Leit­fa­den zur Umsetzung

Table of Contents 

Pla­nung und Information

Bevor die Umset­zung selbst in Angriff genom­men wird, soll­te sie geplant wer­den. Dazu gehört zuerst ein­mal die Infor­ma­ti­ons­be­schaf­fung – vie­le Unter­neh­men wis­sen nicht genau, in wel­chem Umfeld sie sich bewe­gen und wel­che Daten und Ver­trä­ge sie haben. 

Todos
  • Befin­det sich das Unter­neh­men in einer Grup­pen­struk­tur? Wenn ja, gibt es bestimm­te Erwar­tun­gen aus der Grup­pe zu beach­ten, bspw. zur Anwen­dung der DSGVO oder für die Ver­wen­dung grup­pen­ei­ge­ner Vor­la­gen, Ver­trä­ge, Daten­schutz­er­klä­run­gen usw.?
  • Erste Über­le­gun­gen zum Risi­ko des Unter­neh­mens: Bewegt es sich in einem regu­lier­ten Bereich? Gibt es Berufs­ge­heim­nis­se zu beach­ten? Bear­bei­tet das Unter­neh­men heik­le Daten wie z.B. Gesund­heits­da­ten, Finanz­da­ten usw. (ausser­halb des HR-Bereichs)? Haben Kun­den oder ande­re Par­tei­en in der Lie­fer­ket­te bestimm­te Anfor­de­run­gen oder Erwar­tun­gen? Wel­che Erwar­tun­gen haben die betrof­fe­nen Personen?
  • Was gibt es bereits im Daten­schutz? Gibt es inter­ne Abläu­fe, Daten­schutz­er­klä­run­gen usw.?
  • Wel­che Ver­trä­ge hat das Unter­neh­men? Wel­che AGB und Ver­trä­ge ver­wen­det es für sei­ne Kun­den? Wel­che Ver­trä­ge hat es mit sei­nen Lie­fe­ran­ten und Pro­vi­dern? Sind die­se Ver­trä­ge bekannt und verfügbar?
  • Wie soll die Orga­ni­sa­ti­on im Daten­schutz aus­se­hen? Zumin­dest soll­te klar sein, wo die ope­ra­ti­ve Haupt­ver­ant­wor­tung liegt (z.B. bei der Geschäfts­lei­tung), wer für den Daten­schutz im Tages­ge­schäft zustän­dig sein soll und wel­che Ver­ant­wor­tung das Busi­ness hat (ein Daten­ow­ner, ein Ver­ant­wort­li­cher für einen bestimm­ten Bereich usw.). Die­se Über­le­gun­gen kön­nen in eine Wei­sung einfliessen.

Daten­schutz­be­ra­ter

Die Ver­ant­wor­tung für die Ein­hal­tung des Daten­schut­zes liegt beim Unter­neh­men – vor allem beim Ver­ant­wort­li­chen, aber zu einem Teil auch beim Auf­trags­be­ar­bei­ter. Inner­halb des Unter­neh­mens ist zuerst der Ver­wal­tungs­rat für die Com­pli­ance auch im Bereich des Daten­schut­zes zustän­dig. Die Umset­zungs­ver­ant­wor­tung ist dabei häu­fig an eine Geschäfts­lei­tung oder eine ande­re Funk­ti­on dele­giert. Aber alle Mit­ar­bei­ten­den haben eine Mit­ver­ant­wor­tung, in ihrem jewei­li­gen Tätigkeitsbereich.

Das Gesetz sieht aber vor, dass Unter­neh­men eine eige­ne und unab­hän­gi­ge Funk­ti­on ein­rich­ten kön­nen, die bei der Ein­hal­tung des Daten­schut­zes hilt: Den Daten­schutz­be­ra­ter (DSB). Der DSB muss unab­hän­gig sein, d.h. 

  • er kann nicht selbst ent­schei­den, wie Per­so­nen­da­ten bear­bei­tet werden, 
  • er ist wei­sungs­frei, im Rah­men sei­ner Auf­ga­be als Daten­schutz­be­ra­ter, und 
  • er hat aus­rei­chen­de Res­sour­cen, um sei­ne Auf­ga­ben nicht nur reak­tiv, son­dern pro­ak­tiv wahr­neh­men zu können. 

Dadurch soll das Unter­neh­men eine gewis­se Aussen­sicht habe, die den Daten­schutz objek­tiv beur­teilt und den Ent­schei­d­or­ga­nen dadurch eine Grund­la­ge ver­schafft, ihre Busi­ness­ent­schei­dun­gen en con­nais­sance de cau­se zu fällen.

Nicht für pri­va­te Unter­neh­men. Sie sind immer frei, ob sie einen Daten­schutz­be­ra­ter bestel­len wol­len, selbst bei Hochrisikobearbeitungen. 

Bun­des­or­ga­ne müs­sen dage­gen einen Daten­schutz­be­ra­ter bestel­len und die­sen dem EDÖB mel­den. Dafür stellt er ein Mel­de­por­tal zur Verfügung.

Pri­va­te Per­so­nen haben kein beson­de­res Risi­ko, wenn sie auf die Bestel­lung eines Daten­schutz­be­ra­ters ver­zich­ten. Risi­ken erhö­hen sich nur dadurch, dass ein kor­rekt bestell­ter DSB die Wahr­schein­lich­keit son­sti­ger Daten­schutz­ver­let­zun­gen reduziert. 

