Geset­ze

  • Wei­sun­gen
  • Bear­bei­tungs­ver­zeich­nis
  • Infor­ma­ti­on
  • Ver­trä­ge
  • Aus­lands­über­mitt­lung
  • Hoch­ri­si­ko-Bear­bei­tun­gen
  • Wei­te­re Punkte

Umset­zung des nDSG

Es haben sich in der Zwi­schen­zeit Erfah­rungs­wer­te gebil­det, wie das Daten­schutz­recht umzu­set­zen ist. Beson­ders bei gro­ssen Unter­neh­men und Unter­neh­men in einem kom­ple­xen oder regu­lier­ten Umfeld wer­den sich zahl­rei­che wei­te­re Fra­gen stel­len. Aber auch die läng­ste Rei­se beginnt bekannt­lich mit dem ersten Schritt.

Check­li­sten für KMU

Nicht nur gro­sse Unter­neh­men müs­sen das neue Daten­schutz­recht umset­zen, son­dern auch KMU. Aus­nah­men für KMU gibt es im nDSG nur am Ran­de – die mei­sten Vor­ga­ben gel­ten auch für sie. Die Erwar­tun­gen an den Stan­dard der Umset­zung sind aller­dings ande­re. Wir haben des­halb eine Check­li­ste für KMU aus­ge­ar­bei­tet. Sie ist auf ein­fa­che­re Ver­hält­nis­se und pri­va­te Unter­neh­men aus­ge­legt (nicht für öffent­li­che Orga­ne). Sie erhebt kei­nen Anspruch auf Voll­stän­dig­keit und stellt kei­ne Rechts­be­ra­tung dar. 

Wei­sun­gen

Das revi­dier­te Recht traut Unter­neh­men nicht mehr zu, den Daten­schutz zu gewähr­lei­sten, ohne dass eine gewis­se Struk­tur und Orga­ni­sa­ti­on geschaf­fen wird. Es ist zwar noch wesent­lich prin­zi­pi­en­ori­en­tier­ter als die DSGVO, aber bestimm­te Abläu­fe und Rah­men­be­din­gun­gen sind zu dokumentieren.

Zunächst soll­te ein Unter­neh­men die Grund­sät­ze sei­nes Umgangs mit Per­so­nen­da­ten in einer inter­nen Richt­li­nie (Poli­cy) regeln. Zwin­gend ist das nicht, aber aus meh­re­ren Grün­den sinnvoll:

  • Eine Poli­cy legt die Orga­ni­sa­ti­on des Unter­neh­mens im Bereich des Daten­schut­zes fest, und beson­ders auch die inter­nen Zustän­di­gen und Ver­ant­wort­lich­kei­ten. Damit ist eine Poli­cy auch ein Ele­ment der kor­rek­ten Dele­ga­ti­on und damit Ent­la­stung der Führungsorgane.
  • Eine Poli­cy hilft, das Bekennt­nis des Unter­neh­mens zu einem ange­mes­se­nen Daten­schutz intern zu kommunizieren.
  • Es ist abseh­bar, dass Unter­neh­men durch Kun­den und ggf. bei einer Über­nah­me öfter nach einer Poli­cy gefragt werden.
  • Wenn eine Daten­schutz­ver­let­zung geschieht, hilft eine Poli­cy bei der Ver­tei­di­gung oder zumin­dest beim Argu­ment, dass man den Daten­schutz nicht ganz ausser Acht gelas­sen hat.

Das Unter­neh­men soll­te sich im Rah­men der Poli­cy des­halb u.a. über­le­gen, wer wofür zustän­dig sein soll. Dabei stellt sich auch die Fra­ge, wel­ches Know­how und wel­che Res­sour­cen intern vor­han­den sind und was ein­ge­kauft wer­den soll. Eine Fra­ge der Orga­ni­sa­ti­on ist auch die Bestel­lung eines Daten­schutz­be­ra­ters (das ent­spricht mehr oder weni­ger dem “DPO” der DSGVO). Man muss kei­nen Daten­schutz­be­ra­ter bestel­len, aber es kann sinn­voll sein, beson­ders bei Unter­neh­men mit heik­len Daten und sol­chen mit beson­de­ren Kundenerwartungen.

Ob wei­te­re Poli­ci­es, Wei­sun­gen oder Anlei­tun­gen erfor­der­lich sind, hängt von der Kom­ple­xi­tät der Orga­ni­sa­ti­on und von sei­nem Geschäfts­mo­dell ab. 

Sinn­voll ist aber jeden­falls eine Poli­cy zur Daten­lö­schung. Dazu fin­den sich anschlie­ssend Hinweise. 

Auch der Umgang mit Daten­si­cher­heits­ver­let­zun­gen ist wesent­lich. Zum einen führt das revDSG eine Pflicht ein, Sicher­heits­ver­let­zun­gen unter bestimm­ten Vor­aus­set­zun­gen dem EDÖB oder den betrof­fe­nen Per­so­nen mit­zu­tei­len. Dafür steht nur eine beschränk­te Frist zur Ver­fü­gung. Zum ande­ren führt ein fal­scher Umgang mit Sicher­heits­ver­let­zun­gen zu Repu­ta­ti­ons­ri­si­ken. Unter­neh­men müs­sen sich des­halb über­le­gen, wie sie sicher­stel­len, dass Sicher­heits­ver­let­zun­gen rasch ent­deckt und intern auf­ge­nom­men oder eska­liert werden.

Eben­falls sinn­voll kann eine gene­rel­le Anlei­tung sein – im Sin­ne mög­lichst ein­fa­cher und kon­kre­ter Hin­wei­se –, wie gene­rell mit ausser­ge­wöhn­li­chen Situa­tio­nen umzu­ge­hen ist, bspw. mit einer Sicher­heits­ver­let­zung, einem Aus­kunfts­be­geh­ren oder auch dem Ein­satz neu­er Software.

