Das neue Datenschutzgesetz (nDSG), das am 1. September 2023 in Kraft tritt, wirft bei KMU viele Fragen auf. Die wichtigsten und brennendsten Fragen beantwortet Rechtsanwalt Christian Laux hier.
Beim Datenschutz geht es um den Schutz von Menschen. Ob wir nun telefonieren, mit Kunden kommunizieren, Lieferantenrechnungen bezahlen oder Bewerbungsgespräche führen: Personendaten prägen unseren Geschäftsalltag. Personenbezogene Daten sind zum Beispiel Namen, Adressen, Geburtsdatum oder die Gesundheitshistorie von Kunden und eigenen Mitarbeitenden, Mitarbeitenden von Kunden oder Lieferanten sowie anderen Kontaktpersonen (etwa bei potenziellen Kunden oder Behörden).
Schweizer Unternehmen unterliegen für ihre Datenbearbeitungen unterschiedlichen Gesetzen und Vorgaben. Dazu gehören das Schweizer Datenschutzgesetz, je nach Kontext und Kundschaft aber auch die DSGVO der EU sowie branchenspezifischen Regularien und Richtlinien (wie Finma, Selbstregulierung, kantonale Vorgaben).
Das Datenschutzgesetz wurde revidiert. Die neue Version (nDSG) gilt ab dem 1. September 2023 und bringt neue Vorgaben. Für Unternehmen gibt es keine weitere Schonfrist. Sie müssen die neuen Anforderungen ab dem 1. September erfüllen.
Dieser Artikel klärt viele Detailfragen zum revidierten DSG.
Über den Autor
Dr. iur. Christian Laux studierte Rechtswissenschaften in Zürich, Paris und an der Stanford University (Kalifornien). Er ist zur Tätigkeit als Anwalt in der Schweiz zugelassen. Seine Schwerpunkte sind neue Technologien, Cloud, Datenschutz und Datenrecht, IT- und Business Consulting sowie Prozessführung. Er ist Gründer der Anwaltskanzlei Laux Lawyers AG.
Die Grundlagen
1. Was ist das neue Datenschutzgesetz?
Das nDSG schützt Menschen vor übermässiger, überraschender, unfairer oder aus anderen Gründen unrechtmässiger Verwendung ihrer Personendaten.
Im Einzelnen:
- Das neue Datenschutzgesetz regelt den Schutz von sogenannten «natürlichen Personen» (Menschen, im nDSG als «betroffene Personen» bezeichnet) in Bezug auf Daten, die sie beschreiben. Man spricht von Personendaten. Personendaten sind im nDSG definiert als «alle Angaben, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen», das heisst, einen «Personenbezug» haben.
- Wer Personendaten bearbeitet und dafür Zweck- und Mitteleinsatz festlegt, gilt als sogenannter Verantwortlicher bzw. Verantwortliche. Ziehen der oder die Verantwortliche Dienstleister bei, die in ihrem Auftrag und nach deren Instruktionen Personendaten bearbeiten, gelten diese beigezogenen Dienstleister als Auftragsbearbeiter.
- Im Anwendungsbereich des nDSG müssen Verantwortliche und (in geringerem Umfang) auch Auftragsbearbeiter die Vorschriften des nDSG kraft Gesetzes einhalten. Auftragsbearbeiter werden vom Verantwortlichen zudem vertraglich zur Einhaltung gewisser Bestimmungen verpflichtet. Somit sehen sich auch Auftragsbearbeiter zur Einhaltung des nDSG verpflichtet.
- Betroffene Personen können dank des nDSG Ansprüche gegen Datenbearbeiter (Verantwortliche) richten, wenn diese ihre Personendaten übermässig, unfair oder in anderer Weise unrechtmässig bearbeiten. In einem solchen Fall entstehen privatrechtliche Ansprüche auf Verhaltensveränderung gegen die betreffenden Verantwortlichen. Verantwortliche können auch vom EDÖB (Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter) kontrolliert werden. Sodann können Mitarbeitende von Verantwortlichen oder Auftragsbearbeitern mit Entscheidungsbefugnis (in der Regel Personen mit Managementfunktionen) wegen bestimmter Verstösse gegen das nDSG strafrechtlich verfolgt werden.
- Das nDSG wird ergänzt und präzisiert durch Ausführungsbestimmungen in der neuen Datenschutzverordnung (DSV) und der neuen Verordnung über Datenschutzzertifizierungen (VDSZ).
2. Wann tritt das nDSG in Kraft? (Zeitlicher Anwendungsbereich)
Das neue DSG tritt auf den 1. September 2023 in Kraft.
Im Einzelnen:
- Das neue DSG tritt auf den 1. September 2023 in Kraft. Es ersetzt auf diesen Zeitpunkt das bisherige Gesetz, das seit 1. Januar 1993 für die Schweiz Geltung hatte.
- Den finalen Text des neuen DSG hat das Parlament am 25. September 2020 beschlossen. Unternehmen hatten somit bereits 3 Jahre lang Zeit, ihre Datenbearbeitungen an die neuen Anforderungen anzupassen. Deshalb gewährt das Gesetz keine weitere Schonfrist.
- Einige wenige Bestimmungen des nDSG (Art. 7 nDSG: Datenschutz durch Technik und Voreinstellungen; Art. 22 f. nDSG: Datenschutzfolgeabschätzung) kommen nicht zur Anwendung auf Datenbearbeitungen, die vor dem Inkrafttreten des nDSG begonnen wurden (sog. «Grandfathering»). Dies aber nur, wenn und insofern als (a) der Bearbeitungszweck der Datenbearbeitung sich nicht verändert hat und (b) im Rahmen der Datenbearbeitung keine neuen Daten beschafft werden. Es ist also möglich, einen «Altdatenbestand» auf ein neues IT-System zu übertragen, ohne die Technik auf den höheren neurechtlichen Stand anzuheben; Kompromisse an Datensicherheit (Art. 8 nDSG) darf es aber niemals geben, weswegen aus diesen Gründen technische Aktualisierungen auch für Altdatenbestände notwendig bleiben.
- Untersuchungen des EDÖB, die im Zeitpunkt seines Inkrafttretens bereits hängig sind, unterstehen weiterhin dem alten Recht.
- Hat der EDÖB vor dem 1. September 2023 beim Bundesverwaltungsgericht eine Klage erhoben, wird die Klage nach dem alten Recht beurteilt.
