Das Datenschutzrecht verlangt eine Reihe von Massnahmen. Einige davon werden im laufenden Betrieb erforderlich, bspw. eine Meldung einer Datensicherheitsverletzung oder eine Antwort auf ein Auskunftsbegehren. Das kann aber eine gewisse Vorbereitung verlangen, weshalb sich Unternehmen – jedenfalls grössere – proaktiv mit diesen Fragen befassen müssen. Andere Massnahmen müssen unabhängig von einem Einzelereignis im Vorfeld getroffen werden.
Das Datenschutzrecht verlangt deshalb eine “Umsetzung”, d.h. bestimmte Massnahmen, um das Risiko einer Datenschutzverletzung zu vermeiden, im Interesse der betroffenen Personen wie auch des Unternehmens und seiner Mitarbeitenden und Leitungsorgane.
Wie umzusetzen ist, ist stark vom Einzelfall abhängig. Sehr kleine Unternehmen können mit einer Datenschutzerklärung auskommen, grosse Unternehmen müssen einiges mehr tun.
Sie finden hier deshalb Hinweise zur Umsetzung:
Wir stellen Leitfäden und Checklisten für die Umsetzung des nDSG zur Verfügung, für KMU (nach schweizerischem Recht) und für grössere Unternehmen (mit Blick auch auf die DSGVO).
Nicht nur grosse Unternehmen müssen das neue Datenschutzrecht umsetzen, sondern auch KMU. Ausnahmen für KMU gibt es im nDSG nur am Rande – die meisten Vorgaben gelten auch für sie. Die Erwartungen an den Standard der Umsetzung sind allerdings andere.
Wir haben deshalb eine Checkliste für KMU ausgearbeitet. Sie ist auf einfachere Verhältnisse und private Unternehmen ausgelegt (nicht für öffentliche Organe). Sie erhebt keinen Anspruch auf Vollständigkeit und stellt keine Rechtsberatung dar.
Bei grösseren oder international tätigen Unternehmen ist oft von einer Umsetzung der DSGVO auszugehen, soweit das möglich ist. Entsprechend fragen sich solche Unternehmen weniger, welche Anforderungen des neue DSG als vielmehr, wo Unterschiede zwischen der DSGVO und dem nDSG bestehen. Dafür stellen einen Leitfaden zur Verfügung:
Unterlagen finden Sie auch unter Downloads.
Falle ich unter die DSGVO? Die DSGVO (Datenschutz-Grundverordnung) gilt im Gebiet der EU und des restlichen EWR. Sie kann aber auch auf Unternehmen in der Schweiz anwendbar sein – unter bestimmten Voraussetzungen. Wenn Sie nicht sicher sind, ob das auch auf Sie zutrifft, können sie unseren Selbsttest machen.
Wie soll ich bei der Umsetzung vorgehen? Die Umsetzung des revidierten DSG kann, muss aber nicht aufwendig sein. Je nach Grösse des Unternehmens, nach Komplexität seiner Prozesse und nach Umfang und Sensitivität seiner Daten und Bearbeitungen variiert der Aufwand erheblich. Im Extremfall genügt schon eine Datenschutzerklärung auf der Website. Meistens sind aber einige weitere Punkte zu beachten. Die folgende Liste ist entsprechend nicht abschliessend, aber auch nicht alles ist zwingend. Die Todos enthalten deshalb auch Merkpunkte und Überlegungen, die ein Unternehmen anstellen sollte.
Dieser Abschnitt enthält einige allgemeine Informationen zum Datenschutzrecht. Er kann auch übersprungen werden – für das Verständnis der weiteren Ausführungen ist er nicht notwendig.
Das Datenschutzrecht ist die Gesamtheit der Rechtsnormen, die den Umgang mit Personendaten und den zusammenhängenden Rechten und Pflichten regeln.
Man kann zunächst das formelle und das materielle Datenschutzrecht unterscheiden: Das formelle Datenschutzrecht sind die Datenschutzgesetze des Bundes, der Kantone und der Gemeinden mit den entsprechenden Ausführungsbestimmungen. Das materielle Datenschutzrecht sind diese und alle weiteren Bestimmungen, die Personendaten regeln. Sie sind in diversen Erlassen verstreut, z.B. im Sozialversicherungsrecht, im Finanzmarktrecht, im Energierecht, im Fernmelderecht usw. Häufige Regelungsgegenstände sind Geheimnisbestimmungen (z.B. Art. 33 ATSG, Art. 86 BVG, Art. 47 BankG, Art. 69 FINIG, Art. 321 StGB, Art. 43 FMG usw.) und bei Bundesorganen gesetzliche Grundlagen für die Bearbeitung von Personendaten und ihre Bekanntgabe (z.B. Art. 84 f. KVG, Art. 4 BÜPF, Art. 112a DBG usw.).
Man kann auch das Datenschutzrecht im engeren und im weiteren Sinne unterscheiden. Datenschutzrecht im engeren Sinne regelt spezifisch den Umgang mit Personendaten, das Datenschutzrecht im weiteren Sinne den Umgang mit bestimmten Daten, die personenbezogen sein können oder es i.d.R. sind (etwa Geheimnisbestimmungen).
Schliesslich kann man das Datenschutzrecht als Teil des Datenrechts verstehen. Das Datenrecht umfasst alle Bestimmungen, die den Umgang mit Daten regeln, auch wenn sie nicht personenbezogen sind («Daten» verstanden als Informationen, die eine gewisse Verkörperung erfahren, und sei es nur als Laut – das Recht erfasst Informationen erst bei einer Verkörperung, die reine Information kann es nicht erfassen).
Innerhalb des Datenschutzrechts lassen sich sodann Ebenen unterscheiden – man könnte dies als Zwiebelmodell beschreiben. Kern sind die materiellen Vorgaben an den Umgang mit Personendaten, vor allen die Bearbeitungsgrundsätze. Dazu kommen als weitere Schicht Pflichten des Verantwortlichen, die nicht direkt dem Umgang mit Personendaten betreffen, diesen aber absichern sollen. Das ist z.B. die Pflicht, ein Bearbeitungsverzeichnis zu führen, eine Datenschutzfolgenabschätzung durchzuführen oder eine Sicherheitsverletzung zu melden. Eine dritte Schicht bilden Betroffenenrechte, die dem Betroffenen eine Einwirkung auf die Datenbearbeitung ermöglichen sollen. Und als vierte Schicht kommen Kontrollbefugnisse des EDÖB und Sanktionen dazu.
In der Schweiz:
In Europa:
Das Geheimnisschutzrecht schützt Geheimnisse. Dazu gehören die Berufsgeheimnisse z.B. der Ärzte, Psychologen, Anwälte, Bankmitarbeitenden, Mitarbeitenden von Finanzinstituten usw. Auch nach kantonalem Recht können Berufsgeheimnisse gelten, und auch nach dem Berufs- und Standesrecht. Verwandt mit dem Berufsgeheimnis ist auch das Amtsgeheimnis.
Dazu kommen Geschäftsgeheimnisse, die z.B. das Strafrecht und das Lauterkeitsrecht schützen.
Es gibt allerdings kein allgemeines Geheinmnisschutzrecht. Es gibt Grundstrukturen, insbesondere Gemeinsamkeiten beim Begriff des Geheimnisses und dem Tatbestand der Offenbarung. Es sind aber Nuancen je nach Geheimnis zu beachten. Bspw. kann sich der Geheimniswille, der bei den meisten Geheimnissen den Umfang des Geheimnisschutzes bestimmt, je nach Art des Geheimnisses unterscheiden.