Todos
  • Aus­ar­bei­tung eines Ent­wurfs einer Poli­cy mit den wesent­li­chen Grund­sät­zen des Daten­schut­zes im Unternehmen
  • Abstim­mung mit den inter­nen betrof­fe­nen Per­so­nen – wer eine Auf­ga­be erhält, muss sie akzep­tie­ren und dafür ent­spre­chend vor­be­rei­tet wer­den (und die erfor­der­li­chen Res­sour­cen haben)
  • Über­le­gun­gen, ob wei­te­re Poli­ci­es oder Anwei­sun­gen sinn­voll sind, z.B. für die Daten­lö­schung oder den Umgang mit Sicherheitsverletzungen 
  • ggf. Aus­ar­bei­tung wei­te­rer Poli­ci­es oder Anweisungen

Bear­bei­tungs­ver­zeich­nis

Das revi­dier­te Recht ver­zich­tet an sich bewusst auf eine eige­ne, all­ge­mei­ne Pflicht, Bear­bei­tun­gen oder die damit zusam­men­hän­gen­den Ent­schei­dun­gen zu doku­men­tie­ren. Punk­tu­ell sieht der Gesetz­ge­ber aber trotz­dem soge­nann­te Accoun­ta­bi­li­ty-Pflich­ten um. Dazu gehö­ren auch etwa die Auf­be­wah­rungs­pflicht bei der Daten­schutz-Fol­gen­ab­schät­zung oder die Pro­to­kol­lie­rung, vor allem aber die Pflicht, ein Bear­bei­tungs­ver­zeich­nis zu führen.

Das Bear­bei­tungs­ver­zeich­nis ist ein Ver­zeich­nis der Bear­bei­tungs­tä­tig­kei­ten eines Unter­neh­mens. Es geht nicht um eine Kata­lo­gi­sie­rung der ein­zel­nen Daten (z.B. die Namen aller Kun­den), son­dern um ein Ver­zeich­nis der Art und Wei­se der Daten­be­ar­bei­tun­gen. Das Gesetz defi­niert die “Bear­bei­tungs­tä­tig­keit” nicht, aber es geht um Daten­be­ar­bei­tun­gen mit ähn­li­chem Zweck und ver­gleich­ba­ren Rah­men­be­din­gun­gen. Zu gra­nu­lar soll­te man dabei nicht sein, denn das Ver­zeich­nis soll selbst­er­klä­rend sein und dabei ein ver­ständ­li­ches Bild der Bear­bei­tun­gen ver­mit­teln – das wird bei hun­der­ten von Ein­trä­gen nicht erreicht. Bei einem KMU soll­ten es eher 10 – 15 Tätig­kei­ten sein.

Ver­ant­wort­li­che und Auf­trags­be­ar­bei­ter müs­sen bei­de ein Ver­zeich­nis füh­ren, aber es unter­schei­det sich inhalt­lich stark. Ver­ant­wort­li­che haben pro Bear­bei­tungs­tä­tig­keit fol­gen­de Punk­te zu erfas­sen – das sind die­je­ni­gen Punk­te, die eine Bear­bei­tung daten­schutz­recht­lich gese­hen beschrei­ben und ihre Risi­ken prägen:

  • Fir­ma und Adres­se des Ver­ant­wort­li­chen (d.h. des Unter­neh­mens, nicht etwa der Per­so­nen, die für das Aus­fül­len des Ver­zeich­nis­ses zustän­dig sind)
  • jeweils den Zweck der Bear­bei­tung (wozu dient sie, wie­so gibt es sie überhaupt)
  • Kate­go­rien betrof­fe­ner Per­so­nen (z.B. Mit­ar­bei­ten­de, Bewer­ber, Kon­takt­per­so­nen von Kun­den, End­kun­den etc.)
  • Kate­go­rien bear­bei­te­ter Per­so­nen­da­ten (z.B. Stamm­da­ten, Trans­ak­ti­ons­da­ten, Ver­trags­da­ten usw.)
  • Kate­go­rien der Emp­fän­ger (z.B. IT-Dienst­lei­ster, Grup­pen­ge­sell­schaf­ten, Behör­den, Part­ner usw.)
  • die Auf­be­wah­rungs­dau­er oder die Kri­te­ri­en zur Fest­le­gung der Dau­er (am besten durch Ver­wei­sung auf ein Lösch­kon­zept; sonst z.B. “sechs Mona­te ab X”, “11 Jah­re ab X”, “unbe­fri­stet” usw.)
  • Beschrei­bung der Daten­si­cher­heits­mass­nah­men (z.B. durch Ver­wei­sung auf ein Doku­ment mit den ent­spre­chen­den Angaben);
  • falls Daten ins Aus­land bekannt­ge­ge­ben wer­den oder wer­den sol­len: eine Liste die­ser Staa­ten (das schliesst auch Staa­ten in Euro­pa ein und alle Bekannt­ga­ben, auch sol­che an Dienst­lei­ster). Falls eine Bekannt­ga­be auf den Stan­dard­ver­trags­klau­seln (oder einen ande­ren Daten­über­mitt­lungs­ver­trag) beruht, soll­te dies eben­falls erwähnt werden.

Auf­trags­be­ar­bei­ter dür­fen es sich etwas ein­fa­cher machen, sie müs­sen bloss eine Liste der Ver­ant­wort­li­chen füh­ren, für die sie Daten im Auf­trag bear­bei­ten, und die Arten von Bear­bei­tun­gen im Auf­trag umschrei­ben. Zudem müs­sen auch sie die Anga­ben zur Daten­si­cher­heit und zur Bekannt­ga­be ins Aus­land erfassen.