3. Für welche Datenbearbeitungen gilt das nDSG?
Das nDSG gilt für Bearbeitungen in der Schweiz oder mit Wirkung in der Schweiz (Auswirkungsprinzip).
4. Wer muss das nDSG einhalten?
Das neue DSG gilt im Privatbereich und für Bundesbehörden. Es schützt Privatpersonen. Für Daten über Unternehmen gibt es während 5 Jahren eine Sonderregelung, die sich an Bundesbehörden richtet. Im Privatbereich schützt das DSG bereits ab dem 1. September 2023 nur noch Individuen, nicht mehr juristische Personen.
Im Einzelnen:
Verkürzt gesagt gilt das nDSG «in der Schweiz» für «jene, die ihm unterstehen». Diese beiden Aspekte bezeichnet man als den «örtlichen Anwendungsbereich» und den «persönlichen Anwendungsbereich».
Persönlicher Anwendungsbereich:
- Das nDSG gilt für Bundesbehörden.
- Das nDSG gilt auch für alle privaten Organisationen, die als Verantwortliche oder Auftragsbearbeiter im örtlichen Anwendungsbereich Personendaten bearbeiten. Gemeint sind somit alle Einzelunternehmen, privatrechtlich organisierten Aktiengesellschaften, GmbH, Vereine oder Stiftungen.
- Das nDSG gilt nicht für Gemeinden oder Kantone und ihre Behörden. Damit gilt das nDSG beispielsweise nicht für Schulen. Dort gelten kantonale Datenschutzgesetze mit allerdings weitgehend ähnlichen Regeln wie jene des nDSG.
- Für kantonal organisierte Spitäler, Elektrizitätswerke und dergleichen ist die Rechtslage etwas komplizierter.
Örtlicher Anwendungsbereich:
Das nDSG gilt, wenn es in der Schweiz Auswirkungen hat (Auswirkungsprinzip). Dann sind die Pflichten unter dem nDSG einzuhalten. Dies gilt für Massnahmen des EDÖB und die private Durchsetzung. Für die strafrechtliche Durchsetzung hingegen gilt das strafrechtliche Territorialitätsprinzip: Strafbar sind nur in der Schweiz begangene Verletzungen der Strafbestimmungen des nDSG.
5. Wer wird durch das nDSG geschützt?
Menschen sind geschützt, Unternehmen aber grundsätzlich nicht mehr (es gibt allerdings Sonderregeln für Unternehmensdaten während 5 Jahren nach Inkrafttreten; diese richten sich an Bundesbehörden).
Im Einzelnen:
- Personendaten: Es handelt sich um Angaben, die einen Menschen direkt oder indirekt identifizierbar beschreiben. Das Gesetz spricht von «Angaben, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen», das heisst einen «Personenbezug» haben.
- Unternehmensdaten: Bundesbehörden haben gestützt auf die bestehende Bundesgesetzgebung während fünf Jahren weiterhin das Recht, die von einem Unternehmen erhaltenen Daten an andere Bundesstellen weiterzugeben (bekanntgeben). Die Rechtsregeln des Regierungs- und Verwaltungsorganisationsgesetzes (RVOG) sind dabei einzuhalten. Was die Nutzung solcher Daten angeht, findet sich eine besondere Regelung, die wie folgt lautet (aber nicht besonders klar ist): «Für Bundesorgane finden Vorschriften in anderen Bundeserlassen, die sich auf Personendaten beziehen, während fünf Jahren nach Inkrafttreten dieses Gesetzes weiter Anwendung auf Daten juristischer Personen.»
6. Welche Rollen muss man kennen, um die Datenwirtschaft zu verstehen?
Die Datenwirtschaft spielt sich ab zwischen Verantwortlichen und betroffenen Personen in Bezug auf deren Personendaten. Die Datenwirtschaft erstreckt sich auch noch auf allfällige weitere Daten (andere Daten, das heisst solche, die nicht Personendaten sind; man spricht auch von «Sachdaten»). Die von den Verantwortlichen beigezogenen Dienstleister werden im Geltungsbereich des nDSG als Auftragsbearbeiter bezeichnet.
Der Austausch von Verantwortlichen zu anderen Verantwortlichen ist ebenfalls ein wichtiger Vorgang. Ausserhalb des Anwendungsbereichs des nDSG kann man für zum Beispiel «Sachdaten» von Datenlieferant (Datenanbieter) oder Datenempfänger (Datennutzender) sprechen. Im Sprachgebrauch des nDSG würde der Austausch zwischen Datenlieferant und Datenempfänger als Austausch zwischen zwei voneinander unabhängigen Verantwortlichen behandelt werden (sog. «Controller-to-Controller Transfer»).
Im Einzelnen:
- Wer Personendaten bearbeitet und dafür Zweck- und Mitteleinsatz festlegt, gilt als sogenannter Verantwortlicher bzw. Verantwortliche.
- Ziehen der oder die Verantwortliche Dienstleister bei, die in ihrem Auftrag und gemäss ihrer Instruktion Personendaten bearbeiten, gelten diese beigezogenen Dienstleister als Auftragsbearbeiter.
- Wer vom Verantwortlichen Personendaten erhält und selbst über Zweck und Mittel deren Bearbeitung entscheidet (entscheiden darf), ist selbst Verantwortlicher (als «Datenempfänger»).
- Die ausgetauschten Daten sind entweder Personendaten oder andere Daten. Personendaten beziehen sich auf betroffene Personen.
- Andere Daten können nach ihrer Herkunft danach unterschieden werden, ob sie von einem Unternehmen oder von einer natürlichen Person ausgehen (Datenlieferant).
7. Was ist der Unterschied zwischen DSG und DSGVO?
Die EU DSGVO (die Datenschutzgrundverordnung der EU) ist das Datenschutzgesetz für die EU. Das nDSG ist das Pendant für die Schweiz. Die Regeln sind nicht deckungsgleich, aber aus heutiger Sicht gleichwertig.
Im Einzelnen:
- Einer der grossen konzeptionellen Unterschiede zwischen der DSGVO und dem nDSG ist das Sanktionensystem. Die DSGVO kennt keine Strafsanktionen, aber erlaubt Datenschutzbehörden, Verwaltungssanktionen in erheblicher Höhe auszusprechen.
