Bevor die Umsetzung selbst in Angriff genommen wird, sollte sie geplant werden. Dazu gehört zuerst einmal die Informationsbeschaffung – viele Unternehmen wissen nicht genau, in welchem Umfeld sie sich bewegen und welche Daten und Verträge sie haben.
Die Verantwortung für die Einhaltung des Datenschutzes liegt beim Unternehmen – vor allem beim Verantwortlichen, aber zu einem Teil auch beim Auftragsbearbeiter. Innerhalb des Unternehmens ist zuerst der Verwaltungsrat für die Compliance auch im Bereich des Datenschutzes zuständig. Die Umsetzungsverantwortung ist dabei häufig an eine Geschäftsleitung oder eine andere Funktion delegiert. Aber alle Mitarbeitenden haben eine Mitverantwortung, in ihrem jeweiligen Tätigkeitsbereich.
Das Gesetz sieht aber vor, dass Unternehmen eine eigene und unabhängige Funktion einrichten können, die bei der Einhaltung des Datenschutzes hilt: Den Datenschutzberater (DSB). Der DSB muss unabhängig sein, d.h.
Dadurch soll das Unternehmen eine gewisse Aussensicht habe, die den Datenschutz objektiv beurteilt und den Entscheidorganen dadurch eine Grundlage verschafft, ihre Businessentscheidungen en connaissance de cause zu fällen.
Nicht für private Unternehmen. Sie sind immer frei, ob sie einen Datenschutzberater bestellen wollen, selbst bei Hochrisikobearbeitungen.
Bundesorgane müssen dagegen einen Datenschutzberater bestellen und diesen dem EDÖB melden. Dafür stellt er ein Meldeportal zur Verfügung.
Private Personen haben kein besonderes Risiko, wenn sie auf die Bestellung eines Datenschutzberaters verzichten. Risiken erhöhen sich nur dadurch, dass ein korrekt bestellter DSB die Wahrscheinlichkeit sonstiger Datenschutzverletzungen reduziert.
Bundesorgane müssen einen Datenschutzberater bestellen. Sie können aber generell nicht strafbar werden. Der EDÖB oder eine Aufsichtsbehörde können also nur eine nachträgliche Bestellung verlangen.
Das heutige DSG verlangt nur in Ausnahmefällen eine ausdrückliche Information über die Bearbeitung von Personendaten (wenn besonders schützenswerte Personendaten wie z.B. Gesundheitsdaten oder Persönlichkeitsprofile beschafft werden). In den meisten Fällen reicht es, wenn sich eine Bearbeitung von selbst versteht.
Das ändert sich mit dem revidierten Gesetz. Analog zur DSGVO verlangt das Gesetz bei allen Bearbeitungen eine Information, sofern nicht eine Ausnahme greift. Das gilt sogar bei selbstverständlichen und trivialen Bearbeitungen. Damit wird zwar niemandem geholfen, aber eine Verletzung dieser Pflicht kann sogar strafbar sein.
Unternehmen sollten deshalb über ihre Bearbeitungen informieren, meist in Form von Datenschutzerklärungen. Das sind Hinweise oder Dokumente, die sich zur Datenbearbeitung äussern – sie sind nicht Vertragsbestandteil und sollten in der Regel auch nicht Teil von AGB sein.
Weitere Angaben finden Sie nachstehend bei den weiterführenden Informationen.
Ja. Grundsätzlich müssen Unternehmen über alle Datenbeschaffungen informieren, d.h. immer, wenn sie Personendaten bewusst oder geplant erheben (aber nicht über zufällig anfallende Daten, die sie nicht unbedingt bearbeiten wollen und die für sie auch nicht wesentlich wären).
Das betrifft diverse Bearbeitungen, z.B.
Es gibt aber Ausnahmen, bei denen nicht informiert werden muss:
Die Datenschutzinformation muss so präsentiert werden, dass sie für den betroffenen in zumutbarer Weise zugänglich ist. Dafür genügt im Normalfall eine Datenschutzerklärung im Internet (oder für Mitarbeitende im Intranet). Wer weiss, dass ein Unternehmen Personendaten bearbeitet, kann dort nachlesen.
