Es haben sich in der Zwischenzeit Erfahrungswerte gebildet, wie das Datenschutzrecht umzusetzen ist. Besonders bei grossen Unternehmen und Unternehmen in einem komplexen oder regulierten Umfeld werden sich zahlreiche weitere Fragen stellen. Aber auch die längste Reise beginnt bekanntlich mit dem ersten Schritt.
Checklisten für KMU
Weisungen
Das revidierte Recht traut Unternehmen nicht mehr zu, den Datenschutz zu gewährleisten, ohne dass eine gewisse Struktur und Organisation geschaffen wird. Es ist zwar noch wesentlich prinzipienorientierter als die DSGVO, aber bestimmte Abläufe und Rahmenbedingungen sind zu dokumentieren.
Zunächst sollte ein Unternehmen die Grundsätze seines Umgangs mit Personendaten in einer internen Richtlinie (Policy) regeln. Zwingend ist das nicht, aber aus mehreren Gründen sinnvoll:
Das Unternehmen sollte sich im Rahmen der Policy deshalb u.a. überlegen, wer wofür zuständig sein soll. Dabei stellt sich auch die Frage, welches Knowhow und welche Ressourcen intern vorhanden sind und was eingekauft werden soll. Eine Frage der Organisation ist auch die Bestellung eines Datenschutzberaters (das entspricht mehr oder weniger dem “DPO” der DSGVO). Man muss keinen Datenschutzberater bestellen, aber es kann sinnvoll sein, besonders bei Unternehmen mit heiklen Daten und solchen mit besonderen Kundenerwartungen.
Ob weitere Policies, Weisungen oder Anleitungen erforderlich sind, hängt von der Komplexität der Organisation und von seinem Geschäftsmodell ab.
Sinnvoll ist aber jedenfalls eine Policy zur Datenlöschung. Dazu finden sich anschliessend Hinweise.
Auch der Umgang mit Datensicherheitsverletzungen ist wesentlich. Zum einen führt das revDSG eine Pflicht ein, Sicherheitsverletzungen unter bestimmten Voraussetzungen dem EDÖB oder den betroffenen Personen mitzuteilen. Dafür steht nur eine beschränkte Frist zur Verfügung. Zum anderen führt ein falscher Umgang mit Sicherheitsverletzungen zu Reputationsrisiken. Unternehmen müssen sich deshalb überlegen, wie sie sicherstellen, dass Sicherheitsverletzungen rasch entdeckt und intern aufgenommen oder eskaliert werden.
Ebenfalls sinnvoll kann eine generelle Anleitung sein – im Sinne möglichst einfacher und konkreter Hinweise –, wie generell mit aussergewöhnlichen Situationen umzugehen ist, bspw. mit einer Sicherheitsverletzung, einem Auskunftsbegehren oder auch dem Einsatz neuer Software.
Bearbeitungsverzeichnis
Das revidierte Recht verzichtet an sich bewusst auf eine eigene, allgemeine Pflicht, Bearbeitungen oder die damit zusammenhängenden Entscheidungen zu dokumentieren. Punktuell sieht der Gesetzgeber aber trotzdem sogenannte Accountability-Pflichten um. Dazu gehören auch etwa die Aufbewahrungspflicht bei der Datenschutz-Folgenabschätzung oder die Protokollierung, vor allem aber die Pflicht, ein Bearbeitungsverzeichnis zu führen.
Das Bearbeitungsverzeichnis ist ein Verzeichnis der Bearbeitungstätigkeiten eines Unternehmens. Es geht nicht um eine Katalogisierung der einzelnen Daten (z.B. die Namen aller Kunden), sondern um ein Verzeichnis der Art und Weise der Datenbearbeitungen. Das Gesetz definiert die “Bearbeitungstätigkeit” nicht, aber es geht um Datenbearbeitungen mit ähnlichem Zweck und vergleichbaren Rahmenbedingungen. Zu granular sollte man dabei nicht sein, denn das Verzeichnis soll selbsterklärend sein und dabei ein verständliches Bild der Bearbeitungen vermitteln – das wird bei hunderten von Einträgen nicht erreicht. Bei einem KMU sollten es eher 10 – 15 Tätigkeiten sein.