Ja, viele, und immer mehr. Beide Gebiete befinden sich in einer gewissen Konvergenz. Das liegt vor allem daran, dass beide Gebiete im Zuge der Digitalisierung stark an Bedeutung gewonnen haben und entsprechend detaillierter diskutiert werden. Diese vertieften Analysen fördern verstärkt Gemeinsamkeiten zutage, so etwa die Bedeutung der Erwartungen der geschützten Personen, d.h. der betroffenen Personen und der Geheimnisherren.
Dazu kommt eine stärkere Steuerung des Datenschutzrechts durch strafrechtliche Sanktionen. Dadurch verstärkt sich das Datenschutzstrafrecht, und zwar besonders in Situationen, in denen Daten an Dritte weitergegeben werden. Es ist kein Zufall, dass das revDSG gerade in solchen Situationen Strafen vorsieht, z.B. bei der Auftragsbearbeitung, der Bekanntgabe ins Ausland und der Bekanntgabe geheimer Personendaten (wenn auch nicht ausschliesslich in diesen Fällen). Diese Sanktionierung der Bekanntgabe bringt das Datenschutzrecht näher an das Geheimnisschutzrecht, auch wenn es zwischen beiden weiterhin grundlegende Unterschiede gibt.
Personendaten sind alle Angaben, die sich auf eine bestimmte oder bestimmbare Person beziehen (wobei das heutige DSG auch Angaben erfasst, die sich auf eine juristische Person beziehen, anders als die DSGVO und auch das revDSG).
Bestimmt ist eine Person, wenn ihre Identität aus dem Datensatz selbst hervorgeht (z.B. «am Dienstag ass Frau Müller mit Herrn Peters im Restaurant X»). Zu viel mehr Diskussionen Anlass gibt die Frage, wann und durch wen eine Person bestimmbar ist. Das ist jedenfalls dann der Fall, wenn jemand, der Zugang zu einem Datum hat, dieses einer Person zuordnen kann, weil er über die erforderlichen Zusatzinformationen verfügt («Mitarbeiter 123452» ist für die HR-Abteilung ein Personendaten, für einen Aussenstehenden nicht unbedingt.
Diskutiert wird vor allem, ob erst dann von Bestimmbarkeit auszugehen ist, wenn jemand mit Zugang zum Datum auf eine Person schliessen kann («relativer Ansatz») oder schon dann, wenn es ein beliebiger Dritter könnte («absoluter Ansatz»). In der Schweiz gilt nach dem Logistep-Urteil des Bundesgerichts der relative Ansatz. In Europa gilt nach dem Breyer-Entscheid des EuGH dasselbe, aber die Anforderungen an die Bestimmbarkeit werden recht niedrig angesetzt.
Ebenfalls diskutiert wird, ob eine Identifikation Kenntnis des Namens oder eines anderen gängigen Identifikators voraussetzt, oder ob es schon genügt, dass eine Person – wenn auch unbekannt – von allen anderen unterschieden werden kann («Singularisierung»). Europäische Behörden scheinen sich vermehrt dem Konzept der Singularisierung zuzuwenden, letztlich aus reinen Schutzüberlegungen und daher eher als politischen als aus rechtlichen Gründen.
Keine Personendaten sind Daten, die anonymisiert wurden.
Das DSG und – mit bestimmten Änderungen – auch das revDSG betrachten bestimmte Arten von Personendaten als besonders heikel. Diese Daten werden in bestimmter Hinsicht besonders geschützt. Bspw. muss bereits nach dem heutigen DSG ausdrücklich informiert werden, wenn solche Daten beschafft werden. Und die Bekanntgabe besonders schützenswerter Personendaten an Dritte muss gerechtfertigt werden, d.h. grundsätzlich gilt sie als verletzend. Es gibt weitere Folgen der Einstufung als besonders schützenswerte Personendaten – sofern solche Daten auf Grundlage einer Einwilligung bearbeitet werden, kann diese nur ausdrücklich erteilt werden; ist die Bearbeitung umfangreich, muss eine Datenschutz-Folgenabschätzung durchgeführt werden, und werden solche Daten zu nicht personenbezogenen Zwecken z.B. der Statistik bearbeitet, gelten besondere Anforderungen. Bei Bundesorganen setzt die Bearbeitung besonders schützenswerter Daten überdies eine Rechtsgrundlage in einem Gesetz im formellen Sinn voraus, sofern keine Ausnahme greift.
Besonders schützenswerte Personendaten sind Daten über die religiösen, weltanschaulichen, politischen oder gewerkschaftlichen Ansichten oder Tätigkeiten (z.B. Zahlungen an eine religiöse Gemeinschaft, Angaben über die Teilnahme an einer gewerkschaftlichen Veranstaltung), die Gesundheit, die Intimsphäre (z.B. sexuelle Orientierung), die Rassenzugehörigkeit (z.B. Angabe über die Ethnie), biometrische Daten (z.B. ein Gesichtsscan für Zutritte), und Daten über Massnahmen der sozialen Hilfe oder administrative oder strafrechtliche Verfolgungen und Sanktionen.
Dass bestimmte Kategorien von Daten generell als besonders schützenswert eingestuft werden, widerspricht allerdings dem risikobasierten Ansatz, der auf das konkrete und nicht auf ein abstraktes Risiko Bezug nimmt. Es wäre auch nicht praktikabel, alle Daten mit entfernt oder potentiell besonders geschützten Inhalten als besonders schützenswert zu betrachten. Ein Foto eines Brillenträgers gilt deshalb nicht als Gesundheitsdatum, und ein regional zuordenbarer Name nicht als Datum über die Ethnie.
Auszugehen ist vom Begriff des Personendatums. Eine Information ist personenbezogen, wenn sie sich auf eine bestimmte oder bestimmbare Person bezieht. “Anonym” ist ein Datum, wenn es keinen Personenbezug hat, weil es nie personenbezogen war oder weil der Personenbezug später entfallen ist. “Anonymisiert” ist ein Datum, das Personenbezug hatte, bei der Personenbezug aber bewusst aufgehoben wurde.
Das bedeutet, dass die Anforderungen an die Anonymisierung nicht höher liegen als umgekehrt die Anforderungen an den Personenbezug.
Wenn ein Datum anonymisiert wurde, ist es kein Personendatum mehr. Das Datenschutzrecht gilt für dieses Datum deshalb nicht mehr. Datenschutzrechtlich ist die Bearbeitung dieses Datums daher nicht mehr eingeschränkt.
Daraus folgt auch, dass eine Anonymisierung datenschutzrechtlich dieselbe Wirkung hat wie eine Löschung. Denn wenn das Datenschutzrecht für anonyme Daten nicht gilt, kann es auch nicht ihre Löschung verlangen.
Pseudonymisierung bedeutet, dass der Personenbezug bei einem Personendaten indirekt ist – er ist vorhanden, aber der Personenbezug ergibt sich nicht aus dem Datum selbst (also nicht “Frau Meyerhans”), sondern nur aus Zusatzinformationen (also “Mitarbeiterin 68796”, wobei eine separate Tabelle die Nummer 68796 Frau Meyerhans zuordnet).
Die Pseudonymisierung ist dann erfolgt, wenn diese Zuordnung separat vom pseudonymisierten Datum selbst aufbewahrt wird, d.h. genauer, wenn diejenige Stelle, Person oder Abteilung, die mit den pseudonymisierten Datum arbeitet, keinen Zugriff auf die entsprechende Zuordnung hat. Erforderlich ist daher eine gewisse organisatorische und informationelle Trennung.
Die Pseudonyisierung ist zunächst einmal eine Sicherheitsmassnahme. Sie führt nicht dazu, dass der Verantwortliche, der in seiner Organisation eine Pseudonymisierung vorgenommen hat, keine Personendaten mehr bearbeitet – das Datum ist pseudonymisiert, nicht anonymisiert. Sie erhöht aber den Schutz der betreffenden Daten. Sie kann deshalb dazu führen, dass der Grundsatz der Datensicherheit eingehalten wird, aber auch dazu, dass eher ein überwiegendes Interesse an der Bearbeitung bejaht werden kann.
