihrer Daten haben. Dazu gibt ihnen das Datenschutzrecht eine Reihe von Instrumenten in die Hand, mit denen sie auf diese Bearbeitung einwirken können - das sind die Betroffenenrechte.

Betroffene haben zunächst das Recht, über die Bearbeitung ihrer Daten informiert zu werden, denn wenn sie von dieser Bearbeitung nichts wissen, können sie auch weitere Rechte nicht ausüben. 

Das wichtigste Betroffenenrecht neben der Informatin ist das Recht auf Auskunft. Damit können sie vom Verantwortlichen weitere Angaben über die Bearbeitung ihrer Daten verlangen. Nach dem revDSG und der DSGVO können sie auch eine maschinenlesbare Kopie bestimmter Daten verlangen - die Idee ist, dass sie damit leichter zwischen Anbietern wechseln können, auch wenn sich das voraussichtlich kaum bewähren wird.

Anschliessend können die Betroffenen auf diese Bearbeitung Einfluss nehmen. Sie können ihr teilweise oder ganz widersprechen (wobei sich das revDSG und die DSGVO hier stark unterscheiden), und sie können auch verlangen, dass unrichtige Daten berichtigt werden. 

Schliesslich können sie Einwilligungen widerrufen, und sie können sich bei der zuständigen Behörde beschweren. 

Über diese Rechte müssen die Betroffenen nach der DSGVO informiert werden. Nach dem revDSG ist das nicht zwingend, aber es ist üblich.

[…]

Auftragsbearbeitung

Dazu finden Sie unter "Begriffe" einen Hinweis.

Das kommt darauf an: 

  • Ein Auftragsbearbeiter ist das externe Dienstleistungsunternehmen i.d.R. dann, wenn eine Datenbearbeitung Gegenstand der vereinbarten Leistungen ist, z.B. bei einem SaaS-Anbieter. 
  • Wenn Daten den Machtbereich des Verantwortlichen nicht verlassen, auch nicht durch externe Datenzugriffsrechte, sondern nur von Angestellten des Dienstleisters auf Infrastruktur des Verantwortlichen und unter dessen Kontrolle und Weisungsgewalt eingesehen oder bearbeitet werden können, ist der Dienstleister kein Auftragsbearbeiter, und auch die betreffenden Angestellten sind es nicht. Arbeits- und sozialversicherungsrechtlich handelt es sich dabei zwar i.d.R. nicht um Angestellte des Verantwortlichen. Aber datenschutzrechtlich sind sie wie Angestellte zu behandeln, weil sie gleich wie Angestellte subordiniert sind. Hier braucht es also keinen Auftragsbearbeitungsvertrag. Eine vertragliche Regelung mit dem Dienstleister und gewisse Verpflichtungen der eingesetzten Angestellten sind aber dennoch erforderlich.

Ja und nein. Das revDSG wie auch die DSGVO (und das heutige DSG) privilegieren die Auftragsbearbeitung, allerdings in unterschiedlicher Hinsicht. Die DSGVO verlangt für jede Bearbeitung eine Rechtsgrundlage, weil jede Bearbeitung grundsätzlich untersagt ist. «Privilegierung» bedeutet in diesen Zusammenhang vor allem, dass die Bekanntgabe an den Auftragsbearbeiter keine eigene Rechtsgrundlage voraussetzt. Das ist nach dem DSG und dem revDSG anders – die Bearbeitung ist zulässig, sofern sie die Bearbeitungsgrundsätze einhält. Die Privilegierung ist insofern weniger wichtig. Bei besonders schützenswerten Personendaten immerhin führt sie dazu, dass die Bekanntgabe an den Auftragsbearbeiter ohne Rechtfertigungsgrund zulässig ist.