Verantwortliche und Auftragsbearbeiter müssen beide ein Verzeichnis führen, aber es unterscheidet sich inhaltlich stark. Verantwortliche haben pro Bearbeitungstätigkeit folgende Punkte zu erfassen – das sind diejenigen Punkte, die eine Bearbeitung datenschutzrechtlich gesehen beschreiben und ihre Risiken prägen:
Auftragsbearbeiter dürfen es sich etwas einfacher machen, sie müssen bloss eine Liste der Verantwortlichen führen, für die sie Daten im Auftrag bearbeiten, und die Arten von Bearbeitungen im Auftrag umschreiben. Zudem müssen auch sie die Angaben zur Datensicherheit und zur Bekanntgabe ins Ausland erfassen.
Das Unternehmen sollte sich im Rahmen der Policy deshalb u.a. überlegen, wer wofür zuständig sein soll. Dabei stellt sich auch die Frage, welches Knowhow und welche Ressourcen intern vorhanden sind und was eingekauft werden soll. Eine Frage der Organisation ist auch die Bestellung eines Datenschutzberaters (das entspricht mehr oder weniger dem “DPO” der DSGVO). Man muss keinen Datenschutzberater bestellen, aber es kann sinnvoll sein, besonders bei Unternehmen mit heiklen Daten und solchen mit besonderen Kundenerwartungen.
Das Gesetz sagt nur wenig zur Form des Verzeichnisses. Es muss aber nicht unterschrieben werden, und es muss auch nicht revisionssicher sein. Auch die Anforderungen der GebüV an die Aufbewahrung von Buchungsbelegen gelten nicht. In Frage kommen daher
Wichtiger als die Form ist die Frage, wie das Verzeichnis auf dem laufenden Stand gehalten werden kann. Dafür ist ein interner Prozess erforderlich, der je nach Grösse und Komplexität der Organisation unterschiedlich aussehen kann. In vielen Fällen genügt eine Anweisung – in einer formellen Weisung oder auch in einem kurzen Handout für Mitarbeitende –, dass bei neuen oder geänderten Bearbeitungen eine bestimmte Person zu informieren ist. Bei grösseren Unternehmen bietet es sich eher an, bei bestehenden Prozessen entsprechende Ergänzungen oder Anpassungen zu machen – bspw. kann es sinnvoll sein, das Bearbeitungsverzeichnis mit bereits definierten Prozessen zu verbinden und Mitarbeitende bei Anpassungen oder neuen Prozessen das Verzeichnis konsultieren lassen, damit Lücken erkannt und geschlossen werden. Auch Stichproben durch Datenschutzstellen kommen in Frage – das sind alles aber keine ausdrücklichen Anforderungen, sondern Fragen einer funktionierenden Compliance-Organisation je nach Unternehmen.
KMU sind von der Pflicht befreit, ein Bearbeitungsverzeichnis zu führen. Das betrifft aber nur KMU mit weniger als 250 Mitarbeitenden (jeweils per 1. Januar). Solche KMU dürfen freiwillig ein Verzeichnis führen, müssen es grundsätzlich aber nicht. Es kann durchaus sinnvoll sein, ein Verzeichnis freiwillig zu führen, sofern die Bearbeitungen nicht so trivial sind, dass sie auch so klar sind.
Allerdings müssen auch solche KMU ein Verzeichnis führen, wenn sie besonders riskante Bearbeitungen vornehmen, d.h. wenn sie umfangreich besonders schützenswerte Daten (z.B. Gesundheitsdaten) bearbeiten oder wenn sie ein “Profiling mit hohem Risiko” vornehmen. In diesem Fall müssen sie nicht alle, aber doch diese heiklen Bearbeitungen in einem Verzeichnis erfassen.
Information
Das heutige DSG verlangt nur in Ausnahmefällen eine ausdrückliche Information über die Bearbeitung von Personendaten (wenn besonders schützenswerte Personendaten wie z.B. Gesundheitsdaten oder Persönlichkeitsprofile beschafft werden). In den meisten Fällen reicht es, wenn sich eine Bearbeitung von selbst versteht.
