Umsetzung des revidierten DSG

Gesetze

Datenschutz

neuste Beiträge

BVGer (A‑1353/2022): abgeschlossenes Zollstrafverfahren; keine Einsicht in Einvernahmeprotokoll eines Dritten; DSG 8 f. und 19

EuGH C‑634/21 – Anträge GA: Kreditscore (der SCHUFA) als automatisierte Entscheidung

Nationalrat: Meldepflicht für Cyberangriffe befürwortet

EDSA: Coordinated Enforcement Framework – DPOs im Fokus

Postulat Die Mitte-Fraktion, Die Mitte, EVP.(23.3050): Verbindliche Standards für die digitale Verwaltungslandschaft der Schweiz. Braucht es einen Digitalisierungsartikel in der Bundesverfassung?

EU-Kommission veröffentlicht Q&A zur Veröffentlichung aktiver Nutzer unter Digital Services Act

Zurich Privacy Drinks: erste Ausgabe am 21. März 2023

EDPB: finale Fassung der Leitlinien zur Bekanntgabe in Drittstaaten

Europarat: Erster Draft der AI-Konvention

Bundesamt für Justiz veröffentlicht FAQ zum Datenschutz

Weisungen
Bearbeitungsverzeichnis
Information
Verträge
Auslandsübermittlung
Hochrisiko-Bearbeitungen
Weitere Punkte

Umsetzung des nDSG

Es haben sich in der Zwischenzeit Erfahrungswerte gebildet, wie das Datenschutzrecht umzusetzen ist. Besonders bei grossen Unternehmen und Unternehmen in einem komplexen oder regulierten Umfeld werden sich zahlreiche weitere Fragen stellen. Aber auch die längste Reise beginnt bekanntlich mit dem ersten Schritt.

Checklisten für KMU

Nicht nur grosse Unternehmen müssen das neue Datenschutzrecht umsetzen, sondern auch KMU. Ausnahmen für KMU gibt es im nDSG nur am Rande – die meisten Vorgaben gelten auch für sie. Die Erwartungen an den Standard der Umsetzung sind allerdings andere. Wir haben deshalb eine Checkliste für KMU ausgearbeitet. Sie ist auf einfachere Verhältnisse und private Unternehmen ausgelegt (nicht für öffentliche Organe). Sie erhebt keinen Anspruch auf Vollständigkeit und stellt keine Rechtsberatung dar.

Weisungen

Das revidierte Recht traut Unternehmen nicht mehr zu, den Datenschutz zu gewährleisten, ohne dass eine gewisse Struktur und Organisation geschaffen wird. Es ist zwar noch wesentlich prinzipienorientierter als die DSGVO, aber bestimmte Abläufe und Rahmenbedingungen sind zu dokumentieren.

Weisung zum Datenschutz

Zunächst sollte ein Unternehmen die Grundsätze seines Umgangs mit Personendaten in einer internen Richtlinie (Policy) regeln. Zwingend ist das nicht, aber aus mehreren Gründen sinnvoll:

Eine Policy legt die Organisation des Unternehmens im Bereich des Datenschutzes fest, und besonders auch die internen Zuständigen und Verantwortlichkeiten. Damit ist eine Policy auch ein Element der korrekten Delegation und damit Entlastung der Führungsorgane.
Eine Policy hilft, das Bekenntnis des Unternehmens zu einem angemessenen Datenschutz intern zu kommunizieren.
Es ist absehbar, dass Unternehmen durch Kunden und ggf. bei einer Übernahme öfter nach einer Policy gefragt werden.
Wenn eine Datenschutzverletzung geschieht, hilft eine Policy bei der Verteidigung oder zumindest beim Argument, dass man den Datenschutz nicht ganz ausser Acht gelassen hat.

Das Unternehmen sollte sich im Rahmen der Policy deshalb u.a. überlegen, wer wofür zuständig sein soll. Dabei stellt sich auch die Frage, welches Knowhow und welche Ressourcen intern vorhanden sind und was eingekauft werden soll. Eine Frage der Organisation ist auch die Bestellung eines Datenschutzberaters (das entspricht mehr oder weniger dem “DPO” der DSGVO). Man muss keinen Datenschutzberater bestellen, aber es kann sinnvoll sein, besonders bei Unternehmen mit heiklen Daten und solchen mit besonderen Kundenerwartungen.

Weitere Policies und Anweisungen

Ob weitere Policies, Weisungen oder Anleitungen erforderlich sind, hängt von der Komplexität der Organisation und von seinem Geschäftsmodell ab.

Sinnvoll ist aber jedenfalls eine Policy zur Datenlöschung. Dazu finden sich anschliessend Hinweise.

