Das revidierte Datenschutzgesetz (revDSG) der Schweiz rückt immer näher. Zu den Neuerungen gehören in Bezug auf die IT insbesondere das Bearbeitungsverzeichnis mit allen Einzelheiten, neue Pflichten bei der Verarbeitung von Personendaten durch Dritte bzw. einen Auftragsbearbeiter sowie die Verschärfung von technischen und organisatorischen Massnahmen (TOMs) betreffend Datensicherheit.
Dieser Beitrag ist in Zusammenarbeit von Martin Jung, Lukas Studer (beide first frame networkers ag) und Carmen De La Cruz (LEXcellence AG) entstanden.
1. Grundsätze der Datenverarbeitung
Wie bereits im geltenden DSG sind auch im revDSG für die Datenverarbeitung gewisse Grundsätze vorgesehen. Zu diesen Grundsätzen gehören gemäss Art. 6 revDSG insbesondere:
- Die Bearbeitung muss rechtmässig geschehen.
- Die Bearbeitung muss nach Treu und Glauben erfolgen.
- Die Bearbeitung muss verhältnismässig sein, sprich es dürfen nur so viele Daten wie nötig verarbeitet werden.
- Der Zweck der Bearbeitung muss für die Betroffenen erkennbar sein und die Bearbeitung darf sich nur im Rahmen dieses Zweckes abspielen.
- Nach Erreichung des Zweckes werden die Daten vernichtet oder anonymisiert.
- Die Richtigkeit und Aktualität der Daten sind zu wahren.
- Es sind angemessene Massnahmen zu treffen, um die Daten zu sichern und gegebenenfalls zu berichtigen.
Diese Grundsätze geben – jeder für sich – eine erste Leitlinie für die Bearbeitung von Personendaten im Unternehmen. Verarbeitung i.S. des revDSG heisst denn auch jedes Erfassen, Analysieren, Ändern, Anschauen, Löschen etc. von Personendaten.
2. Pflichten bei der Personendatenverarbeitung, Verhältnis Verantwortlicher und Auftragsbearbeiter
Um die Pflichten bei der Personendatenbearbeitung richtig zuordnen zu können, muss als Erstes geklärt werden, wie sich «Verantwortlicher» und «Auftragsbearbeiter» unterscheiden.
Ein Verantwortlicher ist gemäss Art. 5 lit. j revDSG eine Person, die allein oder zusammen mit anderen über den Zweck und die Mittel der Bearbeitung entscheidet. Diese Person gibt vor, ob Personendaten bearbeitet werden, und gibt die wesentlichen Bedingungen dafür vor.
Ein Auftragsbearbeiter ist gemäss Art. 5 lit. k revDSG diejenige Person, die im Auftrag des Verantwortlichen Personendaten bearbeitet. Dabei bearbeitet der Beauftragte selbst die Personendaten, jedoch nach den Vorgaben des Verantwortlichen.
3. Anforderungen an die Bearbeitung von Personendaten durch einen Auftragsbearbeiter und der Auftragsdatenbearbeitungsvertrag (ADV)
Beauftragt ein Verantwortlicher einen Auftragsbearbeiter mit der Verarbeitung und Analyse der Personendaten eigener Kunden, muss durch die gesamte Kette von Verantwortlichen und Auftragsbearbeitern der Datenschutz gewahrt werden. Im revDSG wird neu explizit bei einer solchen Auslagerung der Datenverarbeitung gefordert, dass der Auftragsbearbeiter dieselben Pflichten einhält, wie wenn der Verantwortliche die Personendaten selbst verarbeiten würde. Der ADV dient dabei dazu, dieses Datenschutzniveau beim Hinzuziehen eines Auftragsbearbeiters zu garantieren.
Konkret wird gesetzlich in Art. 9 Abs. 1 revDSG festgehalten, dass die Bearbeitung von Personendaten vertraglich oder durch die Gesetzgebung einem Auftragsbearbeiter übertragen werden kann, wenn (a) die Daten so bearbeitet werden, wie der Verantwortliche selbst es tun dürfte und (b) keine gesetzlichen oder vertraglichen Geheimhaltungspflichten die Übertragung verbieten. Weiter gilt gemäss Art. 9 Abs. 2 bis 4 revDSG, dass der Verantwortliche sich darüber vergewissern muss, ob der Auftragsbearbeiter in der Lage ist, die Datensicherheit zu gewährleisten, dass eine Bearbeitung von Personendaten durch einen Subauftragsbearbeiter der vorgängigen Genehmigung des Verantwortlichen bedarf und dass der Auftragsbearbeiter dieselben Rechtfertigungsgründe für die Datenverarbeitung geltend machen darf wie der Verantwortliche selbst.