Diese Privilegierung folgt daraus, dass der Auftragsbearbeiter gewissermassen der verlängerte Arm des Verantwortlichen ist und datenschutzrechtlich zu seiner Sphäre gezählt wird. Das setzt allerdings voraus, dass der Verantwortliche und der Auftragsbearbeiter einen Vertrag schliessen, der bestimmten Anforderungen entspricht.

Ja. Schon das heutige DSG sieht eine Auslagerung der Datenbearbeitung an Auftragsbearbeiter nur vor, wenn der Verantwortliche sicherstellt, dass die Daten durch den Auftragsbearbeiter nicht anders bearbeitet werden, als es der Auftraggeber tun dürfte, und dass die Datensicherheit gewährleistet bleibt. Das verlangt eine entsprechende Vereinbarung. Sie wird meist «Auftragsbearbeitungsvereinbarung» oder «ADV» oder «AVV» oder englisch «Data Processing Agreement» oder «DPA» genannt.

Auch das revidierte DSG setzt eine solche Vereinbarung voraus, wobei es zusätzlich verlangt, dass der Beizug eines Unterauftragsbearbeiters nur mit Zustimmung des Verantwortlichen erlaubt ist. Die DSGVO verfolgt dasselbe Konzept, stellt aber wesentlich umfangreichere und detailliertere Anforderungen an den Inhalt von Auftragsbearbeitungsverträgen. Dazu finden sich z.B. hier und hier Hinweise.

Ja. Diverse Muster sind im Internet zu finden. Sie sind i.d.R. aber auf die DSGVO zugeschnitten. Solche Muster können auch für die Schweiz verwendet werden, aber sie erfordern zumindest bestimmte Anpassungen. Bei weniger heiklen Bearbeitungen, die nicht der DSGVO unterstehen, können stark vereinfachte Varianten verwendet werden. 

Wir arbeiten i.d.R. mit Vorlagen, die zunächst alle erforderlichen Angaben zur Konkretisierung der ADV abfragen (welche Kategorien von Daten und von Betroffenen, Gegenstand der Bearbeitung usw.) und falls erforderlich auch die Konkretisierungen der SCC. Die eigentlichen Bestimmungen sind anschliessend festgehalten - das macht die Verwendung im Einzelfall leichter.

Auftragsbearbeiter haben oft ein Interesse daran, bestimmte Daten ihrer Kunden, der Verantwortlichen, für eigene Zwecke zu verwenden – bspw. weil sie eine Form des Machine Learning einsetzen und Auftragsdaten als Trainingsdaten einsetzen oder weil sie Auftragsdaten für eigene Aufbewahrungszwecke speichern wollen (auch wenn Aufbewahrungsvorschriften selten für Auftragsdaten gelten werden).

Es ist nicht unüblich, Auftragsbearbeitern eine gewisse Bearbeitung zu eigenen Zwecken zu gestatten, oft ohne genauere rechtliche Analyse. Strenggenommen stellen sich aber einige Fragen. Der Auftragsbearbeiter ist in einer solchen Konstellation ein Verantwortlicher. Im entsprechenden Umfang entfällt daher die Privilegierung, und die Bekanntgabe an den Auftragsbearbeiter als Verantwortlicher kann je nachdem transparenzpflichtig sein. Sofern die DSGVO gilt, setzt diese Bekanntgabe zudem eine Rechtsgrundlage voraus, die zu prüfen und in einer Datenschutzerklärung auch zu nennen ist. Auch die weitere Bearbeitung durch den Auftragsbearbeiter – nun als Verantwortlicher – verlangt eine Rechtsgrundlage und eine Information, um die sich der Auftragsbearbeiter kümmern muss, was in der praktischen Umsetzung anspruchsvoll sein kann.