Bun­des­or­ga­ne müs­sen einen Daten­schutz­be­ra­ter bestel­len. Sie kön­nen aber gene­rell nicht straf­bar wer­den. Der EDÖB oder eine Auf­sichts­be­hör­de kön­nen also nur eine nach­träg­li­che Bestel­lung verlangen.

Todos
  • Pri­va­te Unter­neh­men soll­ten prü­fen, ob sie frei­wil­lig einen Daten­schutz­be­ra­ter bestel­len wollen. 
  • Bun­des­or­ga­ne müs­sen einen Daten­schutz­be­ra­ter bestel­len. Die­ser muss dem EDÖB gemel­det und im Inter­net ange­ge­ben werden.

Infor­ma­ti­on

Das heu­ti­ge DSG ver­langt nur in Aus­nah­me­fäl­len eine aus­drück­li­che Infor­ma­ti­on über die Bear­bei­tung von Per­so­nen­da­ten (wenn beson­ders schüt­zens­wer­te Per­so­nen­da­ten wie z.B. Gesund­heits­da­ten oder Per­sön­lich­keits­pro­fi­le beschafft wer­den). In den mei­sten Fäl­len reicht es, wenn sich eine Bear­bei­tung von selbst versteht.

Das ändert sich mit dem revi­dier­ten Gesetz. Ana­log zur DSGVO ver­langt das Gesetz bei allen Bear­bei­tun­gen eine Infor­ma­ti­on, sofern nicht eine Aus­nah­me greift. Das gilt sogar bei selbst­ver­ständ­li­chen und tri­via­len Bear­bei­tun­gen. Damit wird zwar nie­man­dem gehol­fen, aber eine Ver­let­zung die­ser Pflicht kann sogar straf­bar sein. 

Unter­neh­men soll­ten des­halb über ihre Bear­bei­tun­gen infor­mie­ren, meist in Form von Daten­schutz­er­klä­run­gen. Das sind Hin­wei­se oder Doku­men­te, die sich zur Daten­be­ar­bei­tung äussern – sie sind nicht Ver­trags­be­stand­teil und soll­ten in der Regel auch nicht Teil von AGB sein.

Wei­te­re Anga­ben fin­den Sie nach­ste­hend bei den wei­ter­füh­ren­den Informationen.

Ja. Grund­sätz­lich müs­sen Unter­neh­men über alle Daten­be­schaf­fun­gen infor­mie­ren, d.h. immer, wenn sie Per­so­nen­da­ten bewusst oder geplant erhe­ben (aber nicht über zufäl­lig anfal­len­de Daten, die sie nicht unbe­dingt bear­bei­ten wol­len und die für sie auch nicht wesent­lich wären).

Das betrifft diver­se Bear­bei­tun­gen, z.B. 

  • von End­kun­den
  • von Kon­takt­per­so­nen der Lie­fe­ran­ten, Kun­den, Mit­be­wer­ber, Ver­bän­de, Orga­ni­sa­tio­nen usw. 
  • von poten­ti­el­len Kunden
  • von Per­so­nen, die bewor­ben wer­den sollen
  • von Stel­len­be­wer­bern
  • von Mit­ar­bei­ten­den (wobei Ein­zel­hei­ten hier noch offen sind)

Es gibt aber Aus­nah­men, bei denen nicht infor­miert wer­den muss: 

  • Das Unter­neh­men oder jemand anders hat bereits über die ent­spre­chen­de Beschaf­fung informiert;
  • die Bear­bei­tung muss von Geset­zes wegen erfol­gen (z.B. im Arbeits­be­reich, im Bereich des GwG usw.)
  • Der Ver­ant­wort­li­che unter­liegt einem Berufs­ge­heim­nis, das der Infor­ma­ti­on entgegensteht
  • Die Daten wer­den über einen Drit­ten beschafft, also nicht direkt von der betrof­fe­nen Per­son, und deren Infor­ma­ti­on wäre unmög­lich oder unver­hält­nis­mä­ssig aufwendig.
  • Bei Medi­en gibt es wei­te­re Ausnahmen.

Die Daten­schutz­in­for­ma­ti­on muss so prä­sen­tiert wer­den, dass sie für den betrof­fe­nen in zumut­ba­rer Wei­se zugäng­lich ist. Dafür genügt im Nor­mal­fall eine Daten­schutz­er­klä­rung im Inter­net (oder für Mit­ar­bei­ten­de im Intra­net). Wer weiss, dass ein Unter­neh­men Per­so­nen­da­ten bear­bei­tet, kann dort nachlesen. 

Wenn eine Per­son nicht weiss, dass ein Unter­neh­men sei­ne Daten bear­bei­tet, ist das anders. Dann soll­te durch eine Mit­tei­lung infor­miert wer­den, wenn das mög­lich, nicht unver­hält­nis­mä­ssig auf­wen­dig und nicht sogar durch ein Berufs­ge­heim­nis ver­bo­ten ist. Das betrifft bspw. Fäl­le, bei denen ein Unter­neh­men Per­so­nen­da­ten von Dritt­per­so­nen erhält (Bene­fi­ci­al Owner bei Ban­ken, Begün­sti­ge bei Pen­si­ons­kas­sen, Ange­hö­ri­ge bei Mit­ar­bei­ten­den usw.). Hier kann die Infor­ma­ti­ons­pflicht der­je­ni­gen Per­son über­bun­den wer­den, die die­se Dritt­da­ten mitteilt. 

