Die Totalrevision des Schweizer Datenschutzgesetzes (DSG) tritt am 1. September 2023 in Kraft. Im Hinblick darauf haben uns Lukas Bühlmann (Partner) und Co-Autor Michael Schüepp (Senior Associate) von MLL Meyerlustenberger Lachenal Froriep AG in einem ersten Gastbeitrag bereits wichtige Fragen beantwortet.
Während im ersten Teil Fragen allgemeiner Natur behandelt wurden, widmen sich die Fragen in diesem zweiten Teil spezifischen Vorgaben des neuen DSG. Beide FAQs wurden ursprünglich auf der Webseite von MLL veröffentlicht.
Wussten Sie, dass Unternehmen mit mehr als 250 Mitarbeitenden grundsätzlich ein Bearbeitungsverzeichnis zu führen haben? Lesen Sie in diesem Artikel mehr zu diesem und weitere Themen.
Wir pseudonymisieren unsere Daten jeweils umgehend. Ist das DSG trotzdem zu beachten?
Ja, auch bei einer Pseudonymisierung von Daten bleibt das DSG grundsätzlich anwendbar. Bei einer Pseudonymisierung werden jene Merkmale, die einen Personenbezug ermöglichen, durch ein Pseudonym ersetzt (z.B. eine Nummer oder ein bestimmtes Zeichen). Der Personenbezug kann aber durch Aufschlüsselung dieser Pseudonyme wieder hergestellt werden durch jene Personen, die auf den Schlüssel zugreifen können. Der Personenbezug ist daher wieder herstellbar.
Hingegen werden bei der Anonymisierung von Personendaten sämtliche Merkmale, die einen Personenbezug ermöglichen, entfernt. Ein Bezug zu einer bestimmten oder bestimmbaren Person kann aufgrund von anonymisierten Daten daher grundsätzlich nicht mehr hergestellt werden. Auf anonymisierte Daten ist das DSG deshalb nicht anwendbar.
Zu beachten ist jedoch, dass grundsätzlich ein relativer Massstab gilt, die Beurteilung also nicht für sämtliche Datenbearbeiter gleich ist. Die Einzelheiten sind jedoch umstritten. Eine ausführliche Darstellung finden Sie z.B. in unserem Gutachten zur Sekundärnutzung von Gesundheitsdaten (S. 10-14).
Ist ein Profiling ohne Einwilligung künftig zulässig?
Während den parlamentarischen Debatten wurde diese Frage bisweilen am kontroversesten diskutiert und hat verschiedentlich zu einer gewissen Unsicherheit geführt. Nach Abschluss der Debatten kann festgehalten werden, dass das Parlament auch beim Profiling nicht von den fest verankerten bisherigen Grundsätzen abweichen wollte. Ein Profiling kann deshalb auch künftig ohne Einwilligung zulässig sein. Für private Verantwortliche wird eine Einwilligung oder andere Rechtfertigung nur bei einer persönlichkeitsverletzenden Datenbearbeitung erforderlich sein (vgl. zum Profiling-Begriff und den Rechtsfolgen ausführlich den Aufsatz von Lukas Bühlmann und Michael Schüepp).
Je nach Art und Umfang des Profilings kann dies jedoch relativ rasch der Fall und damit eine Einwilligung oder ein anderer Rechtfertigungsgrund benötigt werden. Da bei den Rechtfertigungsgründen im Sinne des überwiegenden Interesses häufig grosse Unsicherheiten bestehen, dürfte auch künftig vielfach das Einholen einer Einwilligung für das Profiling zu empfehlen sein, sofern die rechtlichen Risiken minimiert werden sollen.
Was gilt es bei einem Profiling mit hohem Risiko zu beachten?