Bei einer Bekanntgabe eines pseudonymen Datums ist an den relativen Ansatz bei der Bestimmung des Personenbezugs zu denken. Ob ein Datum personenbezogen ist, entscheidet sich aus der Optik derjenigen Person, die Zugang zu diesem Datum hat oder für dessen Bearbeitung verantwortlich ist. Das hat folgende Wirkung: Gibt Person A ein pseudonymisiertes Datum, das für sie Personenbezug hat, an Person B bekannt, die dieses Datum nicht mit einer Person in Verbindung bringen kann (weil ihr die Zuordnung fehlt, über die Person A verfügt, die diese aber nicht an Person B bekanntgibt), so stellt dies keine Bekanntgabe eines Personendatums dar. Person A unterliegt für diese Bekanntgabe nicht dem Datenschutzrecht, und ebenso wenig Person B für ihren Umgang mit dem pseudonyem, für sie aber anonymen Datums. Das muss so sein – unterstünde Person B dem Datenschutzrecht, würde nicht mehr der relative, sondern der absolute Ansatz gelten.
Das bedeutet bspw., dass ein Arzt in der Schweiz eine nur durch einen Barcode individualisierte Blutprobe an ein Labor in den USA übermitteln kann, ohne dass die Beschränkungen der Auslandsbekanntgabe gelten. Erhält er das Auswertungsergebnis zurück, stellt dies für ihn allerdings eine Datenbeschaffung dar.
Selbstverständlich sind dennoch Sicherheitsmassnahmen zu treffen, u.a. eine Vereinbarung mit dem Empfänger, dass dieser die erhaltenen Daten nur zweckgebunden bearbeitet und sie vertraulich behandelt.
Das Bundesgericht war im Logistep-Urteil strenger – das Datenschutzrecht gelte in einem solchen Fall nicht nur für den Empfänger, sondern auch für die übermittelnde Stelle, für die die übermittelten Daten keinen Personenbezug haben. Wir halten dieses Urteil in diesem Punkt für ergebnisgeleitet und nicht zutreffend.
«Bearbeiten» ist ein äusserst weiter Begriff. Jeder Umgang mit Personendaten ist ein Bearbeiten, selbst ihre Anonymisierung oder Löschung. Offen ist höchstens, ob schon das Sehen eines Personendatums eine Bearbeitung darstellt.
Das Datenschutzrecht kennt unterschiedliche Rollen je nach Einfluss auf eine bestimmte Datenbearbeitung. Die Bestimmung der Rollen der Beteiligten ist jeweils der Ausgangspunkt bei einer datenschutzrechtlichen Prüfung.
Der «Verantwortliche» ist dabei dasjenige Unternehmen (i.d.R. ein Unternehmen; es kann auch eine einzelne Person sein), das über die Datenbearbeitung massgeblich bestimmt. Das wird durch zwei Kriterien bestimmt: Der Verantwortliche veranlasst die Datenbearbeitung, d.h. er setzt den Grund, dass sie in ihrer konkreten Form überhaupt stattfindet, und damit auch, welchem Zweck sie dient. Und er bestimmt die wesentlichen Rahmenbedingungen der Bearbeitung, d.h. welche Daten von welchen Personen wie lange bearbeitet werden und an wen sie allenfalls bekanntgegeben werden.
Ein Verantwortlicher ist z.B. ein Unternehmen für die Bearbeitung der Personendaten seiner Mitarbeitenden, oder ein Unternehmen für sein eigenes Direktmarketing, aber auch ein Bundesorgan, dem eine gesetzliche Aufgabe zugeordnet ist.
Ein Verantwortlicher bleibt auch dann verantwortlich, wenn er die Datenbearbeitung an einen Dienstleister auslagert. Es kann sogar sein, dass er die bearbeiteten Daten selbst weder hat noch sie kennt – auch dann kann ein Unternehmen verantwortlich sein, sofern es über die Datenbearbeitung eines Dritten massgeblich bestimmt.
Mehrere Unternehmen können sich die Rolle eines Verantwortlichen teilen – in diesem Fall sind sie «gemeinsam Verantwortliche». Das ist dann der Fall, wenn sie die Zwecke einer Bearbeitung und auch ihre wesentlichen Rahmenbedingungen gemeinsam bestimmen. Die genauen Kriterien sind allerdings schwer zu fassen. Das liegt zum einen an wenig klaren Stellungnahmen der europäischen Behörden und zum anderen an drei Urteilen des EuGH, in der einzelfallweise eine gemeinsame Verantwortung angenommen hat, wobei sich aber nur schwer ein roter Faden ausmachen lässt.
Man kann aber im Wesentlichen zwei Konstellationen der gemeinsamen Verantwortung unterscheiden:
Eine gemeinsame Verantwortung liegt oft vor, wenn mehrere Unternehmen dasselbe System für ähnliche Bearbeitungen verwenden und deshalb gemeinsam einen Dienstleister beiziehen. Besonders im Konzernverhältnis ist dies bei gemeinsam genutzten Konzerndienstleistungen naheliegend, z.B. bei einem gemeinsamen Management von Mitarbeiterdaten oder einer gemeinsamen CRM-Datenbank.
Eine gemeinsame Verantwortung kann auch dann vorliegen, wenn ein Verantwortlicher Daten bearbeitet und diese einem anderen Verantwortlichen weitergibt, dies im eigenen Interesse und im Wissen darum, für welche Zwecke und wie er diese Daten verwenden wird.
In der Praxis werden zunehmend gemeinsame Verantwortungen angenommen, wenn mehrere Unternehmen partnerschaftlich zusammenarbeiten und dabei beide massgeblichen Einfluss auf die Bearbeitung nehmen.
Das schweizerische Datenschutzrecht verlangt nicht ausdrücklich, dass gemeinsam Verantwortliche einen Vertrag schliessen, anders als dies die DSGVO in den meisten Fällen verlangt. Eine unbemerkte gemeinsame Verantwortung stellt deshalb nicht unbedingt einen Verstoss dar. Allerdings ist es sinnvoll, dass bei einer Vermischung von Bearbeitungen mehrerer Unternehmen eine Regelung getroffen wird, wer welche datenschutzrechtlichen Pflichten erfüllt, z.B. wer betroffene Personen über die Bearbeitung informiert, wer die Sicherheit gemeinsam genutzter IT-Systeme gewährleistet und wer sich um Anfragen von Betroffenen kümmert.
Solche Regelungen sind übrigens nicht nur bei gemeinsam Verantwortlichen sinnvoll, sondern oft auch dann, wenn mehrere Verantwortliche unabhängig zusammenarbeiten.
Ein Auftragsbearbeiter ist ein Unternehmen (oder eine Person), die zwar Daten bearbeitet, die aber nicht über die konkrete Bearbeitung bestimmt. Das trifft besonders – aber nicht nur – auf IT-Dienstleister zu. Bspw. ist ein Hostingdienstleister ein Auftragsbearbeiter, auch ein Cloud-Anbieter oder der Betreiber einer SaaS-Lösung. Je enger der Zweck der SaaS-Lösung ist, desto mehr Einfluss hat der Betreiber auf die Art einer Datenbearbeitung. Das tut er aber generisch durch die Systemgestaltung und nicht bezogen auf konkrete, einzelne Daten; über diese bestimmt der Verwender der Lösung. Deshalb bleibt der SaaS-Anbieter ein Auftragsbearbeiter.