Die Ver­let­zung der Infor­ma­ti­ons­pflicht ist straf­bar, auf Antrag und bei Vor­satz. Das ist vor allem des­halb ein Risi­ko, weil betrof­fe­ne Per­so­nen das Straf­an­trags­recht im Streit­fall als Waf­fe nut­zen können. 

Zudem sind feh­len­de, offen­sicht­lich fal­sche oder unzu­rei­chen­de Daten­schutz­er­klä­run­gen gegen aussen sicht­bar. Das ist nicht nur ein Repu­ta­ti­ons­the­ma, son­dern zeigt auch, ob sich ein Unter­neh­men mit dem Daten­schutz über­haupt aus­ein­an­der­ge­setzt hat.

Ja, es gibt Vor­la­gen. Hier sind eini­ge Vor­la­gen abruf­bar. Wei­te­re kön­nen bei uns bezo­gen werden.

Todos
  • Redak­ti­on einer all­ge­mei­nen Datenschutzerklärung 
  • Redak­ti­on einer Daten­schutz­er­klä­rung für Mitarbeitende
  • allen­falls wei­te­re Datenschutzerklärungen
  • Über­le­gun­gen zu Hin­wei­sen auf die Daten­schutz­er­klä­run­gen bspw. in Ver­trä­gen und Musterkorrespondenz
  • allen­falls Über­le­gun­gen zu Anpas­sun­gen der Daten­be­ar­bei­tun­gen, z.B. zur Ablö­sung oder Ein­stel­lung bestimm­ter Ana­ly­se­tools auf Websites.

Aus­land

Das Daten­schutz­recht will Schutz gewähr­lei­sten. Es kann eine Über­mitt­lung in Staa­ten des­halb nicht schran­ken­los zulas­sen, wenn dort der erfor­der­li­che Schutz fehlt. Wie die DSGVO und das heu­ti­ge DSG erlaubt das revi­dier­te DSG eine sol­che Über­mitt­lung des­halb zunächst nur, wenn der Emp­fän­ger­staat einen ange­mes­se­nen Daten­schutz gewähr­lei­stet. Das gilt für alle Mit­glied­staa­ten der EU bzw. des EWR, aber auch für weni­ge wei­te­re Staa­ten. Mit den USA wird der­zeit ein Abkom­men ver­han­delt, das die Bekannt­ga­be an zer­ti­fi­zier­te US-Unter­neh­men grund­sätz­lich erlaubt. Es ist erst zwi­schen der EU und den USA in Kraft, wird in Kür­ze aber auch für die Schweiz ver­füg­bar sein. 

Fehlt ein ange­mes­se­nes Schutz­ni­veau, kann die Über­mitt­lung im Ein­zel­fall, in bestimm­ten Kon­stel­la­tio­nen, gesetz­lich erlaubt sein. Meist ver­langt die Bekannt­ga­be in die­sem Fall aber den Abschluss eines in der EU und in der Schweiz aner­kann­ten Ver­trags­werks, der sog. Stan­dard­ver­trags­klau­seln. Die aktu­el­le Fas­sung besteht aus vier Modu­len, je nach­dem, in wel­chen Rol­len – als Ver­ant­wort­li­che oder Auf­trags­be­ar­bei­ter – die Par­tei­en tätig sind. Dazu müs­sen die Anhän­ge der Klau­seln für den kon­kre­ten Fall ergänzt wer­den. Für Expor­te aus der Schweiz muss zudem ein Zusatz geschlos­sen wer­den, nach den Vor­ga­ben des EDÖB.

Ja. Die Bekannt­ga­be in Staa­ten ohne ange­mes­se­nen Schutz und ohne die not­wen­di­gen Ver­trags­klau­seln ist verboten.

Die Bekannt­ga­be in Staa­ten ohne ange­mes­se­nen Schutz und ohne die not­wen­di­gen Ver­trags­klau­seln kann straf­bar sein, bei Vor­satz und auf Antrag. Je nach­dem kann dies zudem eine Ver­trags­ver­let­zung darstellen.

Todos
  • Bestands­auf­nah­me, wo Daten in Staa­ten über­mit­telt wer­den, die kei­nen ange­mes­se­nen Schutz aufweisen
  • Prü­fung, ob auf die ent­spre­chen­de Bekannt­ga­be ver­zich­tet bzw. ob ein Dienst­lei­ster durch einen CH/EU-Anbie­ter ersetzt wer­den könnte
  • Prü­fung, ob mit dem Emp­fän­ger im ent­spre­chen­den unsi­che­ren Staat eine Ver­ein­ba­rung besteht, die die Stan­dard­ver­trags­klau­seln einschliesst
  • falls dem so ist, Prü­fung, ob die Stan­dard­ver­trags­klau­seln auf dem aktu­el­len Stand sind und ob sie die not­wen­di­gen Anpas­sun­gen auf die Schweiz ent­hal­ten (z.B. in Form eines stan­dar­di­sier­ten Zusat­zes, eines “Swiss Addendum”)
  • ggf. Abschluss wei­te­rer Ver­trä­ge (Stan­dard­ver­trags­klau­seln)

Wei­sun­gen

Das revi­dier­te Recht traut Unter­neh­men nicht mehr zu, den Daten­schutz zu gewähr­lei­sten, ohne dass eine gewis­se Struk­tur und Orga­ni­sa­ti­on geschaf­fen wird. Es ist zwar noch wesent­lich prin­zi­pi­en­ori­en­tier­ter als die DSGVO, aber bestimm­te Abläu­fe und Rah­men­be­din­gun­gen sind zu doku­men­tie­ren. Dazu kann der Erlass einer Wei­sung (Poli­cy usw.) gehö­ren, die bestimm­te Min­dest­an­ga­ben enthält. 

