FAQ

Top

FAQ
Caption

Was sind die wesentlichen Neuerungen des Schweizer Datenschutzgesetzes (nDSG)?

Vom Parlament wurde in seiner Herbstsession 2020 das neue Bundesgesetz über den Datenschutz verabschiedet.

Das neue Datenschutzgesetz (zukünftig abgekürzt als «nDSG» auftretend) ist, gemeinsam mit den Ausführungsbestimmungen in der neuen Datenschutzverordnung (DSV) und der neuen Verordnung über Datenschutzzertifizierungen (VDSZ), am 1. September 2023 in Kraft getreten.

Wie bisher regelt auch das nDSG die Bearbeitung von Personendaten durch «private (natürliche) Personen» und Bundesorgane, allerdings werden «juristische Personen», d. h. Unternehmen wie AGs oder GmbHs, Vereine und Stiftungen vom neuen Datenschutzgesetz nicht mehr erfasst.

Zwar werden viele Regelungen der EU-DSGVO ins nDSG übernommen. Aber der wesentlich pragmatischere Charakter des Schweizer Ansatzes bleibt erhalten.

  • Zum Verständnis: In der Schweiz gilt das gesetzliche Grundprinzip der «Erlaubnis (in diesem Fall einer Datenbearbeitung) mit Verbotsvorbehalt». In der EU ist es genau umgekehrt: Hier gilt der Grundsatz des «Verbots mit Erlaubnisvorbehalt», d. h. Personendaten dürfen dort nur «ausnahmsweise» (mit entsprechender Zweckbestimmung sowie Rechtsgrundlage) bearbeitet werden.

Das nDSG bringt unter anderem folgende wesentliche Veränderungen für Schweizer Unternehmen mit sich:

  • Mit Inkrafttreten des nDSG am 1. September 2023 bezieht sich, wie erwähnt, die Datenbearbeitung von Personendaten künftig nur noch auf natürliche Personen; dabei sind Sachverhalte anwendbar, die sich im Schweizer Raum auswirken.
  • In die Definition besonders schützenswerter Daten werden «genetische und biometrische» Daten aufgenommen.
  • Es werden die Grundsätze «Privacy by Design» und «Privacy by Default» eingeführt.
    • Bei «Privacy by Design» (Datenschutz durch Technikgestaltung) geht es darum, dass Entwickler den Schutz und den Respekt der Privatsphäre der Nutzerinnen und Nutzer («User») in die Struktur der Produkte oder Dienstleistungen einbauen, über die Personendaten gesammelt werden (sollen).
    • Bei «Privacy by Default» (Datenschutz durch datenschutzfreundliche Voreinstellungen) soll sichergestellt werden, dass schon bei der Markteinführung des Produktes oder der Dienstleistung die höchste Sicherheitsstufe vorhanden ist, und zwar als Standardeinstellung, d. h. alle nötigen Massnahmen für den Datenschutz und die Einschränkung der Datennutzung sind aktiviert, ohne dass «User» notwendigerweise eingreifen müssen. Konkret: Sämtliche Soft- und Hardwareprodukte sowie Dienstleistungen müssen bereits bei der Entwicklung so konfiguriert sein, dass die Daten geschützt sind und die Privatsphäre der «User» gewahrt wird.
  • Sogenannte Datenschutz-Folgenabschätzungen (DSFA) müssen für Datenbearbeitungen durchgeführt werden, bei denen ein hohes Risiko für die Verletzung der Persönlichkeits- oder die Grundrechte der betroffenen Personen besteht.
  • Die Informationspflicht wird ausgeweitet: Bei jeder Beschaffung von Personendaten, egal wie schützenswert sie sind, muss die betroffene Person vorgängig vom «Verantwortlichen» informiert werden. Die Informationspflicht wird in der Regel über die Veröffentlichung einer «Datenschutzerklärung» auf der Website eines «Verantwortlichen» erfüllt. [ Artikel 19 (Informationspflicht bei der Beschaffung von Personendaten) nDSG].

Die Form, in der die Information zu erfolgen hat, ist nicht vorgeschrieben. Artikel 13 (Modalitäten der Informationspflicht) DSV konkretisiert die Modalitäten:

«Der Verantwortliche muss der betroffenen Person die Information über die Beschaffung von Personendaten in präziser, transparenter, verständlicher und leicht zugänglicher Form mitteilen.»

Über welches Medium die Information erteilt wird, spielt grundsätzlich keine Rolle.

  • Ein «Verzeichnis der Bearbeitungstätigkeiten» wird (weitestgehend) obligatorisch, wobei die Verordnung zum Datenschutzgesetz (DSV) eine Ausnahme für KMU vorsieht, deren Datenbearbeitung nur ein geringes Risiko von Verletzungen der Persönlichkeit von betroffenen Personen mit sich bringt, oder wenn in einem Unternehmen weniger als 250 Mitarbeitende an der Datenbearbeitung beteiligt sind.

Notabene: Ob man hinsichtlich der Wahrnehmung einer Ausnahmemöglichkeit deshalb auf das Führen eines «Bearbeitungsverzeichnisses» (zur Gewährleistung eines «ordentlichen» Datenschutzes) verzichten kann, ist sehr anzuzweifeln.

  • Wenn die Datensicherheit verletzt wurde, ist eine «rasche» Meldung an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) erforderlich.

Notabene: Mit «rasch» ist «so rasch als möglich» gemeint, d. h. ab dem Zeitpunkt der Kenntnisnahme hat ein «Verantwortlicher» rasch zu handeln und darf die Meldung nicht verzögern. Man kann sich (zur Orientierung) zwar an der EU-Regelung (DSGVO) festhalten, die eine 72 Stundenfrist diktiert, muss dies aber nicht.

Das Schweizer Datenschutzgesetz erlaubt einen gewissen «Ermessensspielraum»; massgebend dabei ist unter anderem dass Ausmass der Gefährdung gegenüber betroffenen Personen: je erheblicher die Gefährdung und je höher die Anzahl der vom Verstoss betroffenen Personen, um so schneller muss ein Verantwortlicher handeln.

  • Die Begriffe «Profiling» (die automatisierte Bearbeitung von Personendaten) sowie «Profiling mit hohem Risiko» wurden in das Gesetz aufgenommen.

Auf der Website des EDÖB (Das neue Datenschutzgesetz) finden sich ausführlichere Informationen zu den durch das nDSG eingeführten Veränderungen.

Worum geht es beim Datenschutz eigentlich?

In unserer zunehmend digitalisierten Welt gewinnt Datenschutz eine immer grössere Bedeutung. Die fortschreitende Technologie ermöglicht es Unternehmen und Regierungen, immer grössere Mengen an persönlichen Daten zu sammeln und zu bearbeiten. Um die Privatsphäre und die Grundrechte der Bürger:innen zu schützen, wurden daher in vielen Ländern Datenschutzgesetze eingeführt. In diesem Beitrag werden wir uns genauer mit dem Datenschutz im Allgemeinen befassen, indem wir aufzeigen, was geschützt ist, wer geschützt ist und wer für diesen Schutz verantwortlich ist.

Was ist geschützt?

Der Datenschutz bezieht sich auf den Schutz von Personendaten. Das sind Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen. Dazu zählen beispielsweise Name, Adresse, Geburtsdatum, Kontodaten, Gesundheitsdaten, IP-Adressen oder Online-Identifikatoren. Unternehmen und Behörden müssen sicherstellen, dass diese Daten nicht missbraucht oder unbefugt weitergegeben werden.

Die meisten Datenschutzgesetze legen auch besonderen Wert darauf, sensible Personendaten zu schützen. Hierzu gehören Informationen über die ethnische Herkunft, politische Meinungen, religiöse Überzeugungen, sexuelle Orientierung, Gesundheitsdaten oder strafrechtliche Verurteilungen. Die Bearbeitung dieser besonderen Kategorien von Daten bedarf oft zwingend der Zustimmung der jeweils betroffenen Person.

Wer ist geschützt?

Der Datenschutz schützt grundsätzlich jeden Einzelnen, dessen Personendaten bearbeitet werden. Dies umfasst in der neuen Schweizer Datenschutzgesetzgebung Schweizer Bürger:innen, die das Recht auf Privatsphäre sowie auf einen angemessenen Schutz ihrer persönlichen Daten haben.

Ein besonders wichtiger Schutz gilt in vielen Gesetzen für Minderjährige. Da Kinder und Jugendliche oft nicht vollständig in der Lage sind, die möglichen Folgen einer Datenbearbeitung zu verstehen, sind ihre Daten besonders schützenswert. Eltern oder Erziehungsberechtigte müssen daher in der Regel vor der Bearbeitung von Daten von Minderjährigen ihre Einwilligung erteilen.

Wer muss schützen?

Es ist die Verantwortung der Organisationen und Unternehmen, die Personendaten bearbeiten, für deren Schutz zu sorgen. Dies betrifft Unternehmen aller Grössenordnungen, Behörden, gemeinnützige Organisationen und jeden anderen, der Personendaten erhebt und bearbeitet. Diese sogenannten «Datenverantwortlichen» müssen sicherstellen, dass die Personendaten rechtmässig und transparent bearbeitet werden.

Zusätzlich zur Einhaltung des Datenschutzes müssen die «Datenverantwortlichen» auch die Rechte der betroffenen Personen respektieren. Dazu gehören das Recht auf Information, das Recht auf Zugang zu den eigenen Daten, das Recht auf Berichtigung oder Löschung von fehlerhaften oder unangemessenen Daten sowie das Recht auf Widerspruch gegen bestimmte Datenbearbeitungen.

Fazit

Der Datenschutz ist von entscheidender Bedeutung, um die Privatsphäre und die Grundrechte der Menschen zu schützen. Jeder Einzelne, dessen Personendaten bearbeitet werden, hat das Recht darauf, dass diese Daten angemessen geschützt und rechtmässig bearbeitet werden. Es ist die Pflicht der «Datenverantwortlichen» sicherzustellen, dass dies gewährleistet wird und dass die Rechte der betroffenen Personen respektiert werden. Datenschutzgesetze sind daher entscheidend, um die persönlichen Daten vor Missbrauch zu schützen und das Vertrauen in die digitale Welt aufrechtzuerhalten.

Was sind «Personendaten»?

FAQ

Insbesondere wenn es um Personendaten geht, spielt der Datenschutz heutzutage eine entscheidende Rolle. Personendaten sind Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dabei kann es sich um eine Vielzahl von Datenarten handeln, von allgemeinen persönlichen, bis hin zu sehr sensiblen Informationen.

Hier das Beispiel eines Datenprofils von "Max Mustermann", dessen Personendaten die typischen Kategorien vorweisen, in die Personendaten in der Regel unterteilt werden:

Allgemeine persönliche Daten
Name: Max Mustermann
Geburtsdatum: 28. Januar 1990
Adresse: Musterstrasse 1, 1234 Musterstadt
Telefonnummer: 0041 12 1234 56 78
E-Mail-Adresse: max.mustermann@email.ch
Soziodemographische Daten
Geschlecht: männlich
Familienstand: ledig
Nationalität: Schweizer
Bildungsniveau: Matura
Beruf: Ingenieur
Finanzielle Daten
Bankkontonummer: CH12345678901234567890
Gehalt: 60.000 CHF pro Jahr
Kreditkartendaten: Kartennummer, Gültigkeitsdatum, Sicherheitscode
Gesundheitsdaten
Krankheiten und medizinische Diagnosen: Diabetes, Asthma
Medikamentenliste: Insulin, Salbutamol
Blutgruppe: A+
Biometrische Daten
Fingerabdruck
Gesichtserkennungsmerkmale
Iris-Scan
Online-Daten
IP-Adresse: 123.456.789.012
Browserverlauf: besuchte Websites
Cookies: zum Speichern von Anmeldeinformationen
Genetische Daten
DNA-Profil
Genetische Erkrankungsrisiken

Diese und andere Personendaten müssen geschützt werden, um die Privatsphäre und die Rechte der betroffenen Personen zu wahren. Unternehmen und Organisationen haben deshalb geeignete Massnahmen zu ergreifen, um das sichere Speichern und Bearbeiten von Personendaten zu gewährleisten. Dazu gehört beispielsweise die Anonymisierung oder Verschlüsselung von Daten, die Einhaltung von Datenschutzrichtlinien und die Sensibilisierung der Mitarbeitenden für den Umgang mit Personendaten.

Insgesamt gelangen Personendaten, wie das Beispiel von Max Mustermann zeigt, tendenziell schnell in den sensiblen Datenbereich, und ihre korrekte Handhabung ist deshalb zum Schutz der Privatsphäre und dem Schutz vor Missbrauch von grosser Bedeutung.

Datenschutz ist nicht nur eine rechtliche Verpflichtung, sondern auch eine ethische Verantwortung gegenüber den Personen, deren Personendaten bearbeitet werden.

Im rechtlichen Kontext spielen Personendaten als solche eine wichtige Rolle in Bezug auf den Schutz der Privatsphäre und persönlichen Informationen von Menschen.

Darüber hinaus gibt es sensible Personendaten, die besonders schützenswert sind. Hierzu gehören Informationen über die religiöse oder sexuelle Orientierung, Gesundheitsdaten, ethnische Herkunft, politische Meinungen etc.

Weitere Kategorien von Personendaten sind finanzielle Informationen wie Bankdaten, Kreditkartennummern oder Gehaltsdaten. Diese Daten werden oft im Zusammenhang mit Transaktionen verwendet und müssen ebenfalls gut geschützt werden.