Auch der Umgang mit Datensicherheitsverletzungen ist wesentlich. Zum einen führt das revDSG eine Pflicht ein, Sicherheitsverletzungen unter bestimmten Voraussetzungen dem EDÖB oder den betroffenen Personen mitzuteilen. Dafür steht nur eine beschränkte Frist zur Verfügung. Zum anderen führt ein falscher Umgang mit Sicherheitsverletzungen zu Reputationsrisiken. Unternehmen müssen sich deshalb überlegen, wie sie sicherstellen, dass Sicherheitsverletzungen rasch entdeckt und intern aufgenommen oder eskaliert werden.

Ebenfalls sinnvoll kann eine generelle Anleitung sein – im Sinne möglichst einfacher und konkreter Hinweise –, wie generell mit aussergewöhnlichen Situationen umzugehen ist, bspw. mit einer Sicherheitsverletzung, einem Auskunftsbegehren oder auch dem Einsatz neuer Software.

Todos

Ausarbeitung eines Entwurfs einer Policy mit den wesentlichen Grundsätzen des Datenschutzes im Unternehmen
Abstimmung mit den internen betroffenen Personen – wer eine Aufgabe erhält, muss sie akzeptieren und dafür entsprechend vorbereitet werden (und die erforderlichen Ressourcen haben)
Überlegungen, ob weitere Policies oder Anweisungen sinnvoll sind, z.B. für die Datenlöschung oder den Umgang mit Sicherheitsverletzungen
ggf. Ausarbeitung weiterer Policies oder Anweisungen

Bearbeitungsverzeichnis

Das revidierte Recht verzichtet an sich bewusst auf eine eigene, allgemeine Pflicht, Bearbeitungen oder die damit zusammenhängenden Entscheidungen zu dokumentieren. Punktuell sieht der Gesetzgeber aber trotzdem sogenannte Accountability-Pflichten um. Dazu gehören auch etwa die Aufbewahrungspflicht bei der Datenschutz-Folgenabschätzung oder die Protokollierung, vor allem aber die Pflicht, ein Bearbeitungsverzeichnis zu führen.

Inhalt des Bearbeitungsverzeichnisses

Das Bearbeitungsverzeichnis ist ein Verzeichnis der Bearbeitungstätigkeiten eines Unternehmens. Es geht nicht um eine Katalogisierung der einzelnen Daten (z.B. die Namen aller Kunden), sondern um ein Verzeichnis der Art und Weise der Datenbearbeitungen. Das Gesetz definiert die “Bearbeitungstätigkeit” nicht, aber es geht um Datenbearbeitungen mit ähnlichem Zweck und vergleichbaren Rahmenbedingungen. Zu granular sollte man dabei nicht sein, denn das Verzeichnis soll selbsterklärend sein und dabei ein verständliches Bild der Bearbeitungen vermitteln – das wird bei hunderten von Einträgen nicht erreicht. Bei einem KMU sollten es eher 10 – 15 Tätigkeiten sein.

Verantwortliche und Auftragsbearbeiter müssen beide ein Verzeichnis führen, aber es unterscheidet sich inhaltlich stark. Verantwortliche haben pro Bearbeitungstätigkeit folgende Punkte zu erfassen – das sind diejenigen Punkte, die eine Bearbeitung datenschutzrechtlich gesehen beschreiben und ihre Risiken prägen:

Firma und Adresse des Verantwortlichen (d.h. des Unternehmens, nicht etwa der Personen, die für das Ausfüllen des Verzeichnisses zuständig sind)
jeweils den Zweck der Bearbeitung (wozu dient sie, wieso gibt es sie überhaupt)
Kategorien betroffener Personen (z.B. Mitarbeitende, Bewerber, Kontaktpersonen von Kunden, Endkunden etc.)
Kategorien bearbeiteter Personendaten (z.B. Stammdaten, Transaktionsdaten, Vertragsdaten usw.)
Kategorien der Empfänger (z.B. IT-Dienstleister, Gruppengesellschaften, Behörden, Partner usw.)
die Aufbewahrungsdauer oder die Kriterien zur Festlegung der Dauer (am besten durch Verweisung auf ein Löschkonzept; sonst z.B. “sechs Monate ab X”, “11 Jahre ab X”, “unbefristet” usw.)
Beschreibung der Datensicherheitsmassnahmen (z.B. durch Verweisung auf ein Dokument mit den entsprechenden Angaben);
falls Daten ins Ausland bekanntgegeben werden oder werden sollen: eine Liste dieser Staaten (das schliesst auch Staaten in Europa ein und alle Bekanntgaben, auch solche an Dienstleister). Falls eine Bekanntgabe auf den Standardvertragsklauseln (oder einen anderen Datenübermittlungsvertrag) beruht, sollte dies ebenfalls erwähnt werden.