Nein. Zwin­gend ist der Erlass einer Wei­sung nach schwei­ze­ri­schem Daten­schutz­recht nicht.

Ein direk­tes Risi­ko ergibt sich aus dem Feh­len einer Wei­sung nicht, aber indi­rekt ent­ste­hen Risi­ken. Ohne eine grund­le­gen­de Wei­sung fällt es dem Unter­neh­men schwe­rer nach­zu­wei­sen, dass es sich grund­sätz­lich um den Daten­schutz bemüht. Das kann im Fall eines Straf­ver­fah­rens eine Rol­le spie­len, wenn auch nicht die Haupt­rol­le. Ohne Wei­sung ist aber auch die Orga­ni­sa­ti­on im Bereich des Daten­schutz­rechts nicht fest­ge­legt. Das führt dazu, dass Mit­ar­bei­ten­de weni­ger klar wis­sen, was ihre Mit­ver­ant­wor­tung ist. Das erhöht wie­der­um das Risi­ko der Lei­tungs­per­so­nen, im Fall einer Ver­let­zung selbt einer Haf­tung aus­ge­setzt zu sein. 

Todos
  • Aus­ar­bei­tung eines Ent­wurfs einer Wei­sung mit den wesent­li­chen Grund­sät­zen des Daten­schut­zes im Unter­neh­men. Dazu gehö­ren meist die Grund­zü­ge der Orga­ni­sa­ti­on (d.h. der Auf­ga­ben und Ver­ant­wort­lich­kei­ten der Lei­tungs­or­ga­ne, der ein­zel­nen Mit­ar­bei­ten­den und ggf. einer Daten­schutz­stel­le), die wich­tig­sten Grund­sät­ze im Umgang mit Daten, grund­le­gen­de Anfor­de­run­gen für die Daten­si­cher­heit und das Vor­ge­hen bei wesent­li­chen Ereig­nis­sen. Sinn­voll ist auch eine Art Hand­out an Mit­ar­bei­ten­de, das die wich­tig­sten Ver­hal­tens­re­geln ent­hält, als eige­nes Doku­ment oder als Anhang zu einer Weisung.
  • Abstim­mung mit den inter­nen betrof­fe­nen Per­so­nen – wer eine Auf­ga­be erhält, muss sie akzep­tie­ren und dafür ent­spre­chend vor­be­rei­tet wer­den (und die erfor­der­li­chen Res­sour­cen haben)
  • Über­le­gun­gen, ob wei­te­re Poli­ci­es oder Anwei­sun­gen sinn­voll sind, z.B. für die Ver­wen­dung von IT-Mit­teln des Unter­neh­mens, für die Daten­lö­schung oder für den Umgang mit Sicherheitsverletzungen 
  • ggf. Aus­ar­bei­tung wei­te­rer Poli­ci­es oder Anwei­sun­gen, beson­ders bei grö­sse­ren Unter­neh­men, bspw. Anlei­tun­gen für das HR oder Marketing

Ver­trä­ge

Das revi­dier­te DSG ver­langt in bestimm­ten Fäl­len den Abschluss von Ver­trä­gen. Das ergibt sich dar­aus, dass das DSG ver­schie­de­ne Rol­len von Unter­neh­men unterscheidet: 

  • Ver­ant­wort­li­che sind die­je­ni­gen Unter­neh­men, die die Bear­bei­tung ver­an­las­sen und die wesent­li­chen Rah­men­be­din­gun­gen bestim­men. Das sind bspw. Unter­neh­men für die Daten ihrer Kun­den und Mit­ar­bei­ten­den. Dazu fin­den Sie auch beim Bear­bei­tungs­ver­zeich­nis wei­te­re Hinweise. 
  • Auf­trags­be­ar­bei­ter sind Unter­neh­men, die Daten auf Instruk­ti­on und nach den Vor­ga­ben des Ver­ant­wort­li­chen bear­bei­ten. Haupt­bei­spie­le sind IT-Dienst­lei­ster. Ande­re Dienst­lei­ster sind u.U. auch Ver­ant­wort­li­che, bspw. Bera­ter, Ban­ken, Anwäl­te, Inkas­so­un­ter­neh­men usw. 

Wenn ein Ver­ant­wort­li­cher Per­so­nen­da­ten einem Auf­trags­be­ar­bei­ter bekannt­gibt, ist das grund­sätz­lich zuläs­sig. Es ver­langt aber den Abschluss einer ent­spre­chen­den Vereinbarung. 

Die Bekannt­ga­be an ande­re Ver­ant­wort­li­che kann je nach­dem hei­kel oder pro­blem­los sein. Das hängt von der Art der Daten und dem Zweck der Bekannt­ga­be ab. 