Das Unter­neh­men soll­te sich im Rah­men der Poli­cy des­halb u.a. über­le­gen, wer wofür zustän­dig sein soll. Dabei stellt sich auch die Fra­ge, wel­ches Know­how und wel­che Res­sour­cen intern vor­han­den sind und was ein­ge­kauft wer­den soll. Eine Fra­ge der Orga­ni­sa­ti­on ist auch die Bestel­lung eines Daten­schutz­be­ra­ters (das ent­spricht mehr oder weni­ger dem “DPO” der DSGVO). Man muss kei­nen Daten­schutz­be­ra­ter bestel­len, aber es kann sinn­voll sein, beson­ders bei Unter­neh­men mit heik­len Daten und sol­chen mit beson­de­ren Kundenerwartungen.

Das Gesetz sagt nur wenig zur Form des Ver­zeich­nis­ses. Es muss aber nicht unter­schrie­ben wer­den, und es muss auch nicht revi­si­ons­si­cher sein. Auch die Anfor­de­run­gen der GebüV an die Auf­be­wah­rung von Buchungs­be­le­gen gel­ten nicht. In Fra­ge kom­men daher 

  • ein Excel- oder Word-Doku­ment, lokal oder im Share­point oder ande­ren Plattform
  • Tools, die oft ohne­hin schon im Ein­satz sind, z.B. Con­fluence oder Notion
  • spe­zia­li­sier­te Tools von ent­spre­chen­den Anbietern

Wich­ti­ger als die Form ist die Fra­ge, wie das Ver­zeich­nis auf dem lau­fen­den Stand gehal­ten wer­den kann. Dafür ist ein inter­ner Pro­zess erfor­der­lich, der je nach Grö­sse und Kom­ple­xi­tät der Orga­ni­sa­ti­on unter­schied­lich aus­se­hen kann. In vie­len Fäl­len genügt eine Anwei­sung – in einer for­mel­len Wei­sung oder auch in einem kur­zen Hand­out für Mit­ar­bei­ten­de –, dass bei neu­en oder geän­der­ten Bear­bei­tun­gen eine bestimm­te Per­son zu infor­mie­ren ist. Bei grö­sse­ren Unter­neh­men bie­tet es sich eher an, bei bestehen­den Pro­zes­sen ent­spre­chen­de Ergän­zun­gen oder Anpas­sun­gen zu machen – bspw. kann es sinn­voll sein, das Bear­bei­tungs­ver­zeich­nis mit bereits defi­nier­ten Pro­zes­sen zu ver­bin­den und Mit­ar­bei­ten­de bei Anpas­sun­gen oder neu­en Pro­zes­sen das Ver­zeich­nis kon­sul­tie­ren las­sen, damit Lücken erkannt und geschlos­sen wer­den. Auch Stich­pro­ben durch Daten­schutz­stel­len kom­men in Fra­ge – das sind alles aber kei­ne aus­drück­li­chen Anfor­de­run­gen, son­dern Fra­gen einer funk­tio­nie­ren­den Com­pli­ance-Orga­ni­sa­ti­on je nach Unternehmen.

KMU sind von der Pflicht befreit, ein Bear­bei­tungs­ver­zeich­nis zu füh­ren. Das betrifft aber nur KMU mit weni­ger als 250 Mit­ar­bei­ten­den (jeweils per 1. Janu­ar). Sol­che KMU dür­fen frei­wil­lig ein Ver­zeich­nis füh­ren, müs­sen es grund­sätz­lich aber nicht. Es kann durch­aus sinn­voll sein, ein Ver­zeich­nis frei­wil­lig zu füh­ren, sofern die Bear­bei­tun­gen nicht so tri­vi­al sind, dass sie auch so klar sind.

Aller­dings müs­sen auch sol­che KMU ein Ver­zeich­nis füh­ren, wenn sie beson­ders ris­kan­te Bear­bei­tun­gen vor­neh­men, d.h. wenn sie umfang­reich beson­ders schüt­zens­wer­te Daten (z.B. Gesund­heits­da­ten) bear­bei­ten oder wenn sie ein “Pro­fil­ing mit hohem Risi­ko” vor­neh­men. In die­sem Fall müs­sen sie nicht alle, aber doch die­se heik­len Bear­bei­tun­gen in einem Ver­zeich­nis erfassen. 

Todos
  • Prü­fung, ob die Aus­nah­me für KMU greift – wenn ja, ob den­noch ein Ver­zeich­nis geführt wer­den soll
  • Bestim­mung des For­mats – ein­fa­cher ist mei­stens besser
  • Aus­ar­bei­tung einer Vor­la­ge und ggf. einer kur­zen Anlei­tung dazu
  • Bestim­mung des Vor­ge­hens für die initia­le Befül­lung und spä­te­re Aktua­li­sie­rung des Verzeichnisses
  • Auf­nah­me des Ver­zeich­nis­ses, d.h. der Bear­bei­tungs­tä­tig­kei­ten – das ver­langt meist den Ein­be­zug des Busi­ness, des HR und der IT, z.B. in einem Workshop

Infor­ma­ti­on

Das heu­ti­ge DSG ver­langt nur in Aus­nah­me­fäl­len eine aus­drück­li­che Infor­ma­ti­on über die Bear­bei­tung von Per­so­nen­da­ten (wenn beson­ders schüt­zens­wer­te Per­so­nen­da­ten wie z.B. Gesund­heits­da­ten oder Per­sön­lich­keits­pro­fi­le beschafft wer­den). In den mei­sten Fäl­len reicht es, wenn sich eine Bear­bei­tung von selbst versteht.

Das ändert sich mit dem revi­dier­ten Gesetz. Ana­log zur DSGVO ver­langt das Gesetz bei allen Bear­bei­tun­gen eine Infor­ma­ti­on, sofern nicht eine Aus­nah­me greift. Das gilt sogar bei selbst­ver­ständ­li­chen und tri­via­len Bear­bei­tun­gen. Damit wird zwar nie­man­dem gehol­fen, aber eine Ver­let­zung die­ser Pflicht kann sogar straf­bar sein. 