Allerdings sind nicht alle Dienstleister zugleich Auftragsbearbeiter. Manche Dienstleister bearbeiten zwar Personendaten für die Erfüllung des Auftrags, bestimmen aber weitgehend frei. Ein Beispiel ist eine Anwaltskanzlei, die ein Verfahren für einen Klienten führt. Sie ist zwar ein Auftragnehmer, aber sie bestimmt selbst, welche Daten sie dafür benötigt. Faustregel: Ein Dienstleister ist ein Auftragsbearbeiter, wenn der Gegenstand der Dienstleistung vor allem die Bearbeitung von Personendaten ist. Ein Verantwortlicher ist er, wenn seine Dienstleistung anderer Art ist und er Personendaten nur als Nebenfolge dieser Dienstleistung bearbeitet.
Beispiele finden sich u.a. in einer Liste des Bayrischen Landesamts für Datenschutz.
Weitere Hinweise zur Auftragsbearbeitung finden Sie unter der entsprechenden Rubrik.
Das revidierte DSG und die Verordnung (DSV) treten am 1. September 2023. in Kraft Der Bundesrat hat noch knapp im August 2022 das revDSG und die revidierte VDSG – neu “DSV” – mit einem Jahr informeller Übergangsfrist auf den 1. September 2023 in Kraft gesetzt.
Ja, weil sie das Datenschutzrecht bis zu einem gewissen Grad formalistischer macht, weil sie den Datenschutzrecht generell verschärft und weil sie neue Sanktionen einführt.
Wichtig ist sie allerdings nicht nur deshalb. Auch die Erwartungen von Kunden, Investoren, Behörden, Partnern und des Publikums ändern sich – war der Datenschutz für Stakeholder lange Zeit kein grosses Thema, ausserhalb regulierter Branchen, gewinnt er nun stark an Beachtung.
Unternehmen können eine Auseinandersetzung mit den Datenschutz und eine angemessene Umsetzung der neuen Anforderungen deshalb nicht vermeiden.
Unsere Beiträge zur Revision finden sich hier.
Ja. Das revidierte DSG sieht Massnahmen und Prozesse vor, über die viele Unternehmen nicht oder nur unzureichend verfügen. Besonders unregulierte grössere Unternehmen, die nur oder überwiegend in der Schweiz tätig sind, sind herausgefordert. Wo die DSGVO bereits umgesetzt wurde – soweit das überhaupt möglich ist –, ist die Umsetzung einfacher, aber bestimmte Arbeiten werden auch hier erforderlich sein.
Hinweise zur Umsetzung finden sich hier.
Sie können unsere Beiträge zur Revision lesen. Sie können auch unseren Newsletter abonnieren.
Hilfreiche Angaben finden Sie auch in der Botschaft des Bundesrats zum Entwurf des revDSG, z.B. hier oder hier. Und eine umfassende Darstellung finden Sie von David Rosenthal.
“DSGVO” steht für “Datenschutz-Grundverordnung”. Das ist eine Verordnung, die den Umgang mit Personendaten regelt und in der ganzen EU und dem restlichen EWR anwendbar ist, also auch in Liechtenstein, Island und Norwegen.
Die DSGVO ist meist strenger als das schweizerische DSG, und teils sehr detailverliebt und formalistisch.
Sie kann auch auf Unternehmen in der Schweiz anwendbar sein. Ob das auch auf Sie zutrifft, können Sie hier herausfinden.
Jein. Es ist klar, dass das Datenschutzrecht lange Zeit kaum durchgesetzt wurde. Das galt in der Schweiz noch viel mehr als in Europa. Eine Verschärfung war durchaus sinnvoll.
Andererseits hat die DSGVO grosse Mängel. Sie ist in Teilen weltfremd, und in vielen Punkten ist sie formalistisch. Das liegt allerdings nicht nur an der DSGVO, sondern auch an ihrer Interpretation durch Datenschutzaufsichtsbehörden, die oft dazu neigen, die DSGVO sehr streng auszulegen. Das schadet der Akzeptanz des Datenschutzrechts. Es ist auch deshalb nicht gerechtfertigt, weil es verschiedene Grundrechte gibt, die abzuwägen sind. Der Schutz betroffener Personen ist kein absolutes Anliegen. Es gibt z.B. auch die Wirtschaftsfreiheit. Das geht leider oft vergessen.
Das ist eine oft schwierig zu beantwortende Frage. Wahrscheinlich fallen bestimmte Bearbeitungen unter die DSGVO, wenn Sie eine der folgenden Fragen mit Ja beantworten können:
Wenn Sie eine Frage mit Ja beantworten, sollten Sie die Anwendbarkeit der DSGVO genauer prüfen. Wenn nicht, ist es wenig wahrscheinlich, dass Sie unter die DSGVO fallen.
Aber: Die Schweiz hat eigene Regeln, die zu einer Anwendbarkeit der DSGVO führen können (im «IPRG»). Falls Sie Personendaten von Personen bearbeiten, die im EWR-Gebiet wohnen, können diese Personen i.d.R. vor einem schweizerischen Gericht klagen und verlangen, dass ihre Ansprüche nach dem Recht in ihrem Heimatstaat beurteilt werden. Das Gericht würde dann nicht die obigen Fragen prüfen, sondern nur noch fragen, ob Sie damit rechnen konnten, dass Sie Daten von Personendaten im EWR bearbeiten. Wenn ja, dann würde es das Heimatrecht des Klägers anwenden, und das kann die DSGVO sein. Wenn Sie also Grenzgänger beschäftigen, könnten diese ein Auskunftsbegehren stellen, und wenn Sie es nicht nach dem Standard der DSGVO beantworten, könnten diese Grenzgänger in der Schweiz an Ihrem Sitz klagen und Ansprüche nach der DSGVO beurteilen lassen. Uns ist bisher allerdings erst ein Fall bekannt, bei dem in der Schweiz auf Basis der DSGVO geklagt wurde (erfolglos).
Es gibt übrigens Fälle, in denen die DSGVO eingehalten werden muss oder sollte, auch wenn ein Unternehmen an sich nicht unter die DSGVO fällt. Das betrifft besonders Konzerngesellschaften, wenn der Konzern die DSGVO als allgemeinen Standard einhalten will, und IT-Dienstleister, deren Kunden ihrerseits die DSGVO einhalten müssen und von ihrem Dienstleister deshalb dasselbe verlangen.
Die Einhaltung der DSGVO kann auch Teil der Positionierung eines Unternehmens sein, als Teil der Nachhaltigkeit (als «Corporate Digital Responsibility») und des vertrauenswürdigen Umgangs mit Endkunden.
Die DSGVO sieht zur Überwachung der Einhaltung der DSGVO und zur Untersützung des Verantwortlichen bzw. Auftragsbearbeiters die Rolle des “Datenschutzbeauftragten” vor (oft nach dem englischen “Data Protection Officer” als DPO abgekürzt). Das revDSG nimmt diese Idee auf und kennt den “Datenschutzberater” (DSB).
DPO und DSB sind als unabhängige Stellen innerhalb der Organisation des Unternehmens gedacht. Sie sind als Arbeitnehmer zwar den Weisungen des Unternehmens unterstellt, aber nicht in Bezug auf ihre Funktion als DPO und DSB. Das Unternehmen darf ihnen deshalb nicht vorschreiben, welche Bearbeitungen sie prüfen oder wie sie die Einhaltung des Datenschutzrechts beurteilen.
Damit ihre Unabhängigkeit nicht gefährdet wird, dürfen sie keine Rollen oder Aufgaben haben, bei denen sie selbst über Datenbearbeitungen entscheiden würden. Sie können deshalb im Rechtsdienst oder der Compliance angesiedelt sein, oder eine eigene Stelle bilden, oder auch in der IT arbeiten, aber nicht als Leiter solcher Funktionen, auch nicht als Leiter des Marketing.
Zudem sind DPO und DSB Ansprechpersonen für Betroffene und Behörden. Ihre Kontaktangaben müssen deshalb veröffentlicht werden, z.B. in einer Datenschutzerklärung.