Keine Verwendung von Auftragsdaten liegt dagegen dann vor, wenn der Auftragsbearbeiter Daten über Kontaktpersonen des Verantwortlichen für sein eigenes Vertragsmanagement, sein CRM oder seine Rechnungstellung verwendet. Hier ist der Verantwortliche ein Verantwortlicher. Man kann sich daher fragen, ob bei einem Auftragsbearbeiter in einem Staat ohne angemessenes Schutzniveau nicht auch immer die Standardvertragsklauseln für Verantwortliche (d.h. heute das Modul 1) zum Einsatz kommen müsste, was in der Praxis allerdings selten so umgesetzt wird.

Bekanntgabe ins Ausland

Eine Bekanntgabe ins Ausland ist zunächst eine Bekanntgabe. Das setzt voraus, dass eine Person oder Stelle Zugang zu oder Kenntnis von Personendaten erlangt. Keine Bekanntgabe ist deshalb 

  • eine Reise einer Person ins Ausland, auch wenn sie dabei Personendaten mit sich führt oder vom Ausland aus auf Personendaten zugreifen kann, wenn sie schon vor Reiseantritt Zugang hatte; 
  • der Einsatz eines Rechenzentrums ins Ausland, das dem Unternehmen im Inland gehört;
  • die Bekanntgabe innerhalb einer juristischen Person, z.B. zwischen vom Hauptsitz an eine Zweigniederlassung - das ist die Ansicht des Europäischen Datenschutzausschusses.

In diesem Fällen drängen sich allerdings bestimmte Schutzmassnahmen auf. Wenn Daten geheimnisgeschützt sind, können diese Masssnahmen sogar zwingend sein.

Diese Bekanntgabe muss ins Ausland erfolgen, d.h. die Person, die Kenntnis von Daten oder den Zugriff erlangt, muss sich im Ausland befinden. 

Das Datenschutzrecht will einen bestimmten Schutz betroffener Personen gewährleisten. Es kann daher die Bekanntgabe von Personendaten in andere Staaten nicht schrankenlos zulassen. Im Grundsatz verbietet das Datenschutzrecht - das DSG wie auch die DSGVO - deshalb eine Bekanntgabe ins Ausland, es sei denn, im betreffenden Staat herrsche ein wenigstens angemessenes Schutzniveau.

Nach dem heutigen DSG hat der EDÖB die Aufgabe, eine Liste mit Staaten zu führen, die vermutungsweise über ein angemessenes Schutzniveau verfügen (siehe beim EDÖB). Derzeit (23.07.2022) sind folgende Staaten aufgeführt: 

  • alle EWR-Staaten, d.h. die EU-Mitgliedstaaten und Island, Norwegen und das Fürstentum Liechtenstein (hier gilt jeweils primär die DSGVO);
  • Andorra
  • Argentinien
  • Färöer
  • Guernsey
  • Isle of Man
  • Israel
  • Jersey
  • Kanada (mit Einschränkungen)
  • Monaco
  • Neuseeland
  • Uruguay
  • Vereinigtes Königreich (seit dem Brexit kein EWR-Staat mehr)

Das gilt allerdings nach Auffassung des EDÖB nicht uneingeschränkt: Anders als das geltende DSG schützt das deutsche Datenschutzrecht juristische Personen nicht als Datensubjekte. In dieser Hinsicht besteht ein Gefälle zum schweizerischen Recht, weshalb der (EDÖB) mit Bezug auf Daten juristischer Personen vom Fehlen eines angemessenen Datenschutzes ausgeht. Aus dieser Optik wäre selbst eine Übermittlung nach Deutschland nur mit Abschluss der – entsprechend angepassten – Standardvertragsklauseln zulässig. Diese Ansicht ist rechtlich schlecht abgestützt, und sie wird in der Praxis nach unserer Beobachtung kaum gelebt.

Nach dem revDSG wird der Bundesrat die Liste der Staaten mit Angemessenheit als Anhang der revidierten VDSG führen. 

Ja, unter bestimmten Umständen.