Auftragsbearbeiter dürfen es sich etwas einfacher machen, sie müssen bloss eine Liste der Verantwortlichen führen, für die sie Daten im Auftrag bearbeiten, und die Arten von Bearbeitungen im Auftrag umschreiben. Zudem müssen auch sie die Angaben zur Datensicherheit und zur Bekanntgabe ins Ausland erfassen.

Art und Form des Verzeichnisses

Das Gesetz sagt nur wenig zur Form des Verzeichnisses. Es muss aber nicht unterschrieben werden, und es muss auch nicht revisionssicher sein. Auch die Anforderungen der GebüV an die Aufbewahrung von Buchungsbelegen gelten nicht. In Frage kommen daher

ein Excel- oder Word-Dokument, lokal oder im Sharepoint oder anderen Plattform
Tools, die oft ohnehin schon im Einsatz sind, z.B. Confluence oder Notion
spezialisierte Tools von entsprechenden Anbietern

Wichtiger als die Form ist die Frage, wie das Verzeichnis auf dem laufenden Stand gehalten werden kann. Dafür ist ein interner Prozess erforderlich, der je nach Grösse und Komplexität der Organisation unterschiedlich aussehen kann. In vielen Fällen genügt eine Anweisung – in einer formellen Weisung oder auch in einem kurzen Handout für Mitarbeitende –, dass bei neuen oder geänderten Bearbeitungen eine bestimmte Person zu informieren ist. Bei grösseren Unternehmen bietet es sich eher an, bei bestehenden Prozessen entsprechende Ergänzungen oder Anpassungen zu machen – bspw. kann es sinnvoll sein, das Bearbeitungsverzeichnis mit bereits definierten Prozessen zu verbinden und Mitarbeitende bei Anpassungen oder neuen Prozessen das Verzeichnis konsultieren lassen, damit Lücken erkannt und geschlossen werden. Auch Stichproben durch Datenschutzstellen kommen in Frage – das sind alles aber keine ausdrücklichen Anforderungen, sondern Fragen einer funktionierenden Compliance-Organisation je nach Unternehmen.

Ausnahme für KMU

KMU sind von der Pflicht befreit, ein Bearbeitungsverzeichnis zu führen. Das betrifft aber nur KMU mit weniger als 250 Mitarbeitenden (jeweils per 1. Januar). Solche KMU dürfen freiwillig ein Verzeichnis führen, müssen es grundsätzlich aber nicht. Es kann durchaus sinnvoll sein, ein Verzeichnis freiwillig zu führen, sofern die Bearbeitungen nicht so trivial sind, dass sie auch so klar sind.

Allerdings müssen auch solche KMU ein Verzeichnis führen, wenn sie besonders riskante Bearbeitungen vornehmen, d.h. wenn sie umfangreich besonders schützenswerte Daten (z.B. Gesundheitsdaten) bearbeiten oder wenn sie ein “Profiling mit hohem Risiko” vornehmen. In diesem Fall müssen sie nicht alle, aber doch diese heiklen Bearbeitungen in einem Verzeichnis erfassen.

Todos

Prüfung, ob die Ausnahme für KMU greift – wenn ja, ob dennoch ein Verzeichnis geführt werden soll
Bestimmung des Formats – einfacher ist meistens besser
Ausarbeitung einer Vorlage und ggf. einer kurzen Anleitung dazu
Bestimmung des Vorgehens für die initiale Befüllung und spätere Aktualisierung des Verzeichnisses
Aufnahme des Verzeichnisses, d.h. der Bearbeitungstätigkeiten – das verlangt meist den Einbezug des Business, des HR und der IT, z.B. in einem Workshop

Information

Das heutige DSG verlangt nur in Ausnahmefällen eine ausdrückliche Information über die Bearbeitung von Personendaten (wenn besonders schützenswerte Personendaten wie z.B. Gesundheitsdaten oder Persönlichkeitsprofile beschafft werden). In den meisten Fällen reicht es, wenn sich eine Bearbeitung von selbst versteht.

Das ändert sich mit dem revidierten Gesetz. Analog zur DSGVO verlangt das Gesetz bei allen Bearbeitungen eine Information, sofern nicht eine Ausnahme greift. Das gilt sogar bei selbstverständlichen und trivialen Bearbeitungen. Damit wird zwar niemandem geholfen, aber eine Verletzung dieser Pflicht kann sogar strafbar sein.

Unternehmen sollten deshalb über ihre Bearbeitungen informieren, meist in Form von Datenschutzerklärungen. Das sind Hinweise oder Dokumente, die sich zur Datenbearbeitung äussern – sie sind nicht Vertragsbestandteil und sollten in der Regel auch nicht Teil von AGB sein.