Wenn eine Person nicht weiss, dass ein Unternehmen seine Daten bearbeitet, ist das anders. Dann sollte durch eine Mitteilung informiert werden, wenn das möglich, nicht unverhältnismässig aufwendig und nicht sogar durch ein Berufsgeheimnis verboten ist. Das betrifft bspw. Fälle, bei denen ein Unternehmen Personendaten von Drittpersonen erhält (Beneficial Owner bei Banken, Begünstige bei Pensionskassen, Angehörige bei Mitarbeitenden usw.). Hier kann die Informationspflicht derjenigen Person überbunden werden, die diese Drittdaten mitteilt.
Die Verletzung der Informationspflicht ist strafbar, auf Antrag und bei Vorsatz. Das ist vor allem deshalb ein Risiko, weil betroffene Personen das Strafantragsrecht im Streitfall als Waffe nutzen können.
Zudem sind fehlende, offensichtlich falsche oder unzureichende Datenschutzerklärungen gegen aussen sichtbar. Das ist nicht nur ein Reputationsthema, sondern zeigt auch, ob sich ein Unternehmen mit dem Datenschutz überhaupt auseinandergesetzt hat.
Das Datenschutzrecht will Schutz gewährleisten. Es kann eine Übermittlung in Staaten deshalb nicht schrankenlos zulassen, wenn dort der erforderliche Schutz fehlt. Wie die DSGVO und das heutige DSG erlaubt das revidierte DSG eine solche Übermittlung deshalb zunächst nur, wenn der Empfängerstaat einen angemessenen Datenschutz gewährleistet. Das gilt für alle Mitgliedstaaten der EU bzw. des EWR, aber auch für wenige weitere Staaten. Mit den USA wird derzeit ein Abkommen verhandelt, das die Bekanntgabe an zertifizierte US-Unternehmen grundsätzlich erlaubt. Es ist erst zwischen der EU und den USA in Kraft, wird in Kürze aber auch für die Schweiz verfügbar sein.
Fehlt ein angemessenes Schutzniveau, kann die Übermittlung im Einzelfall, in bestimmten Konstellationen, gesetzlich erlaubt sein. Meist verlangt die Bekanntgabe in diesem Fall aber den Abschluss eines in der EU und in der Schweiz anerkannten Vertragswerks, der sog. Standardvertragsklauseln. Die aktuelle Fassung besteht aus vier Modulen, je nachdem, in welchen Rollen – als Verantwortliche oder Auftragsbearbeiter – die Parteien tätig sind. Dazu müssen die Anhänge der Klauseln für den konkreten Fall ergänzt werden. Für Exporte aus der Schweiz muss zudem ein Zusatz geschlossen werden, nach den Vorgaben des EDÖB.
Ja. Die Bekanntgabe in Staaten ohne angemessenen Schutz und ohne die notwendigen Vertragsklauseln ist verboten.
Die Bekanntgabe in Staaten ohne angemessenen Schutz und ohne die notwendigen Vertragsklauseln kann strafbar sein, bei Vorsatz und auf Antrag. Je nachdem kann dies zudem eine Vertragsverletzung darstellen.
Das revidierte Recht traut Unternehmen nicht mehr zu, den Datenschutz zu gewährleisten, ohne dass eine gewisse Struktur und Organisation geschaffen wird. Es ist zwar noch wesentlich prinzipienorientierter als die DSGVO, aber bestimmte Abläufe und Rahmenbedingungen sind zu dokumentieren. Dazu kann der Erlass einer Weisung (Policy usw.) gehören, die bestimmte Mindestangaben enthält.
Nein. Zwingend ist der Erlass einer Weisung nach schweizerischem Datenschutzrecht nicht.
Ein direktes Risiko ergibt sich aus dem Fehlen einer Weisung nicht, aber indirekt entstehen Risiken. Ohne eine grundlegende Weisung fällt es dem Unternehmen schwerer nachzuweisen, dass es sich grundsätzlich um den Datenschutz bemüht. Das kann im Fall eines Strafverfahrens eine Rolle spielen, wenn auch nicht die Hauptrolle. Ohne Weisung ist aber auch die Organisation im Bereich des Datenschutzrechts nicht festgelegt. Das führt dazu, dass Mitarbeitende weniger klar wissen, was ihre Mitverantwortung ist. Das erhöht wiederum das Risiko der Leitungspersonen, im Fall einer Verletzung selbt einer Haftung ausgesetzt zu sein.