Die DSGVO sieht zur Überwachung der Einhaltung der DSGVO und zur Untersützung des Verantwortlichen bzw. Auftragsbearbeiters die Rolle des “Datenschutzbeauftragten” vor (oft nach dem englischen “Data Protection Officer” als DPO abgekürzt). Das revDSG nimmt diese Idee auf und kennt den “Datenschutzberater” (DSB).
DPO und DSB sind als unabhängige Stellen innerhalb der Organisation des Unternehmens gedacht. Sie sind als Arbeitnehmer zwar den Weisungen des Unternehmens unterstellt, aber nicht in Bezug auf ihre Funktion als DPO und DSB. Das Unternehmen darf ihnen deshalb nicht vorschreiben, welche Bearbeitungen sie prüfen oder wie sie die Einhaltung des Datenschutzrechts beurteilen.
Damit ihre Unabhängigkeit nicht gefährdet wird, dürfen sie keine Rollen oder Aufgaben haben, bei denen sie selbst über Datenbearbeitungen entscheiden würden. Sie können deshalb im Rechtsdienst oder der Compliance angesiedelt sein, oder eine eigene Stelle bilden, oder auch in der IT arbeiten, aber nicht als Leiter solcher Funktionen, auch nicht als Leiter des Marketing.
Zudem sind DPO und DSB Ansprechpersonen für Betroffene und Behörden. Ihre Kontaktangaben müssen deshalb veröffentlicht werden, z.B. in einer Datenschutzerklärung.
Ein Bearbeitungsverzeichnis ist ein Inventar der unterschiedlichen Bearbeitungstätigkeiten.
Verantwortliche müssen ihre Bearbeitungstätigkeiten nach dem revDSG wie auch der DSGVO erfassen, jeweils unter Angabe
Auftragsbearbeiter müssen ebenfalls ein Bearbeitungsverzeichnis führen, aber mit weniger inhaltlichen Anforderungen.
Bearbeitungsverzeichnisse müssen auf dem aktuellen Stand gehalten werden, was i.d.R. interne Vorgaben oder Prozesse erfordert.
Jeder Verantwortliche und jeder Auftragsbearbeiter müssen ein Bearbeitungsverzeichnis führen.
Es gibt aber die “KMU-Ausnahme”. Das revDSG verlangt vom Bundesrat, eine Ausnahme für Unternehmen mit weniger als 250 Mitarbeitenden zu schaffen, vorbehaltlich eines hohen Risikos. Der Entwurf der VDSG sieht deshalb vor, dass Verantwortliche und Auftragsbearbeiter kein Bearbeitungsverzeichnis führen müssen, sofern
Bei diesen Risiken müssen die entsprechenden Bearbeitungen – aber auch nur diese – in einem Verzeichnis erfasst werden.
Bundesorgane – das sind auch bspw. Pensionskassen und privatrechtlich organisierte Organisationen, die eine Bundesaufgabe erfüllen – müssen ein Bearbeitungsverzeichnis führen. Sie müssen es zudem dem EDÖB melden und dafür ein Benutzeraccount eröffnen. Man kann das Verzeichnis dem EDÖB aber auch so schicken. Die Verzeichnisse der Bundesorgane werden veröffentlicht.
Das Datenschutzrecht verfolgt generell einen risikobasierten Ansatz. Das heisst, dass der Verantwortliche und der Auftragsbearbeiter ihre Massnahmen zur Einhaltung des Datenschutzrechts an den Risiken für die Betroffenen ausrichten müssen – je höher diese Risiken, desto höher die Anforderungen an den Schutz der Betroffenen z.B. durch stärkere Sicherheitsmassnahmen.
Das verlangt ganz allgemein, dass Unternehmen die Risiken ihrer Datenbearbeitungen einschätzen, und sie müssen die Einhaltung des Datenschutzrechts proaktiv sicherstellen (das meint der Grundsatz von “privacy by design”).
Wenn sie dabei feststellen, dass bestimmte Datenbearbeitungen voraussichtlich besonders riskant sind, müssen sie eine Datenschutz-Folgenabschätzung (DSFA) durchführen. Das gilt nach dem revDSG wie auch nach der DSGVO.
Eine DSFA ist deshalb nichts weiter als dies – eine Risikobewertung. Zu bewerten sind die Risiken, wie sie sich ex ante präsentieren, die sog. Bruttorisiken. Zu berücksichtigen sind sodann risikosenkende Massnahmen, und am Ende das verbleibende Risiko, das Nettorisiko. Dies alles ist zu dokumentieren, und wenn ein DPO oder ein Datenschutzberater bestellt wurden, sind sie einzubeziehen.
Sollte sich ausnahmsweise zeigen, dass die Nettorisiken nach wie vor hoch sind, muss dies der zuständigen Datenschutzbehörde mitgeteilt werden. In der Schweiz ist das der EDÖB. Eine solche Mitteilungspflicht entfällt aber, wenn ein unabhängiger Datenschutzberater bestellt wurde und an der DSFA beteiligt war.
Sowohl nach dem DSG – auch dem revDSG – als auch nach der DSGVO sind bei jeder Bearbeitung von Personendaten bestimmte Grundsätze einzuhalten. Das sind die Grundsätze der Transparenz, der Zweckbindung, der Verhältnismässigkeit, der Datenrichtigkeit und der Datensicherheit. Die Datensicherheit ist nach dem revDSG allerdings kein Bearbeitungsgrundsatz mehr oder jedenfalls kein typischer, nachdem die Bestimmung zur Persönlichkeitsverletzung keine Bezug mehr auf die Datensicherheit nimmt. Dazu kommt der Grundsatz von Treu und Glauben.
Das Verhältnis der Grundsätze untereinander ist wenig klar. Der Grundsatz von Treu und Glauben ist eher ein Auffangtatbestand. Entscheidend sind die drei zusammenhängenden Grundsätze von Transparenz, Zweckbindung und Verhältnismässigkeit:
Bezugspunkt der Bearbeitung ist jeweils ihr Zweck. An diesem Zweck misst sich die Verhältnismässigkeit, denn verhältnismässig im weiteren Sinne sind Bearbeitungen, die für den Zweck der Bearbeitung geeignet und erforderlich sind. Auch die Zweckbindung nimmt – offensichtlich – auf den Zweck Bezug.
Diesen Zweck setzt der Verantwortliche im Rahmen der weiteren Rechtsordnung frei. Er wird darin durch das DSG nicht beschränkt – es gilt die Wirtschaftsfreiheit, vorbehaltlich der Verletzung einer Verhaltensnorm z.B. aus dem Strafrecht (der EDÖB vergisst dies bisweilen, wenn er der Meinung ist, eine Datenbearbeitung sollte nicht sein – dann bezeichnet er sie kurzerhand als unverhältnismässig, ohne dass er berücksichtigt, dass der Verantwortliche den Zweck vielleicht weit gesetzt hat).
Der Verantwortliche setzt deshalb den Zweck, und das tut er durch Transparenz: Der Bearbeitungszweck ist derjenige Zweck, den der Verantwortliche kommuniziert oder der offensichtlich ist (d.h. aus den Umständen erkennbar ist). Im Ergebnis gilt also, dass der Verantwortliche den Zweck setzt, sich an diesen halten muss und Daten nur so bearbeiten darf, wie es für den Zweck erforderlich ist. Das ist an sich der Kern des materiellen Datenschutzrechts.
Wenn man will, kann man weitere Regeln als Bearbeitungsgrundsätze sehen, so das Verbot der Bekanntgabe von besonders schützenswerten Personendaten und heute von Persönlichkeitsprofilen an Dritte oder das Verbot, Personendaten gegen den geäusserten Willen des Betroffenen zu bearbeiten. Auch die grundsätzliche Bearbeitungsfreiheit veröffentlichter Daten kann als Bearbeitungsgrundsatz bezeichnet werden.