- Nach dem nDSG sind Verwaltungssanktionen (Bestrafung des Verantwortlichen mit einer Maximalbusse bis CHF 50 000.–) ausnahmsweise ebenfalls möglich. Grundsätzlich richtet sich eine Bestrafung aber nach dem Strafrecht. Die im Einzelnen handelnde Person kann mit einer Busse bis CHF 250 000.– belegt werden.
8. Strafrecht: Wer ist verantwortlich und haftet für den Datenschutz?
Die Strafsanktionen des nDSG sollen sich gemäss Absicht des Gesetzgebers an die geschäftsführenden Personen richten. Die Strafbarkeit der Mitarbeitenden ist gemäss Gesetz aber nicht gänzlich ausgeschlossen. So ist eine ziemlich komplizierte Regel entstanden, nach der zusätzlich auch noch das Unternehmen selbst strafrechtlich haften kann.
Im Einzelnen:
- Wenn im Datenschutzrecht etwas schiefläuft, wird dies meistens in Geschäftsbetrieben geschehen. Dementsprechend erklärt das nDSG (konkret: Art. 64 nDSG) eine Sonderregel (konkret: Art. 6 und 7 des Bundesgesetzes über das Verwaltungsstrafrecht) als direkt anwendbar, nach welcher die geschäftsführenden Personen bestraft werden für Datenschutzverletzungen, die sie «in Verletzung einer Rechtspflicht» nicht abgewendet haben. Die Regel hält auch einen Auffangtatbestand bereit, wonach das Unternehmen bestraft werden kann. Somit haften strafrechtlich die folgenden Personen:
- Geschäftsführung: Da sich das Datenschutzrecht an Verantwortliche und somit oft an Geschäftsbetriebe richtet und da eine geschäftsführende Person für die Organisation des Geschäftsbetriebs verantwortlich ist, könnten geschäftsführende Personen bei Datenschutzverletzungen regelmässig haftbar sein (dies wird allerdings kritisiert). Die geschäftsführende Person kann bereits dann bestraft werden, wenn sie fahrlässig war und wenn die Datenschutzverletzung ohne das fahrlässige Verhalten hätte abgewendet werden können. Zusätzlich muss nachgewiesen sein, dass ein Tatbestand gemäss Deliktskatalog des nDSG stattgefunden hat; mindestens die Tatbestandsmässigkeit und die Rechtswidrigkeit müssen gegeben sein. So steht es jedenfalls im Gesetz. Was die Praxis bringt, wird man sehen müssen. Geschäftsführende Personen können nach der Regel strafbar sein, auch wenn die handelnde Einzelperson nicht bestraft werden kann. Die geschäftsführenden Personen könnten somit nach dem Wortlaut des Gesetzes relativ rasch für Datenschutzverletzungen bestraft werden. Der Bussenrahmen beläuft sich auf CHF 250 000.–.
- Unternehmenshaftung: Wenn die Datenschutzverletzung nur 20% des Bussenrahmens nach sich ziehen wird (also es fällt eine Busse von höchstens CHF 50 000.– in Betracht), kann das Unternehmen direkt zur Zahlung der Busse verurteilt werden. Die untersuchende Staatsanwaltschaft muss aber der Meinung sein, dass der Aufwand zur Ermittlung der strafbaren Personen innerhalb des Geschäftsbetriebs unverhältnismässig gross wäre. Diese Haftung tritt dann an die Stelle der Bestrafung der Geschäftsführung.
- Direkt handelnde Mitarbeitende: Die Mitarbeitenden sind weiterhin einer Strafbarkeit ausgesetzt, auch wenn Unternehmen oder Geschäftsführung bereits bestraft worden sind. Die Strafbestimmungen des nDSG richten sich grundsätzlich an die handelnden Einzelpersonen. Sie haften aber nicht bei Fahrlässigkeit, sondern erst bei Vorsatz. Der Bussenrahmen liegt auch für die Mitarbeitenden bei CHF 250 000.–.
- Eintrag im Strafregister: Übertretungen, die mit einer Busse von über CHF 5 000.– sanktioniert werden, erscheinen nicht im Privatauszug des Strafregisters.
- Strafverfolgung: Es sind die kantonalen Staatsanwaltschaften zuständig.
9. Verwaltungsrecht: Wer ist verantwortlich und haftet für Datenschutz?
Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) kann bei Datenschutzverletzungen ein verwaltungsrechtliches Untersuchungsverfahren eröffnen. Darin kann er Verfügungen erlassen.
Im Einzelnen:
- Der EDÖB kann die Verantwortliche in Verfügungen, die er im Rahmen seiner Untersuchungen erlässt, zu Massnahmen verpflichten, um dem Datenschutz besser zum Durchbruch zu verhelfen. Wer solchen Verfügungen nicht nachkommt, riskiert Strafsanktionen (siehe weiter oben).
- Der EDÖB kann selbst aber keine Strafsanktionen anordnen.
10. Zivilrecht: Wer ist verantwortlich und haftet für Datenschutz?
Wer jemandem anderen gegenüber gestützt auf einen Vertrag zu datenschutzrechtlicher Sorgfalt verpflichtet ist, kann wegen einer Datenschutzverletzung haftbar werden. Die Grundlagen finden sich im nDSG oder allenfalls in einem Vertrag, in dem sich die Verantwortliche zur Einhaltung des Datenschutzrechts verpflichtet hat.
Im Einzelnen:
- Die betroffene Person hat sehr oft keine direkte vertragliche Beziehung zur Verantwortlichen, die das Datenschutzrecht verletzt hat. Die betroffene Person kann dann auf die gesetzlichen Rechtsbehelfe abstellen und eine Klage auf Beseitigung der Datenschutzverletzung oder auf Unterlassung weiteren rechtsverletzenden Verhaltens anstrengen.
- Eine Klage auf Schadenersatz steht theoretisch auch der betroffenen Person offen. Ein direkt resultierender Schaden wird aber oft sehr schwer aufzuzeigen sein. Und Ersatz für weiteren Schaden könnte an anderen Voraussetzungen des Haftungsrechts scheitern.