Das revidierte DSG verlangt in bestimmten Fällen den Abschluss von Verträgen. Das ergibt sich daraus, dass das DSG verschiedene Rollen von Unternehmen unterscheidet:
Wenn ein Verantwortlicher Personendaten einem Auftragsbearbeiter bekanntgibt, ist das grundsätzlich zulässig. Es verlangt aber den Abschluss einer entsprechenden Vereinbarung.
Die Bekanntgabe an andere Verantwortliche kann je nachdem heikel oder problemlos sein. Das hängt von der Art der Daten und dem Zweck der Bekanntgabe ab.
In der Datenschutzerklärung müssen aber beide genannt werden, d.h. die Kategorien (Arten) von Verantwortlichen und auch von Auftragsbearbeitern, denen Personendaten bekanntgegeben werden.
Ja. Die Bekanntgabe von Personendaten an Auftragsbearbeiter ohne entsprechende Vereinbarung kann im Extremfall strafbar sein, auf Antrag und bei Vorsatz. Bei der Bekanntgabe an Verantwortliche ist ein eigener Vertrag nicht unbedingt zwingend, sehr oft aber sinnvoll.
Bei einer Auftragsbearbeitung ohne ausreichenden Vertrag besteht ein Strafbarkeitsrisiko. Allerdings dürften die meisten Verträge die mindestens notwendigen Bestimmungen enthalten.
Wenn es um Daten geht, die einem Berufsgeheimnis unterliegen, muss die Bekanntgabe separat geprüft werden.
Das revidierte Recht verzichtet an sich bewusst auf eine eigene, allgemeine Pflicht, Bearbeitungen oder die damit zusammenhängenden Entscheidungen zu dokumentieren. Punktuell sieht der Gesetzgeber aber trotzdem sogenannte Accountability-Pflichten um. Dazu gehören auch etwa die Aufbewahrungspflicht bei der Datenschutz-Folgenabschätzung oder die Protokollierung, vor allem aber die Pflicht, ein Bearbeitungsverzeichnis zu führen.
Ein Bearbeitungsverzeichnis ist eine Liste der Art und Weise, wie ein Unternehmen Personendaten bearbeitet. Es muss die wesentlichen Rahmenbedingungen der Bearbeitung enthalten, die teilweise auch bei der Informationspflicht oder beim Auskunftsrecht zu beachten sind. Es sind auch diese Rahmenbedingungen, die entscheiden, wer überhaupt der Verantwortliche ist: Diejenige Person, die die Bearbeitung veranlasst und diese Rahmenbedingungen bestimmt.
Weitere Angaben finden Sie anschliessend bei den weiterführenden Informationen.
Es ist nicht strafbar, kein Bearbeitungsverzeichnis zu führen (weder für Private noch für Bundesorgane). Im Fall einer Untersuchung wird der EDÖB aber zuerst nach dem Verzeichnis fragen – besteht es trotz einer Pflicht nicht, wird das Fragen zum Umgang mit Personendaten generell aufwerfen.
Ja, es gibt diverse Vorlagen. Eine Vorlage für ein einfaches Verzeichnis für Verantwortliche und Auftragsbearbeiter finden Sie hier bei uns.
Das Gesetz folgt generell einem risikobasierten Ansatz. Das heisst, dass Verantwortliche ihre Compliance-Massnahmen nach ihrer Beurteilung der Risiken für Betroffene abgestuft auszurichten haben. Punktuell gibt das Gesetz aber höhere Anforderungen bei besonderen Risiken vor.
Das Gesetz hat allerdings keinen konsistenten Ansatz bei den Risiken. Es gibt Anforderungen, die bei bestimmten erhöhten Risiken gelten, nicht aber bei anderen. Unternehmen sollten sich aber jedenfalls bewusst sein, wo ihre Bearbeitungen zu erhöhten Risiken für die Betroffenen führen.
Die Bearbeitung von besonders schützenswerten Daten unterliegt grundsätzlich mehr oder weniger den gleichen Regeln wie die Bearbeitung sonstiger Daten. Besonders schützenswert sind Daten über religiöse, weltanschauliche, politische oder gewerkschaftliche Ansichten oder Tätigkeiten, Gesundheitsdaten, Daten über die Intimsphäre, Angaben über die Zugehörigkeit zu einer “Rasse oder Ethnie”, genetische Daten, biometrische Daten, Daten über verwaltungs- und strafrechtliche Verfolgungen oder Sanktionen und Daten über Massnahmen der Sozialhilfe.