Selbst wenn man zum Schluss kommen würde, dass ein Profiling «Profiling mit hohem Risiko» vorliegt, braucht es nicht zwingend eine Einwilligung (vgl. zum schwer fassbaren Begriff z.B. den Beitrag hier, Rz. 133 ff.). Es gilt nach der richtigen und vorherrschenden Auffassung dasselbe, wie beim «gewöhnlichen» Profiling. Es wird aber auch hier vielfach empfehlenswert sein, zur Absicherung eine Einwilligung einzuholen. Damit diese Einwilligung aber auch tatsächlich als Absicherung bzw. Rechtfertigung dienen kann, muss – und dies ist der zentrale Unterschied zum gewöhnlichen Profiling – die Einwilligung ausdrücklich sein. Zu den konkreten Anforderungen an die Ausdrücklichkeit von Einwilligungen bestehen zwar unterschiedliche Ansätze. Fest steht aber, dass die Anforderungen erhöht sind, also klarer und transparenter zu informieren ist und die Erteilung der Einwilligung kann nicht bloss stillschweigend erfolgen (vgl. zu den Details z.B. den Beitrag hier, Rz, 113 ff.).
Können Personendaten innerhalb eines Konzerns frei ausgetauscht werden?
Nein, es gibt für den konzerninternen Datenaustausch zwar Ausnahmen von der Informationspflicht und dem Auskunftsrecht; trotzdem kann eine konzerninterne Weitergabe auch künftig persönlichkeitsverletzend und in diesem Fall nur bei Vorliegen eines Rechtfertigungsgrunds zulässig sein. Dabei gilt der besondere Rechtfertigungsgrund für die konzerninterne Bearbeitung nur, wenn die betreffenden Daten und die Art ihrer Bearbeitung «für den wirtschaftlichen Wettbewerb» relevant und erforderlich sind.
Insofern erweckt der Ausdruck «Konzernprivileg» einen falschen Eindruck und auch konzerninterne Bearbeitungen müssen stets im Einzelfall sorgfältig auf Ihre Rechtmässigkeit geprüft werden. Je nach Zweck, Art und Umfang kann somit auch künftig für Datenweitergaben innerhalb des Konzerns das Einholen einer Einwilligung zu empfehlen sein.
Worüber müssen die betroffenen Personen künftig informiert werden?
Das revidierte DSG wird leider keine abschliessende Liste aller Pflichtinformationen enthalten. Vielmehr sind danach generell all jene Informationen mitzuteilen, die erforderlich sind, damit die betroffene Person ihre Rechte unter dem DSG geltend machen kann und eine transparente Datenbearbeitung gewährleistet ist. Es ist daher im Einzelfall zu prüfen, welche Angaben hierfür erforderlich sind, wobei eine Orientierung am Katalog der EU-DSGVO in Frage kommen könnte (s. Art. 13 und 14 EU-DSGVO).
Mindestens mitzuteilen sind jedenfalls:
- die Identität und die Kontaktdaten des Verantwortlichen (inkl. eventueller Co-Verantwortlicher);
- die Bearbeitungszwecke;
- die Kategorien der bearbeiteten Personendaten, sofern die Daten nicht bei der betroffenen Person erhoben werden;
- die Empfängerinnen und Empfänger oder die Kategorien von Empfängerinnen und Empfängern, denen Personendaten bekanntgegeben werden;
- bei einer Datenbekanntgabe ins Ausland zusätzlich: der Staat oder das internationale Organ und ggf. die Garantie für einen geeigneten Datenschutz oder den Ausnahmetatbestand, falls keine solchen Garantien gegeben sind.
- Informationen über die Durchführung automatisierter Einzelentscheidungen, falls solche vorgenommen werden.
Einzelheiten zu diesen Elementen finden Sie z.B. im Beitrag hier, insb. Rz. 65 ff..
Wie müssen die betroffenen Personen künftig informiert werden?
Im revidierten DSG wird nicht geregelt, auf welche Art und Weise die Information gegenüber der betroffenen Person zu erfolgen hat. Es gilt somit zwar kein gesetzliches Formerfordernis zu beachten, es ist aber eine «angemessene» Form zu wählen, welche dem Zweck einer transparenten Datenbearbeitung gerecht wird. Vor diesem Hintergrund sollten die Informationen so verfasst sein, dass sie für die angesprochenen betroffenen Personen und nicht nur für Juristen verständlich sind. Aus Beweisgründen sollte sie zudem in schriftlicher oder zumindest dokumentierbarer Form gegeben werden.