4. Zusätzliche Anforderungen bei der Datenbearbeitung im Ausland
Personendaten von Personen in der Schweiz dürfen durch einen Auftragsbearbeiter im Ausland grundsätzlich nur bearbeitet werden, wenn die Gesetzgebung des betreffenden Staates einen angemessenen Schutz gewährleistet (Art. 16 Abs. 1 revDSG). Ist das Drittland auf der EDÖB-Staatenliste mit einem angemessenen Schutz aufgeführt (Liste aufrufbar unter: https://www.edoeb.admin.ch/edoeb/de/home/datenschutz/handel-und-wirtschaft/uebermittlung-ins-ausland.html), so ist die Übertragung der Daten grundsätzlich erlaubt. Ist das Land jedoch nicht auf der Liste des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) aufgeführt, muss gemäss Art. 6 DSG bzw. Art. 16 revDSG mit hinreichenden Garantien ein den schweizerischen datenschutzrechtlichen Bestimmungen angemessener Schutz gewährleistet werden. Seit dem 28. September 2021 müssen bei Datenverarbeitungen in Ländern ohne angemessenes Datenschutzniveau die mit dem Datum vom 4. Juni 2021 veröffentlichten neuen sogenannten Standardvertragsklauseln (kurz SCC) eingesetzt werden.
5. Bearbeitungsverzeichnis
Gemäss Art. 12 revDSG müssen der Verantwortliche und der Auftragsbearbeiter je ein sogenanntes Verzeichnis der Bearbeitungstätigkeiten (nachfolgend Bearbeitungsverzeichnis) führen. Beim Bearbeitungsverzeichnis handelt es sich grundsätzlich um ein Inventar aller Bearbeitungstätigkeiten einer Person eines Unternehmens, die Personendaten bearbeitet.
a. Inhalt des Bearbeitungsverzeichnisses
Das Verzeichnis des Verantwortlichen enthält Angaben über die Identität des Verantwortlichen, den Bearbeitungszweck, eine Beschreibung der Kategorien betroffener Personen und der Kategorien bearbeiteter Personendaten, die Kategorien der Empfänger, wenn möglich die Aufbewahrungsdauer der Personendaten oder die Kriterien zur Festlegung dieser Dauer, wenn möglich eine allgemeine Beschreibung der TOMs und, falls Daten ins Ausland bekanntgegeben werden, die Angabe des Staates sowie die Garantien nach Art. 16 Abs. 2 revDSG.
Das Verzeichnis des Auftragsbearbeiters enthält hingegen «nur» Angaben zur Identität des Auftragsbearbeiters und des Verantwortlichen, zu den Kategorien von Bearbeitungen, die im Auftrag des Verantwortlichen durchgeführt werden, sowie die Angaben zu den TOMs und im Fall von Datenaustausch ins Ausland Angaben zum Staat sowie den Garantien. Es wird somit eine verkürzte Liste von Mindestangaben des Auftragsbearbeiters erwartet, jedoch müssen auch hier insbesondere die TOMs behandelt werden.
Das revDSG sieht eine Ausnahme bei der Führung eines Bearbeitungsverzeichnisses vor, wenn ein Unternehmen weniger als 250 Mitarbeiterinnen und Mitarbeiter beschäftigt und die Datenbearbeitung ein geringes Risiko von Verletzungen der Persönlichkeit der betroffenen Personen mit sich bringt, sprich weder umfangreich besonders schützenswerte Personendaten bearbeitet noch ein Profiling mit hohem Risiko durchgeführt wird (Art. 12 Abs. 5 revDSG i.V.m. Art. 26 Entwurf zur Verordnung zum revDSG). Diese KMU können, müssen jedoch kein Verzeichnis führen, tun jedoch gut daran, trotzdem ein solches zu erstellen.
6. Betroffenenrechte und deren Implementierung
Durch das revDSG werden die Rechte der Personen, deren Daten bearbeitet werden, weiter ausgebaut und verstärkt. Insbesondere sei das Auskunftsrecht genannt, das jeder Person das Recht einräumt, beim Verantwortlichen Auskunft über die Personendatenberarbeitung eigener Daten zu verlangen (Art. 25 Abs. 1 revDSG). Auf dieses Recht kann im Voraus nicht verzichtet werden und im Fall eines Auskunftsbegehrens muss diese Auskunft grundsätzlich kostenlos und innerhalb von 30 Tagen erledigt werden (Art. 25 Abs. 5-7 revDSG).