Datenschutzerklärungen

Welche und wie viele Datenschutzerklärungen erforderlich sind, ist vom Geschäftsmodell abhängig. Meistens werden es aber etwa folgende sein:

eine allgemeine Datenschutzerklärung, die auf der Website bereitgestellt wird und die die meisten Bearbeitungen abdeckt, z.B. den Umgang mit Endkundendaten, mit Daten von Kontaktpersonen bei Kunden und Lieferanten, beim Marketing, bei der Zusammenarbeit mit Partnern usw.;
eine separate Cookie Notice, die den Umgang mit Personendaten über die Webseite(n) und ggf. Apps erklärt. Sie kann Teil der allgemeinen Datenschutzerklärung sein, aber eine eigene Erklärung entspricht oft mehr den Erwartungen;
eine Datenschutzerklärung für Mitarb-eitende. Sie kann sich auch zu Stellenbewerbenden äussern, sofern hier nicht eine eigene Datenschutzerklärung verwendet wird.

Eine andere Frage ist, auf welche Weise betroffene Personen (d.h. Personen, deren Daten bearbeitet werden), auf die passende Datenschutzerklärung hingewiesen werden. Dafür gibt es keine One-Size-Fits-All-Lösung – entscheidend sind die Schnittstellen mit den betroffenen Personen. Sinnvoll sind aber Hinweise

in Verträgen, zumindest in Verträgen mit Endkunden (AGB) und in Arbeitsverträgen oder ‑reglementen,
in der Fusszeile der Webseite und in Apps,
in Korrespondenz mit betroffenen Personen, z.B. in einer E‑Mail-Signatur, in Rechnungen, Bestellformularen usw. Hier können und sollten auch Bestandskunden, deren Daten vor dem Inkrafttreten des neuen Gesetzes beschafft worden sind, auf die Datenschutzerklärung aufmerksam gemacht werden.

Braucht es Einwilligungen?

Einwilligungen sind nach schweizerischem Datenschutzrecht nicht häufig erforderlich.

An Einwilligungen ist aber zu denken, wenn besonders schützenswerte Daten (z.B. Gesundheitsdaten) weitergegeben werden und beim E‑Mail-Marketing.

Todos

Ausarbeitung der Datenschutzerklärungen – dafür stehen Muster zur Verfügung, die sich mit den notwendigen Anpassungen als Ausgangsmaterial eignen. Ein ausführliches Muster findet sich hier, und weitere Muster sind verfügbar
Überlegungen zu Hinweisen auf die Datenschutzerklärungen bspw. in Verträgen und Musterkorrespondenz
allenfalls Überlegungen zu Anpassungen der Datenbearbeitungen, z.B. zur Ablösung oder Einstellung bestimmter Analysetools auf Websites.

Verträge

Das revidierte DSG verlangt in bestimmten Fällen den Abschluss von Verträgen. Das ergibt sich daraus, dass das DSG verschiedene Rollen von Unternehmen unterscheidet.

Verantwortliche und Auftragsbearbeiter

Der “Verantwortliche” ist dasjenige Unternehmen, das Daten im eigenen Interesse bearbeitet oder bearbeiten lässt und das über diese Bearbeitung bestimmt. Ein Unternehmen ist z.B. ein Verantwortlicher für die Bearbeitung der Daten seiner Mitarbeiter und seiner (End-)Kunden.

Ein “Auftragsbearbeiter” bearbeitet auch Daten, aber nur als Dienstleister für einen Verantwortlichen. Ein Auftragsbearbeiter ist z.B. ein Hostingdienstleister oder der Anbieter einer Cloud-basierten Softwarelösung: Hier bestimmt der Verantwortliche über die Art und Weise der Datenbearbeitung. Manche Dienstleister sind allerdings auch Verantwortliche – dann, wenn sie über die Art der Datenbearbeitung weitgehend selbst entscheiden. Ein Beispiel ist eine Anwaltskanzlei.

Auftragsbearbeitung

Weil sich diese Rollen bei der Bearbeitung so stark unterscheiden, tun es auch die datenschutzrechtlichen Pflichten. Der Verantwortliche muss das volle Pflichtenprogramm des DSG einhalten (deshalb heisst er auch “Verantwortlicher”). Ein Auftragsbearbeiter muss und kann das nicht im gleichen Umfang, weil er bis zu einem gewissen Grad vom Verantwortlichen gesteuert wird – er ist sozusagen dessen verlängerter Arm.

Dies verlangt aber auch, dass der Verantwortliche und der Auftragsbearbeiter ihre Beziehung vertraglich regeln. Dazu müssen sie einen sog. Auftragsbearbeitungsvertrag schliessen – Regeln bspw. über das Weisungsrecht des Verantwortlichen, sein Recht, die Datenbearbeitung zu prüfen, und die Pflicht des Auftragsbearbeiters, die Datensicherheit zu gewährleisten und beim Ende seines Auftrags Daten zu löschen.