Auch biometrische Daten wie Fingerabdrücke, Gesichtserkennung oder Iris-Scans können als Personendaten betrachtet werden; diese Daten werden vor allem zur Identifizierung und Authentifizierung einer Person verwendet, beispielsweise bei Passkontrollen oder zur Entsperrung eines Smartphones.

Personendaten lassen sich auch nach ihrem Ursprung kategorisieren. Hierbei unterscheidet man zwischen direkten und indirekten Personendaten.

Direkte Personendaten werden direkt von der betroffenen Person bereitgestellt, beispielsweise bei der Anmeldung für ein Online-Konto. Indirekte Personendaten hingegen sind Informationen, die durch die Beobachtung oder Analyse des Verhaltens einer Person erhalten werden, wie beispielsweise Daten, die man durch Tracking von Internetnutzung oder Kaufverhalten sammelt.

Im Datenschutzkontext spielen «Pseudonymisierung» und «Anonymisierung» von Personendaten eine wichtige Rolle, denn es geht dabei um das Ermöglichen der Bearbeitung und Analyse von Informationen, ohne dass Rückschlüsse auf die Identität der betroffenen Personen möglich sind.

Pseudonymisierte Personendaten sind Informationen, die nicht direkt einer Person zugeordnet werden können, aber dennoch eine bestimmte Identifikationsmöglichkeit bieten. Hierbei wird die ursprüngliche Identität durch ein Pseudonym ersetzt, das beispielsweise aus einer Zahlen- oder Buchstabenkombination besteht. Durch den Einsatz von Pseudonymisierung wird zwar die Verbindung zur echten Person verschleiert, dennoch bleibt eine gewisse Verknüpfung erhalten. Diese Verknüpfung kann jedoch nur unter bestimmten Sicherheitsvorkehrungen oder mit zusätzlichen Informationen hergestellt werden. Pseudonymisierte Daten stellen somit eine Möglichkeit dar, Personendaten zu bearbeiten, ohne dabei direkt auf sensible Daten zugreifen zu müssen.

Durch den Einsatz von pseudonymisiertenPersonendaten können Unternehmen und Forschungseinrichtungen Analysen durchführen, ohne dabei auf persönliche Informationen zurückgreifen zu müssen. Dies ermöglicht eine datenschutzkonforme Datenbearbeitung und verhindert potenzielle Missbräuche.

Im Gegensatz dazu lassen sich anonymisierte Personendaten keiner konkreten Person zuordnen. Hierbei werden sämtliche Informationen entfernt, die eine Identifizierung ermöglichen könnten. Anonyme Daten sind vollständig «entpersonalisiert» und können daher bedenkenlos bearbeitet und analysiert werden, denn aufgrund der fehlenden Identifizierungsmöglichkeiten ist es beinahe unmöglich, diese Daten in Verbindung mit anderen Informationen zu bringen und somit einen Personenbezug herzustellen.

Wenn man anonymisierte Personendaten einsetzt, wird ein noch höherer Schutz der Privatsphäre möglich, da keinerlei Personenbezug hergestellt werden kann. Anonyme Daten sind insbesondere bei der Verwendung von Big Data oder in rieseigen Datenbanken von grosser Bedeutung. Sie ermöglichen eine effektive Auswertung von Informationen, ohne dabei Risiken für die betroffenen Personen darzustellen.

Der Einsatz von pseudonymen und anonymen Daten bietet somit eine Diskussionsgrundlage für den Datenschutz im digitalen Zeitalter. Durch ihre Verwendung können einerseits Daten analysiert und genutzt werden, andererseits werden die Privatsphäre der betroffenen Personen und der Schutz von Personendaten gewahrt. Entscheidend ist es jedoch, stets vorsichtig und verantwortungsbewusst mit diesen Informationen umzugehen, um mögliche Risiken zu minimieren und die Privatsphäre zu respektieren.

Was sind die sogenannten «Grundsätze» im nDSG? Was bedeuten sie?

Für die Datenbearbeitungen haben die «Grundsätze» unterschiedliche Bedeutungen, wobei zwischen den «eigentlichen» Grundprinzipien der Datenbearbeitung (bei denen es um die materiellen Erfordernisse der Datenbearbeitung geht) und den «spezifischen Regeln» (die vorgeben, wie diese Grundprinzipien einzuhalten sind) zu differenzieren ist.

Artikel 6 (Grundsätze) nDSG lautet:

«1 Personendaten müssen rechtmässig bearbeitet werden.

2 Die Bearbeitung muss nach Treu und Glauben erfolgen und verhältnismässig sein.

3 Personendaten dürfen nur zu einem bestimmten und für die betroffene Person erkennbaren Zweck beschafft werden; sie dürfen nur so bearbeitet werden, dass es mit diesem Zweck vereinbar ist.

4 Sie werden vernichtet oder anonymisiert, sobald sie zum Zweck der Bearbeitung nicht mehr erforderlich sind.

5 Wer Personendaten bearbeitet, muss sich über deren Richtigkeit vergewissern. Sie oder er muss alle angemessenen Massnahmen treffen, damit die Daten berichtigt, gelöscht oder vernichtet werden, die im Hinblick auf den Zweck ihrer Beschaffung oder Bearbeitung unrichtig oder unvollständig sind. Die Angemessenheit der Massnahmen hängt namentlich ab von der Art und dem Umfang der Bearbeitung sowie vom Risiko, das die Bearbeitung für die Persönlichkeit oder Grundrechte der betroffenen Personen mit sich bringt.

6 Ist die Einwilligung der betroffenen Person erforderlich, so ist diese Einwilligung nur gültig, wenn sie für eine oder mehrere bestimmte Bearbeitungen nach angemessener Information freiwillig erteilt wird.

7 Die Einwilligung muss ausdrücklich erfolgen für:

  1. die Bearbeitung von besonders schützenswerten Personendaten;
  2. ein Profiling mit hohem Risiko durch eine private Person; oder
  3. ein Profiling durch ein Bundesorgan.

Folgende Grundprinzipien sind in Artikel 6 nDSG verankert, auch wenn sie dort nicht alle erschlossen sind, (was mit der historischen Entwicklung des DSG zusammenhängt):

  • Rechtmässigkeit (Artikel 6 nDSG)
  • Treu und Glauben (Artikel 6 nDSG)
  • Verhältnismässigkeit (Artikel 6 nDSG)
  • Zweckbindung (Artikel 6 nDSG)
  • Transparenz (Artikel 19 nDSG)
  • Richtigkeit(Artikel 6 nDSG)
  • Datensicherheit (Artikel 8 nDSG)

Rechtmässigkeit

Beim Grundsatz der Rechtmässigkeit ist für den Verantwortlichen im privatrechtlichen Bereich das Bearbeiten von Personendaten erlaubt, soweit es gegen keine Rechtsnormen verstösst.

Treu und Glauben

Dieser Grundsatz gehört zu den fundamentalen Rechtsordnungsprinzipien; er ist bereits in der Bundesverfassung verankert. Die Wiederholung im nDSG hat hier zwar keine zusätzliche Bedeutung, unterstreicht aber, dass «treuwidrige» Bearbeitung von Personendaten ein Rechtsverstoss ist.

Der Grundsatz berücksichtigt insbesondere die Sichtweise betroffener Personen. Demnach kann eine Datenbearbeitung, mit der eine betroffene Person nicht rechnen muss, gegen Treu und Glauben verstossen, ebenso wie eine heimlich stattfindende Datenbearbeitung, beispielsweise eine Videoüberwachung ohne entsprechenden Hinweis einen Verstoss begründet.

Verhältnismässigkeit

Verhältnismässig ist eine Datenbearbeitung dann, wenn die entsprechenden Daten «geeignet» sind, den verfolgten Zweck zu erreichen. Dabei dürfen nur Daten bearbeitet werden, die hierzu «erforderlich» sind. Im engeren Sinne der Verhältnismässigkeit muss der Datenbearbeitungszweck in einem vernünftigen Verhältnis zum Eingriff in die Grundrechte betroffener Personen stehen; ohne klaren Zweck kann die Verhältnismässigkeit nicht beurteilt werden.

Dieser Grundsatz wirkt sich ausserdem mittelbar auf verschiedene Datenbearbeitungsregeln aus. Demnach dürfen Personendaten so lange aufbewahrt bleiben, wie es für den «rechtmässigen» Zweck erforderlich und geeignet ist. Ausserdem sind »datenschutzfreundlichen Voreinstellungen» [siehe Artikel 7 (Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen) nDSG ] als Anwendung des Verhältnismässigkeitsprinzips zu verstehen.

Zweckbindung

In materieller Hinsicht besteht die Zweckbindung aus zwei Elementen:

  • Bei der Beschaffung und dem Bearbeiten von Personendaten muss ein «bestimmter» Zweck zugrunde liegen.
  • Der Zweck muss für betroffene Personen «erkennbar» sein.

Bereits bei der Beschaffung von Personendaten muss der Verantwortliche den Zweck konkretisiert haben, und in der Folge muss sich die weitere Bearbeitung nach diesem Zweck ausrichten. Dabei werden vage, nicht definierte bzw. unpräzise Bearbeitungszwecke als ungenügend bestimmt.

Transparenz

Beim Transparenzgrundsatz geht es darum, dass die Beschaffung von Personendaten und der Bearbeitungszweck für betroffene Personen erkennbar sein müssen. Dies wird in Artikel 19 (Informationspflicht bei der Beschaffung von Personendaten) nDSG konkretisiert, wo es heisst:

« 1 Der Verantwortliche informiert die betroffene Person angemessen über die Beschaffung von Personendaten; diese Informationspflicht gilt auch, wenn die Daten nicht bei der betroffenen Person beschafft werden.

2 Er teilt der betroffenen Person bei der Beschaffung diejenigen Informationen mit, die erforderlich sind, damit sie ihre Rechte nach diesem Gesetz geltend machen kann und eine transparente Datenbearbeitung gewährleistet ist; er teilt ihr mindestens mit:

  1. die Identität und die Kontaktdaten des Verantwortlichen;
  2. den Bearbeitungszweck;
  3. gegebenenfalls die Empfängerinnen und Empfänger oder die Kategorien von Empfängerinnen und Empfängern, denen Personendaten bekanntgegeben werden.

3 Werden die Daten nicht bei der betroffenen Person beschafft, so teilt er ihr zudem die Kategorien der bearbeiteten Personendaten mit.

4 Werden die Personendaten ins Ausland bekanntgegeben, so teilt er der betroffenen Person auch den Staat oder das internationale Organ und gegebenenfalls die [erforderlichen] Garantien [...] oder die Anwendung einer Ausnahme [...] mit.

5 Werden die Daten nicht bei der betroffenen Person beschafft, so teilt er ihr die Informationen nach den Absätzen 2–4 spätestens einen Monat, nachdem er die Daten erhalten hat, mit. Gibt der Verantwortliche die Personendaten vor Ablauf dieser Frist bekannt, so informiert er die betroffene Person spätestens im Zeitpunkt der Bekanntgabe. »

Richtigkeit

Beim Richtigkeitsgrundsatz geht es um einen Aspekt der Datenqualität, hier konkret mit der Ausrichtung, eine Bearbeitung unrichtiger Personendaten, die zu einer Persönlichkeitsverletzung für betroffene Personen führt, zu verhindern.

Die Bedeutung dieses Grundsatzes entfaltet sich erst im Kontext des «Bearbeitungszwecks» sowie des «Bearbeitungsumfelds», wobei die zu machende Angabe bezogen auf das damit verbundene Risiko für die Grund- und Persönlichkeitsrechte betroffener Personen entscheidend ist.

Die Bearbeitung unrichtiger Daten stellt nicht per se eine Persönlichkeitsverletzung dar. Wenn jedoch nicht korrekte Angaben zu einer Persönlichkeitsverletzung für betroffene Personen führen können, muss der Verantwortliche die Daten berichtigen oder vernichten.

Datensicherheit

Kernelement jeder Datenbearbeitung ist die «Datensicherheit»; sie steht im Interesse aller datenbearbeitenden Stellen, die ihre Daten und Informationen vor Risiken eines Missbrauchs schützen müssen.

In der Tat tauchen in einer Welt vernetzter digitaler Datenbearbeitungen in hoch komplexen Informatik-Infrastrukturen zunehmend und erhöht Schwachstellenrisiken («Cyberrisiken») auf, die permanenter Bestandteil wirtschaftlichen Handelns geworden sind.

In diesem Sinne wird der Schutz von Personendaten in Artikel 8 (Datensicherheit) nDSG geregelt, wo der Gesetzgeber vom Verantwortlichen und vom Auftragsbearbeiter verlangt, dass sie jeweils geeignete technische und organisatorische Massnahmen treffen, um Risiken (von Persönlichkeitsverletzungen) zu minimieren. Artikel 8 nDSG ist damit bezüglich der «Grundsätze» die Ergänzung von Artikel 6 (Grundsätze) nDSG um das Element der «Datensicherheit».

Artikel 8 (Datensicherheit) nDSG lautet:

1 Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.

2 Die Massnahmen müssen es ermöglichen, Verletzungen der Datensicherheit zu vermeiden.

3 Der Bundesrat erlässt Bestimmungen über die Mindestanforderungen an die Datensicherheit.

Was sind die wichtigsten «Begriffe» beim nDSG?