Transparenz heisst letztlich, dass die betroffene Person zumindest die Möglichkeit hat, eine Datenbearbeitung und ihren Zweck zu kennen. Das kann eine Information verlangen, aber es genügt schon, wenn die Bearbeitung aus den Umständen hervorgeht, also offensichtlich ist. Das revidierte DSG erwähnt diesen Grundsatz erstaunlicherweise nicht mehr ausdrücklich, aber er gilt weiterhin.
Was konkret transparent sein muss, d.h. welche Umstände der Bearbeitung – z.B. auch eine Bekanntgabe an Dritte – ist allerdings offen, das kann nur im Einzelfall beantwortet werden. Zur Transparenz kann sodann eine eigene Informationspflicht hinzukommen (s. dort).
Die Zweckbindung ist an sich ein Ausfluss aus dem Transparenzgrundsatz. Sie verlangt, dass Daten nur so bearbeitet werden, wie es für den (transparenten) Zweck erforderlich ist. Eine Zweckentfremdung ist deshalb verboten, jedenfalls ohne dass der neue Zweck seinerseits und rechtzeitig transparent ist. Allerdings gibt es untergeordnete Nebenzwecke, die die Schwelle der Zweckentfremdung noch nicht erreichen. Das stellt das revidierte DSG dadurch klar, dass es neben dem Ursprungszweck auch damit vereinbare Zwecke nennt.
Das DSG kennt ebenso wie das revDSG kein grundsätzliches Verbot der Datenbearbeitung, anders als die DSGVO. Eine Datenbearbeitung muss deshalb grundsätzlich nicht gerechtfertigt werden. Das gilt auch für die Bearbeitung besonders schützenswerter Personendaten, heute für die Bearbeitung von Persönlichkeitsprofilen und nach dem revDSG für ein Profiling, selbst ein Profiling mit hohem Risiko. Es ist deshalb falsch, wenn der EDÖB eine Bearbeitung von besonders schützenswerten Personendaten nur mit einer Einwilligung erlauben will. Falls aber ein Bearbeitungsgrundsatz verletzt wird, ist die entsprechende Bearbeitung nur zulässig, wenn diese Verletzung gerechtfertigt ist.
Rechtfertigen muss und kann man nicht eine Bearbeitung, sondern nur eine Verletzung eines Bearbeitungsgrundsatzes. Das DSG wie auch das revDSG sieht drei Rechtfertigungsgründe vor:
An sich nichts Neues. Der Grundsatz von Privacy by Design meint nur, dass die Einhaltung des Datenschutzrechts proaktiv sicherzustellen ist, also schon dann, wenn eine Bearbeitung geplant wird. Infolgedessen muss eine Applikation bspw. in der Lage sein, Daten zu löschen oder Zugriffsrechte rollenbasiert zu vergeben.
Die DSGVO und das revDSG sehen diesen Grundsatz nun ausdrücklich vor. Nach dem revDSG hat er aber nur eine Wirkung: Wenn ein Verantwortlicher das Datenschutzrecht verletzt, kann er diese nicht mit Sachzwängen rechtfertigen (z.B. dem zu hohen Aufwand, um eine Applikation umzuschreiben, damit sie löschfähig wird), sofern er diesem Sachzwang mit rechtzeitiger Planung hätte begegnen können. Immerhin greift für bestehende Bearbeitungen unter bestimmten Voraussetzungen eine Übergangsregelung.
Nach dem heutigen DSG nicht unbedingt. Eine Information ist derzeit nur notwendig, soweit sich eine Bearbeitung nicht von selbst versteht oder wenn besonders schützenswerte Personendaten oder Persönlichkeitsprofile beschafft werden (und natürlich soweit eine spezialgesetzliche Regelung wie z.B. Art. 3 VVG eine Information über Datenbearbeitungen verlangt).
Nach dem revDSG und nach der DSGVO ist das anders. Hier besteht grundsätzlich eine Informationspflicht über alle Datenbearbeitungen, soweit nicht eine Ausnahme anwendbar ist.
Es gibt Ausnahmen von der allgemeinen Informationspflicht. Relevant sind v.a. folgende Ausnahmen, nach dem revDSG:
Die DSGVO überlässt die Regelung der Ausnahmen weitgehend den Mitgliedstaaten, weshalb das anwendbare lokale Recht konsultiert werden muss.
Das revDSG verlangt eine Information zu folgenden Punkten:
Die DSGVO ist etwas strenger – es muss zusätzlich über folgende Punkte informiert werden:
Dafür müssen nach der DSGVO nicht alle Länder genannt werden, sondern nur Länder ausserhalb des EWR.
Je nachdem können weitere Informationspflichten gelten:
Das Datenschutzrecht gibt nicht genau vor, wie informiert werden muss. Üblich sind Datenschutzerklärungen, aber eine Information kann auch in AGB enthalten sein, sofern klar ist, was Vertragsbestandteil und was (Datenschutz-)Information ist, auch wenn dies oft nicht sinnvoll ist.
Man kann auch im Rahmen eines Einwilligungsformulars informieren, oder durch einen Hinweis auf einer Website, die Daten erhebt, oder durch ein gesondertes Schreiben usw. Möglich ist auch eine mündliche Information, z.B. in einer Telefonansage.
Entscheidend ist nur, dass der Betroffene die Information rechtzeitig zur Kenntnis nehmen und verstehen kann.
Möglich ist auch eine Information durch jemand anderen. Das ist oft notwendig. Wenn ein Bankkunde z.B. Informationen über einen Bevollmächtigen oder einen an Vermögenswerten wirtschaftlich Berechtigten bekanntgibt, kann oft nur er – und nicht die Bank – informieren. In diesem Fall kann die Bank mit dem Kunden vereinbaren, dass dieser die weiteren Personen informiert. Dass muss der Kunde sogar, denn auch er ist ein Verantwortlicher für die Bekanntgabe dieser Daten an die Bank.
Das hängt vom Geschäft ab und vor allem auch von der Interaktion mit Betroffenen. Unternehmen versuchen meist, nicht zuviele Datenschutzerklärungen zu haben, weil alle verwaltet und aktualisiert werden müssen. Üblich ist etwa folgendes:
Zusätzlich können je nachdem weitere Datenschutzerklärungen sinnvoll sein, besonders wenn bestimmte Bearbeitungen nicht unheikel sind, aber nur eine kleinere, abgegrenzte Gruppe von Personen betrifft. Hier werden die entsprechenden Informationen statt in einer umfangreichen allgemeinen Datenschutzerklärung oft besser in einer spezialisierten, kleineren Datenschutzerklärung abgedeckt.
Nein. Eine Datenschutzerklärung ist nicht Vertragsbestandteil, sondern Information. Eine Einwilligung in die Datenschutzerklärung ist nicht notwendig und sollte auch vermieden werden. Andernfalls besteht die Gefahr, dass die Datenbearbeitung sich auf eine Einwilligung stützt – wird sie widerrufen, könnte die entsprechende Bearbeitung deshalb unzulässig werden.
Es ist auch nicht zwingend, dass der Betroffene bestätigt, die Datenschutzerklärung gelesen zu haben. Es reicht, wenn der Verantwortliche nachweisen kann, dass der Betroffene die Datenschutzerklärung auf zumutbare Weise zur Kenntnis nehmen konnte.
Das ist nicht ganz geklärt. In der Schweiz ist die allgemeine Praxis die, dass im Internet informiert werden kann, weil dem Betroffenen der Besuch einer Internetseite zumutbar ist. Schliesslich sind die Bundesgesetze auch in der im Internet veröffentlichten Fassung verbindlich – selbst der Gesetzgeber geht also davon aus, dass das Internet verwendet wird. Dass das nicht für alle Personen gilt, ist klar, aber kein Gegenargument, es gibt immer Personengruppen, die ein bestimmtes Format nicht verwenden können (z.B. Sehbehinderte).