Zum einen bestehenen gesetzliche Ausnahmen vom Verbot der Datenbekanntgabe in Staaten ohne angemessenes Schutzniveau: 

  • die betroffene Person hat im Einzelfall eingewilligt (nach dem revDSG: ausdrücklich)
  • die Bearbeitung steht in einem unmittelbarem Zusammenhang mit dem Abschluss oder der Abwicklung eines Vertrags steht, und es handelt sich um Personendaten des Vertragspartners;
  • die Bekanntgabe ist im Einzelfall für die Wahrung eines überwiegenden öffentlichen Interesses oder für die Feststellung, Ausübung oder Durchsetzung von Rechtsansprüchen vor Gericht (nach dem revDSG: oder vor einer  Behörde) unerlässlich;
  • die Bekanntgabe ist im Einzelfall erforderlich, um das Leben oder die körperliche Integrität der betroffenen Person zu schützen;
  • die betroffene Person hat die Daten allgemein zugänglich gemacht und eine Bearbeitung nicht ausdrücklich untersagt.

Ebenfalls zulässig ist die Bekanntgabe auf Basis eines Vertrags, der ein angemessenes Schutzniveau sicherstellt, z.B. der EU-Standardvertragsklauseln.

Zulässig ist sie auch auf Basis sogenannter Binding Corporate Rules (BCR).

Grundsätzlich ja - sofern der entsprechende Vertrag einen angemessenen Schutz sicherstellt. 

Man kann unterscheiden zwischen zwei Klassen von Verträgen: 

  • Verträge, die der EDÖB aus grundsätzlich ausreichend anerkannt hat, insbesondere die Standardvertragsklauseln. Nach dem heutigen DSG muss dem EDÖB die Verwendung solcher Verträge in allgemeiner Form mitgeteilt werden. Nach dem revDSG entfällt diese Pflicht.
  • Verträge, die der EDÖB nicht anerkannt hat. Sie können ebenfalls eine Bekanntgabe in einen Staat ohne angemessenes Schutzniveau legitimieren, wenn sie ausreichenden Schutz vermitteln. Sie müssen dem EDÖB vorgängig aber vorgelegt werden.

Die Standardvertragsklauseln der EU ("Standard Contractual Clauses", "SCC") sind ein Vertragswerk, das Pflichten der bekanntgebenden Stelle, des Exporteurs, und der empfangenden Stelle, des Importeurs, festlegt, ebenso wie Rechte der betroffenen Personen (sie haben teilweise Drittschutzwirkung). Sie sind hier auf deutsch und englisch zu finden.

Dieses Vertragswerk kann grundsätzlich ausreichenden Schutz vermitteln und die Bekanntgabe dadurch legitimieren. Das hat der EDÖB für die Schweiz anerkannt. Er verlangt allerdings bestimmte Anpassungen. Zudem muss vor dem Einsatz der Standardvertragsklauseln als Grundlage einer Bekanntgabe in einen Staat ohne angemessenes Schutzniveau jeweils eine Risikoeinschätzung durchgeführt werden.

FAQ zu den SCC von David Rosenthal finden sich bei Vischer.

Jein. Grundsätzlich nicht. Aber:

  • Man darf sie verschärfen, d.h. man darf zusätzliche Bestimmungen vorsehen, die Betroffene stärker schützen, auch wenn das eher Theorie ist. 
  • Man darf sie als Teil eines umfassenderen Vertragswerks verwenden, z.B. eines konzerninternen Rahmenvertrags für die Übermittlung von Daten. 
  • Man muss sie an den wenigen Stellen anpassen, wo die SCC selbst eine Anpassung bzw. Konkretisierung im Einzelfall vorsehen.
  • Man darf sie anpassen, wo die SCC optionale Klauseln vorsehen. 
  • Man muss sie durch Angaben in den Anhängen vervollständigen. 

Wenn die SCC für einen Export aus der Schweiz eingesetzt werden, verlangt der EDÖB weitere Anpassungen.