Fehlt ein solcher Vertrag bei einer Auftragsbearbeitung, kann das nach dem revidierten DSG strafbar sein. Der Verantwortliche muss deshalb sicherstellen, dass er solche Verträge geschlossen hat oder schliesst. Bei Anbietern von Standardlösungen ist das i.d.R. der Fall – sie schliessen solche Verträge in ihre Standardverträge ein. Bei anderen Anbietern können sie aber fehlen.

Und besonders konzernintern fehlen solche Verträge nicht selten, wenn eine Gesellschaft konzernintern zentrale Dienstleistungen wie z.B. ein CRM-System betreibt. Konzernintern können auch weitere Punkte zu regeln sein, z.B. der Arbeitseinsatz von Mitarbeitenden einer Gesellschaft für eine andere.

gemeinsame Verantwortung

Neben der Auftragsbearbeitung gibt es auch die gemeinsame Verantwortung, wenn mehrere Unternehmen gemeinsam über eine Bearbeitung entscheiden. Das Konzept ist reichlich unklar, aber konzernintern ist eine gemeinsame Verantwortung häufig, wenn mehrere Konzerngesellschaften dieselbe Lösung z.B. für das Mitarbeitermanagement oder ein CRM verwenden. Auch bei Partnerschaften, bei denen Daten für ein gemeinsames Produkt bearbeitet werden, sind gemeinsame Verantwortlichkeiten nicht selten.

Anders als die DSGVO verlangt das revidierte Gesetz nicht ausdrücklich eigene Vereinbarung zwischen den gemeinsam Verantwortlichen. Sie ist aber sinnvoll, denn hier ist eine Abgrenzung der Zuständigkeiten und Verantwortung oft schwierig. Es sollte daher i.d.R. vereinbart werden, wer die betroffenen Personen informiert, wer sich um Auskunftsbegehren kümmert, wer die Datensicherheit gewährleistet usw.

Übermittlung ins Ausland

Ein wichtiges Thema ist derzeit die Übermittlung von Personendaten ins Ausland. Sie verlangt u.U. ebenfalls den Abschluss oder eine Prüfung von Verträgen. Dazu finden sich anschliessend separate Hinweise.

Todos

Prüfung der Vertragsbeziehungen: Wo und wofür werden Dienstleister beigezogen? Wo gibt es Zusammenarbeitsformen, die eine gemeinsame Verantwortung darstellen?
Das ist jeweils innerhalb der Gruppe aus auch für externe Partner zu prüfen.
Prüfung der bestehenden Verträge: Gibt es sie? Sind sie halbwegs aktuell? Enthalten sie bereits die notwendigen Datenschutzbestimmungen?
Anpassung oder Neuabschluss von Verträgen, soweit die erforderlichen Datenschutzbestimmungen fehlen oder unzureichend sind
ggf. Ausarbeitung von eigenen Vorlagen für den obigen Schritt
bei Dienstleistern: Prüfung, ob die erforderlichen Garantien eingehalten werden, v.a. ob die Datensicherheit bekannt und ausreichend ist – allenfalls braucht es hier eine erneute Prüfung

Ausland

Das Datenschutzrecht will Schutz gewährleisten. Es kann eine Übermittlung in Staaten deshalb nicht schrankenlos zulassen, wenn dort der erforderliche Schutz fehlt. Wie die DSGVO und das heutige DSG erlaubt das revidierte DSG eine solche Übermittlung deshalb zunächst nur, wenn der Empfängerstaat einen angemessenen Datenschutz gewährleistet. Werden Daten unzulässig exportiert, kann das nach dem revidierten DSG strafbar sein.

Sichere Drittstaaten

Ein angemessener Schutz besteht bei allen EWR-Staaten und wenigen weiteren Staaten (der EDÖB führt eine Liste solcher Staaten, die Länderliste, die neu in der Verordnung als Anhang geführt wird).

Bei Angaben über juristische Personen sind laut EDÖB derzeit auch in solchen Staaten weitere Massnahmen erforderlich. In der Praxis wird dies weitgehend und zu Recht ignoriert.

Staaten ohne angemessenem Schutz

Bei anderen Staaten wie z.B. den USA oder Indien fehlt ein angemessenes Schutzniveau. Hier ist eine Übermittlung nur zulässig, wenn der fehlende gesetzliche Schutz durch den Abschluss eines ausreichenden Vertrags mit dem Empfänger ausgeglichen wird.

Das sind fast immer die sogenannten Standardvertragsklauseln oder “SCC”, die von der EU-Kommission ausgearbeitet wurden.

Der EDÖB hat diese SCC als ausreichend akzeptiert. Allerdings verlangt er, dass sie in einigen Punkten an das schweizerische Recht angepasst werden.