Das ändert sich mit dem revidierten Gesetz. Analog zur DSGVO verlangt das Gesetz bei allen Bearbeitungen eine Information, sofern nicht eine Ausnahme greift. Das gilt sogar bei selbstverständlichen und trivialen Bearbeitungen. Damit wird zwar niemandem geholfen, aber eine Verletzung dieser Pflicht kann sogar strafbar sein.
Unternehmen sollten deshalb über ihre Bearbeitungen informieren, meist in Form von Datenschutzerklärungen. Das sind Hinweise oder Dokumente, die sich zur Datenbearbeitung äussern – sie sind nicht Vertragsbestandteil und sollten in der Regel auch nicht Teil von AGB sein.
Welche und wie viele Datenschutzerklärungen erforderlich sind, ist vom Geschäftsmodell abhängig. Meistens werden es aber etwa folgende sein:
Eine andere Frage ist, auf welche Weise betroffene Personen (d.h. Personen, deren Daten bearbeitet werden), auf die passende Datenschutzerklärung hingewiesen werden. Dafür gibt es keine One-Size-Fits-All-Lösung – entscheidend sind die Schnittstellen mit den betroffenen Personen. Sinnvoll sind aber Hinweise
Einwilligungen sind nach schweizerischem Datenschutzrecht nicht häufig erforderlich.
An Einwilligungen ist aber zu denken, wenn besonders schützenswerte Daten (z.B. Gesundheitsdaten) weitergegeben werden und beim E‑Mail-Marketing.
Verträge
Das revidierte DSG verlangt in bestimmten Fällen den Abschluss von Verträgen. Das ergibt sich daraus, dass das DSG verschiedene Rollen von Unternehmen unterscheidet.
Der “Verantwortliche” ist dasjenige Unternehmen, das Daten im eigenen Interesse bearbeitet oder bearbeiten lässt und das über diese Bearbeitung bestimmt. Ein Unternehmen ist z.B. ein Verantwortlicher für die Bearbeitung der Daten seiner Mitarbeiter und seiner (End-)Kunden.
Ein “Auftragsbearbeiter” bearbeitet auch Daten, aber nur als Dienstleister für einen Verantwortlichen. Ein Auftragsbearbeiter ist z.B. ein Hostingdienstleister oder der Anbieter einer Cloud-basierten Softwarelösung: Hier bestimmt der Verantwortliche über die Art und Weise der Datenbearbeitung. Manche Dienstleister sind allerdings auch Verantwortliche – dann, wenn sie über die Art der Datenbearbeitung weitgehend selbst entscheiden. Ein Beispiel ist eine Anwaltskanzlei.
Weil sich diese Rollen bei der Bearbeitung so stark unterscheiden, tun es auch die datenschutzrechtlichen Pflichten. Der Verantwortliche muss das volle Pflichtenprogramm des DSG einhalten (deshalb heisst er auch “Verantwortlicher”). Ein Auftragsbearbeiter muss und kann das nicht im gleichen Umfang, weil er bis zu einem gewissen Grad vom Verantwortlichen gesteuert wird – er ist sozusagen dessen verlängerter Arm.
Dies verlangt aber auch, dass der Verantwortliche und der Auftragsbearbeiter ihre Beziehung vertraglich regeln. Dazu müssen sie einen sog. Auftragsbearbeitungsvertrag schliessen – Regeln bspw. über das Weisungsrecht des Verantwortlichen, sein Recht, die Datenbearbeitung zu prüfen, und die Pflicht des Auftragsbearbeiters, die Datensicherheit zu gewährleisten und beim Ende seines Auftrags Daten zu löschen.
Fehlt ein solcher Vertrag bei einer Auftragsbearbeitung, kann das nach dem revidierten DSG strafbar sein. Der Verantwortliche muss deshalb sicherstellen, dass er solche Verträge geschlossen hat oder schliesst. Bei Anbietern von Standardlösungen ist das i.d.R. der Fall – sie schliessen solche Verträge in ihre Standardverträge ein. Bei anderen Anbietern können sie aber fehlen.