- Schadenersatzklagen sind eher denkbar, wenn sich eine Verantwortliche oder eine Auftragsdatenbearbeiterin in einem Vertrag zur Einhaltung des Datenschutzrechts verpflichtet hat. Sie kann dann im Fall einer Datenschutzverletzung beispielsweise für direkten Schaden (Kosten der Überwachung des Darkweb nach einem Data Breach) haften oder, meist unter strengeren Voraussetzungen, auch für indirekten Schaden (Umsatzverlust wegen eines Reputationsschadens).
11. Wie hafte ich als beigezogener IT-Dienstleister?
Als IT-Dienstleister ist man meistens ein sogenannter Auftragsbearbeiter und steht in einer vertraglichen Beziehung zum Verantwortlichen. Somit haftet man jeweils nach den Regeln des Vertrags gegenüber dem Verantwortlichen, aber kaum je auch gegenüber der betroffenen Person. Allerdings kann vorsätzliches Verletzen von Datenschutzbestimmungen durchaus zu Strafbarkeit führen.
Im Einzelnen:
- Als IT-Dienstleister ist man oft ein sogenannter Auftragsbearbeiter. Dies ist man dann, wenn man im Rahmen seiner Tätigkeit für die Verantwortliche in die Datenbearbeitung konkret eingebunden ist.
Beispiele:
Datenhosting: Der Datenhoster ist ein Auftragsbearbeiter auch dann, wenn technische Massnahmen verhindern, dass er Klartextzugriff auf Personendaten nimmt. Allerdings ist dem Umstand, dass der Datenhoster im Beispiel keinen Klartextzugriff auf die Personendaten nimmt, bei Würdigung der anwendbaren Gesetzesbestimmungen Rechnung zu tragen.
Lizenz: Wer für ein anderes Unternehmen Software liefert, ist nur deswegen kein Auftragsbearbeiter.
Wartung: Auch wer einen Wartungsvertrag abgeschlossen hat, ist oft noch kein Auftragsbearbeiter. Wenn der Wartungsvertrag aber dazu verpflichtet, Patches und Updates der Software auf die Systemumgebung des Kunden zu laden und wenn der Dienstleister in diesem Rahmen auf Datenspeicherungen beim Kunden zugreifen muss, um diese Daten zu verschieben oder sonstwie zu bearbeiten, liegt Auftragsbearbeitung vor.
Facility Management: Das Putzunternehmen, das abends die Räumlichkeiten eines Unternehmens reinigt, ist zwar zur Geheimhaltung zu verpflichten, ist aber kein Auftragsbearbeiter.
- Den Auftragsbearbeiter treffen unter Umständen auch Pflichten zur Durchsetzung von Vertragspflichten bei grenzüberschreitender Übermittlung von Personendaten (auch eine Auskunftspflicht gegenüber dem EDÖB). Der Auftragsbearbeiter muss den Verantwortlichen bei der Beantwortung von Betroffenenbegehren unterstützen und allfällige Verletzungen der Datensicherheit dem Verantwortlichen melden.
- Wer als Auftragsbearbeiter tätig ist, hat für Datensicherheit zu sorgen und muss unter Umständen ein Bearbeitungsverzeichnis führen und ein Bearbeitungsreglement erstellen. Auch die Verletzung von Datensicherheitsbestimmungen kann zu direkter Verantwortlichkeit des Auftragsbearbeiters führen.
12. Welche weiteren Datenschutzvorgaben muss ich einhalten?
Mit Datenschutz meint man oft mehr als das, was im nDSG geregelt ist, und zwar kann Folgendes (mit)gemeint sein:
- Regeln zum Schutz von Informationen, weil man vertraglich dazu verpflichtet ist (zum Beispiel Geheimhaltungsvereinbarung)
- Regeln, die eine gewisse Sorgfalt oder sonstige Verhaltenspflichten bei der Informationsbearbeitung für Dritte verlangen, zum Beispiel, um das Finanzmarktsystem zu schützen (Regeln der Finma)
- Regeln, die das Unternehmen sich selbst auferlegt hat, um dem eigenen Gestaltungsziel zum Durchbruch zu verhelfen (eigene Unternehmenspolitik: Es geht hier nicht um das Müssen respektive Dürfen, sondern um das Wollen)
- und zuletzt eben auch die Regeln zum Schutz von Personendaten. Dabei können Regeln des nDSG ebenso wie Regeln der europäischen Datenschutzgrundverordnung (DSGVO) angesprochen sein, je nachdem, wie sie anwendbar sind.
Im Einzelnen:
- Zur DSGVO:
- Wer als Verantwortlicher seine Dienstleistungen erkennbar an den EU-Konsumentenmarkt ausrichtet, muss in Bezug auf solche Datenbearbeitungen die DSGVO einhalten.
- Wer als Verantwortlicher betroffene Personen in der EU beobachtet, muss die DSGVO einhalten.
- Wer als Auftragsbearbeiter mit Sitz in der Schweiz für eine Verantwortliche mit Sitz in der EU tätig ist, muss zwar eine Dienstleistung erbringen, mit der die Verantwortliche die Vorgaben der DSGVO einhalten kann; die DSGVO ist aber nicht direkt auf die Auftragsbearbeiterin anwendbar.
- Umgekehrt muss die Verantwortliche in der Schweiz, die eine Auftragsbearbeiterin mit Sitz in der EU beizieht, die Bestimmungen der DSGVO nicht nur wegen des Beizugs der EU-Auftragsbearbeiterin einhalten; dies gilt ungeachtet des Umstands, dass die Auftragsbearbeiterin selbst direkt der DSGVO untersteht.
- Branchenspezifische Regeln: Wer in einer besonderen Branche tätig ist, muss die für die Branche anwendbaren Regeln einhalten. Banken müssen z.B. die Regeln der Finma einhalten (Bankenaufsicht). Anders als die Bestimmungen des nDSG dienen die Regeln der Bankenaufsicht einem Systemschutz, während das nDSG und die DSGVO den Individualschutz bezwecken. Krankenversicherungen müssen überdies die Regeln des Bundesamts für Gesundheit einhalten, auch diese dienen dem Systemschutz. Banken haben zusätzlich das Bankgeheimnis zu wahren, das ebenfalls dem Individualschutz dient, gleich wie das nDSG.
- Regeln für die öffentliche Hand: Eine besondere Form der «branchenbezogenen» Regeln gilt für Verwaltungsbehörden. Kantonale Vorgaben und unter Umständen kantonale Gesetze sind einzuhalten durch Gemeinden, Schulen und beispielsweise Elektrizitätswerke. Behörden haben zusätzlich Geheimhaltung zu wahren.