Der EDÖB hat die aktuellen SCC anerkannt, aber nur unter der Voraussetzung, dass sie auf die Schweiz angepasst werden. Einzelheiten finden sich hier.

Der EuGH hat im sog. Schrems-II-Urteil u.a. entschieden, dass die SCC grundsätzlich zwar ausreichen können, ein angemessenes Schutzniveau zu vermitteln. Allerdings steht dies unter dem Vorbehalt, dass sie durchsetzbar sind und dass im Empfängerstaat nicht eine Rechtsordnung gilt, die in Verletzung bestimmter grundrechtlicher Vorgaben (bspw. ohne ausreichende Rechtsgrundlage, ohne ausreichende Konkretisierung oder ohne ausreichenden Rechtsschutz) einen Zugriff durch Behörden erlaubt. 

Die Parteien der Bekanntgabe müssen deshalb prüfen, ob eine solche problematische Rechtsordnung gilt. Dazu müssen sie die lokale Rechtsordnung prüfen. Diese Prüfung wird meist als "Transfer Impact Assessment" (TIA) bezeichnet.

Das TIA kann ergeben, dass die Bekanntgabe auf Basis der SCC zulässig ist, aber auch, dass zusätzlich zu den SCC weitere Schutzmassnahmen getroffen werden müssen.

Wie ein TIA durchzuführen ist und wann Schutzmassnahmen getroffen werden müssen, ist derzeit eines der meistdiskutierten Themen im gesamten Datenschutzrecht.

konzerninterner Datenverkehr

Grundsätzlich nicht. Juristische Personen innerhalb eines Konzerns werden gleich behandelt wie unverbundene Unternehmen. Die Bekanntgabe zwischen Konzernunternehmen ist deshalb nicht privilegiert. 

Bestimmte Erleichterungen gibt es aber dennoch: 

  • Wenn Personendaten an Dritte - d.h. andere Verantwortliche - bekanntgegeben werden, verliert das bekanntgebende Unternehmen das Recht, sich gegen ein Auskunftsbegehren auf seine eigenen überwiegenden Interessen zu berufen. Dasselbe gilt für die entsprechende Ausnahme von der Informationspflicht. Nach dem revDSG tritt diese Folge aber jeweils nicht ein, wenn der empfangende Verantwortliche zum gleichen Konzern wie der bekanntgebende Verantwortliche gehört. 
  • Das Risiko bei einer konzerninternen Bekanntgabe kann niedriger sein. Entsprechend kann eine Bekanntgabe eher gerechtfertigt sein (und nach der DSGVO steigt die Chance, die Bekanntgabe mit einem berechtigten Interesse zu legitimieren). 

Faktisch können natürlich weitere Erleichterungen bestehen: 

  • Bei einer einheitlichen Leitung kann das Datenschutzrecht leichter bzw. insgesamt effizienter umgesetzt werden. 
  • Konzerninterne Rahmenverträge erleichtern die Bekanntgabe. 
  • Ein DPO oder Datenschutzberater kann unter bestimmten Voraussetzungen für mehrere Konzerngesellschaften vorgesehen werden. 

Es bestehen faktisch aber auch Erschwerungen bzw. Risiken:

  • Das Risiko einer mangelnden Abgrenzung zwischen den Gesellschaften steigt, z.B. unbemerkter gemeinsamer Verantwortlichkeiten, unbemerkter Auftragsbearbeitungen oder unbemerkter Übermittlungen ins Ausland. 
  • Eine Konzernzentrale kann versuchen, dem gesamten Konzern - auch für die Schweiz - undifferenziert die DSGVO als Standard aufzuerlegen.
  • Mitarbeitende können für mehrere Konzerngesellschaften tätig werden. Das erschwert die Abgrenzung der Verantwortlichkeiten, was bspw. die Beantwortung eines Auskunftsbegehrens erheblich erschweren kann. 
  • Es kann zu unbemerktem Arbeitsverleih kommen. 
  • Es kann dazu führen, dass geldwerte Leistungen zwischen Konzerngesellschaften nicht korrekt verrechnet werden, was zu negativen Steuerfolgen führen kann.