Artikel 5 nDSG (Begriffe):

«In diesem Gesetz bedeuten:

  1. Personendaten: alle Angaben, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen;
  2. betroffene Person: natürliche Person, über die Personendaten bearbeitet werden;
  3. besonders schützenswerte Personendaten:
    1. Daten über religiöse, weltanschauliche, politische oder gewerkschaftliche Ansichten oder Tätigkeiten,
    2. Daten über die Gesundheit, die Intimsphäre oder die Zugehörigkeit zu einer Rasse oder Ethnie,
    3. genetische Daten,
    4. biometrische Daten, die eine natürliche Person eindeutig identifizieren,
    5. Daten über verwaltungs- und strafrechtliche Verfolgungen oder Sanktionen,
    6. Daten über Massnahmen der sozialen Hilfe;
  4. Bearbeiten: jeder Umgang mit Personendaten, unabhängig von den angewandten Mitteln und Verfahren, insbesondere das Beschaffen, Speichern, Aufbewahren, Verwenden, Verändern, Bekanntgeben, Archivieren, Löschen oder Vernichten von Daten;
  5. Bekanntgeben: das Übermitteln oder Zugänglichmachen von Personendaten;
  6. Profiling: jede Art der automatisierten Bearbeitung von Personendaten, die darin besteht, dass diese Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftlicher Lage, Gesundheit, persönlicher Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen;
  7. Profiling mit hohem Risiko: Profiling, das ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringt, indem es zu einer Verknüpfung von Daten führt, die eine Beurteilung wesentlicher Aspekte der Persönlichkeit einer natürlichen Person erlaubt;
  8. Verletzung der Datensicherheit: eine Verletzung der Sicherheit, die dazu führt, dass Personendaten unbeabsichtigt oder widerrechtlich verlorengehen, gelöscht, vernichtet oder verändert werden oder Unbefugten offengelegt oder zugänglich gemacht werden;
  9. Bundesorgan: Behörde oder Dienststelle des Bundes oder Person, die mit öffentlichen Aufgaben des Bundes betraut ist;
  10. Verantwortlicher: private Person oder Bundesorgan, die oder das allein oder zusammen mit anderen über den Zweck und die Mittel der Bearbeitung entscheidet;
  11. Auftragsbearbeiter: private Person oder Bundesorgan, die oder das im Auftrag des Verantwortlichen Personendaten bearbeitet.»

Was ist mit den (erweiterten) »Informationspflichten» im nDSG gemeint?

Durch das neue Schweizer Datenschutzgesetz werden die Informationspflichten bei der Erfassung von Personendaten erweitert. Ähnlich wie unter der EU-DSGVO, wird der jeweilige (für den Datenschutz) «Verantwortliche» verpflichtet, alle betroffenen Personen über die sie betreffenden Datenerfassungen und -bearbeitungen zu informieren.

In der Regel wird die Informationspflicht von «Verantwortlichen» über eine online-Veröffentlichung auf deren Website («Datenschutzerklärung») erfüllt; eine andere Kommunikationsform ist zulässig; der Gesetzgeber macht hierzu keine konkrete Vorgabe.

Wesentlich ist, dass «Verantwortliche» zum Zeitpunkt der Datenerfassung den betroffenen Personen alle Informationen bereitzustellen haben, die sie benötigen, um ihre Rechte gemäss dem nDSG geltend machen zu können, und die für eine transparente Bearbeitung der Personendaten erforderlich sind. Folgende Informationen sind bereitzustellen:

  • Die Identität und die Kontaktdaten des «Verantwortlichen» (Anschrift, Telefonnummer, E-Mail-Adresse).
  • Der Bearbeitungszweck der Personendaten von betroffenen Personen.
  • Falls zutreffend, die Empfänger oder Kategorien der Empfängeran die Personendaten weitergegeben werden.
  • Wenn Personendaten ins Ausland übertragen werden (sollen), müssen betroffene Personen auch über das Land bzw. die Länder bzw. internationale Organe informiert werden, in die eine Datenübermittlung stattfindet; hier muss der «Verantwortliche» ebenso über alle damit zusammenhängenden Vorkehrungen zum Schutz der betreffenden Personendaten

Obwohl die Informationspflicht deutlich weniger umfangreich als diejenige unter der EU-DSGVO ist, sollte bedacht werden, dass bei den Informationspflichten gemäss nDSG eine Liste zu erstellen bzw. eine Bekanntgabe der Länder zu machen ist, die aufzeigt, wohin die Personendaten betroffener Personen übermittelt werden. Allgemeine Formulierungen wie «Europa» oder «jedes Land mit einer Niederlassung unserer Organisation» sind grundsätzlich unzureichend.

«Verantwortliche» haben darüber hinaus ihre Schutzvorkehrungen (beispielsweise, und insbesondere, bei der Verwendung von Standardvertragsklauseln oder anderer vertraglicher Schutzmechanismen bei Übermittlungen von Personendaten in Länder ausserhalb der EU, sogenannten »Drittländern») oder Ausnahmen, auf die sie sich für Datenübermittlungen berufen (können), darzulegen.

Die (neue) Verordnung zum nDSG stellt im Übrigen klar, dass »Verantwortliche» und «Auftragsbearbeiter» die Erfassung und Bearbeitung von Personendaten genau, verständlich und in leicht zugänglicher Weise kommunizieren müssen; Piktogramme sind hierbei auch zulässig. [Siehe auch Artikel 13 (Modalitäten der Informationspflicht) DSV].

Empfehlung: Als Basis für die Erfüllung dieser (erweiterten) Informationspflichten sollten «Verantwortliche» ihre Bearbeitungstätigkeiten und die vorhandenen Datenschutzinformationen betrachten, und ausserdem über eine Übersicht aller massgeblichen Datenschutzrichtlinien und -informationen verfügen. Das daraus resultierende «Bearbeitungsverzeichnis» wird in der Regel Dreh- und Angelpunkt beim Identifizieren der Bearbeitungstätigkeiten sowie zur der Zweckbestimmung für die Bearbeitung sein. Bei Übermittlungen von Personendaten in ein Drittland muss darauf geachtet werden, dass ein solcher «Datenexport» stets aus einer Schweizer, nicht aus einer europäischen Perspektive zu betrachten ist.

Was ist mit der «Löschung» von Personendaten im nDSG gemeint?

Löschung: Personendaten dürfen nur so lange gespeichert und bearbeitet werden, wie sie für festgelegte Zwecke des Unternehmens erforderlich sind, und sofern dafür eine Rechtsgrundlage vorhanden ist.

Wenn der Bearbeitungszweck entfallen ist oder die Daten für den jeweiligen Bearbeitungszweck nicht mehr erforderlich sind oder für die Bearbeitung keine Rechtsgrundlage mehr existiert, müssen die Daten grundsätzlich gelöscht bzw. die Datenträger vernichtet werden.

Personendaten sind zu löschen, wenn

  • die Rechtsgrundlage der Bearbeitung wegfällt;
  • wenn die Aufbewahrungsfristen abgelaufen sind;
  • wenn die Erforderlichkeit der Daten für die Zweckerreichung nicht mehr gegeben ist;
  • wenn die Speicherung und Bearbeitung unrechtmässig ist;
  • wenn die Rücknahme einer Einwilligung erfolgt;
  • wenn ein berechtigter Widerspruch gegen eine weitere Bearbeitung auf der Grundlage eines berechtigten Interesses erfolgt;
  • wenn ein Widerspruch gegen eine Nutzung der Daten für Zwecke eines «Profilings», insbesondere einem «Profiling mit hohem Risiko»

Was ist mit der «Datenportabilität» von Personendaten gemeint?

Mit dem Recht auf «Datenportabilität» gemäss Artikel 28 (Recht auf Datenherausgabe und -übertragung) nDSG hat eine betroffene Person nunmehr die Möglichkeit, ihre Personendaten, die sie einem «Verantwortlichen» bekanntgegeben hat, in einem gängigen elektronischen Format herauszuverlangen oder an einen (von der betroffenen Person benannten) Dritten übertragen zu lassen.

Voraussetzungen: Der «Verantwortliche» bearbeitet die Personendaten automatisiert und mit der Einwilligung der betroffenen Person, oder die Bearbeitung steht in unmittelbarem Zusammenhang mit der Erfüllung eines Vertrags. Die betroffene Person kann das Recht kostenlos geltend machen, es sei denn, die Herausgabe oder Übertragung ihrer Personendaten wäre mit einem unverhältnismässigen Aufwand verbunden.

Was ist die Bedeutung «automatisierter Entscheidungen» im nDSG?

Während das «alte» Datenschutzrecht zu automatisierten Entscheidungen keine Regelung vorsah, enthält Artikel 21 nDSG eine Bestimmung für ausschliesslich automatisierte Entscheidungen, die zu rechtlichen Folgen bzw. Beeinträchtigungen für die betroffenen Personen führen. Dabei handelt es sich jedoch lediglich um eine Informationspflicht. Dort heisst es:

«Der Verantwortliche informiert die betroffene Person über eine Entscheidung,

  • die ausschliesslich auf einer automatisierten Bearbeitung beruht
  • und die für sie mit einer Rechtsfolge verbunden ist
  • oder sie erheblich beeinträchtigt (automatisierte Einzelentscheidung).

2 Er gibt der betroffenen Person auf Antrag die Möglichkeitihren Standpunkt darzulegenDie betroffene Person kann verlangen, dass die automatisierte Einzelentscheidung von einer natürlichen Person überprüft wird.

Die Absätze 1 und 2 gelten nichtwenn:

  1. die automatisierte Einzelentscheidung in unmittelbarem Zusammenhang mit dem Abschluss oder der Abwicklung eines Vertrags zwischen dem Verantwortlichen und der betroffenen Person steht und ihrem Begehren stattgegeben wird; oder
  2. die betroffene Person ausdrücklich eingewilligt hat, dass die Entscheidung automatisiert erfolgt. [...]»

Sind die Voraussetzungen der Informationspflicht erfüllt, gewährt das nDSG [laut Artikel 19 (Informationspflicht bei der Beschaffung von Personendaten) Absatz 2 nDSG] betroffenen Personen zusätzlich die Möglichkeit, ihren Standpunkt darzulegen, («Anspruch auf menschliches Gehör»). Betroffene Personen haben zudem das Recht, die Entscheidung von einer natürlichen Person überprüfen zu lassen.

Sowohl für die Informationspflicht als auch betreffend das Recht auf menschliches Gehör gelten Ausnahmen, nämlich wenn die Entscheidung in unmittelbarem Zusammenhang mit dem Abschluss eines Vertrags getroffen und dem Begehren betroffener Personen stattgegeben wird, oder wenn die betroffenen Personen ausdrücklich eingewilligt haben, dass die Entscheidung automatisiert erfolgt.

Das nDSG enthält betreffend «automatisierte Entscheidungen» ein zur Informationspflicht komplementäres Auskunftsrecht, das verlangt, dass die «Logik, auf der die Entscheidung beruht» mitgeteilt werden muss. [Siehe auch Artikel 25 Absatz 2 Buchstabe f (Auskunftsrecht) nDSG]. (Ein Recht auf Auskunft über die Tragweite und die angestrebten Auswirkungen für die betroffenen Personen ist hingegen nicht im Gesetz vorgesehen).

Was ist ein(e) Datenschutzberater(in)? Was ist ein(e) Datenschutzkoordinator(in)?

Private Unternehmen können nach Artikel 10 nDSG eine Datenschutzberaterin oder einen Datenschutzberater benennen («DSB»). Ein «DSB» kann, muss aber nicht in einem arbeitsvertraglichen Verhältnis zum Unternehmen stehen. Ob «intern» oder «extern» benannt: ein «DSB» sollte seine Aufgaben getrennt von übrigen Aufgaben des Unternehmens wahrnehmen. Auch empfiehlt es sich, die Geschäfte der Datenschutzberatung nicht mit anderen Rechtsberatungen und -vertretungen zu vermischen. Einem «DSB» sollte es immer und ohne Sanktionsbefürchtungen erlaubt sein, seinen Standpunkt bei Meinungsverschiedenheiten der Unternehmensleitung zur Kenntnis zu bringen. Im Gegensatz zur EU-DSGVO ist die Benennung eines «DSB» für private Unternehmen stets fakultativ; die (gesetzlich normierte) Benennungspflicht besteht in der Schweiz nur für Bundesorgane.

Ein «DSB» ist nicht nur eine innerbetriebliche Anlaufstelle, sondern auch Bindeglied zum behördlichen Datenschutz und erste Ansprechperson für den EDÖB. Zu den Aufgaben des «DSB» gehören nebst der allgemeinen Beratung und Schulung des Unternehmens in Fragen des Datenschutzes die Mitwirkung beim Erlass und der Anwendung von Nutzungsbedingungen und Datenschutzvorschriften. Eine Besonderheit hierbei: Wenn die interne Datenschutzberatung vom «DSB» fachlich unabhängig und weisungsungebunden ausgeübt wird, und wenn keine Aufgaben wahrgenommen werden, die mit der «DSB»-Funktion unvereinbar sind, kann ein Unternehmen nach Durchführung einer Datenschutz-Folgenabschätzung (DSFA), auch bei fortbestehend hohem Risiko einzig auf die interne (oder externe) Beratung über seinen «DSB» abstellen, ohne darüber hinaus den EDÖB konsultieren zu müssen.

Der Begriff «Datenschutzkoordinator» («DSK») taucht regelmässig auf, wird aber im nDSG nicht erwähnt, weshalb Unternehmen nicht dazu verpflichtet sind, diese Aufgabe an Mitarbeitende zu übertragen. Dennoch ist der Einsatz eines «DSK» durchaus sinnvoll und kann ein wichtiger Schritt zur Unterstützung der Aufgaben des «DSB» sein. Im Übrigen hat sich das Konzept eines «DSK» bereits vielfach in der Praxis bewährt.