- Selbstregulierung im Bereich der Geldwäscherei: In einer digitalen Welt haben vielfältige Handlungen einen Bezug zu Daten und unter Umständen auch zu Personendaten, weswegen auch Regelwerke zum Schutz gegen Geldwäscherei Bezüge zu Personendaten und dergleichen aufweisen, wenngleich die entsprechenden Regelwerke (z.B. ARIF oder SRO Treuhand Suisse) eher dem Systemschutz als dem Individualschutz dienen.
- Sonderbestimmungen: Wenn eine bestimmte Tätigkeit eine zusätzliche Schutzbestimmung aufstellt, liegt der Schluss nahe, dass deswegen eine Verschärfung greife, die man besonders zu beachten habe. Als Beispiele können die obligationenrechtlichen Vorgaben an die Arbeitgeberin zum Schutz ihres Personals herhalten, ebenso besondere Gesetzbestimmungen im kantonalen Recht, die beispielsweise die Geheimhaltung im Adoptionsrecht oder im Bereich des Steuerwesens («Steuergeheimnis») adressieren. Dieser intuitiv zwar verständliche Schluss ist aber oft unbegründet; oft gehen solche Sonderbestimmungen nicht weiter als die allgemeinen Rechte und Pflichten, die sich ohnehin schon aus dem Geheimnisrecht oder dem allgemeinen Datenschutzrecht ergeben. Ein nüchterner Blick auf die Zweckbestimmung solcher Regeln lohnt sich zumeist.
Aufbewahrungs- und Löschungspflicht
1. Wie lange darf man Unterlagen von Mitarbeitenden oder Bewerbern aufbewahren?
Die Personalakten von Mitarbeitenden darf die Arbeitgeberin während der gesamten Dauer des Arbeitsverhältnisses aufbewahren und anschliessend für eine begrenzte Dauer für Archivzwecke (Faustregel: plus fünf Jahre). Die Aufbewahrungsdauer für abgelehnte Stellenbewerber ist kürzer, kann aber für drei volle Jahre aufbewahrt werden und dann weiter bis zum Ablauf des in jenem Zeitpunkt laufenden Geschäftsjahrs. In einzelnen Branchen (zum Beispiel in der beruflichen Vorsorge) können die Aufbewahrungsdauern längere Zeit betragen.
Im Einzelnen:
- Die Personalakten von Mitarbeitenden darf die Arbeitgeberin während der gesamten Dauer des Arbeitsverhältnisses aufbewahren und anschliessend aufgrund der generellen Regeln während voller 5 Jahre über die Beendigung hin-aus bis zum Ablauf des Geschäftsjahrs (also im Einzelfall fast bis zu sechs Jahre nach Beendigung).
- Nach Beendigung des Arbeitsverhältnisses ist der Bearbeitungszweck aber einzuschränken (Archivzweck). Zur Verteidigung gegen Rechtsansprüche kann dann auf diese Daten gegriffen werden oder bei Vorliegen eines sonst wie überwiegenden Interesses. Sonst sollte auf solche Daten nicht mehr zugegriffen werden (bereits zuvor ist beim Zugriff auf Personendaten von Mitarbeitenden deren Persönlichkeit am Arbeitsplatz besonders zu wahren: «keine Überwachung von Mitarbeitenden»).
- Abgelehnte Stellenbewerberinnen und -bewerber sind nicht in eine gültige Arbeitsbeziehung eingetreten und somit gelten die Regeln der vorvertraglichen Haftung. Für solche Ansprüche gilt eine dreijährige Verjährungsfrist, weswegen erst nach Ablauf des Geschäftsjahrs, in welches das Ende der Verjährungsfrist fällt, eine Haftung ausgeschlossen werden kann. Dies berechtigt die Verantwortliche, Dossiers von Stellenbewerberinnen bis dahin aufzubewahren. In der Praxis sind die Aufbewahrungsdauern in Bezug auf abgewiesene Stellenbewerberinnen und -bewerber aber oft kürzer. Sind die Dossiers als Papierkopie auf dem Postweg eingegangen, ist die Floskel «zu unserer Entlastung retour» gebräuchlich; sind die Unterlagen per E-Mail eingegangen, könnte eine entsprechende Formulierung («wir werden nach x [Dauer] löschen») sinnvoll sein, um Transparenz herzustellen.
- Verantwortliche sollten eine Datenschutzerklärung für abgelehnte Bewerberinnen (dazu Schritt 3 gemäss https://dp-services.ch) und für eigenes Personal (dazu Schritt 4 gemäss https://dp-services.ch) etablieren.
2. Wie lange darf ich Kundendaten aufbewahren?
Kundendaten dürfen so lange aufbewahrt werden, wie der Zweck dies erfordert. Kunden stehen in einer vertraglichen Austauschbeziehung zum Unternehmen. Aus Verträgen ergeben sich Verjährungsfristen zwischen fünf und zehn Jahren. Je nach Branche können die Aufbewahrungsfristen aber deutlich länger sein (zum Beispiel in der beruflichen Vorsorge).
Im Einzelnen:
- Eine Verantwortliche ist für die Aufbewahrung von Personendaten ihrer Kunden für so lange befugt, wie sie ein eigenes, besseres Interesse hat. Ein solches besteht darin, dass die Verantwortliche sich gegen Ansprüche der Kundin wehren und sich zu diesem Zweck auf Verträge und andere Unterlagen, die die Kundin betreffen, abstützen können muss. Datenschutz darf nicht dazu führen, die «Waffengleichheit» für allfällige Zivilprozesse zu torpedieren.
- Wenn die Verjährungsfristen abgelaufen sind, besteht aber in der Regel kein Grund mehr, diese Unterlagen aufzubewahren. Dann sind solche Unterlagen somit zu löschen. Nach Beendigung des Arbeitsverhältnisses ist der Bearbeitungszweck aber einzuschränken (Archivzweck). Zur Verteidigung gegen Rechtsansprüche kann dann auf diese Daten gegriffen werden oder bei Vorliegen eines sonst wie überwiegenden Interesses. Sonst sollte auf solche Daten nicht mehr zugegriffen werden.