7. Anforderungen an die technischen und organisatorischen Massnahmen der IT
Gemäss Art. 6 revDSG müssen der Verantwortliche und der Auftragsbearbeiter durch technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit gewährleisten. Diese Massnahmen müssen es ermöglichen, Verletzungen der Datensicherheit zu vermeiden. Gemeint sind hier alle Massnahmen zur Sicherstellung der Vertraulichkeit, Integrität und Verfügbarkeit der Daten. Technische Massnahmen hängen oft direkt mit dem IT-System zusammen, wobei organisatorische Massnahmen sich insbesondere auf Personen beziehen. Betrachtet werden müssen Massnahmen u.a. betreffend
- Zugang zu den Daten: 2-Faktor-Authentifizierung, Sicherung der Räumlichkeiten, kontrollierte Zugangsrechte etc.
- Erfassung, Änderung und Vernichtung der Daten: Protokollierung des gesamten Lebenszyklus von Daten, Pseudonymisierung und Anonymisierung, Verschlüsselung, endgültige Löschung der Daten etc.
- Datenaustausch: Netzsicherheit, verschlüsselte Übermittlung, Unterzeichnung von Mitteilungen, physische Datenübergabe etc.
- Auskunftsrecht der betroffenen Personen.
8. Privacy by Default und Privacy by Design
Das revDSG führt die Grundsätze von «Privacy by Design» und «Privacy by Default» ein. Diese verpflichten den Verantwortlichen, angemessene Massnahmen zu treffen, um dem Risiko von Verletzungen der Persönlichkeit vorzubeugen (Art. 7 revDSG). Zudem sollen standardmässig nur diejenigen Personendaten bearbeitet werden, die für den Verwendungszweck wirklich erforderlich sind, was durch entsprechende Voreinstellungen – sogenannte Defaults – sicherzustellen ist. Konkret muss im Rahmen von Produktentwicklungen und Produktdesign dem Datenschutz ein hoher Stellenwert zukommen. Der Verantwortliche sollte wissen, in welchen Systemen und Prozessen welche Personendaten bearbeitet werden und wie diese erfasst, geändert und gelöscht werden können.
9. Automatisierte Entscheide und Folgenabschätzungen
Schweizer Unternehmen müssen im Voraus abschätzen, ob eine geplante Datenbearbeitung voraussichtlich ein erhöhtes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen, deren Daten bearbeitet werden sollen, mit sich bringt (Art. 20 revDSG). Ergibt die erste Einschätzung, dass ein solch erhöhtes Risiko besteht, ist eine Datenschutz-Folgenabschätzung, d.h. ein Risk Assessment aus Datenschutzsicht (mögliche Verletzung von Persönlichkeits- oder Grundrechten), durchzuführen. Hierbei werden die Risiken für die Rechte der betroffenen Personen sowie die geplanten Massnahmen analysiert und eingeschätzt.
10. Meldepflicht von Datenschutzverletzungen
Unbefugte Datenbearbeitungen oder Datenverluste hat der Verantwortliche grundsätzlich unverzüglich (in der EU innert 72 Stunden seit Bekanntwerden der Datenschutzverletzung) dem EDÖB zu melden (Art. 24 revDSG). Gleichermassen hat der Auftragsbearbeiter (Data Processor) den Verantwortlichen unverzüglich über eine unbefugte Datenbearbeitung zu informieren. Überdies hat eine Information der betroffenen Personen (Kunden, Mitarbeiter, Dritte soweit zugänglich/Data Subject) zu erfolgen, wenn es zu deren Schutz notwendig ist oder vom EDÖB verlangt wird. Dieser Prozess ist rechtzeitig intern zu implementieren.
11. Fazit
Durch das revDSG werden die Unternehmen sich mit einem erheblichen Mehraufwand konfrontiert sehen. Es gilt die einzelnen Compliance-Schritte von Beginn an konsequent durchzusetzen und zu implementieren. Mit dem revDSG steht das Bearbeitungsverzeichnis im Mittelpunkt, es sind jedoch andere Prozesse, wie ein Auskunftsbegehren eines Betroffenen oder eine Meldung einer Datenschutzverletzung, bereits im Vorfeld – und nicht erst im Ernstfall – zu beachten.
WER HILFT WEITER?
Unsere internen und externen Spezialisten haben sich eingehend mit dem revDSG befasst. Sie zeigen Ihnen gerne mögliche Auswirkungen auf Ihr Unternehmen, nennen Ihnen konkrete Massnahmen und begleiten Sie in diesem Prozess. Kontakt: lukas.studer@firstframe.net, Telefon 041 768 08 52