Und besonders konzernintern fehlen solche Verträge nicht selten, wenn eine Gesellschaft konzernintern zentrale Dienstleistungen wie z.B. ein CRM-System betreibt. Konzernintern können auch weitere Punkte zu regeln sein, z.B. der Arbeitseinsatz von Mitarbeitenden einer Gesellschaft für eine andere.
Neben der Auftragsbearbeitung gibt es auch die gemeinsame Verantwortung, wenn mehrere Unternehmen gemeinsam über eine Bearbeitung entscheiden. Das Konzept ist reichlich unklar, aber konzernintern ist eine gemeinsame Verantwortung häufig, wenn mehrere Konzerngesellschaften dieselbe Lösung z.B. für das Mitarbeitermanagement oder ein CRM verwenden. Auch bei Partnerschaften, bei denen Daten für ein gemeinsames Produkt bearbeitet werden, sind gemeinsame Verantwortlichkeiten nicht selten.
Anders als die DSGVO verlangt das revidierte Gesetz nicht ausdrücklich eigene Vereinbarung zwischen den gemeinsam Verantwortlichen. Sie ist aber sinnvoll, denn hier ist eine Abgrenzung der Zuständigkeiten und Verantwortung oft schwierig. Es sollte daher i.d.R. vereinbart werden, wer die betroffenen Personen informiert, wer sich um Auskunftsbegehren kümmert, wer die Datensicherheit gewährleistet usw.
Ein wichtiges Thema ist derzeit die Übermittlung von Personendaten ins Ausland. Sie verlangt u.U. ebenfalls den Abschluss oder eine Prüfung von Verträgen. Dazu finden sich anschliessend separate Hinweise.
Ausland
Das Datenschutzrecht will Schutz gewährleisten. Es kann eine Übermittlung in Staaten deshalb nicht schrankenlos zulassen, wenn dort der erforderliche Schutz fehlt. Wie die DSGVO und das heutige DSG erlaubt das revidierte DSG eine solche Übermittlung deshalb zunächst nur, wenn der Empfängerstaat einen angemessenen Datenschutz gewährleistet. Werden Daten unzulässig exportiert, kann das nach dem revidierten DSG strafbar sein.
Ein angemessener Schutz besteht bei allen EWR-Staaten und wenigen weiteren Staaten (der EDÖB führt eine Liste solcher Staaten, die Länderliste, die neu in der Verordnung als Anhang geführt wird).
Bei Angaben über juristische Personen sind laut EDÖB derzeit auch in solchen Staaten weitere Massnahmen erforderlich. In der Praxis wird dies weitgehend und zu Recht ignoriert.
Bei anderen Staaten wie z.B. den USA oder Indien fehlt ein angemessenes Schutzniveau. Hier ist eine Übermittlung nur zulässig, wenn der fehlende gesetzliche Schutz durch den Abschluss eines ausreichenden Vertrags mit dem Empfänger ausgeglichen wird.
Das sind fast immer die sogenannten Standardvertragsklauseln oder “SCC”, die von der EU-Kommission ausgearbeitet wurden.
Der EDÖB hat diese SCC als ausreichend akzeptiert. Allerdings verlangt er, dass sie in einigen Punkten an das schweizerische Recht angepasst werden.
Es gibt auch Ausnahmen – unter bestimmten Umständen kann auch bei solchen Staaten auf den Abschluss eines Vertrags verzichtet werden. Das sind aber eher seltene Ausnahmen, die im Rahmen der Umsetzung des revidierten DSG kaum eine Rolle spielen.
Unternehmen sollten deshalb prüfen, ob sie Daten ins Ausland bekanntgeben. Das wird sehr oft der Fall sein – nicht nur bei einer Kooperation mit Unternehmen im Ausland, sondern besonders auch bei IT-Dienstleistern. Finden sich diese Dienstleister in einem Staat, der keinen angemessenen Datenschutz gewährleistet, müssen die Verträge mit ihnen geprüft werden, ob sie die notwendigen Bestimmungen enthalten.
Die erwähnten SCC, die z.B. mit Datenempfängern in den USA zu schliessen sind, sind nur dies – Verträge. Anders als das lokale Recht binden sie die Behörden nicht. Haben diese zu weitgehende Zugriffsrechte auf übermittelte Daten, ist dies aus der Optik des DSG problematisch, denn diese Rechte können durch die SCC kaum beschränkt werden.