Beispiele:
Steuerdokumente (Steuererklärung) bei Treuhändern: Antwort: 6 Jahre nach Ablauf der definitiven Einschätzung für die betreffende Steuerperiode. Ein Treuhänder, der für eine Steuerpflichtige die Steuererklärung erstellt, haftet dieser als Beauftragter. Ansprüche verjähren nach Ablauf von fünf Jahren nach definitiver Einschätzung durch die Steuerbehörde für die betreffende Steuerperiode (oder nach Beendigung der auf die Steuerperiode bezogenen Mandatierung, wenn diese vor Eintreffen der definitiven Einschätzung beendet wird). Es gilt wiederum die Regel, dass die Aufbewahrungsbefugnis nach Ablauf des Geschäftsjahrs endet, in dem die Verjährungsfrist abläuft. Somit ist die Antwort «6 Jahre» annäherungsweise zu verstehen.
Teilnehmerliste eines Events: Antwort: 11 Jahre. Begründung: Die Teilnehmenden eines Events stehen zur Veranstalterin je nachdem in einer vertraglichen Beziehung. Ist dies der Fall, könnten sie gegen die Veranstalterin noch während zehn Jahren Ansprüche geltend machen. Es gilt wiederum die Regel, dass die Aufbewahrungsbefugnis nach Ablauf des Geschäftsjahrs endet, in dem die Verjährungsfrist abläuft. Somit ist die Antwort «11 Jahre» annäherungsweise zu verstehen.
Empfängerliste eines Versands: Antwort: 4 Jahre. Das blosse Opting-in zu einem E-Mail-Versand dürfte keine Vertragsbeziehung begründen. Somit sind die Regeln der vorvertraglichen Haftung respektive der unerlaubten Handlung heranzuziehen Es gilt somit eine dreijährige Verjährungsfrist. Es gilt wiederum die Regel, dass die Aufbewahrungsbefugnis nach Ablauf des Geschäftsjahrs endet, in dem die Verjährungsfrist abläuft. Somit ist die Antwort «4 Jahre» annäherungsweise zu verstehen.
Verzeichnis der Interessen von Personen in Bezug auf ein Produkt: Generell ist das Führen von Vorlieben einer Person eine Datensammlung, die transparent zu gestalten ist und dem Verhältnismässigkeitsgebot gehorchen muss. Die Aufbewahrungsdauer dürfte sich nicht schematisch beantworten lassen und auch von der Lebensdauer des Produkts abhängen (Interesse an den Angeboten des Food Trucks in der Einkaufspassage ist sehr kurz, Interesse an Angeboten einer Speisepumpe für ein Wasserkraftwerk dürfte deutlich länger dauern; hinzu kommt, dass die Persönlichkeit der Person, die sich für ein Wasserkraftwerk interessiert im Vergleich zum Unternehmen, das es repräsentiert, deutlich in den Hintergrund tritt, weswegen sich bereits deswegen eine andere Interessenabwägung aufdrängt: «B2B-Kontext»). Newsletter mit Opting-Out-Möglichkeit helfen hier, das Interesse zu erneuern respektive der betroffenen Person die Gelegenheit zu geben, den Newsletter abzubestellen und somit zum Ausdruck zu bringen, dass sie am betreffenden Produkt kein Interesse mehr hat.
- Gerade das zuletzt erwähnte Beispiel zeigt, dass der B2B-Kontext im Bereich des Datenschutzrechts eine besondere Bedeutung haben kann.
3. Wie stellt man die Aufbewahrungspflicht sicher, wenn man die Personendaten löschen muss?
Wenn man Personendaten noch aufbewahren muss, um eine gesetzliche Aufbewahrungspflicht einhalten zu können, muss man Personendaten nicht löschen.
Im Einzelnen:
- Die vorgängig erläuterten Beispiele zeigen, aus welchen Überlegungen sich die Aufbewahrungspflichten ergeben und warum dies im Rahmen der Verhältnismässigkeit dazu führt, dass Personendaten nicht vor Ablauf der Aufbewahrungspflichten zu löschen sind.
- Nachdem Personendaten nicht mehr für die Vertragserfüllung benötigt werden, sollte man sie nur noch zu Zwecken der Archivierung aufbewahren. Man sollte auf solche Daten somit im Alltag nicht mehr zugreifen.
- Die betroffene Person kann sich schon vor Ablauf der Aufbewahrungsdauer bei der Verantwortlichen melden und die Löschung ihrer Daten verlangen. Es können unter Umständen bereits dann Teilaspekte ihrer Daten gelöscht werden, die schon vor Ablauf der Archiv-Aufbewahrung nicht mehr benötigt werden (beispielsweise Marketingdaten zur Person wie Interessen oder ihre Aktivitätshistorie), aber Unterlagen ihre Verträge betreffend noch nicht.
- Einigen sich die Parteien darauf, dass die Kundin keine Ansprüche mehr gegen die Verantwortliche stellen wird, obwohl die Verjährungsfrist noch nicht abgelaufen ist, kann auch die Löschung der Vertragsunterlagen erwirkt werden; denn dann ist die Aufbewahrung auch aus der Perspektive der Verantwortlichen nicht weiter notwendig.
Marketing
1. Ist ein Cookie-Banner auf der Website Pflicht?
Nein, nach schweizerischem Recht ist das Cookie-Banner nicht Pflicht. Man sollte darauf verzichten.
Im Einzelnen:
- Cookie-Banner sind Regeln, die sich nicht aus dem eng verstandenen Datenschutzrecht ergeben (z.B. nDSG oder DSGVO). Dennoch haben sie sich im EU-Raum eingebürgert, weil sich die dort im Bereich der Cookies und ähnlichen Technologien geltenden Einwilligungsanforderungen kaum mehr anders umsetzen lassen.
- In der Schweiz gibt es weiterhin keine Opt-in-Regel, sondern es genügt ein reiner Transparenzhinweis und ein Hinweis auf eine Ablehnungsmöglichkeit (die auch in geeigneten Browser-Einstellungen liegen kann). Der Transparenzhinweis kann zwar auch mit einem Cookie-Banner umgesetzt werden. Aber der Transparenzhinweis kann auch in der Datenschutzerklärung oder in einem separaten Transparenzstatement für die Website stehen.