Das gibt aber nur, wenn den Betroffenen klar ist bzw. sein sollte, dass ein Verantwortlicher Personendaten von ihnen bearbeitet, z.B. weil sie mit dem Verantwortlichen einen Vertrag haben – andernfalls wissen sie nicht, dass sie auf dessen Website Informationen zum Datenschutz konsultieren können. Bei nicht erkennbaren Bearbeitungen sollte deshalb aktiv auf die Fundstelle der Datenschutzerklärung(e) z.B. in Internet hingewiesen werden (z.B. auf einer Mitteilung, in einer E‑Mail-Signatur, in einer Rechnung usw.).
In der Schweiz geht man allgemein davon aus, dass ein einfacher Hinweis auf die Datenschutzerklärung genügt, unter Angabe des Links. Nicht erforderlich sind ein QR-Code oder bestimmte Mindesangaben zur Bearbeitung. Es reicht z.B. der Hinweis “Informationen zu unserem Umgang mit Personendaten finden sich auf www.xyz.ch”.
Bei der DSGVO ist die Praxis strenger. Hier werden zumindest bestimmte Grundangaben verlangt, dort, wo auf die Datenschutzerklärung im Internet verwiesen wird.
Das Datenschutzrecht verlangt vom Verantwortlichen zwar die Einhaltung diverser Pflichten. Trotzdem geht es davon aus, dass Betroffene eine grosse Mitverantwortung bei der Bearbeitung ihrer Daten haben. Dazu gibt ihnen das Datenschutzrecht eine Reihe von Instrumenten in die Hand, mit denen sie auf diese Bearbeitung einwirken können – das sind die Betroffenenrechte.
Betroffene haben zunächst das Recht, über die Bearbeitung ihrer Daten informiert zu werden, denn wenn sie von dieser Bearbeitung nichts wissen, können sie auch weitere Rechte nicht ausüben.
Das wichtigste Betroffenenrecht neben der Informatin ist das Recht auf Auskunft. Damit können sie vom Verantwortlichen weitere Angaben über die Bearbeitung ihrer Daten verlangen. Nach dem revDSG und der DSGVO können sie auch eine maschinenlesbare Kopie bestimmter Daten verlangen – die Idee ist, dass sie damit leichter zwischen Anbietern wechseln können, auch wenn sich das voraussichtlich kaum bewähren wird.
Anschliessend können die Betroffenen auf diese Bearbeitung Einfluss nehmen. Sie können ihr teilweise oder ganz widersprechen (wobei sich das revDSG und die DSGVO hier stark unterscheiden), und sie können auch verlangen, dass unrichtige Daten berichtigt werden.
Schliesslich können sie Einwilligungen widerrufen, und sie können sich bei der zuständigen Behörde beschweren.
Über diese Rechte müssen die Betroffenen nach der DSGVO informiert werden. Nach dem revDSG ist das nicht zwingend, aber es ist üblich.
Dazu finden Sie unter “Begriffe” Informationen.
Das kommt darauf an:
Ja und nein. Das revDSG wie auch die DSGVO (und das heutige DSG) privilegieren die Auftragsbearbeitung, allerdings in unterschiedlicher Hinsicht. Die DSGVO verlangt für jede Bearbeitung eine Rechtsgrundlage, weil jede Bearbeitung grundsätzlich untersagt ist. «Privilegierung» bedeutet in diesen Zusammenhang vor allem, dass die Bekanntgabe an den Auftragsbearbeiter keine eigene Rechtsgrundlage voraussetzt. Das ist nach dem DSG und dem revDSG anders – die Bearbeitung ist zulässig, sofern sie die Bearbeitungsgrundsätze einhält. Die Privilegierung ist insofern weniger wichtig. Bei besonders schützenswerten Personendaten immerhin führt sie dazu, dass die Bekanntgabe an den Auftragsbearbeiter ohne Rechtfertigungsgrund zulässig ist.
Diese Privilegierung folgt daraus, dass der Auftragsbearbeiter gewissermassen der verlängerte Arm des Verantwortlichen ist und datenschutzrechtlich zu seiner Sphäre gezählt wird. Das setzt allerdings voraus, dass der Verantwortliche und der Auftragsbearbeiter einen Vertrag schliessen, der bestimmten Anforderungen entspricht.
Auftragsbearbeiter haben oft ein Interesse daran, bestimmte Daten ihrer Kunden, der Verantwortlichen, für eigene Zwecke zu verwenden – bspw. weil sie eine Form des Machine Learning einsetzen und Auftragsdaten als Trainingsdaten einsetzen oder weil sie Auftragsdaten für eigene Aufbewahrungszwecke speichern wollen (auch wenn Aufbewahrungsvorschriften selten für Auftragsdaten gelten werden).
Es ist nicht unüblich, Auftragsbearbeitern eine gewisse Bearbeitung zu eigenen Zwecken zu gestatten, oft ohne genauere rechtliche Analyse. Strenggenommen stellen sich aber einige Fragen. Der Auftragsbearbeiter ist in einer solchen Konstellation ein Verantwortlicher. Im entsprechenden Umfang entfällt daher die Privilegierung, und die Bekanntgabe an den Auftragsbearbeiter als Verantwortlicher kann je nachdem transparenzpflichtig sein. Sofern die DSGVO gilt, setzt diese Bekanntgabe zudem eine Rechtsgrundlage voraus, die zu prüfen und in einer Datenschutzerklärung auch zu nennen ist. Auch die weitere Bearbeitung durch den Auftragsbearbeiter – nun als Verantwortlicher – verlangt eine Rechtsgrundlage und eine Information, um die sich der Auftragsbearbeiter kümmern muss, was in der praktischen Umsetzung anspruchsvoll sein kann.
Keine Verwendung von Auftragsdaten liegt dagegen dann vor, wenn der Auftragsbearbeiter Daten über Kontaktpersonen des Verantwortlichen für sein eigenes Vertragsmanagement, sein CRM oder seine Rechnungstellung verwendet. Hier ist der Verantwortliche ein Verantwortlicher. Man kann sich daher fragen, ob bei einem Auftragsbearbeiter in einem Staat ohne angemessenes Schutzniveau nicht auch immer die Standardvertragsklauseln für Verantwortliche (d.h. heute das Modul 1) zum Einsatz kommen müsste, was in der Praxis allerdings selten so umgesetzt wird.
Das Datenschutzrecht geht das Thema der Datensicherheit von unterschiedlichen Ausgangspunkten her:
Das Datenschutzrecht gibt das zu erreichende Schutzniveau nicht vor. Es sagt nur, dass dieses den Risiken für die Betroffenen angemessen sein muss. Die heutige VDSG und ähnlich auch der Entwurf der revidierten VDSG geben immerhin vor, dass dabei Art und Umstände der Datenbearbeitung, die Risiken für Betroffene, der Stand der Technik und mplementierungskosten zu berücksichtigen sind. Je nach Branche können aber besondere Anforderungen gelten, und ebenso für öffentliche Organe.
Man kann die Anforderungen an die Datensicherheit dadurch konkretisieren, dass man nach bestimmten Risiken fragt, oder genauer gesagt, nach typischen Bedrohungsszenarien. Diesen Szenarien müssen die Sicherheitsmassnahmen begegnen. Daraus ergeben sich wiederum sog. Schutzziele. Sie sind keine umfassende Darstellung der Datensicherheit, helfen als typische Ausrichtung aber bei der Prüfung und Bewertung von Sicherheitsmassnahmen.
Der Entwurf der revidierten VDSG sieht folgende Schutzziele vor:
Man kann die Datensicherheit auch anders betrachten, mehr vom Ergebnis und weniger von den Risiken her. Die Datensicherheit soll dabei vor allem drei Punkte gewährleisten:
Nach dem englischen “Confidentiality, Integrity” und “Availabilty” wird deshalb auch von “CIA” gesprochen.