In der Daten­schutz­er­klä­rung müs­sen aber bei­de genannt wer­den, d.h. die Kate­go­rien (Arten) von Ver­ant­wort­li­chen und auch von Auf­trags­be­ar­bei­tern, denen Per­so­nen­da­ten bekannt­ge­ge­ben werden.

Ja. Die Bekannt­ga­be von Per­so­nen­da­ten an Auf­trags­be­ar­bei­ter ohne ent­spre­chen­de Ver­ein­ba­rung kann im Extrem­fall straf­bar sein, auf Antrag und bei Vor­satz. Bei der Bekannt­ga­be an Ver­ant­wort­li­che ist ein eige­ner Ver­trag nicht unbe­dingt zwin­gend, sehr oft aber sinnvoll. 

Bei einer Auf­trags­be­ar­bei­tung ohne aus­rei­chen­den Ver­trag besteht ein Straf­bar­keits­ri­si­ko. Aller­dings dürf­ten die mei­sten Ver­trä­ge die min­de­stens not­wen­di­gen Bestim­mun­gen enthalten. 

Wenn es um Daten geht, die einem Berufs­ge­heim­nis unter­lie­gen, muss die Bekannt­ga­be sepa­rat geprüft werden.

Todos
  • Prü­fung der Ver­trags­be­zie­hun­gen: Wo und wofür wer­den Dienst­lei­ster bei­gezo­gen? Wo gibt es Zusam­men­ar­beits­for­men, die eine gemein­sa­me Ver­ant­wor­tung darstellen?
  • Prü­fung der bestehen­den Ver­trä­ge: Gibt es sie? Sind sie halb­wegs aktu­ell? Ent­hal­ten sie bereits die not­wen­di­gen Datenschutzbestimmungen?
  • Anpas­sung oder Neu­ab­schluss von Ver­trä­gen, soweit die erfor­der­li­chen Daten­schutz­be­stim­mun­gen feh­len oder unzu­rei­chend sind
  • ggf. Aus­ar­bei­tung von eige­nen Vor­la­gen für den obi­gen Schritt
  • bei Dienst­lei­stern: Prü­fung, ob die erfor­der­li­chen Garan­tien ein­ge­hal­ten wer­den, v.a. ob die Daten­si­cher­heit bekannt und aus­rei­chend ist – allen­falls braucht es hier eine erneu­te Prüfung

Bear­bei­tungs­ver­zeich­nis

Das revi­dier­te Recht ver­zich­tet an sich bewusst auf eine eige­ne, all­ge­mei­ne Pflicht, Bear­bei­tun­gen oder die damit zusam­men­hän­gen­den Ent­schei­dun­gen zu doku­men­tie­ren. Punk­tu­ell sieht der Gesetz­ge­ber aber trotz­dem soge­nann­te Accoun­ta­bi­li­ty-Pflich­ten um. Dazu gehö­ren auch etwa die Auf­be­wah­rungs­pflicht bei der Daten­schutz-Fol­gen­ab­schät­zung oder die Pro­to­kol­lie­rung, vor allem aber die Pflicht, ein Bear­bei­tungs­ver­zeich­nis zu führen.

Ein Bear­bei­tungs­ver­zeich­nis ist eine Liste der Art und Wei­se, wie ein Unter­neh­men Per­so­nen­da­ten bear­bei­tet. Es muss die wesent­li­chen Rah­men­be­din­gun­gen der Bear­bei­tung ent­hal­ten, die teil­wei­se auch bei der Infor­ma­ti­ons­pflicht oder beim Aus­kunfts­recht zu beach­ten sind. Es sind auch die­se Rah­men­be­din­gun­gen, die ent­schei­den, wer über­haupt der Ver­ant­wort­li­che ist: Die­je­ni­ge Per­son, die die Bear­bei­tung ver­an­lasst und die­se Rah­men­be­din­gun­gen bestimmt.

Wei­te­re Anga­ben fin­den Sie anschlie­ssend bei den wei­ter­füh­ren­den Informationen.