Der Verantwortliche muss sicherstellen, dass die betroffene Person die Information tatsächlich zur Kenntnis nehmen kann. Sicherzustellen ist damit nur die Möglichkeit, sich in einfach zugänglicher Weise zu informieren, nicht aber, dass sich die betroffene Person im konkreten Fall wirklich informiert. Die Ausgestaltung der Information hängt deshalb auch davon ab, ob die Daten bei der betroffenen Person beschafft werden oder nicht. So kann eine allgemeine Information (wie bspw. eine Datenschutzerklärung auf der Website, aber auch Symbole oder Piktogramme, sofern die nötigen Informationen darin wiedergegeben werden) genügen, wenn die Personendaten bei der betroffenen Person beschafft werden. In diesem Fall muss die Information oder der Link dazu im Zeitpunkt der Erhebung leicht zugänglich, vollständig und gut sichtbar sein. Auch eine mehrstufige Information – bspw. eine Übersicht auf erster Stufe und die detaillierten Informationen auf zweiter Stufe – ist möglich. Jedenfalls ist es aber nicht ausreichend, wenn die betroffene Person bei einer angegebenen Kontaktperson oder -stelle die erforderlichen Informationen zuerst selbst anfragen muss.
Wenn die Daten nicht bei der betroffenen Person, sondern bspw. öffentlich zugänglichen Quellen, beschafft werden, wird es demgegenüber vielfach schwieriger sein, eine einfache Möglichkeit zur Kenntnisnahme der Informationen sicherzustellen. In diesem Fall wird vielfach nur eine Benachrichtigung der betroffenen Person und aktive Zustellung der Informationen (z.B. per E-Mail) ausreichen. Diese Information hat sodann innert einem Monat nach Erhalt der Daten zu erfolgen. Sofern die Daten aber an Dritte weitergeben werden, muss die betroffene Person bereits im Zeitpunkt der Bekanntgabe informiert werden.
Einzelheiten dazu finden Sie z.B. im Beitrag hier, insb. Rz. 91 ff..
Was ist zu beachten, wenn ausländische Dienstleiter in eine Datenbearbeitung involviert sind?
In einem ersten Schritt ist zu klären, welche datenschutzrechtliche Rolle der Dienstleiter, für welche Datenbearbeitung zukommt. Handelt es sich um eine Auftragsbearbeitung, verlangt (auch) das neue DSG, dass ein Auftragsbearbeitungsvertrag abgeschlossen wird (Art. 9 DSG). Sollte es sich um einen Co-Verantwortlichen handeln, verlangt das DSG zwar (im Unterschied zur DSGVO) nicht explizit den Abschluss eines spezifischen Vertrags. Allerdings wird dies regelmässig im Interesse beider Parteien zu empfehlen sein und sollte auch in anderen Konstellationen, also insb. wenn beide Unternehmen Allein-Verantwortliche sind, in Erwägung gezogen werden.
Kommt es bei der Zusammenarbeit zu einer Übermittlung von Daten ins Ausland, sind die besonderen Regeln für die Datenbekanntgabe ins Ausland zu beachten (Art. 16-19 DSG). Danach sind Übermittlungen von Daten in Staaten ohne angemessenes Datenschutzniveau nur unter bestimmten Voraussetzungen erlaubt. Welche Staaten als angemessen gelten, kann neu der Staaten-Liste in Anhang 1 der Datenschutzverordnung (DSV) entnommen werden. Hat ein Land danach kein angemessenes Datenschutzniveau, wie z.B. die USA, sind Datenbekanntgaben nur zulässig, wenn durch spezifische Garantien ergriffen werden, mit welchen «ein geeigneter Datenschutz gewährleistet» werden kann oder eine Berufung auf eine Ausnahme möglich ist. In der Praxis wird regelässig eine sorgfältige Prüfung («Data Transfer Impact Assessment») durchgeführt werden müssen und dabei untersucht werden, inwieweit durch den Einsatz von vertraglichen Vorkehrungen (insb. sog. Standardvertragsklauseln) und weiteren Massnahmen (z.B. Verschlüsselung) ein hinreichender Datenschutz erreicht werden kann, oder darauf zu verzichten ist. Einzelheiten dazu finden z.B. im Beitrag hier.