Ein «DSK» sollte mit dem organisatorischen Aufbau des Unternehmens sowie mit den internen Abläufen bestens vertraut sein. Darüber hinaus sind gute Kommunikationsfähigkeiten gefragt, um einen gehaltvollen und zugleich effizienten Informationsaustausch zwischen dem Unternehmen und dem «DSB» zu gewährleisten.

Allerdings ist ein «DSK» kein Ersatz für den «DSB», weil die Qualifikation eine andere ist. Merke: Sollte aufgrund von Unternehmensgrösse oder der Datenbearbeitungsarten die Pflicht zur Benennung eines «DSB» bestehen, lässt sich das nicht durch Benennung eines «DSK» umgehen.

Was ist mit der «Privacy by Design» und «Privacy by Default» gemeint?

Die Konzepte «Privacy by Design» (Datenschutz durch Technikgestaltung) und «Privacy by Default» (Datenschutz durch datenschutzfreundliche technische Voreinstellungen) haben – obwohl sie bereits lange bekannt und anwendbar sind – insbesondere unter der EU-DSGVO an neuer Bedeutung gewonnen; sie werden in Artikel 25 DSGVO normiert.

Auch die Schweiz hat im nDSG diese Grundkonzepte explizit verankert, und zwar in Artikel 7 (Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen) nDSG, wo es heisst:

«1 Der Verantwortliche ist verpflichtet, die Datenbearbeitung technisch und organisatorisch so auszugestalten, dass die Datenschutzvorschriften eingehalten werden, insbesondere die Grundsätze nach Artikel 6. Er berücksichtigt dies ab der Planung.

2 Die technischen und organisatorischen Massnahmen müssen insbesondere dem Stand der Technik, der Art und dem Umfang der Datenbearbeitung sowie dem Risiko, das die Bearbeitung für die Persönlichkeit oder die Grundrechte der betroffenen Personen mit sich bringt, angemessen sein.

3 Der Verantwortliche ist verpflichtet, mittels geeigneter Voreinstellungen sicherzustellen, dass die Bearbeitung der Personendaten auf das für den Verwendungszweck nötige Mindestmass beschränkt ist, soweit die betroffene Person nicht etwas anderes bestimmt.»

Demnach müssen im Rahmen von «Privacy by Design» bei der Bearbeitung von Personendaten bereits «ab der Planung» angemessene technische und organisatorische Massnahmen (TOM) ein- und umgesetzt werden, durch die die Umsetzung von Datenschutzgrundsätzen (beispielsweise «Datenminimierung») in den betreffenden Systemen sichergestellte ist.

Im Rahmen von «Privacy by Default» sind Voreinstellungen, beispielsweise bei Apps oder Websites, so auszugestalten, dass die Bearbeitung der Personendaten « auf das für den Verwendungszweck nötige Mindestmass beschränkt ist».

Diese Begriffe werden oft unisono verwendet, haben aber jeweils eine für sich eigene Bedeutung.

Unter «Privacy by Design» wird der Grundgedanke aufgegriffen, dass Datenschutz-Rechtskonformität am besten erreichbar ist, indem man sie bereits bei der Erarbeitung eines Datenbearbeitungsvorgangs technisch integriert, d. h. der Schutz von Personendaten erfolgt durch die frühzeitige Implementierung (und Aktivierung) der bestmöglichen technischen und organisatorischen Massnahmen (TOM) bereits im Entwicklungsstadium.

Bei «Privacy by Default» geht es darum, die «Werkeinstellungen» datenschutzfreundlich auszugestalten. Der Grundgedanke ist hierbei darauf ausgelegt, insbesondere die Nutzer (User) der betreffenden Anwendungen zu schützen, da sie in der Regel weniger technikaffin sind und deshalb kaum motiviert sind, die datenschutzrechtlichen Einstellungen ihren Wünschen entsprechend anzupassen. («Cookie Banner» sind ein klassisches Beispiel für eine effektive und User-freundliche Lösung des dahinterstehenden Gedankens).

Was ist mit der «Outsourcing» gemeint?

«Outsourcing»: Wenn ein «Verantwortlicher» (als «Auftraggeber») die Bearbeitung von Personendaten einem «Auftragsbearbeiter» (beispielsweise einem Cloud-Anbieter, Web-Hoster, Versandunternehmen, Call-Center, Treuhandunternehmen oder IT-Supportunternehmen) überträgt, bleibt der «Auftraggeber» für den Datenschutz «verantwortlich», d. h. «er» muss (immer) sicherstellen, dass Personendaten bei ihm vertrags- oder gesetzeskonform bearbeitet werden.

Konkret: Der «Auftraggeber» hat aktiv, konsequent und fortlaufend sicherzustellen, dass der «Auftragsbearbeiter» das Gesetz im selben Umfang einhält, wie es der Auftraggeber selbst tut. Gemeint sind hier insbesondere die Einhaltung der allgemeinen Grundsätze sowie der Regeln betreffend die Datensicherheit und der Übermittlung bzw. Bekanntgabe von Personendaten ins Ausland.

Da der «Verantwortliche» Verstösse gegen das DSG verhindern muss [analog des Artikel 55 (Haftung des Geschäftsherrn) des Obligationenrechts, OR], ist er daher verpflichtet, seine(n) «Auftragsbearbeiter» sorgfältig auszuwählen, ihn/sie angemessen zu instruieren und, soweit als nötig, zu überwachen.

Gemäss Artikel 9 (Bearbeitung durch Auftragsbearbeiter) nDSG ist der «Verantwortliche» verpflichtet, Folgendes zu gewährleisten und vertraglich abzusichern:

  • Der «Auftragsbearbeiter» darf die an ihn übermittelten Personendaten nur so bearbeiten, wie der «Verantwortliche» es selbst tun dürfte, wobei sicherzustellen ist, dass der «Auftragsbearbeiter» die übertragenen Daten nur gemäss den Weisungen des «Auftraggebers» (also des «Verantwortlichen») bearbeitet. Ferner ist hier zu regeln, wie diese Weisungen effektiv und unmissverständlich zu kommunizieren sind.
  • Es dürfen keine Geheimhaltungspflichten verletzt werden: In bestimmten Situationen unterliegen Daten, regelmässig auch Personendaten, gesetzlichen oder vertraglichen Geheimhaltungspflichten (beispielsweise im Rahmen des Berufs-, Bank-, oder Amtsgeheimnisses). Ist dies der Fall, muss geprüft werden, ob die Auslagerung von Daten, die als geheim gelten, nicht zu einer Verletzung der Geheimhaltungspflicht des «Verantwortlichen» führt.
  • Es werden vom «Auftragsbearbeiter» angemessene Massnahmen getroffen, die die Sicherheit der ihm vom «Verantwortlichen» übermittelten Personendaten gewährleisten: Der «Verantwortliche» hat sich hierbei insbesondere davon zu überzeugen, dass der «Auftragsbearbeiter» in der Lage ist, die erforderliche Datensicherheit zu gewährleisten. Neben der Prüfung und vertraglichen Absicherung der getroffenen technischen und organisatorischen Massnahmen, die der «Auftragsbearbeiter» zum Schutz seiner Systeme und der bearbeiteten Daten getroffen hat, ist es sinnvoll auch zu prüfen, wie der «Auftragsbearbeiter» sicherstellt, dass die implementierten Massnahmen dem Risiko angemessen und wirksam sind und dem Stand der Technik entsprechen. Dazu dienen beispielsweise Audits und Zertifizierungen.
  • Der «Auftragsbearbeiter» kann eine «Unterbeauftragung» nur mit Genehmigung des «Verantwortlichen» durchführen lassen: Im Privatsektor ist die Genehmigung an keine besondere Form gebunden, allerdings muss der «Auftragsbearbeiter» nachweisen, dass eine «Genehmigung» vom «Verantwortlichen» für die Unterbeauftragung vorliegt; eine allgemeine Einverständniserklärung würde hier bereits ausreichen. Bei dieser Konstellation muss der «Auftragsbearbeiter» im Übrigen den «Verantwortlichen» über jede Änderung (Hinzuziehung oder das Auswechseln anderer Auftragsbearbeiter) informieren, damit dem «Verantwortlichen» die Möglichkeit für das Erheben eines Einspruchs gegen diese Änderungen ermöglicht wird.
  • Der «Verantwortliche» muss immer befähigt sein, seinen Verpflichtungen gegenüber der zuständigen Aufsichtsbehörde und betroffenen Personen nachzukommen: Sinnvoll wäre hier sicherlich, vertragliche Vereinbarungen (beispielsweise über eine «Mitwirkungspflicht») und organisatorische Massnahmen zu treffen, um sicherzustellen, dass Daten, die ausgelagert wurden bei Bedarf gelöscht oder korrigiert werden können und, beispielsweise bei der Bearbeitung eines Auskunftsgesuchs, auch (unverzüglich) auffindbar sind.

Was ist mit dem «Bearbeitungsverzeichnis» gemeint?

Die EU-DSGVO sieht – quasi in Vorreiterfunktion für die Schweiz – für Unternehmen, Institutionen und auch Vereine vor, dass sie, unter gewissen Voraussetzungen (die auch bei Kleinunternehmen schnell erfüllt sein können), ein sogenanntes «Verfahrensverzeichnis» erstellen. [Siehe hierzu Artikel 30 (Verzeichnis von Verarbeitungstätigkeiten) DSGVO].

Die Schweiz hat mit dem nDSG den Ball aus der EU aufgenommen und verlangt das Gleiche für Schweizer Unternehmen, Institutionen und Bundesorgane. Artikel 12 (Verzeichnis der Bearbeitungstätigkeiten) nDSG normiert das Erfordernis entsprechend. Dort heisst es in Absatz 1:

«1 Die Verantwortlichen und Auftragsbearbeiter führen je ein Verzeichnis ihrer Bearbeitungstätigkeiten. [...]»

In Absatz 5 des gleichen Artikels wird dazu wie folgt konkretisiert:

« [...] 5 Der Bundesrat sieht Ausnahmen für Unternehmen vor, die weniger als 250 Mitarbeiterinnen und Mitarbeiter beschäftigen und deren Datenbearbeitung ein geringes Risiko von Verletzungen der Persönlichkeit der betroffenen Personen mit sich bringt. »

Im Vergleich zur EU-DSGVO wirkt die Schweizer Regelung als etwas weniger einengend. Dennoch gilt auch hier, dass eine regelmässige Datenbearbeitung zu einer Verpflichtung für das Erstellen bzw. die Pflege eines geeigneten «Bearbeitungsverzeichnisses» führt.

Wie ein Schweizer Unternehmen sein Bearbeitungsverzeichnis gestaltet und aufbaut, hängt in der Regel von der Unternehmensgrösse ab. Während sich bei Kleinunternehmen die Geschäftsleistung wohl selbst um das «Verzeichnis» kümmern wird, werden bei mittleren und grossen Unternehmen sicherlich Projekt-Teams oder ähnliches einzusetzen sein.

Während der Gesetzgeber keine konkrete Form und Vorgehensweise vorschreibt, muss dem Erstellen eines Bearbeitungsverzeichnisses sicherlich eine Durchleuchtung aller vom Unternehmen vorgenommenen bzw. stattfindenden Bearbeitungsverfahren vorausgehen.

Dabei geht es um die Bestimmung, «wie», «wo» und «in welcher Weise» Personendaten im Unternehmen bearbeitet werden. (Zu entsprechend dafür notwendiger Dokumentation gibt es dafür am Markt inzwischen speziell entwickelte Tools; bei den meisten kleineren Unternehmen könnte eine einfache Excel-Liste ausreichen).

Im Prinzip erstellen Unternehmen ihre eigene «Prozesslandkarte» der «Datenflüsse», die sämtliche Datenbearbeitungs-Vorgänge und -Verfahren identifiziert, in welchen mit Personendaten der Mitarbeitenden, Kunden und allenfalls Lieferanten umgegangen wird. Folgende Prozesse und Verfahren sind dabei zu identifizieren und zu dokumentieren:

  • Kernprozesse im Unternehmen: Beratungsdienstleistungen, Vertriebsprozesse, Bestellungsabwicklung, Kundensupport etc.
  • Administrationsprozesse: Buchhaltung, Zahlungsverkehr, Betreibungen, Datenarchivierung etc.
  • Personalverwaltungsprozesse: Personaldossiers, Arbeitszeiterfassung, Bewerbungsprozesse, Vorstellung von Mitarbeitenden auf der Unternehmens-Website etc.
  • Werbungs- und Marketingprozesse: Werbung, Marketing, CRM, Tracking-Massnahmen, Newsletter, Kontaktformulare etc.

Aus der «Prozesslandkarte» ergibt sich für jedes «identifizierte» und datenschutzrelevante Verfahren die Basis zum Erstellen des eigenen «Verzeichnisses», das die Informationsanforderungen des nDSG zu erfüllen hat, wie es in Artikel 12 in den Absätzen 2 und 3 nDSG spezifiziert wird:

«[...] 2 Das Verzeichnis des Verantwortlichen enthält mindestens:

  1. die Identität des Verantwortlichen;
  2. den Bearbeitungszweck;
  3. eine Beschreibung der Kategorien betroffener Personen und der Kategorien bearbeiteter Personendaten;
  4. die Kategorien der Empfängerinnen und Empfänger;
  5. wenn möglich die Aufbewahrungsdauer der Personendaten oder die Kriterien zur Festlegung dieser Dauer;
  6. wenn möglich eine allgemeine Beschreibung der Massnahmen zur Gewährleistung der Datensicherheit nach Artikel 8 [Datensicherheit];
  7. falls die Daten ins Ausland bekanntgegeben werden, die Angabe des Staates sowie die Garantien nach Artikel 16 [Grundsätze] Absatz 2.