Ein Unterschied besteht aber bei der Bekanntgabe an einen anderen Verantwortlichen: Sie ist bei besonders schützenswerten Personendaten nur mit einer Rechtfertigung zulässig, d.h. mit einer Einwilligung oder wenn die Interessen an der Bekanntgabe die entgegenstehenden Interessen des Betroffenen überwiegen (und wenn das Gesetz die Bekanntgabe verlangt). Bundesorgane benötigen eine ausdrückliche gesetzliche Grundlage für die Bekanntgabe besonders schützenswerter Personendaten.
Eine unzulässige Bekanntgabe solcher Personendaten ist eine Datenschutzverletzung. Sie kann zugleich aber auch ein Berufsgeheimnis verletzen, und sie kann auch nach dem DSG strafbar sein.
Unterschiede bestehen auch bei der Einwilligung. Sie ist nicht grundsätzlich erforderlich, aber falls sie für eine bestimmte Bearbeitung besonders schützenswerter Personendaten notwendig ist, muss sie ausdrücklich sein.
Zudem sollten die Sicherheitsmassnahmen bei besonders schützenswerten Personendaten robuster sein, als sie es für triviale Daten sein müssen.
Bundesorgane müssen zudem ein Bearbeitungsreglement führen, wenn sie besonders schützenswerte Personendaten bearbeiten (und in einigen anderen Fällen wie z.B. beim Profiling).
Wenn besonders schützenswerte Personendaten “in grossem Umfang” bearbeitet werden, gilt dies als Hochrisikobearbeitung. In diesem Fall
Was “in grossem Umfang” bedeutet, ist rechtlich unklar. Bei der DSGVO wird teils eine Grenze von 5’000 (Personen) vertreten. Das hat aber keine Grundlage in der DSGVO und kann für die Schweiz nicht übernommen werden. Eine Grenze von 1’000 ist naheliegender. Letztlich sollte man sich fragen, ob man nicht auch bei einer niedrigen Zahl eine Folgenabschätzung vornehmen will, das ist ein sinnvolles Instrument. Das Bearbeitungsreglement kann recht einfach gehalten werden, eine Vorlage dafür findet sich hier.
Bundesorgane müssen ein Bearbeitungsreglement auch dann haben, wenn die Bearbeitung der besonders schützenswerten Personendaten nicht in grossem Umfang erfolgt.
“Profiling” ist jede computergestützte Bearbeitung, bei der Personendaten verwendet werden, um über eine betroffene Person Prognosen oder Einschätzungen zu machen (z.B. bei der Kundensegmentierung).
Ein Profiling hat für private Unternehmen kaum Folgen. Das Gesetz verlangt hier nichts Zusätzliches. Man sollte aber dafür sorgen, dass das Profiling transparent ist, d.h. für die Betroffenen klar erkennbar (z.B. durch einen Hinweis in der Datenschutzerklärung).
Bei Bundesorganen ist das anders:
Ein “Profiling mit hohem Risiko” ist ein Profiling, “das zu einer Verknüpfung von Daten führt, die eine Beurteilung wesentlicher Aspekte der Persönlichkeit einer natürlichen Person erlaubt”. Das ist ein verunglückter Kompromiss aus dem strittigen Gesetzgebungsverfahren. Es umfasst aber jedes Profiling, das zu einem Persönlichkeitsprofil führt, also ein Bild einer Person ergibt. Es kann auch vertreten werden, dass ein Profiling mit hohem Risiko auch dann vorliegt, wenn sehr viele Daten für ein Profiling verwendet werden.
Im Fall eines Profilings mit hohem Risiko
Bei Bundesorganen gelten die weiteren Anforderungen, die schon für ein normales Profiling gelten.
Das Gesetz erfasst punktuell auch andere Bearbeitungen als besonders riskant:
Neben den genannten Punkten sind natürlich weitere Punkte zu bedenken. Ohne Anspruch auf Vollständigkeit: zwei der wichtigsten Punkte sind sicher die Datenlöschung und die Datensicherheit.