Es gibt auch Ausnahmen – unter bestimmten Umständen kann auch bei solchen Staaten auf den Abschluss eines Vertrags verzichtet werden. Das sind aber eher seltene Ausnahmen, die im Rahmen der Umsetzung des revidierten DSG kaum eine Rolle spielen.

Unternehmen sollten deshalb prüfen, ob sie Daten ins Ausland bekanntgeben. Das wird sehr oft der Fall sein – nicht nur bei einer Kooperation mit Unternehmen im Ausland, sondern besonders auch bei IT-Dienstleistern. Finden sich diese Dienstleister in einem Staat, der keinen angemessenen Datenschutz gewährleistet, müssen die Verträge mit ihnen geprüft werden, ob sie die notwendigen Bestimmungen enthalten.

Schrems II und “TIAs”

Die erwähnten SCC, die z.B. mit Datenempfängern in den USA zu schliessen sind, sind nur dies – Verträge. Anders als das lokale Recht binden sie die Behörden nicht. Haben diese zu weitgehende Zugriffsrechte auf übermittelte Daten, ist dies aus der Optik des DSG problematisch, denn diese Rechte können durch die SCC kaum beschränkt werden.

Der europäische Gerichtshof hat deshalb entschieden (im berüchtigten “Schrems II”-Urteil), dass sich ein Exporteur nicht blind auf die SCC verlassen darf. Er muss vielmehr das lokale Recht prüfen, und wenn dieses überschiessende Zugriffsrechte vermittelt, muss er weitere Massnahmen treffen.

Kaum ein Thema ist derzeit so umstritten wie dieses. Zum einen ist unklar, ob sich der Exporteur darauf verlassen darf, dass die lokalen Behörden an den von ihm übermittelten Daten kein Interesse haben werden (was in den allermeisten Fällen zutreffen wird). Zum anderen ist unklar, wie dem Risiko eines Zugriffs überhaupt begegnet werden kann, denn auch technische Massnahmen können diesen Zugriff in den meisten Fällen kaum ausschliessen.

In der Praxis schätzen Unternehmen die Risiken eines Behördenzugriffs mit einem Formular ein, und wenn die Wahrscheinlichkeit eines Zugriffs sehr niedrig ist, haben sie keinen Grund zur Annahme, dass ein Zugriff erfolgt. In diesem Fall verlassen sie sich auf die SCC. Rechtssicher ist dieses Vorgehen nicht, aber eine vernünftige Alternative fehlt.

Todos

Bestandsaufnahme, wo Daten in Staaten übermittelt werden, die keinen angemessenen Schutz aufweisen
Prüfung, ob auf die entsprechende Bekanntgabe verzichtet bzw. ob ein Dienstleister durch einen CH/EU-Anbieter ersetzt werden könnte
Prüfung, ob mit dem Empfänger im entsprechenden unsicheren Staat eine Vereinbarung besteht, die die SCC einschliesst
falls dem so ist, Prüfung, ob die SCC auf dem aktuellen Stand sind und ob sie die notwendigen Anpassungen auf die Schweiz enthalten (z.B. in Form eines standardisierten Zusatzes, eines “Swiss Addendum”)
ggf. Abschluss weiterer Verträge (SCC)

Hochrisiko-Bearbeitungen

Das Gesetz folgt generell einem risikobasierten Ansatz. Das heisst, dass Verantwortliche ihre Compliance-Massnahmen nach ihrer Beurteilung der Risiken für Betroffene abgestuft auszurichten haben. Punktuell gibt das Gesetz aber höhere Anforderungen bei besonderen Risiken vor.

besonders schützenswerte Personendaten

Besonders schützenswerte Personendaten sind Daten, die Das Gesetz pauschal als besonders heikel bezeichnet. Das sind

Daten über religiöse, weltanschauliche, politische oder gewerkschaftliche Ansichten oder Tätigkeiten
Daten über die Gesundheit
Daten über die Intimsphäre
Daten über die Zugehörigkeit zu einer Rasse oder Ethnie
genetische Daten
biometrische Daten, die zur Identifizierung einer Person verwendet werden
Daten über verwaltungs- und strafrechtliche Verfolgungen oder Sanktionen
Daten über Massnahmen der sozialen Hilfe

Bei solchen Daten muss der Verantwortliche sicherstellen, dass die Bekanntgabe an Dritte gerechtfertigt ist, z.B. weil sie für einen Vertrag notwendig ist oder mit einer Einwilligung.