Wann muss ein Bearbeitungsverzeichnis geführt werden?
Ein Verzeichnis der Bearbeitungstätigkeiten (kurz: Bearbeitungsverzeichnis) müssen grundsätzlich alle Verantwortliche und jeder Auftragsbearbeiter führen, wenn Personendaten bearbeitet werden. Wie im DSG vorgeschrieben, hat der Bundesrat nun aber in der Datenschutzverordnung Ausnahmen vorgesehen (Art. 24 DSV).
Nach der Regelung in der Verordnung müssen Unternehmen mit weniger als 250 Mitarbeitenden im Grundsatz kein Verzeichnis führen. Dies gilt jedoch nur unter der Einschränkung, dass keine besonders schützenswerter Personendaten in grossem Umfang bearbeitet werden und kein Profiling mit hohem Risiko durchgeführt wird. Werden solche «riskanten» Bearbeitungen durchgeführt, müssen also auch «kleinere» Unternehmen ein Verzeichnis führen. Allerdings sind darin nur diese «riskanten» Bearbeitungen aufzunehmen. Einzelheiten dazu finden sie auch in unserem Beitrag zur Datenschutzverordnung.
Zu beachten ist, dass die Führung eines vollständigen Verzeichnisses unabhängig von einer gesetzlichen Pflicht in Erwägung gezogen werden sollte. Denn ein hinreichend detailliertes Verzeichnis unterstützt ein Unternehmen bei der Einhaltung vieler weiteren Pflichten. So ist etwa die Informationspflicht nur schwierig vollumfänglich zu erfüllen, wenn der Überblick über sämtliche im Unternehmen vorgenommenen Datenbearbeitungen fehlt.
Was muss im Bearbeitungsverzeichnis enthalten sein?
Der Mindestinhalt des Bearbeitungsverzeichnisses ist gesetzlich sowohl für den Verantwortlichen als auch den Auftragsbearbeiter vorgegeben (Art. 12 DSG). Das Bearbeitungsverzeichnis des Verantwortlichen muss folgende Mindestangaben enthalten:
- die Identität des Verantwortlichen;
- den Bearbeitungszweck;
- eine Beschreibung der Kategorien betroffener Personen und der Kategorien bearbeiteter Personendaten;
- die Kategorien der Empfängerinnen und Empfänger;
- wenn möglich die Aufbewahrungsdauer der Personendaten oder die Kriterien zur Festlegung dieser Dauer;
- wenn möglich eine allgemeine Beschreibung der Massnahmen zur Gewährleistung der Datensicherheit (geeignete technische und organisatorische Massnahmen, die es ermöglichen Verletzungen der Datensicherheit zu vermeiden).
- falls die Daten ins Ausland bekanntgegeben werden, die Angabe des Staates sowie die Garantien, durch die ein geeigneter Datenschutz gewährleistet wird.
Müssen Unternehmen zwingend einen Datenschutzberater benennen?
Nein, anders als die DSGVO (in dessen Terminologie: Datenschutzbeauftragter) statuiert das revidierte DSG keine gesetzliche Pflicht zur Ernennung eines Datenschutzberaters für Private. Wird ein Berater korrekt ernannt, dann hat dies aber zumindest den Vorteil, dass bei Bearbeitungen mit hohem Risiko eine Konsultation des EDÖB unterbleiben kann (vgl. Art. 23 Abs. 4 DSG). Bundesorgane sind hingegen verpflichtet, einen Datenschutzberater einzusetzen.
Haben die betroffenen Personen wie in der DSGVO ein Recht auf Datenportabilität?
Ja, im Rahmen der parlamentarischen Beratungen wurde ein solches Recht auf Datenherausgabe und -übertragung in das DSG aufgenommen (Art. 28 DSG). Der Bundesrat wollte noch darauf verzichten. Demnach können betroffene Personen unter dem neuen DSG kostenlos verlangen, dass die von ihnen bekanntgegebenen Daten in einem gängigen elektronischen Format herausgegeben oder an andere Anbieter übermittelt werden.