3 Das Verzeichnis des Auftragsbearbeiters enthält Angaben zur Identität des Auftragsbearbeiters und des Verantwortlichen, zu den Kategorien von Bearbeitungen, die im Auftrag des Verantwortlichen durchgeführt werden, sowie die Angaben nach Absatz 2 Buchstaben f und g. [...] »

Es ist davon auszugehen, dass das Erstellen eines «Bearbeitungsverzeichnisses» grundsätzlich für die Mehrheit der Schweizer Unternehmen zur Pflicht wird. Doch selbst ohne das Bestehen einer Pflicht ist das Führen eines «Verzeichnisses» schon deshalb «mehr als ratsam», weil es die Basis für einen Grossteil der jeweiligen Datenschutzaktivitäten ist und zudem einen vollständigen und strukturierten Überblick über die Datenströme im Unternehmen ermöglicht.

Nicht zuletzt ist das «Verzeichnis» ebenso Grundlage für die Veröffentlichung der eigenen Datenschutzerklärung und liefert die Übersicht über Verträge zur Auftragsdatenbearbeitung mit Dritten.

Ausserdem ist (eigentlich) nur so zu gewährleisten, dass Auskunfts-, Berichtigungs-, Löschbegehren, die betroffene Personen im Rahmen ihrer Betroffenenrechte gegenüber einem Unternehmen geltend machen, umfassend, rechtskonform und insbesondere zeitnah erfüllt werden.

Was bedeutet der «risikobasierte Ansatz» im nDSG?

Im nDSG findet sich keine Definitionen zu den Begriffen «Risiko» und «risikobasierter Ansatz». Allerdings ist die dahingehende Ausrichtung bzw. Intention der Schweizer Gesetzgebung für die Gestaltung des nDSG auch klar ersichtlich.

Gemäss Botschaft zum [Entwurf (E-DSG) für das] Bundesgesetz über die Totalrevision des Bundesgesetzes über den Datenschutz und die Änderung weiterer Erlasse zum Datenschutz (BBI 2017 Seite 6970) gilt [in 1.4 Darstellung des E-DSG; 1.4.1 Leitlinien der Revision], dass die Totalrevision sich an sieben Leitlinien orientiert, auf denen die verschiedenen Neuerungen beruhen. Zitat:

«[...] Eine erste Leitlinie der Revision bildet der risikobasierte Ansatz. Der Revisionsentwurf orientiert sich konsequent an den potenziellen Risiken für die betroffenen Personen, denn die Gefahren für die Privatsphäre der betroffenen Personen hängen weitgehend von den Aktivitäten der verschiedenen Verantwortlichen und Auftragsbearbeiter ab.

Dementsprechend sind beispielsweise die Pflichten von Verantwortlichen, deren Aktivitäten mit einem erhöhten Risiko verbunden sind (z.B. Unternehmen, deren Haupttätigkeit in der Datenbearbeitung besteht), strenger als jene von Verantwortlichen, deren Aktivitäten ein geringeres Risiko darstellen (z.B. Datenbearbeitungen, die auf eine Kundendatei ohne besonders schützenswerte Daten beschränkt sind). [...] »

An diversen Stellen wird in der Botschaft konkretisiert, was «risikobasierter Ansatz» bedeutet, so unter BBI 2017 6941 Seite 7030:

«[...] Die Norm bringt den risikobasierten Ansatz zum Ausdruck. Das Risiko, das mit einer Bearbeitung einhergeht, muss in Beziehung gesetzt werden zu den technischen Möglichkeiten, um dieses zu verringern. Je höher das Risiko, je grösser die Eintrittswahrscheinlichkeit und je umfangreicher die Datenbearbeitung ist, um so höher sind die Anforderungen an die technischen Vorkehren, damit sie im Sinne der vorliegenden Bestimmung als angemessen gelten können. [...]»

Die (neue) Verordnung des nDSG bringt den «risikobasierten Ansatz» deutlich zum Ausdruck. Dort heisst es in Artikel 1 (Grundsätze) DSV:

«1 Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen.

[...] 3 Das Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person wird nach den folgenden Kriterien beurteilt:

  1. Ursachen des Risikos; [...]
  1. ergriffene oder vorgesehene Massnahmen, um das Risiko zu verringern; [...]

5 Der Schutzbedarf der Personendaten, das Risiko und die technischen und organisatorischen Massnahmen sind über die gesamte Bearbeitungsdauer hinweg zu überprüfen. Die Massnahmen sind nötigenfalls anzupassen.

Was bedeutet ein «Datenschutzverstoss» im nDSG?

Von einem «Datenschutzverstoss» ist erst dann die Rede, wenn aufgrund einer Sicherheitsverletzung unbeabsichtigt oder widerrechtlich Personendaten verlorengehen, gelöscht, oder verändert werden oder diese Unbefugten offengelegt oder zugänglich gemacht werden.

Der Begriff wird nicht selten auch als «Datensicherheitsverletzung» oder «Datenpanne» bezeichnet, was jedoch leicht zu Missverständnissen führen kann kann, wenn damit eine technische Informationssicherheitsverletzung gemeint ist, die Personendaten-Risiken ggf. mit einschliesst oder gar nicht berücksichtigt, (beispielsweise im Sinne eines Vorfalls im Rahmen eines unternehmerischen Informationssicherheits-Managementsystems, ISMS; Stichwort: ISO 27001).

Während Hacker- und andere Cyber-Angriffe selbstverständlich einen Datenschutzverstoss auslösen können, sind hier insbesondere unternehmensinterne Vorfallspotenziale zu erwähnen, die eher und öfter eintreten können, beispielsweise dass unbeabsichtigte Löschen von Personendaten durch Mitarbeitende oder der Verlust von Personendaten aufgrund einer technischen Panne.

Ob überhaupt ein Datenschutzverstoss vorliegt, wird in der Regel anfangs unklar sein. Bei einer Datensicherheitsverletzung muss zunächst geprüft werden, ob überhaupt, und wenn ja, inwieweit Personendaten betroffen sind.

Um die korrekten Erst- und Folgemassnahmen effizient und effektiv durchführen zu können, muss im Vorfeld ein Plan erstellt werden, der die Verantwortlichkeiten und Abläufe klärt.

Damit anlassbezogen korrekt «reagiert» wird, ist es wichtig, die entsprechenden Grundlagen zu schaffen. Dazu müssen insbesondere die Verantwortlichkeiten geklärt sein und Mitarbeitende im Vorfeld geschult werden.

Die Meldung eines Datenschutzverstosses an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) ist nur dann Pflicht, wenn der «Verstoss» voraussichtlich zu einem hohen Risiko für die betroffenen Personen führt.

Sicherlich liegt ein «hohes» Risiko dann vor, wenn es um besonders sensible Personendaten (beispielweise Gesundheitsdaten) geht oder wenn der «Verstoss» zu einer schwerwiegenden Beeinträchtigung der betroffenen Person führen kann. Um das Risiko beurteilen zu können, sind folgende Faktoren zu berücksichtigen:

  • Die Art des Datenschutzverstosses.
  • Die «Sensibilität» und die Menge der betroffenen Personendaten.
  • Die Identifizierbarkeit einer betroffenen Person (je einfacher, desto kritischer).
  • Die Schwere der Folgen des «Verstosses» für die betroffenen Personen.

Es läuft auf eine Prognose des Unternehmens in Bezug auf die möglichen Auswirkungen des «Verstosses» für die betroffenen Personen hinaus. Je nachdem, wie die Prognose ausfällt, entscheidet sich, ob betroffene Personen zu informieren sind oder nicht.

Die genauen Anforderungen an die Meldung sind sowohl im nDSG als auch in der (neuen) DSV enthalten:

Artikel 24 (Meldung von Verletzungen der Datensicherheit) nDSG (wesentlicher Auszug):

«1 Der Verantwortliche meldet dem EDÖB so rasch als möglich eine Verletzung der Datensicherheit, die voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person führt.

2 In der Meldung nennt er mindestens die Art der Verletzung der Datensicherheit, deren Folgen und die ergriffenen oder vorgesehenen Massnahmen.

3 Der Auftragsbearbeiter meldet dem Verantwortlichen so rasch als möglich eine Verletzung der Datensicherheit.

4 Der Verantwortliche informiert die betroffene Person, wenn es zu ihrem Schutz erforderlich ist oder der EDÖB es verlangt. [...]

6 Eine Meldung, die aufgrund dieses Artikels erfolgt, darf in einem Strafverfahren gegen die meldepflichtige Person nur mit deren Einverständnis verwendet werden.»

Artikel 15 (Meldung von Verletzungen der Datensicherheit) DSV

«1 Die Meldung einer Verletzung der Datensicherheit an den EDÖB muss folgende Angaben enthalten:

  1. die Art der Verletzung;
  2. soweit möglich den Zeitpunkt und die Dauer;
  3. soweit möglich die Kategorien und die ungefähre Anzahl der betroffenen Personendaten;
  4. soweit möglich die Kategorien und die ungefähre Anzahl der betroffenen Personen;
  5. die Folgen, einschliesslich der allfälligen Risiken, für die betroffenen Personen;
  6. welche Massnahmen getroffen wurden oder vorgesehen sind, um den Mangel zu beheben und die Folgen, einschliesslich der allfälligen Risiken, zu mindern;
  7. den Namen und die Kontaktdaten einer Ansprechperson.

2 Ist es dem Verantwortlichen nicht möglich, alle Angaben gleichzeitig zu melden, so liefert er die fehlenden Angaben so rasch als möglich nach.

3 Ist der Verantwortliche verpflichtet, die betroffene Person zu informieren, so teilt er ihr in einfacher und verständlicher Sprache mindestens die Angaben nach Absatz 1 Buchstaben a und e - g mit.

4 Der Verantwortliche muss die Verletzungen dokumentieren. Die Dokumentation muss die mit den Vorfällen zusammenhängenden Tatsachen, deren Auswirkungen und die ergriffenen Massnahmen enthalten. Sie ist ab dem Zeitpunkt der Meldung nach Absatz 1 mindestens zwei Jahre aufzubewahren. »

Die Ausnahmen der Meldepflicht werden in Artikel 24 Absatz 5 nDSG festgehalten, wo es heisst:

[...] 5 Er kann die Information an die betroffene Person einschränken, aufschieben oder darauf verzichten, wenn:

  1. ein Grund nach Artikel 26 [Einschränkungen des Auskunftsrechts] Absatz 1 Buchstabe b oder Absatz 2 Buchstabe b vorliegt oder eine gesetzliche Geheimhaltungspflicht dies verbietet;
  2. die Information unmöglich ist oder einen unverhältnismässigen Aufwand erfordert; oder
  3. die Information der betroffenen Person durch eine öffentliche Bekanntmachung in vergleichbarer Weise sichergestellt ist. [...]

Zur Ergänzung und zum besseren Verständnis nachfolgend der Wortlaut der oben referenzierten Artikel:

Artikel 26 Absatz 1 Buchstabe b nDSG:

1 Der Verantwortliche kann die Auskunft verweigern, einschränken oder aufschieben, wenn:

[...] b. dies aufgrund überwiegender Interessen Dritter erforderlich ist; [...]»

Artikel 26 Absatz 2 Buchstabe b nDSG:

[...] 2 Darüber hinaus ist es in den folgenden Fällen möglich, die Auskunft zu verweigern, [...]

  1. Der Verantwortliche ist ein Bundesorgan, und eine der folgenden Voraussetzungen ist erfüllt:
  1. Die Massnahme ist wegen überwiegender öffentlicher Interessen, insbesondere der inneren oder der äusseren Sicherheit der Schweiz, erforderlich.
  2. Die Mitteilung der Information kann eine Ermittlung, eine Untersuchung oder ein behördliches oder gerichtliches Verfahren gefährden. [...]

Das nDSG macht keine klaren Vorgaben über die Meldefrist an den EDÖB. In Artikel 24 Absatz 1 nDSG heisst es lediglich, dass der Verantwortliche

« [...] dem EDÖB so rasch als möglich eine Verletzung der Datensicherheit [meldet], die voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person führt. [...] »

Daraus lässt sich nur mit Bestimmtheit schliessen: Je grösser die grösser Anzahl der durch den Vorfall betroffenen Personen oder je erheblicher die Gefährdung dieser Personen ist, desto schneller muss gehandelt werden.

Wichtige EDÖB-Links (Online-Quelle):

Merkblatt betreffend die Untersuchung von Verstössen gegen Datenschutzvorschriften durch den EDÖB (Stand: Mai 2023)

Untersuchung [durch den EDÖB] von Verstössen gegen Datenschutzvorschriften [Stand: Mai 2023]

Was ist eine «Datenschutz-Folgenabschätzung» im Sinne des nDSG?

Auf der Website des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) – abgerufen am 21.08.2023; Link: EDÖB zur DSFA – heisst es zum Thema «Datenschutz-Folgenabschätzung»:

« Private [...] verantwortliche Datenbearbeiter müssen eine Datenschutz-Folgenabschätzung (DSFA) erstellen, wenn bei Personendatenbearbeitungen ein potenziell hohes Risiko für die Persönlichkeit oder die Grundrechte der Betroffenen erkennbar ist.

Die DSFA ist ein Instrument, mit dem verantwortliche Datenbearbeiter datenschutzrechtliche Risiken erfassen, bewerten und behandeln. Die Regelung zur DSFA [im nDSG] ist Ausdruck des risikobasierten Ansatzes im neuen Datenschutzrecht, der auch zur Folge hat, dass die Pflicht zur Erstellung einer DSFA nur bei potenziell hohem Risiko besteht.