Sofern eine Einwilligung erforderlich ist – was eher eine Ausnahme darstellt –, muss diese zudem ausdrücklich sein.

umgangreiche Bearbeitung von Personendaten

Vereinzelt sind bestimmte Zusatzanforderungen davon abhängig, ob Personendaten “umfangreich” bearbeitet werden. Was das heisst, ist offen; eine zahlenmässige Grenze hat der Gesetzgeber nicht gezogen. Es muss aber um eine Bearbeitung aussergewöhnlich vieler Daten gehen, die zudem bewusst so angelegt ist, d.h. die umfangreiche Bearbeitung mus Teil eines Plans – i.d.R. eines Geschäftsmodells – sein.

Profiling mit hohem Risiko

Ein “Profiling mit hohem Risiko” ist zuerst ein Profiling, d.h. eine automatisierte Datenbearbeitung, die zu Analyse- oder Prognosezwecken dient. Beispiele sind Angaben zum Kundenverhalten auf Basis von Transaktionen.

Ein “hohes Risiko” bringt ein Profiling dann mit sich, wenn es zu einem Persönlichkeitsprofil führt, d.h. eine Beurteilung wesentlicher Aspekte der Persönlichkeit erlaubt. Wann das der Fall ist, ist nicht geklärt. Sicherheitshalber sollte man davon ausgehen, dass eine besonders breite Datenbasis oder ein besonders aussagekräftiges Ergebnis des Profiling ein hohes Risiko darstellen kann.

Protokollierung

Wenn ein Verantwortlicher besonders schützenswerte Daten umfangreich bearbeitet und wenn er ein Profiling mit hohem Risiko durchführt, müssen die entsprechenden Datenbearbeitungen protokolliert werden. Wenn hier eine Protokollierung vorsätzlich unterlassen wird, ist eine Strafbarkeit nicht ganz ausgeschlossen (siehe dazu hier).

Zu protokollieren ist ggf. das Speichern, Verändern, Lesen, Bekanntgeben, Löschen und Vernichten der Daten – besondes das Lesen stellt praktisch ein Problem dar.

Protokolle müssen zudem getrennt vom Produktivsystem aufbewahrt werden, damit sie im Fall eines Angriffs in dieses System geschützt sind. Sie müssen mindestens ein Jahr aufbewahrt werden.

Bearbeitungsreglement

Eine umfangreiche Bearbeitung besonders schützenswerter Personendaten oder ein Profiling mit hohem Risiko lösen nicht nur eine Protokollierungspflicht aus. Zudem muss der Verantwortliche in diesen Fällen ein Bearbeitungsreglement führen. Auch hier kann ein gewisses Strafbarkeitsrisiko bestehen, wenn ein solches Reglement nicht existiert.

Ein Bearbeitungsreglement ist etwas anderes als das Bearbeitungsverzeichnis. Es geht dabei um eine Art Handbuch, das sich zur internen Organisation und zur Architektur und der Funktionsweise der Systeme äussert, ferner zur Bearbeitung der Daten entlang des Lifecycle, zur Gewährleistung der Betroffenenrechte und zu den technischen und organisatorischen Sicherheitsmassnahmen.

Es ist dabei ausreichend, auf bestehende, andere Dokumente zu verweisen, soweit diese existieren.

Todos

Prüfung, ob besonders schützenswerte Personendaten bearbeitet werden (nicht zufällig am Rande, sondern geplant) und wie diese bearbeitet und geteilt werden
Prüfung, ob ggf. eine umfangreiche solche Bearbeitung vorliegt
Prüfung, ob ein Profiling mit hohem Risiko erfolgt (durch den Verantwortlichen oder durch einen Auftragsbearbeiter)
falls ja: Prüfung der weiteren Massnahmen; ggf. auch Durchführung einer Datenschutz-Folgenabschätzung

Weitere Punkte

Neben den genannten Punkten sind natürlich weitere Punkte zu bedenken. Ohne Anspruch auf Vollständigkeit: zwei der wichtigsten Punkte sind sicher die Datenlöschung und die Datensicherheit.

Datenlöschung

Daten dürfen generell und schon nach dem heutigen Datenschutzrecht nicht länger aufbewahrt werden, als dafür ein legitimer Zweck besteht.

Das betrifft z.B.

Geschäftszwecke, die eine Bearbeitung von Daten erforderlich machen, bspw. im Arbeitsverhältnis oder gegenüber Kunden und Lieferanten
Geschäftszwecke, die nicht zwingend sind, aber legitim, z.B. die Speicherung von Daten für Marketingzwecke, zur Dokumentation, zur Erstellung von Statistiken usw.
gesetzliche Aufbewahrungspflichten, die auch eine Aufbewahrung von Personendaten verlangen können, bspw. für Buchhaltungszwecke, im Steuerbereich und im Arbeitsverhältnis.

Wenn aber keine legitimen Gründe für eine Speicherung mehr bestehen und auch keine gesetzliche Aufbewahrungspflicht mehr gilt, müssen Personendaten gelöscht oder anonymisiert werden. Eine Löschung hat auch Vorteile – die Risiken einer Sicherheitsverletzung können sinken, die Informationspflicht wird weniger rasch verletzt und Auskunftsbegehren sind einfacher korrekt zu beantworten.