Vorausgesetzt ist jedoch, dass die Daten automatisiert und mit der Einwilligung der betroffenen Person oder in unmittelbarem Zusammenhang mit dem Abschluss oder der Abwicklung eines Vertrages zwischen dem Verantwortlichen und der betroffenen Person bearbeitet werden. Eine Übermittlung an einen anderen Anbieter kann ferner dann ausgeschlossen werden, wenn diese einen «unverhältnismässigen Aufwand» verursachen würde. Namentlich aufgrund der gesetzlichen Anforderungen des «gängigen elektronischen Formats» sowie der «Verhältnismässigkeit» wird sich zeigen müssen, wie häufig dieses Recht von den betroffenen Personen im Streitfalle auch tatsächlich angerufen werden kann. Immerhin hat der Bundesrat in der Datenschutzverordnung nun versucht, den Umfang des Anspruchs sowie die technischen Anforderungen zu konkretisieren (vgl. Art. 20 und 21 DSV).
Was ist in Bezug auf die Datensicherheit zu beachten?
Wie bereits unter dem bisherigen Recht und nach der DSGVO verlangt das neue DSG geeignete technische und organisatorische Massnahmen zur Gewährleistung einer angemessenen Datensicherheit (Art. 8 DSG) Die Beurteilung, was geeignet und angemessen ist, fällt in der Praxis oftmals schwer. Die Bestimmung und ihre konkreten Vorgaben sind insofern schwer fassbar. Besonders wichtig für die Praxis sind aber die Mindestanforderungen an die Datensicherheit, deren Nichteinhaltung strafrechtlich sanktionierbar ist.
Der Bundesrat hat diese Mindestanforderungen, welche die Vorgaben konkretisieren sollen in der Datenschutzverordnung festgelegt (Art. 1-6 DSV). Allerdings ist auch diese Regelung für die Praxis schwer fassbar, denn es ist nach einer Vielzahl von Kriterien zu beurteilen, welche Massnahmen erforderlich sind. Immerhin bietet aber die Liste von sog. Kontrollmassnahmen eine wichtige Orientierung dafür, welche Vorkehrungen mindestens getroffen werden sollten. Es handelt sich um die Folgenden (Art. 3 DSV):
- Zugriffskontrolle: Zugriff nur auf Personendaten, die zur Erfüllung der Aufgaben erforderlich sind;
- Zugangskontrolle: Kein Zugang zu Räumlichkeiten oder mobilen Anlagen, wo Personendaten bearbeitet werden, durch Unberechtigte;
- Benutzerkontrolle: Keine Nutzung von Bearbeitungssystemen «mittels Einrichtungen zur Datenübertragung» durch Unbefugte;
- Datenträgerkontrolle: kein Lesen oder anderweitiges Bearbeiten von Datenträgern durch Unbefugte;
- Speicherkontrolle: kein Lesen oder anderweitiges Bearbeiten von Personendaten im Speicher durch Unbefugte;
- Transportkontrolle: kein Lesen oder anderweitiges Bearbeiten von Personendaten bei der Bekanntgabe oder dem Transport von Datenträgern;
- Massnahmen zur Wiederherstellung der Verfügbarkeit von Personendaten und des Zugangs zu ihnen bei einem Zwischenfall;
- Massnahmen zur Gewährleistung der Verfügbarkeit von automatisierten Datenbearbeitungssystemen, zur Meldung von Fehlfunktonen (Zuverlässigkeit) und zur Verhinderung von Beschädigungen im Falle von Fehlfunktionen (Datenintegrität);
- Massnahmen zur Aufrechterhaltung des Sicherheitsstands und zur Schliessung kritischer Lücken (Systemsicherheit);
- Eingabekontrolle: Sicherstellung der Überprüfbarkeit (Zeitpunkt und Person) von Eingaben/Änderungen von Personendaten;
- Bekanntgabekontrolle: Sicherstellung der Überprüfbarkeit/Identifizierbarkeit der Empfänger von Datenbekanntgaben mittels «Einrichtungen zur Datenübertragung»;
- Massnahmen zur raschen Erkennung und Minderung/Beseitigung der Folgen von «Data Breaches».