Unter­neh­men soll­ten des­halb über ihre Bear­bei­tun­gen infor­mie­ren, meist in Form von Daten­schutz­er­klä­run­gen. Das sind Hin­wei­se oder Doku­men­te, die sich zur Daten­be­ar­bei­tung äussern – sie sind nicht Ver­trags­be­stand­teil und soll­ten in der Regel auch nicht Teil von AGB sein.

Wel­che und wie vie­le Daten­schutz­er­klä­run­gen erfor­der­lich sind, ist vom Geschäfts­mo­dell abhän­gig. Mei­stens wer­den es aber etwa fol­gen­de sein:

  • eine all­ge­mei­ne Daten­schutz­er­klä­rung, die auf der Web­site bereit­ge­stellt wird und die die mei­sten Bear­bei­tun­gen abdeckt, z.B. den Umgang mit End­kun­den­da­ten, mit Daten von Kon­takt­per­so­nen bei Kun­den und Lie­fe­ran­ten, beim Mar­ke­ting, bei der Zusam­men­ar­beit mit Part­nern usw.;
  • eine sepa­ra­te Coo­kie Noti­ce, die den Umgang mit Per­so­nen­da­ten über die Webseite(n) und ggf. Apps erklärt. Sie kann Teil der all­ge­mei­nen Daten­schutz­er­klä­rung sein, aber eine eige­ne Erklä­rung ent­spricht oft mehr den Erwartungen;
  • eine Daten­schutz­er­klä­rung für Mit­arb-eiten­de. Sie kann sich auch zu Stel­len­be­wer­ben­den äussern, sofern hier nicht eine eige­ne Daten­schutz­er­klä­rung ver­wen­det wird.

Eine ande­re Fra­ge ist, auf wel­che Wei­se betrof­fe­ne Per­so­nen (d.h. Per­so­nen, deren Daten bear­bei­tet wer­den), auf die pas­sen­de Daten­schutz­er­klä­rung hin­ge­wie­sen wer­den. Dafür gibt es kei­ne One-Size-Fits-All-Lösung – ent­schei­dend sind die Schnitt­stel­len mit den betrof­fe­nen Per­so­nen. Sinn­voll sind aber Hinweise

  • in Ver­trä­gen, zumin­dest in Ver­trä­gen mit End­kun­den (AGB) und in Arbeits­ver­trä­gen oder ‑regle­men­ten,
  • in der Fuss­zei­le der Web­sei­te und in Apps,
  • in Kor­re­spon­denz mit betrof­fe­nen Per­so­nen, z.B. in einer E‑Mail-Signa­tur, in Rech­nun­gen, Bestell­for­mu­la­ren usw. Hier kön­nen und soll­ten auch Bestands­kun­den, deren Daten vor dem Inkraft­tre­ten des neu­en Geset­zes beschafft wor­den sind, auf die Daten­schutz­er­klä­rung auf­merk­sam gemacht werden.

Ein­wil­li­gun­gen sind nach schwei­ze­ri­schem Daten­schutz­recht nicht häu­fig erforderlich.

An Ein­wil­li­gun­gen ist aber zu den­ken, wenn beson­ders schüt­zens­wer­te Daten (z.B. Gesund­heits­da­ten) wei­ter­ge­ge­ben wer­den und beim E‑Mail-Mar­ke­ting.

Todos
  • Aus­ar­bei­tung der Daten­schutz­er­klä­run­gen – dafür ste­hen Muster zur Ver­fü­gung, die sich mit den not­wen­di­gen Anpas­sun­gen als Aus­gangs­ma­te­ri­al eig­nen. Ein aus­führ­li­ches Muster fin­det sich hier, und wei­te­re Muster sind verfügbar
  • Über­le­gun­gen zu Hin­wei­sen auf die Daten­schutz­er­klä­run­gen bspw. in Ver­trä­gen und Musterkorrespondenz
  • allen­falls Über­le­gun­gen zu Anpas­sun­gen der Daten­be­ar­bei­tun­gen, z.B. zur Ablö­sung oder Ein­stel­lung bestimm­ter Ana­ly­se­tools auf Websites.

Ver­trä­ge

Das revi­dier­te DSG ver­langt in bestimm­ten Fäl­len den Abschluss von Ver­trä­gen. Das ergibt sich dar­aus, dass das DSG ver­schie­de­ne Rol­len von Unter­neh­men unterscheidet.

Der “Ver­ant­wort­li­che” ist das­je­ni­ge Unter­neh­men, das Daten im eige­nen Inter­es­se bear­bei­tet oder bear­bei­ten lässt und das über die­se Bear­bei­tung bestimmt. Ein Unter­neh­men ist z.B. ein Ver­ant­wort­li­cher für die Bear­bei­tung der Daten sei­ner Mit­ar­bei­ter und sei­ner (End-)Kunden.

Ein “Auf­trags­be­ar­bei­ter” bear­bei­tet auch Daten, aber nur als Dienst­lei­ster für einen Ver­ant­wort­li­chen. Ein Auf­trags­be­ar­bei­ter ist z.B. ein Hosting­dienst­lei­ster oder der Anbie­ter einer Cloud-basier­ten Soft­ware­lö­sung: Hier bestimmt der Ver­ant­wort­li­che über die Art und Wei­se der Daten­be­ar­bei­tung. Man­che Dienst­lei­ster sind aller­dings auch Ver­ant­wort­li­che – dann, wenn sie über die Art der Daten­be­ar­bei­tung weit­ge­hend selbst ent­schei­den. Ein Bei­spiel ist eine Anwaltskanzlei.

Weil sich die­se Rol­len bei der Bear­bei­tung so stark unter­schei­den, tun es auch die daten­schutz­recht­li­chen Pflich­ten. Der Ver­ant­wort­li­che muss das vol­le Pflich­ten­pro­gramm des DSG ein­hal­ten (des­halb heisst er auch “Ver­ant­wort­li­cher”). Ein Auf­trags­be­ar­bei­ter muss und kann das nicht im glei­chen Umfang, weil er bis zu einem gewis­sen Grad vom Ver­ant­wort­li­chen gesteu­ert wird – er ist sozu­sa­gen des­sen ver­län­ger­ter Arm. 