  • Wer ist der Ver­ant­wort­li­che für die Bearbeitung?
  • Wel­chen Zweck hat die Bearbeitung?
  • Wel­che Kate­go­rien von Per­so­nen betrifft sie, und wel­che Arten von Personendaten?
  • An wel­che Arten von Emp­fän­gern wer­den Per­so­nen­da­ten bekanntgegeben?
  • Wie lan­ge oder nach wel­cher Logik wer­den Per­so­nen­da­ten aufbewahrt?
  • Wel­che Sicher­heits­mass­nah­men kom­men für sie zur Anwendung?
  • Falls Per­so­nen­da­ten ins Aus­land bekannt­ge­ge­ben wer­den: In wel­che Staa­ten und ggf. auf wel­cher Grundlage?
  • Wer ist der Auftragsbearbeiter?
  • Für wel­che Ver­ant­wort­li­chen ist er tätig?
  • Wel­che Arten von Bear­bei­tun­gen nimmt er für die­se vor?
  • Wel­che Sicher­heits­mass­nah­men kom­men für sie zur Anwendung?
  • Falls Per­so­nen­da­ten ins Aus­land bekannt­ge­ge­ben wer­den: In wel­che Staa­ten und ggf. auf wel­cher Grundlage?
  • Ein Bear­bei­tungs­ver­zeich­nis zu füh­ren, ist nur für Unter­neh­men zwin­gend, die jeweils zu Jah­res­be­ginn 250 oder mehr Mit­ar­bei­ten­de (nach Anzahl, nicht nach FTE) beschäftigen. 
  • Klei­ne­re Unter­neh­men müs­sen nur Bear­bei­tun­gen erfas­sen, die beson­ders schüt­zens­wer­te Per­so­nen­da­ten in gro­ssem Umfang betref­fen (was “gro­sser Umfang” heisst, ist offen – wir schla­gen eine Gren­ze von 1’000 vor) oder bei denen ein Pro­fil­ing mit hohem Risio erfolgt. Letz­te­res kann bspw. bei sehr aus­ge­feil­ten Per­so­na­li­sie­run­gen von Inhal­ten der Fall sein.
  • Bun­des­or­ga­ne – das sind auch bspw. Pen­si­ons­kas­sen und pri­vat­recht­lich orga­ni­sier­te Orga­ni­sa­tio­nen, die eine Bun­des­auf­ga­be erfül­len – müs­sen ein Bear­bei­tungs­ver­zeich­nis füh­ren. Sie müs­sen es zudem dem EDÖB mel­den und dafür ein Benut­zer­ac­count eröff­nen. Man kann das Ver­zeich­nis dem EDÖB aber auch so schicken. Die Ver­zeich­nis­se der Bun­des­or­ga­ne wer­den ver­öf­fent­licht.

Es ist nicht straf­bar, kein Bear­bei­tungs­ver­zeich­nis zu füh­ren (weder für Pri­va­te noch für Bun­des­or­ga­ne). Im Fall einer Unter­su­chung wird der EDÖB aber zuerst nach dem Ver­zeich­nis fra­gen – besteht es trotz einer Pflicht nicht, wird das Fra­gen zum Umgang mit Per­so­nen­da­ten gene­rell aufwerfen. 

Ja, es gibt diver­se Vor­la­gen. Eine Vor­la­ge für ein ein­fa­ches Ver­zeich­nis für Ver­ant­wort­li­che und Auf­trags­be­ar­bei­ter fin­den Sie hier bei uns.

Todos
  • Pri­va­te Unter­neh­men: Prü­fung, ob die Aus­nah­me für KMU greift – wenn ja, ob den­noch ein Ver­zeich­nis geführt wer­den soll
  • Bestim­mung des For­mats – ein­fa­cher ist mei­stens bes­ser (z.B. eine Excel-Liste oder eine Liste in einem bestehen­den Tool wie Con­fluence, Goog­le Sheets, Noti­on usw.), aber es kön­nen auch wei­te­re Anga­ben erfasst weden, wenn die­se Anga­ben anschlie­ssend in einer bestimm­ten Wei­se ver­wen­det wer­den sollen
  • Aus­ar­bei­tung einer Vor­la­ge des Ver­zeich­nis­ses (das kann man von uns auch bezie­hen) und ggf. einer kur­zen Anlei­tung dazu (für die­je­ni­gen Mit­ar­bei­ten­den, die das Ver­zeich­nis befül­len und à jour hal­ten sollen)
  • Bestim­mung des Vor­ge­hens für die initia­le Befül­lung und spä­te­re Aktua­li­sie­rung des Ver­zeich­nis­ses (wer ist zustän­dig, wie ist sicher­ge­stellt, dass neue Bear­bei­tun­gen erfasst werden)
  • Auf­nah­me des Ver­zeich­nis­ses, d.h. der Bear­bei­tungs­tä­tig­kei­ten – das ver­langt meist den Ein­be­zug des Busi­ness, des HR und der IT, z.B. in einem Workshop

Hoch­ris­kan­te Bearbeitungen

Das Gesetz folgt gene­rell einem risi­ko­ba­sier­ten Ansatz. Das heisst, dass Ver­ant­wort­li­che ihre Com­pli­ance-Mass­nah­men nach ihrer Beur­tei­lung der Risi­ken für Betrof­fe­ne abge­stuft aus­zu­rich­ten haben. Punk­tu­ell gibt das Gesetz aber höhe­re Anfor­de­run­gen bei beson­de­ren Risi­ken vor. 

Das Gesetz hat aller­dings kei­nen kon­si­sten­ten Ansatz bei den Risi­ken. Es gibt Anfor­de­run­gen, die bei bestimm­ten erhöh­ten Risi­ken gel­ten, nicht aber bei ande­ren. Unter­neh­men soll­ten sich aber jeden­falls bewusst sein, wo ihre Bear­bei­tun­gen zu erhöh­ten Risi­ken für die Betrof­fe­nen führen.

Die Bear­bei­tung von beson­ders schüt­zens­wer­ten Daten unter­liegt grund­sätz­lich mehr oder weni­ger den glei­chen Regeln wie die Bear­bei­tung son­sti­ger Daten. Beson­ders schüt­zens­wert sind Daten über reli­giö­se, welt­an­schau­li­che, poli­ti­sche oder gewerk­schaft­li­che Ansich­ten oder Tätig­kei­ten, Gesund­heits­da­ten, Daten über die Intim­sphä­re, Anga­ben über die Zuge­hö­rig­keit zu einer “Ras­se oder Eth­nie”, gene­ti­sche Daten, bio­me­tri­sche Daten, Daten über ver­wal­tungs- und straf­recht­li­che Ver­fol­gun­gen oder Sank­tio­nen und Daten über Mass­nah­men der Sozialhilfe.