Das Datenschutzrecht umschreibt Sicherheitsmassnahmen als “technische und organisatorische Massnahmen”, oft als “TOMs” abgekürzt.
Technische Massnahmen sind Massnahmen, die technisch implementiert werden, z.B. ein Passwortschutz oder eine Transportverschlüsselung. Organisatorische Massnahmen setzen bei Menschen an, z.B. durch ein Vieraugenprinzip, eine Clean Desk-Weisung, Verträge, Kontrollen oder Schulungen. Technische Massnahmen gelten tendenziell als stärker.
Welche Sicherheitsmassnahmen jeweils erforderlich sind, ist eine Frage der Umstände, z.B. des Systems der Datenbearbeitung, der Risiken und der faktisch in Frage kommenden Massnahmen. Die DSGVO nennt nicht abschliessend folgende Massnahmen, die teilweise aber eher Schutzziele denn Massnahmen sind:
Der EDÖB hat in seinem etwas angejahrten Leitfaden zu technischen und organisatorischen Massnahmen Beispiele aufgeführt (die je nach Umständen erforderlich sind oder nicht).
Konkrete Sicherheitsmassnahmen werden auch in branchenspezifischen Regelungen vorgegeben, z.B. – selbstredend nicht abschliessend – für die Kreditkartenbranche im Payment Card Industry Data Security Standard (PCI DSS), für Banken und Wertpapierhäuser im Rundschreiben Operationelle Risiken, in den Leitlinien der Bankiervereinigung für Data Leakage Prevention und den Empfehlungen für das Business Continuity Management, und für den Bund im kommenden Informationssicherheitsgesetz.
Das heutige DSG versteht den Grundsatz der Datensicherheit breiter und sieht ihn entsprechend durch jede unbefugte Bearbeitung verletzt. Das revDSG und die DSGVO sind enger: Der Grundsatz der Datensicherheit betrifft nur die eigentliche Sicherheit.
Eine Sicherheitsverletzung ist entsprechend definiert, im revDSG wie in der DSGVO. Sie besteht jeweils darin, dass
Keine Sicherheitsverletzung ist eine unbefugte Bearbeitung durch den Verantwortlichen, z.B. eine unterlassene Löschung oder eine unerlaubte Zweckänderung.
Das heutige DSG sieht keine ausdrückliche Pflicht vor, Sicherheitsverletzungen dem EDÖB oder den betroffenen Personen zu melden. In Ausnahmefällen kann sich eine solche Pflicht aber aus allgemeinen Grundsätzen ergeben.
Die DSGVO kennt aber Meldepflichten, und auch das revDSG führt solche Pflichten ein.
Meldepflichten können sich auch aus branchenspezifischen Regelungen ergeben. Diese gehen aber weniger von der Verletzung des Schutzes von Personendaten aus sondern generell von Vorfällen, die in der betreffenden Branche relevant sind. Ein Beispiel ist die Pflicht, nach Art. 29 FINMAG aufsichtsrelevante Vorfälle der FINMA zu melden.
Nach dem revDSG müssen Verantwortliche dem EDÖB eine Sicherheitsverletzung melden, falls diese “voraussichtlich zu einem hohen Risiko” für die betroffenen Personen führt. Hier unterscheidet sich das revDSG von der DSGVO – nach der DSGVO sind alle Sicherheitsverletzungen zu melden, die zu einem Risiko führen.
Man kann dem EDÖB Sicherheitsverletzungen auch freiwillig melden. In der Regel ist davon abzuraten.
Nach dem revDSG muss der Verantwortliche die betroffenen Personen dann über eine Sicherheitsverletzung – mit Bezug auf ihre Daten – informieren, wenn es zum Schutz der betroffenen Person erforderlich ist. Das kann z.B. dann der Fall sein, wenn Zugangsdaten zu einem Konto entwendet wurden und die betroffene Person dieselben Zugangsdaten womöglich anderweitig einsetzt oder das betroffene Konto nur selbst sperren kann.
Ebenfalls mitzuteilen sich Sicherheitsverletzungen, wenn der EDÖB es verlangt (aber nicht unbedingt so, wie er es verlangt).
Grundsätzlich nicht. Juristische Personen innerhalb eines Konzerns werden gleich behandelt wie unverbundene Unternehmen. Die Bekanntgabe zwischen Konzernunternehmen ist deshalb nicht privilegiert.
Bestimmte Erleichterungen gibt es aber dennoch:
Wenn Personendaten an Dritte – d.h. andere Verantwortliche – bekanntgegeben werden, verliert das bekanntgebende Unternehmen das Recht, sich gegen ein Auskunftsbegehren auf seine eigenen überwiegenden Interessen zu berufen. Dasselbe gilt für die entsprechende Ausnahme von der Informationspflicht. Nach dem revDSG tritt diese Folge aber jeweils nicht ein, wenn der empfangende Verantwortliche zum gleichen Konzern wie der bekanntgebende Verantwortliche gehört.
Das Risiko bei einer konzerninternen Bekanntgabe kann niedriger sein. Entsprechend kann eine Bekanntgabe eher gerechtfertigt sein (und nach der DSGVO steigt die Chance, die Bekanntgabe mit einem berechtigten Interesse zu legitimieren).
Faktisch können natürlich weitere Erleichterungen bestehen:
Bei einer einheitlichen Leitung kann das Datenschutzrecht leichter bzw. insgesamt effizienter umgesetzt werden.
Konzerninterne Rahmenverträge erleichtern die Bekanntgabe.
Ein DPO oder Datenschutzberater kann unter bestimmten Voraussetzungen für mehrere Konzerngesellschaften vorgesehen werden.
Es bestehen faktisch aber auch Erschwerungen bzw. Risiken:
Das Risiko einer mangelnden Abgrenzung zwischen den Gesellschaften steigt, z.B. unbemerkter gemeinsamer Verantwortlichkeiten, unbemerkter Auftragsbearbeitungen oder unbemerkter Übermittlungen ins Ausland.
Eine Konzernzentrale kann versuchen, dem gesamten Konzern – auch für die Schweiz – undifferenziert die DSGVO als Standard aufzuerlegen.
Mitarbeitende können für mehrere Konzerngesellschaften tätig werden. Das erschwert die Abgrenzung der Verantwortlichkeiten, was bspw. die Beantwortung eines Auskunftsbegehrens erheblich erschweren kann.
Es kann zu unbemerktem Arbeitsverleih kommen.
Es kann dazu führen, dass geldwerte Leistungen zwischen Konzerngesellschaften nicht korrekt verrechnet werden, was zu negativen Steuerfolgen führen kann.
Da im Datenschutzrecht ein Konzernprivileg weitgehend fehlt, regeln Konzerne ihre Datenflüsse nicht anders als unverbundene Unternehmen, z.B. durch Auftragsbearbeitungsverträge oder den Abschluss der Standardvertragsklauseln.
Allerdings können diese Verträge vereinheitlicht werden, z.B. durch einen konzernweiten Rahmenvertrag. Diese Verträge werden oft als “Intra-Group Data Transfer Agreement” (“IGDTA”) oder – wenn sie etwas breiter sind – als “Intragroup Data Protection Agreement (“IDPA”) bezeichnet.
Damit sind konzernweite Rahmenverträge zur Regelung der internen Datenflüsse gemeint. Sie regeln oft folgende Punkte:
Soweit uns bekannt nicht frei im Internet erhältlich. Wir arbeiten i.d.R. aber mit Vorlagen, die an den konkreten Fall angepasst werden können.
Sie finden bei uns diverse Links zum Datenschutzrecht.
Weitere Hinweise finden Sie auch bei rosenthal.ch und einen Selbsttest beim Vischer Privacy Score.