Dies ver­langt aber auch, dass der Ver­ant­wort­li­che und der Auf­trags­be­ar­bei­ter ihre Bezie­hung ver­trag­lich regeln. Dazu müs­sen sie einen sog. Auf­trags­be­ar­bei­tungs­ver­trag schlie­ssen – Regeln bspw. über das Wei­sungs­recht des Ver­ant­wort­li­chen, sein Recht, die Daten­be­ar­bei­tung zu prü­fen, und die Pflicht des Auf­trags­be­ar­bei­ters, die Daten­si­cher­heit zu gewähr­lei­sten und beim Ende sei­nes Auf­trags Daten zu löschen.

Fehlt ein sol­cher Ver­trag bei einer Auf­trags­be­ar­bei­tung, kann das nach dem revi­dier­ten DSG straf­bar sein. Der Ver­ant­wort­li­che muss des­halb sicher­stel­len, dass er sol­che Ver­trä­ge geschlos­sen hat oder schliesst. Bei Anbie­tern von Stan­dard­lö­sun­gen ist das i.d.R. der Fall – sie schlie­ssen sol­che Ver­trä­ge in ihre Stan­dard­ver­trä­ge ein. Bei ande­ren Anbie­tern kön­nen sie aber fehlen. 

Und beson­ders kon­zern­in­tern feh­len sol­che Ver­trä­ge nicht sel­ten, wenn eine Gesell­schaft kon­zern­in­tern zen­tra­le Dienst­lei­stun­gen wie z.B. ein CRM-System betreibt. Kon­zern­in­tern kön­nen auch wei­te­re Punk­te zu regeln sein, z.B. der Arbeits­ein­satz von Mit­ar­bei­ten­den einer Gesell­schaft für eine andere.

Neben der Auf­trags­be­ar­bei­tung gibt es auch die gemein­sa­me Ver­ant­wor­tung, wenn meh­re­re Unter­neh­men gemein­sam über eine Bear­bei­tung ent­schei­den. Das Kon­zept ist reich­lich unklar, aber kon­zern­in­tern ist eine gemein­sa­me Ver­ant­wor­tung häu­fig, wenn meh­re­re Kon­zern­ge­sell­schaf­ten die­sel­be Lösung z.B. für das Mit­ar­bei­ter­ma­nage­ment oder ein CRM ver­wen­den. Auch bei Part­ner­schaf­ten, bei denen Daten für ein gemein­sa­mes Pro­dukt bear­bei­tet wer­den, sind gemein­sa­me Ver­ant­wort­lich­kei­ten nicht selten. 

Anders als die DSGVO ver­langt das revi­dier­te Gesetz nicht aus­drück­lich eige­ne Ver­ein­ba­rung zwi­schen den gemein­sam Ver­ant­wort­li­chen. Sie ist aber sinn­voll, denn hier ist eine Abgren­zung der Zustän­dig­kei­ten und Ver­ant­wor­tung oft schwie­rig. Es soll­te daher i.d.R. ver­ein­bart wer­den, wer die betrof­fe­nen Per­so­nen infor­miert, wer sich um Aus­kunfts­be­geh­ren küm­mert, wer die Daten­si­cher­heit gewähr­lei­stet usw.

Ein wich­ti­ges The­ma ist der­zeit die Über­mitt­lung von Per­so­nen­da­ten ins Aus­land. Sie ver­langt u.U. eben­falls den Abschluss oder eine Prü­fung von Ver­trä­gen. Dazu fin­den sich anschlie­ssend sepa­ra­te Hinweise.

Todos
  • Prü­fung der Ver­trags­be­zie­hun­gen: Wo und wofür wer­den Dienst­lei­ster bei­gezo­gen? Wo gibt es Zusam­men­ar­beits­for­men, die eine gemein­sa­me Ver­ant­wor­tung darstellen? 
  • Das ist jeweils inner­halb der Grup­pe aus auch für exter­ne Part­ner zu prüfen.
  • Prü­fung der bestehen­den Ver­trä­ge: Gibt es sie? Sind sie halb­wegs aktu­ell? Ent­hal­ten sie bereits die not­wen­di­gen Datenschutzbestimmungen?
  • Anpas­sung oder Neu­ab­schluss von Ver­trä­gen, soweit die erfor­der­li­chen Daten­schutz­be­stim­mun­gen feh­len oder unzu­rei­chend sind
  • ggf. Aus­ar­bei­tung von eige­nen Vor­la­gen für den obi­gen Schritt
  • bei Dienst­lei­stern: Prü­fung, ob die erfor­der­li­chen Garan­tien ein­ge­hal­ten wer­den, v.a. ob die Daten­si­cher­heit bekannt und aus­rei­chend ist – allen­falls braucht es hier eine erneu­te Prüfung

Aus­land

Das Daten­schutz­recht will Schutz gewähr­lei­sten. Es kann eine Über­mitt­lung in Staa­ten des­halb nicht schran­ken­los zulas­sen, wenn dort der erfor­der­li­che Schutz fehlt. Wie die DSGVO und das heu­ti­ge DSG erlaubt das revi­dier­te DSG eine sol­che Über­mitt­lung des­halb zunächst nur, wenn der Emp­fän­ger­staat einen ange­mes­se­nen Daten­schutz gewähr­lei­stet. Wer­den Daten unzu­läs­sig expor­tiert, kann das nach dem revi­dier­ten DSG straf­bar sein.

Ein ange­mes­se­ner Schutz besteht bei allen EWR-Staa­ten und weni­gen wei­te­ren Staa­ten (der EDÖB führt eine Liste sol­cher Staa­ten, die Län­der­li­ste, die neu in der Ver­ord­nung als Anhang geführt wird).