Da im Datenschutzrecht ein Konzernprivileg weitgehend fehlt, regeln Konzerne ihre Datenflüsse nicht anders als unverbundene Unternehmen, z.B. durch Auftragsbearbeitungsverträge oder den Abschluss der Standardvertragsklauseln. 

Allerdings können diese Verträge vereinheitlicht werden, z.B. durch einen konzernweiten Rahmenvertrag. Diese Verträge werden oft als "Intra-Group Data Transfer Agreement" ("IGDTA") oder - wenn sie etwas breiter sind - als "Intragroup Data Protection Agreement ("IDPA") bezeichnet. 

Damit sind konzernweite Rahmenverträge zur Regelung der internen Datenflüsse gemeint. Sie regeln oft folgende Punkte: 

  • Geltungsbereich des Vertrags, einschliesslich des Beitritts neuer Konzerngesellschaften oder des Austritts z.B. bei einem Verkauf; 
  • generelle Datenschutzmassnahmen, z.B. Vertraulichkeit, Einhaltung der Zweckbindung, Gewährleistung eines angemessenen Sicherheitsniveaus oder gegenseitige Unterstützung bei Betroffenenbegehren und Behördenanfragen; 
  • Leistungen einer zentralen Stelle, z.B. der Holding;
  • Management des Vertrags durch eine zentrale Stelle, einschliesslich des Bei- und Austritts und von Vertragsanpassungen; 
  • Geltung der Standardvertragsklauseln bei konzerninternen Übermittlungen in Staaten ohne angemessenes Schutzniveau; 
  • Regelung der Auftragsbearbeitungen durch einheitliche Vertragsbestimmungen;
  • Regelung gemeinsamer Verantwortlichkeiten durch einheitliche Vertragsbestimmungen;
  • das Management der einzelnen Vertragsbeziehungen (z.B. Auftragsbearbeitungen), für die die im IDPA vorgesehenen Musterbestimmungen zur Anwendung kommen;
  • Bestellung von Konzerngesellschaften als EU-, UK- oder CH-Vertreter; 
  • nach den einzelnen nationalen Rechten zusätzlich erforderliche Bestimmungen.

Soweit uns bekannt nicht frei im Internet erhältlich. Wir arbeiten i.d.R. aber mit Vorlagen, die an den konkreten Fall angepasst werden können.

Datensicherheit

Das Datenschutzrecht geht das Thema der Datensicherheit von unterschiedlichen Ausgangspunkten her: 

  • Generell verlangt das Datenschutzrecht vom Verantwortlichen wie auch vom Auftragsbearbeiter, ein angemessenes Schutzniveau zu gewährleisten. Unternehmen müssen deshalb die Risiken für Betroffene einschätzen und angemessene Massnahmen vorsehen.
  • Ggf. sind Sicherheitsmassnahmen im Rahmen einer Datenschutz-Folgenabschätzung zu bewerten.
  • Die Gewährleistung der Datensicherheit ist ein legitimer Zweck, der eine Bearbeitung von Personendaten rechtfertigen kann.
  • Eine Verletzung der Datensicherheit kann zu weiteren Verletzungen führen (eine Einwilligung wird eine Bearbeitung z.B. immer nur unter stillschweigenden Voraussetzung legitimieren, dass die Datensicherheit eingehalten wird).
  • Verantwortliche müssen im Verhältnis zum Auftragsbearbeiter vereinbaren, dass dieser während der Auftragsbearbeitung angemessene Schutzmassnahmen aufrechterhält.
  • Verantwortliche müssen Auftragsbearbeiter und deren Sicherheitsmassnahmen daher vorab prüfen ("Vendor Assessment"). Die DSGVO verlangt zudem, dass solche Prüfungen dokumentiert werden. Das revDSG verlangt dies nicht, aber wenn Prüfungen durchgeführt werden, sollte dies selbstständlich dokumentiert sein. 
  • Verletzungen der Datensicherheit sind - nach der DSGVO - zu dokumentieren, und das revDSG wie auch die DSGVO verlangen vom Verantwortlichen, Verletzungen unter Umständen der zuständigen Behörde oder auch betroffenen Personen mitzuteilen.
  • Auftragsbearbeiter müssen Sicherheitsverletzungen dem Verantwortlichen mitteilen. 
  • Sicherheitsmassnahmen müssen im Bearbeitungsverzeichnis genannt oder referenziert werden. 