- Wird der Transparenzhinweis auf einem Cookie-Banner angebracht, kann dieses so ausgestaltet sein, dass es nach einigen Klicks («Surfen auf der Seite») von selbst verschwindet oder weggeklickt wird, oder aber man gestaltet die Klick-Funktion des Cookie-Banner aus mit «Hinweis schliessen» oder «Verstanden».
- Wegklicken kann man zwar als Zustimmung aufsetzen («Akzeptieren» statt «Hinweis schliessen»), aber davon wird eher abgeraten. Warum? Denn daraus könnte die Nutzerin konstruieren, dass die Webseitenbetreiberin sich aus eigenen Stücken einer Einwilligungsregelung unterworfen hat (mit der Wirkung, dass Cookies bei verweigerter oder zurückgezogener Einwilligung zu löschen sind).
- Cookie-Banners können in der Schweiz somit sogar negative Auswirkungen haben (abgesehen davon, dass sie ohnehin störend wirken). Man sollte darauf verzichten oder sie jedenfalls nur verwenden, wenn sich Transparenz nicht anderswie – in der Datenschutzerklärung – einfach herstellen lässt (dann aber nur mit «Hinweis schliessen», nicht mit der Einladung zum «Akzeptieren»).
2. Was muss in der Datenschutzerklärung auf der Website erwähnt sein?
Die Datenschutzerklärung für eine Website soll Transparenz geben darüber, was einen Bezug zum Unternehmen hat. Wenn man sich für eine einzelne, nach aussen wirkende Datenschutzerklärung entscheidet, kann man auf das Muster von https://dp-services.ch/ abstellen. Mit diesem hat man die Datenschutzerklärung rasch erstellt (automatisiertes System unterstützt beim Erstellen des Dokuments) à Schritt 3: «Transparenz herstellen für Kundschaft und andere Kontakte».
Im Einzelnen:
- Die Mindestinformationen einer Datenschutzerklärung sind die folgenden:
- Wer ist Verantwortlicher und wie kann man ihn kontaktieren?
- Wozu werden Daten bearbeitet? (Bearbeitungszwecke)
- Wer erhält vom Verantwortlichen Personendaten über die betroffene Person? Es geht um Empfänger oder Empfängerkategorien und man meint damit nicht nur Verantwortliche, sondern auch Auftragsbearbeiter (wobei Letzteres eigentlich systemwidrig ist)
- In welche Länder werden Personendaten übermittelt? (Nennung Zielland mit Garantien)
- Werden Personendaten bei Dritten erhoben und nicht bei der betroffenen Person, ist auch noch anzugeben, welche Kategorien von Personendaten der Verantwortliche erhebt.
- Dann sollte man an Folgendes denken: Die Datenschutzerklärung ist eine «Erklärung», nicht Teil eines Vertrags. Somit nicht «Ich akzeptiere…», sondern (ohne Checkbox!) «Informationen zu unserem Umgang mit Ihren Personendaten finden Sie…» oder «… und ich nehme die Datenschutzerklärung zur Kenntnis.»
- Die Online-Umsetzung ist auch für Offline-Bearbeitungen möglich und sinnvoll.
- Hinweis auf Datenschutzerklärung (unter Angabe der URL oder mit Link) in E-Mails oder schriftlichen Offerten.
3. Was ändert sich beim Newsletter-Versand? Dürfen Newsletter an Neukunden nur noch bei ausdrücklicher Zustimmung (Single Opt-in oder Double-Opt-in) versendet werden?
Beim Newsletter-Versand verändert sich mit dem nDSG nichts.
Im Einzelnen:
- Man muss beim Newsletter-Versand verschiedene Bearbeitungsphasen unterscheiden:
- Datensammlung: Die Datensammlung muss den Grundsätzen des nDSG entsprechen.
- Versand: Der Versand muss den Regeln des Bundesgesetzes über den unlauteren Wettbewerb (UWG) entsprechen. Ohne Opt-in kann einer Einzelperson nur Massen-E-Mail-Kommunikation zugestellt werden, wenn es sich um eine Bestandskundin für die beworbenen Themen handelt. Ist kein Opt-in einzuholen, muss aber auf jeden Fall die Gelegenheit zum Opt-Out gegeben werden.
- Beobachtung: Da Marketingabteilungen auch Öffnungsraten und dergleichen beobachten, was in sich eine Datenbearbeitung darstellt, sollte die Datenschutzerklärung, auf die man sich bezieht, jeweils bereits im Newsletter verlinkt werden.
4. Ist die Verwendung von Google Analytics (ohne Einwilligung) erlaubt?
Ja, das ist unter Schweizer Recht möglich.
Aber: Man kann heute immer weniger ignorieren, dass bei vielen Webseitenbesucherinnen insgesamt ein Unwohlsein verbleibt. Dieses Unwohlsein hängt zusammen damit, dass das weltweite Ökosystem, über das Werbeflächen vermittelt werden, aus der Perspektive sowohl der Webseitenbetreibers als auch der Nutzerin intransparent wirkt. Man sollte sich ernsthaft fragen, ob man nicht besser Lösungen einsetzt, die man wirklich versteht.
Im Einzelnen:
- Soweit man Google Analytics noch in einer Fassung einsetzt, die auf Cookies basiert, sind die Cookie-bezogenen Sonderregeln im Schweizerischen Recht zu beachten: Für den Umgang mit Cookies ist das Fernmeldegesetz (FMG) zu beachten. Diese Regeln haben allerdings mit der Datenschutzrevision nicht geändert.
- Das FMG verlangt (a) eine Information über den Zweck der verwendeten Cookies; und (b) einen Hinweis auf das Opt-out-Recht (Ablehnungsmöglichkeit). Es braucht somit Massnahmen auf der eigenen Webseite, namentlich Transparenzhinweise. Sodann braucht es Massnahmen gegenüber Google: Eine Auftragsdatenbearbeitungsvereinbarung und das Einrichten der IP-Anonymisierungsfunktion.
- Transparenzhinweise auf der Website sind (a) Erläuterungen, wozu man Google Analytics einsetzt und (b) Hinweise auf die Opt-out-Möglichkeiten, wobei Nutzerinnen das Opt-out auch über den eigenen Browser vornehmen können, wenn der Webseitenbetreiber kein (freiwilliges) Cookie-Präferenztool vorhält. Über den Zweck des Einsatzes von Google Analytics können Unternehmen in ihrer Datenschutzerklärung auf der Website informieren: Die Webanalyse dient dazu, die Nutzung der Website auszuwerten und Informationen für ihre Optimierung zu erhalten.