Bei Anga­ben über juri­sti­sche Per­so­nen sind laut EDÖB der­zeit auch in sol­chen Staa­ten wei­te­re Mass­nah­men erfor­der­lich. In der Pra­xis wird dies weit­ge­hend und zu Recht ignoriert. 

Bei ande­ren Staa­ten wie z.B. den USA oder Indi­en fehlt ein ange­mes­se­nes Schutz­ni­veau. Hier ist eine Über­mitt­lung nur zuläs­sig, wenn der feh­len­de gesetz­li­che Schutz durch den Abschluss eines aus­rei­chen­den Ver­trags mit dem Emp­fän­ger aus­ge­gli­chen wird.

Das sind fast immer die soge­nann­ten Stan­dard­ver­trags­klau­seln oder “SCC”, die von der EU-Kom­mis­si­on aus­ge­ar­bei­tet wurden. 

Der EDÖB hat die­se SCC als aus­rei­chend akzep­tiert. Aller­dings ver­langt er, dass sie in eini­gen Punk­ten an das schwei­ze­ri­sche Recht ange­passt werden.

Es gibt auch Aus­nah­men – unter bestimm­ten Umstän­den kann auch bei sol­chen Staa­ten auf den Abschluss eines Ver­trags ver­zich­tet wer­den. Das sind aber eher sel­te­ne Aus­nah­men, die im Rah­men der Umset­zung des revi­dier­ten DSG kaum eine Rol­le spielen.

Unter­neh­men soll­ten des­halb prü­fen, ob sie Daten ins Aus­land bekannt­ge­ben. Das wird sehr oft der Fall sein – nicht nur bei einer Koope­ra­ti­on mit Unter­neh­men im Aus­land, son­dern beson­ders auch bei IT-Dienst­lei­stern. Fin­den sich die­se Dienst­lei­ster in einem Staat, der kei­nen ange­mes­se­nen Daten­schutz gewähr­lei­stet, müs­sen die Ver­trä­ge mit ihnen geprüft wer­den, ob sie die not­wen­di­gen Bestim­mun­gen enthalten.

Die erwähn­ten SCC, die z.B. mit Daten­emp­fän­gern in den USA zu schlie­ssen sind, sind nur dies – Ver­trä­ge. Anders als das loka­le Recht bin­den sie die Behör­den nicht. Haben die­se zu weit­ge­hen­de Zugriffs­rech­te auf über­mit­tel­te Daten, ist dies aus der Optik des DSG pro­ble­ma­tisch, denn die­se Rech­te kön­nen durch die SCC kaum beschränkt werden.

Der euro­päi­sche Gerichts­hof hat des­halb ent­schie­den (im berüch­tig­ten “Schrems II”-Urteil), dass sich ein Expor­teur nicht blind auf die SCC ver­las­sen darf. Er muss viel­mehr das loka­le Recht prü­fen, und wenn die­ses über­schie­ssen­de Zugriffs­rech­te ver­mit­telt, muss er wei­te­re Mass­nah­men treffen.

Kaum ein The­ma ist der­zeit so umstrit­ten wie die­ses. Zum einen ist unklar, ob sich der Expor­teur dar­auf ver­las­sen darf, dass die loka­len Behör­den an den von ihm über­mit­tel­ten Daten kein Inter­es­se haben wer­den (was in den aller­mei­sten Fäl­len zutref­fen wird). Zum ande­ren ist unklar, wie dem Risi­ko eines Zugriffs über­haupt begeg­net wer­den kann, denn auch tech­ni­sche Mass­nah­men kön­nen die­sen Zugriff in den mei­sten Fäl­len kaum ausschliessen.

In der Pra­xis schät­zen Unter­neh­men die Risi­ken eines Behör­den­zu­griffs mit einem For­mu­lar ein, und wenn die Wahr­schein­lich­keit eines Zugriffs sehr nied­rig ist, haben sie kei­nen Grund zur Annah­me, dass ein Zugriff erfolgt. In die­sem Fall ver­las­sen sie sich auf die SCC. Rechts­si­cher ist die­ses Vor­ge­hen nicht, aber eine ver­nünf­ti­ge Alter­na­ti­ve fehlt.

Todos
  • Bestands­auf­nah­me, wo Daten in Staa­ten über­mit­telt wer­den, die kei­nen ange­mes­se­nen Schutz aufweisen
  • Prü­fung, ob auf die ent­spre­chen­de Bekannt­ga­be ver­zich­tet bzw. ob ein Dienst­lei­ster durch einen CH/EU-Anbie­ter ersetzt wer­den könnte
  • Prü­fung, ob mit dem Emp­fän­ger im ent­spre­chen­den unsi­che­ren Staat eine Ver­ein­ba­rung besteht, die die SCC einschliesst
  • falls dem so ist, Prü­fung, ob die SCC auf dem aktu­el­len Stand sind und ob sie die not­wen­di­gen Anpas­sun­gen auf die Schweiz ent­hal­ten (z.B. in Form eines stan­dar­di­sier­ten Zusat­zes, eines “Swiss Addendum”)
  • ggf. Abschluss wei­te­rer Ver­trä­ge (SCC)

Hoch­ri­si­ko-Bear­bei­tun­gen

Das Gesetz folgt gene­rell einem risi­ko­ba­sier­ten Ansatz. Das heisst, dass Ver­ant­wort­li­che ihre Com­pli­ance-Mass­nah­men nach ihrer Beur­tei­lung der Risi­ken für Betrof­fe­ne abge­stuft aus­zu­rich­ten haben. Punk­tu­ell gibt das Gesetz aber höhe­re Anfor­de­run­gen bei beson­de­ren Risi­ken vor. 