Ein Unter­schied besteht aber bei der Bekannt­ga­be an einen ande­ren Ver­ant­wort­li­chen: Sie ist bei beson­ders schüt­zens­wer­ten Per­so­nen­da­ten nur mit einer Recht­fer­ti­gung zuläs­sig, d.h. mit einer Ein­wil­li­gung oder wenn die Inter­es­sen an der Bekannt­ga­be die ent­ge­gen­ste­hen­den Inter­es­sen des Betrof­fe­nen über­wie­gen (und wenn das Gesetz die Bekannt­ga­be ver­langt). Bun­des­or­ga­ne benö­ti­gen eine aus­drück­li­che gesetz­li­che Grund­la­ge für die Bekannt­ga­be beson­ders schüt­zens­wer­ter Personendaten.

Eine unzu­läs­si­ge Bekannt­ga­be sol­cher Per­so­nen­da­ten ist eine Daten­schutz­ver­let­zung. Sie kann zugleich aber auch ein Berufs­ge­heim­nis ver­let­zen, und sie kann auch nach dem DSG straf­bar sein.

Unter­schie­de bestehen auch bei der Ein­wil­li­gung. Sie ist nicht grund­sätz­lich erfor­der­lich, aber falls sie für eine bestimm­te Bear­bei­tung beson­ders schüt­zens­wer­ter Per­so­nen­da­ten not­wen­dig ist, muss sie aus­drück­lich sein.

Zudem soll­ten die Sicher­heits­mass­nah­men bei beson­ders schüt­zens­wer­ten Per­so­nen­da­ten robu­ster sein, als sie es für tri­via­le Daten sein müssen.

Bun­des­or­ga­ne müs­sen zudem ein Bear­bei­tungs­re­gle­ment füh­ren, wenn sie beson­ders schüt­zens­wer­te Per­so­nen­da­ten bear­bei­ten (und in eini­gen ande­ren Fäl­len wie z.B. beim Profiling).

Wenn beson­ders schüt­zens­wer­te Per­so­nen­da­ten “in gro­ssem Umfang” bear­bei­tet wer­den, gilt dies als Hoch­ri­si­ko­be­ar­bei­tung. In die­sem Fall 

  • muss eine Daten­schutz-Fol­gen­ab­schät­zung vor­ge­nom­men wer­den, und
  • es muss ein Bear­bei­tungs­re­gle­ment vor­lie­gen, das die­se Bear­bei­tung abdeckt. Das gilt in die­sem Fall lei­der auch für ihre Auf­trags­be­ar­bei­ter, auch wenn die­se oft nicht wis­sen kön­nen, ob die Vor­aus­set­zun­gen erfüllt sind; und
  • bestimm­te Bear­bei­tungs­vor­gän­ge müs­sen in einem bestimm­ten Umfang pro­to­kol­liert wer­den (und Bun­des­or­ga­ne müs­sen jede auto­ma­ti­sier­te Bear­bei­tung protokollieren).

Was “in gro­ssem Umfang” bedeu­tet, ist recht­lich unklar. Bei der DSGVO wird teils eine Gren­ze von 5’000 (Per­so­nen) ver­tre­ten. Das hat aber kei­ne Grund­la­ge in der DSGVO und kann für die Schweiz nicht über­nom­men wer­den. Eine Gren­ze von 1’000 ist nahe­lie­gen­der. Letzt­lich soll­te man sich fra­gen, ob man nicht auch bei einer nied­ri­gen Zahl eine Fol­gen­ab­schät­zung vor­neh­men will, das ist ein sinn­vol­les Instru­ment. Das Bear­bei­tungs­re­gle­ment kann recht ein­fach gehal­ten wer­den, eine Vor­la­ge dafür fin­det sich hier.

Bun­des­or­ga­ne müs­sen ein Bear­bei­tungs­re­gle­ment auch dann haben, wenn die Bear­bei­tung der beson­ders schüt­zens­wer­ten Per­so­nen­da­ten nicht in gro­ssem Umfang erfolgt.

Pro­fil­ing” ist jede com­pu­ter­ge­stütz­te Bear­bei­tung, bei der Per­so­nen­da­ten ver­wen­det wer­den, um über eine betrof­fe­ne Per­son Pro­gno­sen oder Ein­schät­zun­gen zu machen (z.B. bei der Kundensegmentierung).

Ein Pro­fil­ing hat für pri­va­te Unter­neh­men kaum Fol­gen. Das Gesetz ver­langt hier nichts Zusätz­li­ches. Man soll­te aber dafür sor­gen, dass das Pro­fil­ing trans­pa­rent ist, d.h. für die Betrof­fe­nen klar erkenn­bar (z.B. durch einen Hin­weis in der Datenschutzerklärung).

Bei Bun­des­or­ga­nen ist das anders:

  • Sie benö­ti­gen für ein Pro­fil­ing eine beson­de­re gesetz­li­che Grund­la­ge. Das ist bspw. der Fall für die SUVA, nicht aber für Kran­ken­kas­sen und Pensionskassen.
  • Wenn sie ein Pro­fil­ing aus­nahms­wei­se auf eine Ein­wil­li­gung stüt­zen, muss die­se zudem aus­drück­lich sein.
  • Im Fall eines Pro­filings müs­sen Bun­des­or­ga­ne zudem ein Bear­bei­tungs­re­gle­ment führen. 