In einfacheren Verhältnissen kann diese Löschung z.T. von Hand erfolgen, bspw. bei Bewerberdossiers, bei Unterlagen von Mitarbeitern, die das Unternehmen vor langer Zeit verlassen haben oder bei ehemaligen Kunden, wenn keine Verjährungsfrist mehr greift.

Eine Löschung von Hand ist aber fehleranfällig und unvollständig. Automatisierte Löschroutinen zu implementieren kann aber eine ausgesprochen anspruchsvolle, langwierige und kostspielige Aufgabe sein, besonders bei Unternehmen, deren komplexe IT organisch gewachsen ist.

Ein vernünftiger Mittelweg – zumindest für den Beginn – ist meist eine Kombination einer Weisung zur Aufbewahrung und Löschung mit einer geeigneten Konfiguration der Applikationen. Falls sich ein System nicht so konfigurieren lässt, dass es Daten zu einer bestimmten Zeit löscht, kann eine Archivierung einen gewissen Ersatz darstellen.

Datensicherheit

Das revidierte Recht verschärft die Anforderungen an die Datensicherheit grundsätzlich nicht, sieht man von der Pflicht Meldung bestimmter Sicherheitsverletzungen ab. Nicht ausgeschlossen ist eine Strafbarkeit bei gewissen Verletzungen, aber derzeit ist das unwahrscheinlich. Was sich aber verschärft, ist die Bedrohungslage. Angriffe wie Ransom-Angriffe, CFO Frauds und andere nehmen stark zu, und sie sind oft erfolgreich.

Unternehmen müssen sich deshalb zwingend mit der Sicherheit ihrer Systeme auseinandersetzen. Das wird häufig den Einsatz externer Spezialisten verlangen. Oft können aber schon einfachere Massnahmen einen erheblichen Sicherheitsgewinn bringen, z.B. eine Prüfung, ob Zugriffsrechte noch den aktuellen Rollen und Funktionen entsprechen und Zugriffsrechte ehemaliger MItarbeitender widerrufen wurden.

Allerdings ist es damit nicht getan. Erfahrungsgemäss sind es oft Mitarbeiter, die Einfallstor einer Sicherheitsverletzung sind. Sie müssen deshalb informiert und geschult werden, z.B. um Phishing-Angriffe erkennen zu können.

Todos

Wo mit Gewissheit veraltete Daten liegen: Beginn einer Aufräumaktion (z.B. bei geteilten Ordnern, die alte Bewerberdossiers enthalten)
Abklärung der wesentlichen Aufbewahrungsfristen (eine Mischung aus Aufbewahrungspflichten und Verjährungsfristen), am besten in einer Lösch-Policy
Definition von Regeln für das händische Löschen (ebenfalls in der Lösch-Policy)
Konfiguration von Applikationen zur automatischen Löschung, soweit möglich und sinnvoll

Todos

Sofern die Sicherheitsmassnahmen nicht auf dem aktuellen Stand sind: entsprechende Prüfung der eigenen Systeme und Schnittstellen
Schulung der Mitarbeitenden in einem geeigneten Mass und Turnus

Gesetze

DSG

DSGVO

DSV

DSV auf Englisch

E‑VDSG

nDSG EN

nDSG mit Botschaft

VDSG

Datenschutz

FAQ zum Datenschutz

Links

neuste Beiträge

BVGer (A‑1353/2022): abgeschlossenes Zollstrafverfahren; keine Einsicht in Einvernahmeprotokoll eines Dritten; DSG 8 f. und 19

EuGH C‑634/21 – Anträge GA: Kreditscore (der SCHUFA) als automatisierte Entscheidung

Nationalrat: Meldepflicht für Cyberangriffe befürwortet

EDSA: Coordinated Enforcement Framework – DPOs im Fokus

Postulat Die Mitte-Fraktion, Die Mitte, EVP.(23.3050): Verbindliche Standards für die digitale Verwaltungslandschaft der Schweiz. Braucht es einen Digitalisierungsartikel in der Bundesverfassung?

EU-Kommission veröffentlicht Q&A zur Veröffentlichung aktiver Nutzer unter Digital Services Act

Zurich Privacy Drinks: erste Ausgabe am 21. März 2023

EDPB: finale Fassung der Leitlinien zur Bekanntgabe in Drittstaaten

Europarat: Erster Draft der AI-Konvention

Bundesamt für Justiz veröffentlicht FAQ zum Datenschutz

Geset­ze

Daten­schutz

neu­ste Beiträge

Gesetze

Datenschutz

neuste Beiträge