Die DSFA umschreibt die geplante Datenbearbeitung, bewertet die Risiken für die Persönlichkeit oder die Grundrechte der betroffenen Personen und zeigt die Massnahmen zu deren Schutz auf. Im Falle einer bereits bestehenden Datenbearbeitung prüft und weist der Verantwortliche deren wesentliche Unterschiede zur geplanten Datenbearbeitung in der DSFA aus.

Ein hohes Risiko kann sich aus der Verwendung neuer Technologien, aus der Art, dem Umfang, den Umständen und dem Zweck der Bearbeitung ergeben. Das Gesetz nennt beispielsweise die umfangreiche Bearbeitung besonders schützenswerter Personendaten und die systematische, umfangreiche Überwachung öffentlicher Bereiche [...]. Bei der Bewertung und Behandlung der Risiken gilt es zu unterscheiden zwischen solchen, die durch risikomindernde Massnahmen beeinflussbar sind, und solchen, die durch Massnahmen nicht oder kaum beeinflussbar sind.

Resultiert aus der DSFA, dass bei der geplanten Datenbearbeitung trotz der vom Verantwortlichen vorgesehenen Massnahmen ein hohes Restrisiko für die Persönlichkeit oder die Grundrechte der Betroffenen bestehenbleibt, so muss eine Stellungnahme des EDÖB eingeholt werden. Eine Ausnahme gilt für private Verantwortliche, wenn sie ihre Datenschutzberaterin oder ihren Datenschutzberater konsultiert haben.

Hinweis: Der EDÖB erarbeitet zurzeit ausführlichere Hinweise zu den Voraussetzungen und zum Inhalt der DSFA, die er im Sommer dieses Jahres [2023] an dieser Stelle zugänglich machen wird.»

Genauere Betrachtung:

Eine Datenschutz-Folgenabschätzung (DSFA) ist nichts anderes als eine strukturierte Risikoanalyse bezogen auf «geplante» Datenbearbeitungsprozesse.

Gemäss nDSG wird der Mindestinhalt einer DSFA in Artikel 22 (Datenschutz-Folgenabschätzung) Absatz 3 nDSG wie folgt festgelegt:

«[...] 3 Die Datenschutz-Folgenabschätzung enthält

  • eine Beschreibung der geplanten Bearbeitung,
  • eine Bewertung der Risiken für die Persönlichkeit oder die Grundrechte der betroffenen Person
  • sowie die Massnahmen zum Schutz der Persönlichkeit und der Grundrechte. [...]»

Wann eine DSFA durchzuführen ist, besagt Artikel 22 Absatz 1 nDSG, wo es heisst:

« 1 Der Verantwortliche erstellt vorgängig eine Datenschutz-Folgenabschätzung, wenn eine Bearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringen kann. Sind mehrere ähnliche Bearbeitungsvorgänge geplant, so kann eine gemeinsame Abschätzung erstellt werden. [...] »

Was mit einem «hohen Risiko» gemeint ist, ergibt sich aus Artikel 22 Absatz 2 nDSG:

«[...] 2 Das hohe Risiko ergibt sich, insbesondere

  • bei Verwendung neuer Technologien,
  • aus der Art, dem Umfang, den Umständen
  • und dem Zweck der Bearbeitung.

Es liegt namentlich vor:

  1. bei der umfangreichen Bearbeitung besonders schützenswerter Personendaten;
  2. wenn systematisch umfangreiche öffentliche Bereiche überwacht werden. [...]»

Artikel 22 nDSG nennt sogleich in den Absätzen 4 und 5 die möglichen Ausnahmen von der DSFA-Pflicht, die da lauten:

«[...] 4 Von der Erstellung einer Datenschutz-Folgenabschätzung ausgenommen sind private Verantwortliche, wenn sie gesetzlich zur Bearbeitung der Daten verpflichtet sind.

5 Der private Verantwortliche kann von der Erstellung einer Datenschutz-Folgenabschätzung absehen, wenn er ein Systemein Produkt oder eine Dienstleistung einsetzt, das oder die für die vorgesehene Verwendung nach Artikel 13 zertifiziert ist, oder wenn er einen Verhaltenskodex nach Artikel 11 einhält, der die folgenden Voraussetzungen erfüllt:

  1. Der Verhaltenskodex beruht auf einer Datenschutz-Folgenabschätzung.
  2. Er sieht Massnahmen zum Schutz der Persönlichkeit und der Grundrechte der betroffenen Person vor.
  3. Er wurde dem EDÖB vorgelegt.»

Notabene: Das «Bearbeitungsverzeichnis» ist als Basis einer jeden DSFA quasi unverzichtbar, denn darin wird sauber, pointiert und systematisch erfasst, beschrieben und dokumentiert, welche Personendaten über welche aktiven und geplanten Verfahren für welche Zwecke im Unternehmen bearbeitet werden. Das Verzeichnis spielgelt im Wesentlichen den gesamten Lebenszyklus bearbeiteter Personendaten wider, der nach dem PDCA-Prinzip ständig weiterläuft.

Was ist eine «EU-Vertretung» im Sinne der EU-DSGVO?

Zur Orientierung: Um (erfahrungsgemäss aufgekommenden) Missverständnissen vorzubeugen ist zunächst klarzustellen, dass das Konzept einer «EU-Vertretung» ausschliesslich von der DSGVO-Seite zu betrachten ist. Für die Schweiz gibt es ein ähnliches, jedoch völlig Schweiz-eigenes (und für dieses Thema nicht relevantes) Konzept, das in Artikel 14 (Vertretung) nDSG normiert ist.

Im Rahmen der Schaffung eines einheitlichen europäischen Datenschutzstandards ist die EU-DSGVO nicht nur für Dienstleister mit Niederlassungen in der EU bzw. im EWR, sondern darüber hinaus anwendbar.

Dies wird in Artikel 3 (Räumlicher Anwendungsbereich) DSGVO festgelegt, wo es heisst:

« (1) Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten, soweit diese im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt, unabhängig davon, ob die Verarbeitung in der Union stattfindet.

(2) Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der Union befinden, durch einen nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter, wenn die Datenverarbeitung im Zusammenhang damit steht

  1. betroffenen Personen in der Union Waren oder Dienstleistungen anzubieten, unabhängig davon, ob von diesen betroffenen Personen eine Zahlung zu leisten ist;
  2. das Verhalten betroffener Personen zu beobachten, soweit ihr Verhalten in der Union erfolgt.

(3) Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten durch einen nicht in der Union niedergelassenen Verantwortlichen an einem Ort, der aufgrund Völkerrechts dem Recht eines Mitgliedstaats unterliegt. »

Eine EU-Vertretung ist eine in der EU niedergelassene «natürliche» oder «juristische» Person, die von einem nicht in der EU ansässigen «Verantwortlichen» oder »Auftragsbearbeiter» als deren jeweilige Vertretung bestellt wurde, um deren entsprechenden DSGVO-Obliegenheiten erfüllen zu können.

Somit agiert die EU-Vertretung als Anlaufstelle für Aufsichtsbehörden und betroffene (EU) Personen im entsprechenden Mitgliedstaat für sämtliche Fragestellungen im Zusammenhang mit Datenbearbeitungen des Verantwortlichen oder des Auftragsverarbeiters.

Verglichen mit einem in der EU bestellten «Datenschutzbeauftragten» grenzt sich ein EU-Vertreter von einem Datenschutzbeauftragten gerade dadurch ab, dass das Aufgabenfeld eines «Datenschutzbeauftragten» wesentlich umfangreicher ist.

Artikel 27 DSGVO, in Verbindung mit dem (zwar unverbindlichen aber dennoch äusserst wichtigen) Erwägungsgrund 80 der DSGVO, ist hier sowohl die massgebliche Normierung als auch wesentliche Orientierung bei der Festlegung vom Erfordernis einer EU-Vertreter-Benennung. Dort heisst es:

Artikel 27 (Vertreter von nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeitern) DSGVO

«(1) In den Fällen gemäß Artikel 3 Absatz 2 benennt der Verantwortliche oder der Auftragsverarbeiter schriftlich einen Vertreter in der Union.

(2) Die Pflicht gemäß Absatz 1 des vorliegenden Artikels gilt nicht für

  1. eine Verarbeitung, die gelegentlich erfolgt, nicht die umfangreiche Verarbeitung besonderer Datenkategorien im Sinne des Artikels 9 Absatz 1 oder die umfangreiche Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10 einschließt und unter Berücksichtigung der Art, der Umstände, des Umfangs und der Zwecke der Verarbeitung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt, [...]

(3) Der Vertreter muss in einem der Mitgliedstaaten niedergelassen sein, in denen die betroffenen Personen, deren personenbezogene Daten im Zusammenhang mit den ihnen angebotenen Waren oder Dienstleistungen verarbeitet werden oder deren Verhalten beobachtet wird, sich befinden.

(4) Der Vertreter wird durch den Verantwortlichen oder den Auftragsverarbeiter beauftragt, zusätzlich zu diesem oder an seiner Stelle insbesondere fürAufsichtsbehörden und betroffene Personen bei sämtlichen Fragen im Zusammenhang mit der Verarbeitung zur Gewährleistung der Einhaltung dieser Verordnung als Anlaufstelle zu dienen.

(5) Die Benennung eines Vertreters durch den Verantwortlichen oder den Auftragsverarbeiter erfolgt unbeschadet etwaiger rechtlicher Schritte gegen den Verantwortlichen oder den Auftragsverarbeiter selbst.»

Erwägungsgrund 80 (Zur Benennung einer EU-Vertretung) DSGVO

« 1 Jeder Verantwortliche oder Auftragsverarbeiter ohne Niederlassung in der Union, dessen Verarbeitungstätigkeiten sich auf betroffene Personen beziehen, die sich in der Union aufhalten, und dazu dienen, diesen Personen in der Union Waren oder Dienstleistungen anzubieten – unabhängig davon, ob von der betroffenen Person eine Zahlung verlangt wird – oder deren Verhalten, soweit dieses innerhalb der Union erfolgt, zu beobachten, sollte einen Vertreter benennen müssen, es sei denn, die Verarbeitung erfolgt gelegentlich, schließt nicht die umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten oder die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten ein und bringt unter Berücksichtigung ihrer Art, ihrer Umstände, ihres Umfangs und ihrer Zwecke wahrscheinlich kein Risiko für die Rechte und Freiheiten natürlicher Personen mit sich oder bei dem Verantwortlichen handelt es sich um eine Behörde oder öffentliche Stelle.

2 Der Vertreter sollte im Namen des Verantwortlichen oder des Auftragsverarbeiters tätig werden und den Aufsichtsbehörden als Anlaufstelle dienen.

3 Der Verantwortliche oder der Auftragsverarbeiter sollte den Vertreter ausdrücklich bestellen und schriftlich beauftragen, in Bezug auf die ihm nach dieser Verordnung obliegenden Verpflichtungen an seiner Stelle zu handeln.

4 Die Benennung eines solchen Vertreters berührt nicht die Verantwortung oder Haftung des Verantwortlichen oder des Auftragsverarbeiters nach Maßgabe dieser Verordnung.

5 Ein solcher Vertreter sollte seine Aufgaben entsprechend dem Mandat des Verantwortlichen oder Auftragsverarbeiters ausführen und insbesondere mit den zuständigen Aufsichtsbehörden in Bezug auf Maßnahmen, die die Einhaltung dieser Verordnung sicherstellen sollen, zusammenarbeiten.

6 Bei Verstößen des Verantwortlichen oder Auftragsverarbeiters sollte der bestellte Vertreter Durchsetzungsverfahren unterworfen werden.»

Eine EU-Vertretung ist u. a. dann nicht erforderlichwenn eine Bearbeitung nur gelegentlich erfolgt und keine umfangreiche Bearbeitung besonderer Kategorien von Personendaten stattfinden, wie sie in Artikel 9 (Verarbeitung besonderer Kategorien personenbezogener Daten) Absatz 1 DSGVO definiert werden:

« (1) Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt. [...] »

«Verantwortliche» bzw. «Auftragsbearbeiter» müssen neben der «schriftlichen» Benennungsform (die von der DSGVO nicht weiter ausgeführt wird) für die «Designierung» einer EU-Vertretung ausserdem gemäss der Artikel 13 und 14 DSGVO, bei denen es um die Erfüllung strenger Informationspflichten geht, über das Vorhandensein einer EU-Vertretung in ihren Datenschutzerklärungen informieren.

Was muss bei «Datenübermittlungen ins Ausland» gemäss nDSG beachtet werden?

Beim Thema der «Datenübermittlungen ins Ausland» kann man sich umfassend an der hierzu veröffentlichten Online-Mitteilung sowie leicht verständlichen und guten Hilfestellung vom Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) orientieren (Link: Datenbekanntgabe ins Ausland EDÖB-Website).

Grundsätzliche Voraussetzung für die Übermittlung von (Schweizer) Personendaten ins Ausland ist das Bestehen eines angemessenen Datenschutzniveaus im betreffenden Empfängerstaat (auch als «Drittland» oder «Drittstaat» bezeichnet).