Der europäische Gerichtshof hat deshalb entschieden (im berüchtigten “Schrems II”-Urteil), dass sich ein Exporteur nicht blind auf die SCC verlassen darf. Er muss vielmehr das lokale Recht prüfen, und wenn dieses überschiessende Zugriffsrechte vermittelt, muss er weitere Massnahmen treffen.
Kaum ein Thema ist derzeit so umstritten wie dieses. Zum einen ist unklar, ob sich der Exporteur darauf verlassen darf, dass die lokalen Behörden an den von ihm übermittelten Daten kein Interesse haben werden (was in den allermeisten Fällen zutreffen wird). Zum anderen ist unklar, wie dem Risiko eines Zugriffs überhaupt begegnet werden kann, denn auch technische Massnahmen können diesen Zugriff in den meisten Fällen kaum ausschliessen.
In der Praxis schätzen Unternehmen die Risiken eines Behördenzugriffs mit einem Formular ein, und wenn die Wahrscheinlichkeit eines Zugriffs sehr niedrig ist, haben sie keinen Grund zur Annahme, dass ein Zugriff erfolgt. In diesem Fall verlassen sie sich auf die SCC. Rechtssicher ist dieses Vorgehen nicht, aber eine vernünftige Alternative fehlt.
Hochrisiko-Bearbeitungen
Das Gesetz folgt generell einem risikobasierten Ansatz. Das heisst, dass Verantwortliche ihre Compliance-Massnahmen nach ihrer Beurteilung der Risiken für Betroffene abgestuft auszurichten haben. Punktuell gibt das Gesetz aber höhere Anforderungen bei besonderen Risiken vor.
Besonders schützenswerte Personendaten sind Daten, die Das Gesetz pauschal als besonders heikel bezeichnet. Das sind
Bei solchen Daten muss der Verantwortliche sicherstellen, dass die Bekanntgabe an Dritte gerechtfertigt ist, z.B. weil sie für einen Vertrag notwendig ist oder mit einer Einwilligung.
Sofern eine Einwilligung erforderlich ist – was eher eine Ausnahme darstellt –, muss diese zudem ausdrücklich sein.
Vereinzelt sind bestimmte Zusatzanforderungen davon abhängig, ob Personendaten “umfangreich” bearbeitet werden. Was das heisst, ist offen; eine zahlenmässige Grenze hat der Gesetzgeber nicht gezogen. Es muss aber um eine Bearbeitung aussergewöhnlich vieler Daten gehen, die zudem bewusst so angelegt ist, d.h. die umfangreiche Bearbeitung mus Teil eines Plans – i.d.R. eines Geschäftsmodells – sein.
Ein “Profiling mit hohem Risiko” ist zuerst ein Profiling, d.h. eine automatisierte Datenbearbeitung, die zu Analyse- oder Prognosezwecken dient. Beispiele sind Angaben zum Kundenverhalten auf Basis von Transaktionen.
Ein “hohes Risiko” bringt ein Profiling dann mit sich, wenn es zu einem Persönlichkeitsprofil führt, d.h. eine Beurteilung wesentlicher Aspekte der Persönlichkeit erlaubt. Wann das der Fall ist, ist nicht geklärt. Sicherheitshalber sollte man davon ausgehen, dass eine besonders breite Datenbasis oder ein besonders aussagekräftiges Ergebnis des Profiling ein hohes Risiko darstellen kann.
Wenn ein Verantwortlicher besonders schützenswerte Daten umfangreich bearbeitet und wenn er ein Profiling mit hohem Risiko durchführt, müssen die entsprechenden Datenbearbeitungen protokolliert werden. Wenn hier eine Protokollierung vorsätzlich unterlassen wird, ist eine Strafbarkeit nicht ganz ausgeschlossen (siehe dazu hier).
Zu protokollieren ist ggf. das Speichern, Verändern, Lesen, Bekanntgeben, Löschen und Vernichten der Daten – besondes das Lesen stellt praktisch ein Problem dar.
Protokolle müssen zudem getrennt vom Produktivsystem aufbewahrt werden, damit sie im Fall eines Angriffs in dieses System geschützt sind. Sie müssen mindestens ein Jahr aufbewahrt werden.