Beson­ders schüt­zens­wer­te Per­so­nen­da­ten sind Daten, die Das Gesetz pau­schal als beson­ders hei­kel bezeich­net. Das sind 

  • Daten über reli­giö­se, welt­an­schau­li­che, poli­ti­sche oder gewerk­schaft­li­che Ansich­ten oder Tätigkeiten
  • Daten über die Gesundheit
  • Daten über die Intimsphäre
  • Daten über die Zuge­hö­rig­keit zu einer Ras­se oder Ethnie
  • gene­ti­sche Daten
  • bio­me­tri­sche Daten, die zur Iden­ti­fi­zie­rung einer Per­son ver­wen­det werden
  • Daten über ver­wal­tungs- und straf­recht­li­che Ver­fol­gun­gen oder Sanktionen
  • Daten über Mass­nah­men der sozia­len Hilfe

Bei sol­chen Daten muss der Ver­ant­wort­li­che sicher­stel­len, dass die Bekannt­ga­be an Drit­te gerecht­fer­tigt ist, z.B. weil sie für einen Ver­trag not­wen­dig ist oder mit einer Einwilligung. 

Sofern eine Ein­wil­li­gung erfor­der­lich ist – was eher eine Aus­nah­me dar­stellt –, muss die­se zudem aus­drück­lich sein.

Ver­ein­zelt sind bestimm­te Zusatz­an­for­de­run­gen davon abhän­gig, ob Per­so­nen­da­ten “umfang­reich” bear­bei­tet wer­den. Was das heisst, ist offen; eine zah­len­mä­ssi­ge Gren­ze hat der Gesetz­ge­ber nicht gezo­gen. Es muss aber um eine Bear­bei­tung ausser­ge­wöhn­lich vie­ler Daten gehen, die zudem bewusst so ange­legt ist, d.h. die umfang­rei­che Bear­bei­tung mus Teil eines Plans – i.d.R. eines Geschäfts­mo­dells – sein.

Ein “Pro­fil­ing mit hohem Risi­ko” ist zuerst ein Pro­fil­ing, d.h. eine auto­ma­ti­sier­te Daten­be­ar­bei­tung, die zu Ana­ly­se- oder Pro­gno­se­zwecken dient. Bei­spie­le sind Anga­ben zum Kun­den­ver­hal­ten auf Basis von Transaktionen.

Ein “hohes Risi­ko” bringt ein Pro­fil­ing dann mit sich, wenn es zu einem Per­sön­lich­keits­pro­fil führt, d.h. eine Beur­tei­lung wesent­li­cher Aspek­te der Per­sön­lich­keit erlaubt. Wann das der Fall ist, ist nicht geklärt. Sicher­heits­hal­ber soll­te man davon aus­ge­hen, dass eine beson­ders brei­te Daten­ba­sis oder ein beson­ders aus­sa­ge­kräf­ti­ges Ergeb­nis des Pro­fil­ing ein hohes Risi­ko dar­stel­len kann. 

Wenn ein Ver­ant­wort­li­cher beson­ders schüt­zens­wer­te Daten umfang­reich bear­bei­tet und wenn er ein Pro­fil­ing mit hohem Risi­ko durch­führt, müs­sen die ent­spre­chen­den Daten­be­ar­bei­tun­gen pro­to­kol­liert wer­den. Wenn hier eine Pro­to­kol­lie­rung vor­sätz­lich unter­las­sen wird, ist eine Straf­bar­keit nicht ganz aus­ge­schlos­sen (sie­he dazu hier).

Zu pro­to­kol­lie­ren ist ggf. das Spei­chern, Ver­än­dern, Lesen, Bekannt­ge­ben, Löschen und Ver­nich­ten der Daten – beson­des das Lesen stellt prak­tisch ein Pro­blem dar. 

Pro­to­kol­le müs­sen zudem getrennt vom Pro­duk­tiv­sy­stem auf­be­wahrt wer­den, damit sie im Fall eines Angriffs in die­ses System geschützt sind. Sie müs­sen min­de­stens ein Jahr auf­be­wahrt werden.

Eine umfang­rei­che Bear­bei­tung beson­ders schüt­zens­wer­ter Per­so­nen­da­ten oder ein Pro­fil­ing mit hohem Risi­ko lösen nicht nur eine Pro­to­kol­lie­rungs­pflicht aus. Zudem muss der Ver­ant­wort­li­che in die­sen Fäl­len ein Bear­bei­tungs­re­gle­ment füh­ren. Auch hier kann ein gewis­ses Straf­bar­keits­ri­si­ko bestehen, wenn ein sol­ches Regle­ment nicht existiert. 

Ein Bear­bei­tungs­re­gle­ment ist etwas ande­res als das Bear­bei­tungs­ver­zeich­nis. Es geht dabei um eine Art Hand­buch, das sich zur inter­nen Orga­ni­sa­ti­on und zur Archi­tek­tur und der Funk­ti­ons­wei­se der Syste­me äussert, fer­ner zur Bear­bei­tung der Daten ent­lang des Life­cy­cle, zur Gewähr­lei­stung der Betrof­fe­nen­rech­te und zu den tech­ni­schen und orga­ni­sa­to­ri­schen Sicherheitsmassnahmen.

Es ist dabei aus­rei­chend, auf bestehen­de, ande­re Doku­men­te zu ver­wei­sen, soweit die­se existieren.

Todos
  • Prü­fung, ob beson­ders schüt­zens­wer­te Per­so­nen­da­ten bear­bei­tet wer­den (nicht zufäl­lig am Ran­de, son­dern geplant) und wie die­se bear­bei­tet und geteilt werden
  • Prü­fung, ob ggf. eine umfang­rei­che sol­che Bear­bei­tung vorliegt
  • Prü­fung, ob ein Pro­fil­ing mit hohem Risi­ko erfolgt (durch den Ver­ant­wort­li­chen oder durch einen Auftragsbearbeiter)
  • falls ja: Prü­fung der wei­te­ren Mass­nah­men; ggf. auch Durch­füh­rung einer Datenschutz-Folgenabschätzung

Wei­te­re Punkte

Neben den genann­ten Punk­ten sind natür­lich wei­te­re Punk­te zu beden­ken. Ohne Anspruch auf Voll­stän­dig­keit: zwei der wich­tig­sten Punk­te sind sicher die Daten­lö­schung und die Datensicherheit.