Personendaten dürfen demnach ins Ausland bekanntgegeben werden, wenn die Gesetzgebung des Empfängerstaates einen angemessenen Schutz gewährleistet, wie es Artikel 16 (Grundsätze) Absatz 1 nDSG vorgibt:

« 1 Personendaten dürfen ins Ausland bekanntgegeben werden, wenn der Bundesrat festgestellt hat, dass die Gesetzgebung des betreffenden Staates oder das internationale Organ einen angemessenen Schutz gewährleistet. [...] »

Zum besseren Verständnis im weiteren Verlauf dieses Beitrags wird im Folgenden der komplette Artikel 16 nDSG (3. Abschnitt: Bekanntgabe von Personendaten ins Ausland, Grundsätze) abgebildet:

«1 Personendaten dürfen ins Ausland bekanntgegeben werden, wenn der Bundesrat festgestellt hat, dass die Gesetzgebung des betreffenden Staates oder das internationale Organ einen angemessenen Schutz gewährleistet.

2 Liegt kein Entscheid des Bundesrates nach Absatz 1 vor, so dürfen Personendaten ins Ausland bekanntgegeben werden, wenn ein geeigneter Datenschutz gewährleistet wird durch:

  1. einen völkerrechtlichen Vertrag;
  2. Datenschutzklauseln in einem Vertrag zwischen dem Verantwortlichen oder dem Auftragsbearbeiter und seiner Vertragspartnerin oder seinem Vertragspartner, die dem EDÖB vorgängig mitgeteilt wurden;
  3. spezifische Garantien, die das zuständige Bundesorgan erarbeitet und dem EDÖB vorgängig mitgeteilt hat;
  4. Standarddatenschutzklauseln, die der EDÖB vorgängig genehmigt, ausgestellt oder anerkannt hat; oder
  5. verbindliche unternehmensinterne Datenschutzvorschriften, die vorgängig vom EDÖB oder von einer für den Datenschutz zuständigen Behörde eines Staates, der einen angemessenen Schutz gewährleistet, genehmigt wurden.

3 Der Bundesrat kann andere geeignete Garantien im Sinne von Absatz 2 vorsehen.»

Für welche «Drittstaaten» der Bundesrat die Erfüllung der Voraussetzungen festgelegt hat, wird in Anhang 1 der Datenschutzverordnung (DSV) veröffentlicht. Die Liste kann über folgenden Link eingesehen werden:

Anhang 1 DSV: Staaten, Gebiete, spezifische Sektoren in einem Staat und internationale Organe mit einem angemessenen Datenschutz.

In Artikel 8 (Beurteilung der Angemessenheit des Datenschutzes eines Staates, eines Gebiets, eines spezifischen Sektors in einem Staat oder eines internationalen Organs) DSV werden die Kriterien genannt, die der Bundesrat bei seiner Einschätzung anwendet:

«1 Die Datenschutzklauseln in einem Vertrag nach Artikel 16 Absatz 2 Buchstabe b DSG und die spezifischen Garantien nach Artikel 16 Absatz 2 Buchstabe c DSG müssen mindestens die folgenden Punkte enthalten:

  1. die Anwendung der Grundsätze der Rechtmässigkeit, von Treu und Glauben, der Verhältnismässigkeit, der Transparenz, der Zweckbindung und der Richtigkeit;
  2. die Kategorien der bekanntgegebenen Personendaten sowie der betroffenen Personen;
  3. die Art und den Zweck der Bekanntgabe von Personendaten;
  4. gegebenenfalls die Namen der Staaten oder internationalen Organe, in die oder denen Personendaten bekanntgegeben werden, sowie die Anforderungen an die Bekanntgabe;
  5. die Anforderungen an die Aufbewahrung, die Löschung und die Vernichtung von Personendaten;
  6. die Empfängerinnen und Empfänger oder die Kategorien der Empfängerinnen und Empfänger;
  7. die Massnahmen zur Gewährleistung der Datensicherheit;
  8. die Pflicht, Verletzungen der Datensicherheit zu melden;
  9. falls die Empfängerinnen und Empfänger Verantwortliche sind: die Pflicht, die betroffenen Personen über die Bearbeitung zu informieren;
  10. die Rechte der betroffenen Person, insbesondere:
    1. das Auskunftsrecht und das Recht auf Datenherausgabe oder -übertragung,
    2. das Recht, der Datenbekanntgabe zu widersprechen,
    3. das Recht auf Berichtigung, Löschung oder Vernichtung ihrer Daten,
    4. das Recht, eine unabhängige Behörde um Rechtsschutz zu ersuchen.

2 Der Verantwortliche und im Fall von Datenschutzklauseln in einem Vertrag der Auftragsbearbeiter müssen angemessene Massnahmen treffen, um sicherzustellen, dass die Empfängerin oder der Empfänger diese Klauseln oder die spezifischen Garantien einhält.

3 Wurde der EDÖB über die Datenschutzklauseln in einem Vertrag oder die spezifischen Garantien informiert, so gilt die Informationspflicht für alle weiteren Bekanntgaben als erfüllt, die:

  1. unter denselben Datenschutzklauseln oder Garantien erfolgen, sofern die Kategorien der Empfängerinnen und Empfänger, der Zweck der Bearbeitung und die Datenkategorien im Wesentlichen unverändert bleiben; oder
  2. innerhalb derselben juristischen Person oder Gesellschaft oder zwischen Unternehmen, die zum selben Konzern gehören, stattfinden.»

Wenn demnach ein angemessener Schutz gewährleistet ist, können Personendaten durch private Unternehmen (sowie durch Bundesorgane) aus der Schweiz frei in den betreffenden «Drittstaat» übermittelt werden.

Liegt kein Angemessenheitsbeschluss im Sinne von Artikel 8 DSV vor, kann eine Übermittlung von Personendaten ins Ausland dennoch zulässig sein, wenn der Datenschutz auf andere Weise sichergestellt wird. Diesbezüglich spielen laut dem EDÖB zwei vertragliche Garantien eine besondere Rolle, (sie werden hier wortwörtlich zitiert):

«Datenschutzklauseln in einem spezifischen Vertrag : Der Verantwortliche und sein Vertragspartner vereinbaren in ihrem Vertrag spezifische Datenschutzklauseln, die einen angemessenen Schutz der übermittelten Daten gewährleisten. Vor dem Transfer ins Ausland müssen diese Klauseln dem EDÖB mitgeteilt werden. Trotz Mitteilung bleibt die Verantwortung für den Nachweis, dass alle erforderlichen Massnahmen zum Schutz der Daten getroffen wurden, beim Verantwortlichen. Im Gegensatz zu den Standarddatenschutzklauseln gelten die Datenschutzklauseln in einem Vertrag nur für die Bekanntgabe, die im entsprechenden Vertrag vorgesehen ist.

Standarddatenschutzklauseln : Standarddatenschutzklauseln können von Privaten, interessierten Kreisen oder Bundesorganen erarbeitet werden. Solche Klauseln müssen vorgängig vom EDÖB genehmigt werden. Es dürfen keine Daten ins Ausland bekanntgegeben werden, bis der EDÖB seinen Entscheid zu den Klauseln gefällt hat, ausser der Transfer kann sich auf einen anderen Rechtsgrund stützen. Der EDÖB entscheidet innerhalb von 90 Tagen (Art. 10 Abs. 2 DSV). Standarddatenschutzklauseln können aber auch vom EDÖB selber ausgestellt oder anerkannt werden. [...] Die Verwendung solcher Klauseln muss dem EDÖB nicht gemeldet werden. »

Die genaueren Ausführungen dazu sind ausführlich vom EDÖB in seinem online frei zugänglichen Hilfs- und Orientierungsdokument « Die Übermittlung von Personendaten in ein Land ohne angemessenes Datenschutzniveau gestützt auf anerkannte Standardvertragsklauseln und Musterverträge (Stand 27. August 2021) » abrufbar.

Welche Rolle spielen die sogenannten «Technischen und organisatorischen Massnahmen» («TOM») beim Datenschutz?

Die mit «Informationssystemen» (bei «Verantwortlichen» und «Auftragsbearbeitern») verbundenen Gefahren lassen sich mit technischen und organisatorischen Massnahmen (im herkömmlichen Sinn als «TOM» bezeichnet) verringern.

Ein Informationssystem, das Personendaten enthält, muss bestimmten Kriterien genügen, um die Sicherheit dieser Daten zu gewährleisten.

«Technische Massnahmen» stehen in direktem Zusammenhang mit dem jeweiligen Informationssystem.

«Organisatorische Massnahmen» betreffen das Umfeld des Informationssystems, insbesondere bezogen auf die Personen, die es nutzen.

Datenverlust, Datenvernichtung, Irrtümer, Fälschungen und unberechtigte Zugänge etc. können nur durch das (reibungslose) Zusammenspiel technischer und organisatorischer Massnahmen verhindert werden.

In ihrer kombinierten Anwendung bestimmen diese Massnahmen den Lebenszyklus eines Informationssystems und müssen auf jeder Stufe des Systems greifen.

Beim Thema «TOM» geht es um die Auseinandersetzung mit den Gefahren, die moderne Informationssysteme aus der Sicht des Datenschutzes mit sich bringen, konkret, dass durch die «TOM» ein optimaler und angemessener Schutz der Personendaten realisiert und sichergestellt wird.

Begriffe

Zur besseren Verständlichkeit folgen einige Begriffserklärungen:

  • Daten- bzw. Informationssicherheit: Umfasst alle Massnahmen zur Sicherstellung der Vertraulichkeit, Integrität und Verfügbarkeit der Daten bzw. Informationen.
  • Datenschutz: Umfasst alle Massnahmen zur Verhinderung einer unerwünschten Bearbeitung von Personendaten und deren Folgen.
  • Informationsschutz: Legt die Vertraulichkeitsstufen für Informationen («intern», «vertraulich», «geheim») fest.
  • Die Risiken für Personendaten werden vier Risikostufen zugeordnet:

Geringes Risiko: Personendaten, deren Missbrauch in der Regel für die betroffene Person keine besonderen Folgen hat.

Mittleres Risiko: Personendaten, deren Missbrauch die wirtschaftliche Situation oder die gesellschaftliche Stellung der betroffenen Person beeinträchtigen kann.

Hohes Risiko: Personendaten, deren Missbrauch zu einer schweren Beeinträchtigung der wirtschaftlichen Situation oder der gesellschaftlichen Stellung der betroffenen Person führen kann.

Sehr hohes Risiko: Personendaten, deren Missbrauch das Leben der betroffenen Person gefährden kann.

Die wichtigsten Themen

Die folgende Übersicht typischer Themen, mit denen man sich im «TOM-Bereich» auseinandersetzen muss, dient als Orientierung.

Wesentlich ist der «datenschutzrechtliche» Zusammenhang der «TOM» im Kontext der Ausführungen im nDSG und in der DSV bezüglich der «Datensicherheit» für Personendaten, (die mittels der «TOM» zu gewährleisten ist).

Die wichtigsten «TOM» Themen:

Schwerpunkt: Zugang zu den (personenbezogenen) Daten

  • Sicherheit der Räumlichkeiten
  • Sicherheit der Server-Räume
  • Sicherheit des Arbeitsplatzes
  • Identifizierung und Authentifizierung
  • Zugang zu den Daten
  • Zugang zu den Daten von ausserhalb des Unternehmens

Schwerpunkt: Daten-Lebenszyklus

  • Datenerfassung
  • Protokollierung
  • Pseudonymisierung, Anonymisierung
  • Verschlüsselung
  • Datenträgersicherheit
  • Sicherung der Daten
  • Vernichtung der Daten
  • Outsourcing (Bearbeitung durch Dritte)
  • Schutz und Sicherheit

Schwerpunkt: Datenaustausch

  • Sicherheit des Netzes
  • Verschlüsselung von Nachrichten
  • Unterzeichnen von Nachrichten
  • Datenträgerübergabe
  • Protokollierung des Datenverkehrs

Schwerpunkt: Auskunftsrecht

  • Betroffenenrechte
  • Klare Festlegung und Reproduzierbarkeit des Auskunftsverfahrens

Es ratsam, die im Abschnitt «Gesetzliche Grundlagen» dargestellten relevanten Gesetzestexte als die eigentliche Richtschnur für dieses Thema herzunehmen; die Gesetzestexte sind klar und deutlich formuliert und relativ selbsterklärend.

Gesetzliche Grundlagen

Die gesetzlichen Grundlagen bezüglich der «TOM» werden im Schweizer Datenschutzgesetz über Artikel 7 (Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen) nDSG «eingeleitet»; (die in Absatz 3 erwähnten «geeigneten Voreinstellungen» sind als TOM-verwandte Zusatzmassnahme zu verstehen). Dort heisst es:

«Der Verantwortliche ist verpflichtet, die Datenbearbeitung technisch und organisatorisch so auszugestalten, dass die Datenschutzvorschriften eingehalten werden, insbesondere die Grundsätze nach Artikel 6. Er berücksichtigt dies ab der Planung.

Die technischen und organisatorischen Massnahmen müssen insbesondere

dem Stand der Technik,

der Art und dem Umfang der Datenbearbeitung

sowie dem Risiko,

das die Bearbeitung für die Persönlichkeit oder die Grundrechte der betroffenen Personen mit sich bringt, angemessen sein.

3 Der Verantwortliche ist verpflichtet, mittels geeigneter Voreinstellungen sicherzustellen, dass die Bearbeitung der Personendaten auf das für den Verwendungszweck nötige Mindestmass beschränkt ist, soweit die betroffene Person nicht etwas anderes bestimmt. »

In Artikel 8 nDSG wird («fortsetzend») der Aspekt der «Datensicherheit», die über die «TOM» gewährleistet werden soll, unterstrichen:

«1 Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.

Die Massnahmen müssen es ermöglichen, Verletzungen der Datensicherheit zu vermeiden.