Eine umfangreiche Bearbeitung besonders schützenswerter Personendaten oder ein Profiling mit hohem Risiko lösen nicht nur eine Protokollierungspflicht aus. Zudem muss der Verantwortliche in diesen Fällen ein Bearbeitungsreglement führen. Auch hier kann ein gewisses Strafbarkeitsrisiko bestehen, wenn ein solches Reglement nicht existiert.
Ein Bearbeitungsreglement ist etwas anderes als das Bearbeitungsverzeichnis. Es geht dabei um eine Art Handbuch, das sich zur internen Organisation und zur Architektur und der Funktionsweise der Systeme äussert, ferner zur Bearbeitung der Daten entlang des Lifecycle, zur Gewährleistung der Betroffenenrechte und zu den technischen und organisatorischen Sicherheitsmassnahmen.
Es ist dabei ausreichend, auf bestehende, andere Dokumente zu verweisen, soweit diese existieren.
Weitere Punkte
Neben den genannten Punkten sind natürlich weitere Punkte zu bedenken. Ohne Anspruch auf Vollständigkeit: zwei der wichtigsten Punkte sind sicher die Datenlöschung und die Datensicherheit.
Daten dürfen generell und schon nach dem heutigen Datenschutzrecht nicht länger aufbewahrt werden, als dafür ein legitimer Zweck besteht.
Das betrifft z.B.
Wenn aber keine legitimen Gründe für eine Speicherung mehr bestehen und auch keine gesetzliche Aufbewahrungspflicht mehr gilt, müssen Personendaten gelöscht oder anonymisiert werden. Eine Löschung hat auch Vorteile – die Risiken einer Sicherheitsverletzung können sinken, die Informationspflicht wird weniger rasch verletzt und Auskunftsbegehren sind einfacher korrekt zu beantworten.
In einfacheren Verhältnissen kann diese Löschung z.T. von Hand erfolgen, bspw. bei Bewerberdossiers, bei Unterlagen von Mitarbeitern, die das Unternehmen vor langer Zeit verlassen haben oder bei ehemaligen Kunden, wenn keine Verjährungsfrist mehr greift.
Eine Löschung von Hand ist aber fehleranfällig und unvollständig. Automatisierte Löschroutinen zu implementieren kann aber eine ausgesprochen anspruchsvolle, langwierige und kostspielige Aufgabe sein, besonders bei Unternehmen, deren komplexe IT organisch gewachsen ist.
Ein vernünftiger Mittelweg – zumindest für den Beginn – ist meist eine Kombination einer Weisung zur Aufbewahrung und Löschung mit einer geeigneten Konfiguration der Applikationen. Falls sich ein System nicht so konfigurieren lässt, dass es Daten zu einer bestimmten Zeit löscht, kann eine Archivierung einen gewissen Ersatz darstellen.
Das revidierte Recht verschärft die Anforderungen an die Datensicherheit grundsätzlich nicht, sieht man von der Pflicht Meldung bestimmter Sicherheitsverletzungen ab. Nicht ausgeschlossen ist eine Strafbarkeit bei gewissen Verletzungen, aber derzeit ist das unwahrscheinlich. Was sich aber verschärft, ist die Bedrohungslage. Angriffe wie Ransom-Angriffe, CFO Frauds und andere nehmen stark zu, und sie sind oft erfolgreich.
Unternehmen müssen sich deshalb zwingend mit der Sicherheit ihrer Systeme auseinandersetzen. Das wird häufig den Einsatz externer Spezialisten verlangen. Oft können aber schon einfachere Massnahmen einen erheblichen Sicherheitsgewinn bringen, z.B. eine Prüfung, ob Zugriffsrechte noch den aktuellen Rollen und Funktionen entsprechen und Zugriffsrechte ehemaliger MItarbeitender widerrufen wurden.
Allerdings ist es damit nicht getan. Erfahrungsgemäss sind es oft Mitarbeiter, die Einfallstor einer Sicherheitsverletzung sind. Sie müssen deshalb informiert und geschult werden, z.B. um Phishing-Angriffe erkennen zu können.