Ein “Pro­fil­ing mit hohem Risi­ko” ist ein Pro­fil­ing, “das zu einer Ver­knüp­fung von Daten führt, die eine Beur­tei­lung wesent­li­cher Aspek­te der Per­sön­lich­keit einer natür­li­chen Per­son erlaubt”. Das ist ein ver­un­glück­ter Kom­pro­miss aus dem strit­ti­gen Gesetz­ge­bungs­ver­fah­ren. Es umfasst aber jedes Pro­fil­ing, das zu einem Per­sön­lich­keits­pro­fil führt, also ein Bild einer Per­son ergibt. Es kann auch ver­tre­ten wer­den, dass ein Pro­fil­ing mit hohem Risi­ko auch dann vor­liegt, wenn sehr vie­le Daten für ein Pro­fil­ing ver­wen­det werden. 

Im Fall eines Pro­filings mit hohem Risiko

  • muss eine Daten­schutz-Fol­gen­ab­schät­zung durch­ge­führt werden: 
  • es muss ein Bear­bei­tungs­re­gle­ment geführt wer­den; und 
  • das Pro­fil­ing mit hohem Risi­ko muss pro­to­kol­liert wer­den (was Bun­des­or­ga­ne bei auto­ma­ti­sier­ten Bear­bei­tun­gen ohne­hin tun müssen). 

Bei Bun­des­or­ga­nen gel­ten die wei­te­ren Anfor­de­run­gen, die schon für ein nor­ma­les Pro­fil­ing gelten.

Das Gesetz erfasst punk­tu­ell auch ande­re Bear­bei­tun­gen als beson­ders riskant:

  • Bei einer syste­ma­ti­schen und umfang­rei­chen Über­wa­chung öffent­li­cher Berei­che (z.B. Video­über­wa­chung von öffent­li­chen Berei­chen) muss eine Daten­schutz-Fol­gen­ab­schät­zung durch­ge­führt werden. 
  • Beim Ein­satz neu­er Tech­no­lo­gien (z.B. im AI-Bereich), bei einer beson­ders umfang­rei­chen Bear­bei­tung von Per­so­nen­da­ten, bei heik­len Daten­ver­knüp­fun­gen usw. kann eben­falls eine Daten­schutz-Fol­gen­ab­schät­zung not­wen­dig sein. 
  • Wenn Ent­schei­dun­gen auto­ma­ti­siert gefällt wer­den, die für betrof­fe­ne Per­so­nen erheb­lich nach­tei­lig sein kön­nen (sog. “auto­ma­ti­sier­te Ein­zel­ent­schei­dun­gen”) müs­sen die Betrof­fe­nen ent­spre­chend infor­miert wer­den, und sie haben das Recht, die­se Ent­schei­dung zu bespre­chen und über­prü­fen zu lassen. 
  • Kan­to­na­le Orga­ne haben das kan­to­na­le Daten­schutz­recht zu beachten.
  • Berufs­ge­heim­nis­se sind beson­ders gegen eine Bekannt­ga­be geschützt.
Todos
  • Prü­fung, ob beson­ders schüt­zens­wer­te Per­so­nen­da­ten bear­bei­tet wer­den (nicht zufäl­lig am Ran­de, son­dern geplant) und wie die­se bear­bei­tet und geteilt werden
  • Prü­fung, ob ggf. eine umfang­rei­che sol­che Bear­bei­tung vorliegt
  • Prü­fung, ob ein Pro­fil­ing mit hohem Risi­ko erfolgt
  • falls ja: Prü­fung wei­te­rer Mass­nah­men, ggf. Durch­füh­rung einer Datenschutz-Folgenabschätzung

Wei­te­re Punkte

Neben den genann­ten Punk­ten sind natür­lich wei­te­re Punk­te zu beden­ken. Ohne Anspruch auf Voll­stän­dig­keit: zwei der wich­tig­sten Punk­te sind sicher die Daten­lö­schung und die Datensicherheit.

Todos
  • Wo mit Gewiss­heit ver­al­te­te Daten lie­gen: Beginn einer Auf­räum­ak­ti­on (z.B. bei geteil­ten Ord­nern, die alte Bewer­ber­dos­siers enthalten)
  • Abklä­rung der wesent­li­chen Auf­be­wah­rungs­fri­sten (eine Mischung aus Auf­be­wah­rungs­pflich­ten und Ver­jäh­rungs­fri­sten), am besten in einer Lösch-Policy
  • Defi­ni­ti­on von Regeln für das hän­di­sche Löschen (eben­falls in der Lösch-Policy)
  • Kon­fi­gu­ra­ti­on von Appli­ka­tio­nen zur auto­ma­ti­schen Löschung, soweit mög­lich und sinnvoll
  • Sofern die Sicher­heits­mass­nah­men nicht auf dem aktu­el­len Stand sind: ent­spre­chen­de Prü­fung der eige­nen Syste­me und Schnittstellen
  • Schu­lung der Mit­ar­bei­ten­den in einem geeig­ne­ten Mass und Turnus