3 Der Bundesrat erlässt Bestimmungen über die Mindestanforderungen an die Datensicherheit.»

In Artikel 9 nDSG wird (immer noch mit dem Thema zusammenhängend) der Aspekt der Gewährleistung der «Datensicherheit» seitens eines «Auftragsbearbeiters» angesprochen, wobei hier der «Verantwortliche» jedoch sicherstellen muss, dass sein «Auftragsbearbeiter» die Datensicherheitspflicht erfüllt bzw. erfüllen kann:

«1 Die Bearbeitung von Personendaten kann vertraglich oder durch die Gesetzgebung einem Auftragsbearbeiter übertragen werden, wenn:

  1. die Daten so bearbeitet werden, wie der Verantwortliche selbst es tun dürfte; [...]

Der Verantwortliche muss sich insbesondere vergewissern, dass der Auftragsbearbeiter in der Lage ist, die Datensicherheit zu gewährleisten. [...]»

Die Umsetzung der bei diesem Themenspektrum anwendbaren «nDSG-Gesetzgebungen» wird in der (neuen) Verordnung zum DSG gleich im ersten Kapitel, und zwar im erstens Abschnitt («Datensicherheit») behandelt.

Die «TOM»-bezogenen Umsetzungsschritte werden in Artikel 3 (Technische und organisatorische Massnahmen) DSV sehr ausführlich geschildert:

«Um die Vertraulichkeit zu gewährleisten, müssen der Verantwortliche und der Auftragsbearbeiter geeignete Massnahmen treffen, damit:

  1. berechtigte Personen nur auf diejenigen Personendaten Zugriff haben, die sie zur Erfüllung ihrer Aufgaben benötigen (Zugriffskontrolle);
  2. nur berechtigte Personen Zugang zu den Räumlichkeiten und Anlagen haben, in denen Personendaten bearbeitet werden (Zugangskontrolle);
  3. unbefugte Personen automatisierte Datenbearbeitungssysteme nicht mittels Einrichtungen zur Datenübertragung benutzen können (Benutzerkontrolle).

Um die Verfügbarkeit und Integrität zu gewährleisten, müssen der Verantwortliche und der Auftragsbearbeiter geeignete Massnahmen treffen, damit:

  1. unbefugte Personen Datenträger nicht lesen, kopieren, verändern, verschieben, löschen oder vernichten können (Datenträgerkontrolle);
  2. unbefugte Personen Personendaten im Speicher nicht speichern, lesen, ändern, löschen oder vernichten können (Speicherkontrolle);
  3. unbefugte Personen bei der Bekanntgabe von Personendaten oder beim Transport von Datenträgern Personendaten nicht lesen, kopieren, verändern, löschen oder vernichten können (Transportkontrolle);
  4. die Verfügbarkeit der Personendaten und der Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederhergestellt werden können (Wiederherstellung);
  5. alle Funktionen des automatisierten Datenbearbeitungssystems zur Verfügung stehen (Verfügbarkeit), Fehlfunktionen gemeldet werden (Zuverlässigkeit) und gespeicherte Personendaten nicht durch Fehlfunktionen des Systems beschädigt werden können (Datenintegrität);
  6. Betriebssysteme und Anwendungssoftwarestets auf dem neusten Sicherheitsstand gehalten und bekannte kritische Lücken geschlossen werden (Systemsicherheit).

Um die Nachvollziehbarkeit zu gewährleisten, müssen der Verantwortliche und der Auftragsbearbeiter geeignete Massnahmen treffen, damit:

  1. überprüft werden kann, welche Personendaten zu welcher Zeit und von welcher Person im automatisierten Datenbearbeitungssystem eingegeben oder verändert werden (Eingabekontrolle);
  2. überprüft werden kann, wem Personendaten mit Hilfe von Einrichtungen zur Datenübertragung bekanntgegeben werden (Bekanntgabekontrolle);
  3. Verletzungen der Datensicherheit rasch erkannt (Erkennung) und Massnahmen zur Minderung oder Beseitigung der Folgen ergriffen werden können (Beseitigung).»

Was ist «Profiling mit hohem Risiko»?

Das «Profiling mit hohem Risiko» wird in Artikel 5 (Begriffe) Buchstabe g nDSG wie folgt definiert:

« [...] gProfilingdas ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringt, indem es zu einer Verknüpfung von Daten führt, die eine Beurteilung wesentlicher Aspekte der Persönlichkeit einer natürlichen Person erlaubt; [...] »

Diese Beschreibung ist quasi eine Erweiterung des in Artikel 5 Buchstabe f nDSG definierten Begriffs «Profiling», der besagt:

« [...] fProfilingjede Art der automatisierten Bearbeitung von Personendaten, die darin besteht, dass diese Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftlicher Lage, Gesundheit, persönlicher Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen; [...] »

«Profiling mit hohem Risiko» entspricht im Kern (sinngemäss) der Profiling-Definition unter Artikel 5 Buchstabe f nDSG, d. h. mit den gleichen dort gegebenen Definitionseigenschaften mit dem wesentlichen Unterschied, dass hier ggf. ein «ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person» bestehen kann.

Sofern feststeht, dass ein Profiling (gemäss Artikel 5 Buchstabe f nDSG) stattfindet, ist zu prüfen, ob die resultierende Profil-Bildung zu einem hohen Risiko für betroffene Personen führt bzw. führen kann, was konkret über eine Datenschutz-Folgenabschätzung (DSFA) festzustellen wäre.

Auf jeden Fall bedarf ein Profiling mit hohem Risiko einer ausdrücklichen Einwilligung betroffener Personen, wie es in Artikel 6 (Grundsätze) Absatz 7 nDSG aufgeführt ist:

«[...] 7 Die Einwilligung muss ausdrücklich erfolgen für:

  1. die Bearbeitung von besonders schützenswerten Personendaten;
  2. ein Profiling mit hohem Risiko durch eine private Person; [...]»

In Zusammenhang mit Kreditwürdigkeits- bzw. Bonitätsprüfungen bedarf es ausserdem eines Rechtsfertigungsgrundes des «Verantwortlichen», denn hier muss er gemäss Artikel 31 (Rechfertigungsgründe) Absatz 2 Buchstabe c Ziffer 1 nDSG ein überwiegendes Interesse an der Datenbearbeitung nachweisen, wenn Profiling mit hohem Risiko stattfindet. Dazu heisst es:

«[...] 2 Ein überwiegendes Interesse des Verantwortlichen fällt insbesondere in folgenden Fällen in Betracht:

[...] c. Der Verantwortliche bearbeitet Personendaten zur Prüfung der Kreditwürdigkeit der betroffenen Person, wobei die folgenden Voraussetzungen erfüllt sind:

  1. Es handelt sich weder um besonders schützenswerte Personendaten noch um ein Profiling mit hohem Risiko. [...]»

Welche «Sanktionen» gibt es unter dem nDSG?

Zunächst ist festzuhalten, dass Bussgelder nach dem alten Datenschutzgesetz (aDSG) für Schweizer Unternehmen bei Dateschutzverstössen nur selten auferlegt wurden. Bei einer Höchstgrenze von CHF 10.000 für viele geahndete Fälle gab es kaum Anreize, Datenschutzverstösse zu verhindern.

Mit dem nDSG, unter dem mit bis zu CHF 250.000 gebüsst werden kann, ändert sich die Lage erheblich und kann insbesondere kleine und mittlere Unternehmen empfindlich treffen. Diese Bussgeld-Verschärfung, die in den Artikel 60 bis 66 nDSG normiert wird, sollten Schweizer Unternehmen zum Anlass nehmen, ihren Datenschutz ernsthaft, vollständig und gesetzeskonform umzusetzen bzw. anzupassen.

Strafbestimmungen bei Verletzungen von Informations- und Auskunftspflichten werden primär in den Artikeln 60 bis 63 nDSG behandelt.

Eine Strafbarkeit für fahrlässige Verletzungen unter dem nDSG ist indes nicht vorgesehen, jedoch kann eine vorsätzliche Datenschutzverletzung bereits dann angenommen werden, wenn sich herausstellt, dass die Verletzung bewusst in Kauf genommen wurde.

In Artikel 60 (Verletzung von Informations-, Auskunfts- und Mitwirkungspflichten) nDSG heisst es:

«1 Mit Busse bis zu 250 000 Franken werden private Personen auf Antrag bestraft:

  1. die ihre Pflichten nach den Artikeln 1921 und 25–27 verletzen, indem sie vorsätzlich eine falsche oder unvollständige Auskunft erteilen;
  2. die es vorsätzlich unterlassen:
    1. die betroffene Person nach den Artikeln 19 Absatz 1 und 21 Absatz 1 zu informieren, oder
    2. ihr die Angaben nach Artikel 19 Absatz 2 zu liefern.

2 Mit Busse bis zu 250 000 Franken werden private Personen bestraft, die unter Verstoss gegen Artikel 49 Absatz 3 dem EDÖB im Rahmen einer Untersuchung vorsätzlich falsche Auskünfte erteilen oder vorsätzlich die Mitwirkung verweigern. »

Zur leichteren Zuordnung und Orientierung hier die «Titel» der in Artikel 60 Absatz 1 nDSG referenzierten bzw. verbundenen nDSG-Artikel:

Artikel 19 Informationspflicht bei der Beschaffung von Personendaten nDSG

Artikel 21 Informationspflicht bei einer automatisierten Einzelentscheidung nDSG

Artikel 25 Auskunftsrecht nDSG

Artikel 26 Einschränkungen des Auskunftsrechts nDSG

Artikel 27 Einschränkungen des Auskunftsrechts für Medien nDSG

In Artikel 61 (Verletzung von Sorgfaltspflichten) nDSG werden drei Konstellationen vorsätzlicher Sorgfaltspflichtverletzungen mit einer Busse geahndet:

«Mit Busse bis zu 250 000 Franken werden private Personen auf Antrag bestraft, die vorsätzlich:

  1. unter Verstoss gegen Artikel 16 [Grundsätze] Absätze 1 und 2 und ohne dass die Voraussetzungen nach Artikel 17 [Ausnahmen] erfüllt sind, Personendaten ins Ausland bekanntgeben;
  2. die Datenbearbeitung einem Auftragsbearbeiter übergeben, ohne dass die Voraussetzungen nach Artikel 9 [Bearbeitung durch Auftragsbearbeiter] Absätze 1 und 2 erfüllt sind;
  3. die Mindestanforderungen an die Datensicherheit, die der Bundesrat nach Artikel 8 [Datensicherheit] Absatz 3 erlassen hat, nicht einhalten.»

Ebenfalls gleich hoch geahndet wird, wer seine berufliche Schweigepflicht verletzt und dabei vorsätzlich geheime Personendaten offenbart, wie es Artikel 62 (Verletzung der beruflichen Schweigepflicht) nDSG vorgibt:

« 1 Wer geheime Personendaten vorsätzlich offenbart, von denen sie oder er bei der Ausübung ihres oder seines Berufes, der die Kenntnis solcher Daten erfordert, Kenntnis erlangt hat, wird auf Antrag mit Busse bis zu 250 000 Franken bestraft.

2 Gleich wird bestraft, wer vorsätzlich geheime Personendaten offenbart, von denen sie oder er bei der Tätigkeit für eine geheimhaltungspflichtige Person oder während der Ausbildung bei dieser Kenntnis erlangt hat.

3 Das Offenbaren geheimer Personendaten ist auch nach Beendigung der Berufsausübung oder der Ausbildung strafbar.»

Die Missachtung von Verfügungen des EDÖB wird über Artikel 63 (Missachten von Verfügungen) nDSG geahndet:

Wer geheime Personendaten vorsätzlich offenbart, von denen sie oder er bei der Ausübung ihres oder seines Berufes, der die Kenntnis solcher Daten erfordert, Kenntnis erlangt hat, wird auf Antrag mit Busse bis zu 250 000 Franken bestraft.

Grundlage für die Berechnung der Bussgeld-Höhe stellt Artikel 106 Absatz 3 Strafgesetzbuch (StGB) dar:

«[...] 3 Das Gericht bemisst Busse und Ersatzfreiheitsstrafe je nach den Verhältnissen des Täters so, dass dieser die Strafe erleidet, die seinem Verschulden angemessen ist. [...]»

Für Datenschutzverletzungen nach dem nDSG haftet nicht das Unternehmen, sondern die für die Verletzung verantwortliche natürliche Person innerhalb des Unternehmens. Die Botschaft zum nDSG stellt hierzu klar, dass nicht auf den «Handlungsverantwortlichen» sondern auf den «Organisationsverantwortlichen» abgestellt wird.

Gemäss Artikel 64 (Widerhandlungen in Geschäftsbetrieben) Absatz 2 nDSG können allerdings ausnahmsweise Unternehmen auch direkt in die Pflicht genommen werden:

«1 Für Widerhandlungen in Geschäftsbetrieben sind die Artikel 6 und 7 des Bundesgesetzes vom 22. März 197422 über das Verwaltungsstrafrecht (VStrR) anwendbar.

2 Fällt eine Busse von höchstens 50 000 Franken in Betracht und würde die Ermittlung der nach Artikel 6 VStrR strafbaren Personen Untersuchungsmassnahmen bedingen, die im Hinblick auf die verwirkte Strafe unverhältnismässig wären, so kann die Behörde von einer Verfolgung dieser Personen absehen und an ihrer Stelle den Geschäftsbetrieb (Art. 7 VStrR) zur Bezahlung der Busse verurteilen. »

Wesentliche QuelleBotschaft zum Bundesgesetz über die Totalrevision des Bundesgesetzes über den Datenschutz und die Änderung weiterer Erlasse zum Datenschutz (17.059 v. 15. September 2017).