Weitere Einzelheiten dazu finden Sie in unserem Beitrag zur DSV.
Müssen wir Verstösse gegen die Datensicherheit/Data Breaches dem EDÖB melden?
Verletzungen der Datensicherheit müssen dem EDÖB gemeldet werden, wenn sie voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person führen (Art. 24 DSG). Entscheidend für die Meldepflicht des Verantwortlichen ist folglich die Risikobeurteilung, bei welcher auch die Kriterien zu Datenschutz-Folgenabschätzungen (s. unten) herangezogen werden können. Der Auftragsbearbeiter ist zudem verpflichtet, dem Verantwortlichen jede Verletzung der Datensicherheit zu melden.
Es besteht zwar keine feste gesetzlich definierte Frist, vielmehr müssen die Meldungen so rasch als möglich erfolgen. Als Gradmesser dürfte dabei die Frist von 72 Stunden gemäss DSGVO dienen. Verantwortliche müssen folglich in der Lage sein, gegebenenfalls mit Unterstützung der Auftragsverarbeiter, in diesem Zeitraum die erforderlichen Abklärungen zur Risikobeurteilung vorzunehmen und eine Meldung erstatten zu können. Hierfür sind entsprechende interne Prozesse vorzusehen. Der Inhalt der Meldungen ist nun in der Datenschutzverordnung vorgegeben (vgl. Art. 15 DSV).
Enthält das revidierte DSG eine Pflicht, Datenschutz-Folgenabschätzungen durchzuführen?
Ja, das revidierte DSG sieht vor, dass der Verantwortliche eine Datenschutz-Folgenabschätzung vornehmen muss, wenn eine Bearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringen kann. Bei mehreren ähnlichen Bearbeitungsvorgängen kann eine gemeinsame Abschätzung erstellt werden.
Entscheidend ist somit auch hier die Risikobeurteilung. Ein hohes Risiko kann sich gemäss revidiertem DSG, insbesondere bei der Verwendung neuer Technologien, aus der Art, dem Umfang den Umständen und dem Zweck der Bearbeitung ergeben. Namentlich bei einer umfangreichen Bearbeitung besonders schützenswerter Personendaten oder der systematisch umfangreichen Überwachung öffentlicher Bereiche, ist gemäss Gesetz eine Datenschutz-Folgenabschätzung angezeigt. Weitere Bearbeitungen mit hohem Risiko, die nicht explizit im revidierten DSG genannt werden, bleiben vorbehalten.
Zur Erfüllung dieser Pflicht sind wiederum auch interne Prozesse zu schaffen, die sicherstellen, dass frühzeitig erkannt wird, ob eine Datenschutz-Folgenabschätzung erforderlich ist oder nicht.
Was müssen wir über die Datenschutzverordnung (DSV) wissen?
Die neue Schweizer Datenschutzverordnung (DSV) enthält wichtige Detailvorschriften zum neuen Bundesdatenschutzgesetz (DSG). Die Verordnung, die der Bundesrat im August 2022 definitiv verabschiedet hatte, wird gemeinsam mit dem totalrevidierten DSG in Kraft treten. Angesichts der Strafdrohung zählen zu wichtigsten Vorschriften z.B. der (bereits oben erwähnte) Katalog der Datensicherheitsmassnahmen, die Pflicht zur Vornahme einer Protokollierung von Datenbearbeitungen sowie die Pflicht zur Erstellung von Bearbeitungsreglementen.
Weiter legt die DSV (wie oben erwähnt) fest, wer unter welchen Voraussetzungen ausnahmsweise kein Bearbeitungsverzeichnis zu erstellen hat, und listet auf, welche Länder über ein angemessenes Datenschutzniveau verfügen. Schliesslich sind auch zahlreiche Detail-Regelungen vorgesehen, welche die Modalitäten von Pflichten konkretisieren, wie z.B. die Identifikation vor der Auskunftserteilung, die Aufbewahrung von Dokumentationen zu Datenschutzfolgenabschätzungen oder dem Inhalt von Data-Breach-Meldungen.
Einzelheiten dazu finden Sie in unserem Beitrag zur DSV.
Beitragsbild: Midjourney