Daten dür­fen gene­rell und schon nach dem heu­ti­gen Daten­schutz­recht nicht län­ger auf­be­wahrt wer­den, als dafür ein legi­ti­mer Zweck besteht. 

Das betrifft z.B. 

  • Geschäfts­zwecke, die eine Bear­bei­tung von Daten erfor­der­lich machen, bspw. im Arbeits­ver­hält­nis oder gegen­über Kun­den und Lieferanten
  • Geschäfts­zwecke, die nicht zwin­gend sind, aber legi­tim, z.B. die Spei­che­rung von Daten für Mar­ke­ting­zwecke, zur Doku­men­ta­ti­on, zur Erstel­lung von Sta­ti­sti­ken usw. 
  • gesetz­li­che Auf­be­wah­rungs­pflich­ten, die auch eine Auf­be­wah­rung von Per­so­nen­da­ten ver­lan­gen kön­nen, bspw. für Buch­hal­tungs­zwecke, im Steu­er­be­reich und im Arbeitsverhältnis. 

Wenn aber kei­ne legi­ti­men Grün­de für eine Spei­che­rung mehr bestehen und auch kei­ne gesetz­li­che Auf­be­wah­rungs­pflicht mehr gilt, müs­sen Per­so­nen­da­ten gelöscht oder anony­mi­siert wer­den. Eine Löschung hat auch Vor­tei­le – die Risi­ken einer Sicher­heits­ver­let­zung kön­nen sin­ken, die Infor­ma­ti­ons­pflicht wird weni­ger rasch ver­letzt und Aus­kunfts­be­geh­ren sind ein­fa­cher kor­rekt zu beantworten. 

In ein­fa­che­ren Ver­hält­nis­sen kann die­se Löschung z.T. von Hand erfol­gen, bspw. bei Bewer­ber­dos­siers, bei Unter­la­gen von Mit­ar­bei­tern, die das Unter­neh­men vor lan­ger Zeit ver­las­sen haben oder bei ehe­ma­li­gen Kun­den, wenn kei­ne Ver­jäh­rungs­frist mehr greift. 

Eine Löschung von Hand ist aber feh­ler­an­fäl­lig und unvoll­stän­dig. Auto­ma­ti­sier­te Lösch­rou­ti­nen zu imple­men­tie­ren kann aber eine aus­ge­spro­chen anspruchs­vol­le, lang­wie­ri­ge und kost­spie­li­ge Auf­ga­be sein, beson­ders bei Unter­neh­men, deren kom­ple­xe IT orga­nisch gewach­sen ist. 

Ein ver­nünf­ti­ger Mit­tel­weg – zumin­dest für den Beginn – ist meist eine Kom­bi­na­ti­on einer Wei­sung zur Auf­be­wah­rung und Löschung mit einer geeig­ne­ten Kon­fi­gu­ra­ti­on der Appli­ka­tio­nen. Falls sich ein System nicht so kon­fi­gu­rie­ren lässt, dass es Daten zu einer bestimm­ten Zeit löscht, kann eine Archi­vie­rung einen gewis­sen Ersatz darstellen. 

Das revi­dier­te Recht ver­schärft die Anfor­de­run­gen an die Daten­si­cher­heit grund­sätz­lich nicht, sieht man von der Pflicht Mel­dung bestimm­ter Sicher­heits­ver­let­zun­gen ab. Nicht aus­ge­schlos­sen ist eine Straf­bar­keit bei gewis­sen Ver­let­zun­gen, aber der­zeit ist das unwahr­schein­lich. Was sich aber ver­schärft, ist die Bedro­hungs­la­ge. Angrif­fe wie Ran­som-Angrif­fe, CFO Frauds und ande­re neh­men stark zu, und sie sind oft erfolgreich. 

Unter­neh­men müs­sen sich des­halb zwin­gend mit der Sicher­heit ihrer Syste­me aus­ein­an­der­set­zen. Das wird häu­fig den Ein­satz exter­ner Spe­zia­li­sten ver­lan­gen. Oft kön­nen aber schon ein­fa­che­re Mass­nah­men einen erheb­li­chen Sicher­heits­ge­winn brin­gen, z.B. eine Prü­fung, ob Zugriffs­rech­te noch den aktu­el­len Rol­len und Funk­tio­nen ent­spre­chen und Zugriffs­rech­te ehe­ma­li­ger MIt­ar­bei­ten­der wider­ru­fen wurden. 

Aller­dings ist es damit nicht getan. Erfah­rungs­ge­mäss sind es oft Mit­ar­bei­ter, die Ein­falls­tor einer Sicher­heits­ver­let­zung sind. Sie müs­sen des­halb infor­miert und geschult wer­den, z.B. um Phis­hing-Angrif­fe erken­nen zu können. 

Todos
  • Wo mit Gewiss­heit ver­al­te­te Daten lie­gen: Beginn einer Auf­räum­ak­ti­on (z.B. bei geteil­ten Ord­nern, die alte Bewer­ber­dos­siers enthalten)
  • Abklä­rung der wesent­li­chen Auf­be­wah­rungs­fri­sten (eine Mischung aus Auf­be­wah­rungs­pflich­ten und Ver­jäh­rungs­fri­sten), am besten in einer Lösch-Policy
  • Defi­ni­ti­on von Regeln für das hän­di­sche Löschen (eben­falls in der Lösch-Policy)
  • Kon­fi­gu­ra­ti­on von Appli­ka­tio­nen zur auto­ma­ti­schen Löschung, soweit mög­lich und sinnvoll
Todos
  • Sofern die Sicher­heits­mass­nah­men nicht auf dem aktu­el­len Stand sind: ent­spre­chen­de Prü­fung der eige­nen Syste­me und Schnittstellen 
  • Schu­lung der Mit­ar­bei­ten­den in einem geeig­ne­ten Mass und Turnus