Das Datenschutzrecht gibt das zu erreichende Schutzniveau nicht vor. Es sagt nur, dass dieses den Risiken für die Betroffenen angemessen sein muss. Die heutige VDSG und ähnlich auch der Entwurf der revidierten VDSG geben immerhin vor, dass dabei Art und Umstände der Datenbearbeitung, die Risiken für Betroffene, der Stand der Technik und mplementierungskosten zu berücksichtigen sind. Je nach Branche können aber besondere Anforderungen gelten, und ebenso für öffentliche Organe.

Man kann die Anforderungen an die Datensicherheit dadurch konkretisieren, dass man nach bestimmten Risiken fragt, oder genauer gesagt, nach typischen Bedrohungsszenarien. Diesen Szenarien müssen die Sicherheitsmassnahmen begegnen. Daraus ergeben sich wiederum sog. Schutzziele. Sie sind keine umfassende Darstellung der Datensicherheit, helfen als typische Ausrichtung aber bei der Prüfung und Bewertung von Sicherheitsmassnahmen. 

Der Entwurf der revidierten VDSG sieht folgende Schutzziele vor: 

  • Zugriffskontrolle: Kontrolle der Zugriffsrechte auf Daten
  • Zugangskontrolle: Kontrolle des Zugangs zu Anlagen und Systemen
  • Datenträgerkontrolle: Kontrolle der Verfügung über Datenträger
  • Speicherkontrolle: Kontrolle gespeicherter Daten
  • Benutzerkontrolle: Kontrolle über Fernzugriffe
  • Transportkontrolle: Kontrolle während der Datenübermittlung
  • Eingabekontrolle: Kontrolle über die Eingabe und Änderung von Daten
  • Bekanntgabekontrolle: Kontrolle über die Bekanntgabe von Daten
  • Erkennung und Wiederherstellung: Erkennen und Kontrolle von Zwischenfällen. 

Man kann die Datensicherheit auch anders betrachten, mehr vom Ergebnis und weniger von den Risiken her. Die Datensicherheit soll dabei vor allem drei Punkte gewährleisten: 

  • die Vertraulichkeit von Daten, 
  • die Integrität von Daten und
  • die Verfügbarkeit von Daten. 

Nach dem englischen "Confidentiality, Integrity" und "Availabilty" wird deshalb auch von "CIA" gesprochen.

Das Datenschutzrecht umschreibt Sicherheitsmassnahmen als "technische und organisatorische Massnahmen", oft als "TOMs" abgekürzt. 

Technische Massnahmen sind Massnahmen, die technisch implementiert werden, z.B. ein Passwortschutz oder eine Transportverschlüsselung. Organisatorische Massnahmen setzen bei Menschen an, z.B. durch ein Vieraugenprinzip, eine Clean Desk-Weisung, Verträge, Kontrollen oder Schulungen. Technische Massnahmen gelten tendenziell als stärker.


Welche Sicherheitsmassnahmen jeweils erforderlich sind, ist eine Frage der Umstände, z.B. des Systems der Datenbearbeitung, der Risiken und der faktisch in Frage kommenden Massnahmen. Die DSGVO nennt nicht abschliessend folgende Massnahmen, die teilweise aber eher Schutzziele denn Massnahmen sind:

  • Pseudonymisierung und Verschlüsselung;
  • Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
  • Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen
  • Verfahren zur regelmässigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

Der EDÖB hat in seinem etwas angejahrten Leitfaden zu technischen und organisatorischen Massnahmen Beispiele aufgeführt (die je nach Umständen erforderlich sind oder nicht).

Konkrete Sicherheitsmassnahmen werden auch in branchenspezifischen Regelungen vorgegeben, z.B. - selbstredend nicht abschliessend - für die Kreditkartenbranche im Payment Card Industry Data Security Standard (PCI DSS), für Banken und Wertpapierhäuser im Rundschreiben Operationelle Risiken, in den Leitlinien der Bankiervereinigung für Data Leakage Prevention und den Empfehlungen für das Business Continuity Management, und für den Bund im kommenden Informationssicherheitsgesetz.

Das heutige DSG versteht den Grundsatz der Datensicherheit breiter und sieht ihn entsprechend durch jede unbefugte Bearbeitung verletzt. Das revDSG und die DSGVO sind enger: Der Grundsatz der Datensicherheit betrifft nur die eigentliche Sicherheit. 

Eine Sicherheitsverletzung ist entsprechend definiert, im revDSG wie in der DSGVO. Sie besteht jeweils darin, dass 

  • eine Verletzung der Sicherheit eintritt, also ein Versagen einer technischen oder einer organisatorischen Massnahme,
  • die zweitens eine bestimmte Folge hat, nämlich dazu führt, dass Personendaten unbeabsichtigt oder widerrechtlich verlorengehen, gelöscht, vernichtet oder verändert werden oder Unbefugten offengelegt oder zugänglich gemacht werden.

Keine Sicherheitsverletzung ist eine unbefugte Bearbeitung durch den Verantwortlichen, z.B. eine unterlassene Löschung oder eine unerlaubte Zweckänderung. 

Das heutige DSG sieht keine ausdrückliche Pflicht vor, Sicherheitsverletzungen dem EDÖB oder den betroffenen Personen zu melden. In Ausnahmefällen kann sich eine solche Pflicht aber aus allgemeinen Grundsätzen ergeben. 

Die DSGVO kennt aber Meldepflichten, und auch das revDSG führt solche Pflichten ein.

Meldepflichten können sich auch aus branchenspezifischen Regelungen ergeben. Diese gehen aber weniger von der Verletzung des Schutzes von Personendaten aus sondern generell von Vorfällen, die in der betreffenden Branche relevant sind. Ein Beispiel ist die Pflicht, nach Art. 29 FINMAG aufsichtsrelevante Vorfälle der FINMA zu melden. 

Nach dem revDSG müssen Verantwortliche dem EDÖB eine Sicherheitsverletzung melden, falls diese "voraussichtlich zu einem hohen Risiko" für die betroffenen Personen führt. Hier unterscheidet sich das revDSG von der DSGVO - nach der DSGVO sind alle Sicherheitsverletzungen zu melden, die zu einem Risiko führen.

Man kann dem EDÖB Sicherheitsverletzungen auch freiwillig melden. In der Regel ist davon abzuraten.

Nach dem revDSG muss der Verantwortliche die betroffenen Personen dann über eine Sicherheitsverletzung - mit Bezug auf ihre Daten - informieren, wenn es zum Schutz der betroffenen Person erforderlich ist. Das kann z.B. dann der Fall sein, wenn Zugangsdaten zu einem Konto entwendet wurden und die betroffene Person dieselben Zugangsdaten womöglich anderweitig einsetzt oder das betroffene Konto nur selbst sperren kann. 

Ebenfalls mitzuteilen sich Sicherheitsverletzungen, wenn der EDÖB es verlangt (aber nicht unbedingt so, wie er es verlangt).