- Soweit man Cookies auf der Webseite besonders adressieren will: Ein «Cookie Banner» braucht es nach Schweizer Recht nicht, solange nicht EU-Recht anwendbar wird (aufgrund einer Ausrichtung der Website auf Endkunden in der EU). Ein Cookie-Präferenztool kann aber nützlich sein. Es kann den Webseitenbetreiber dabei unterstützen, den Transparenzanforderungen nachzukommen und den Nutzern Auswahlmöglichkeiten zu geben.
- Nutzt man Google Analytics 4 (ohne Cookies), treten die Massnahmen zum Herstellen von «Cookie-Compliance» in den Hintergrund. Transparenz sollte man weiterhin herstellen.
- Ebenfalls sollte man als Webseitenbetreiber so oder so gegenüber Google die folgenden Massnahmen treffen: (1) eine Vereinbarung über die Auftragsbearbeitung mit Google abschliessen und (2) die IP-Anonymisierungsfunktion aktivieren.
- Was man abschliessend sagen muss: Google Analytics bettet sich ein in weltweites Ökosystem von erheblicher Tragweite. Nutzende fühlen sich dadurch beobachtet, dass Daten, die im Kontext ihrer Webseitennutzung erhoben werden, in ein weltweites System für Werbetreibende eingespiesen werden. Nota bene: Es geht da kaum je um Personendaten. Und doch kann man das Problembewusstsein der Nutzenden nicht mehr einfach so verneinen. Das Gefühl, beobachtet zu sein, bleibt. Und den Webseitenbetreibern gelingt es kaum je, Transparenz herzustellen. Das heisst nicht, dass man die Einwilligung einholen muss (fehlende Transparenz lässt sich nicht durch Einwilligung heilen, denn eine uninformierte Einwilligung ist ungültig). Aber es gilt weiterhin, dass man seine Webseite in einer kontrollierten Art und Weise betreiben muss. Man sollte ernsthaft prüfen, ob man nicht besser eine Lösung einsetzt, die man selber versteht.
5. Was ist bei Kontaktformularen auf der Website zu beachten?
Kontaktformulare sollten auf die allgemeine Datenschutzerklärung auf der Website des Unternehmens verweisen (ohne Checkbox zum «Akzeptieren»!). Zweck: Transparenz herstellen, wie die Verantwortliche die eingehenden Meldungen verwenden wird.
Im Einzelnen:
- Wer auf die allgemeine Datenschutzerklärung verweist, kann die Pflichtinformationen so bereitstellen. Man sollte insbesondere auch erwähnen, ob solche Anfragen Eingang in das unternehmensweite CRM (Customer Relationship Management System) finden (eine Kundenbeziehung liegt dann noch nicht vor und die langdauernde Speicherung könnte ohne Hinweis überraschend sein und somit zu wenig transparent).
- Wenn man sich für eine einzelne, nach aussen wirkende Datenschutzerklärung entscheidet, kann man auf das Muster von https://dp-services.ch/ abstellen. Mit diesem hat man die Datenschutzerklärung rasch erstellt (automatisiertes System unterstützt beim Erstellen des Dokuments) à Schritt 3: «Transparenz herstellen für Kundschaft und andere Kontakte».
Daten speichern und verarbeiten
1. Backup und Aufbewahrung der Daten, wie lässt sich das vereinbaren, wenn Individuen die Löschung von Daten verlangen dürften?
Wenn man Personendaten noch aufbewahren muss, um eine gesetzliche Aufbewahrungspflicht einhalten zu können, muss man Personendaten nicht löschen.
Im Einzelnen:
- Es gibt technische Systeme, die rechtmässig eingesetzt werden dürfen, die aber eine physische Löschung von Personendaten nicht zulassen (Bsp.: «Journaling-Funktion» einer Aufbewahrungslösung).
- Das Datenschutzrecht bezweckt mit der Vorgabe «Löschung», dass Personendaten nicht weiter genutzt werden und nicht einem Data Breach zum Opfer fallen, wenn jemand ein schon längst aus dem Verkehr genommenes System («Legacy System») nicht mehr im Fokus hat. Solange technische und organisatorische Massnahmen verhindern, dass im Normalbetrieb des Systems Mitarbeitende auf Daten zugreifen, braucht es keine physische Löschung; es kann genügen, die Querbezüge (Links) aus einem Abfragesystem auf den physisch noch vorhandenen Eintrag zu deaktivieren. Man kann von einem «Near-To-Delete» oder von einer «Beinahelöschung» sprechen. Technischen Schutzmassnahmen ist in solchen Situationen weiterhin eine grosse Bedeutung beizumessen und es sollte auch geprüft werden, inwiefern die eingesetzten physischen Speichersysteme dennoch regelmässig einer Löschung zugeführt werden können (mit Überwachung der physischen Vernichtung).
2. Dürfen nach DSG personenbezogene Daten in der Cloud (z.B. SharePoint, OneDrive, Dropbox) gespeichert werden?
Ja.
Im Einzelnen:
- Personenbezogene Daten dürfen auf einem beliebigen technischen System gespeichert werden, solange die datenschutzrechtlichen Anforderungen eingehalten werden können.
- Das Datenschutzrecht ist technologieneutral ausgestaltet. Mit anderen Worten regelt es Schutzziele und dabei massgeblich den Bearbeitungszweck und somit das «Ziel» einer Handlung, aber nicht den «Weg zum Ziel». Cloud ist Technik und somit «Weg zum Ziel». Die Cloud-Lösung selbst sollte nicht Stein des Anstosses sein. Die mangelhafte Ausgestaltung einer Cloud-Lösung kann aber nicht akzeptiert werden, wenn dadurch datenschutzrechtliche Bedingungen verletzt werden.
- Man sollte Cloud-Lösungen somit sorgfältig auswählen. Der Cloud Canvas von Laux Lawyers AG ist ein etabliertes Prüfmodell, das Kunden erlaubt, ihre Sourcing-Abläufe sorgfältig einzurichten. Mit dem Cloud Canvas profitieren Kunden in allen Branchen von den langjährigen Erfahrungen von Laux Lawyers bei der Beschaffung von Cloud-Lösungen (z.B. hat Laux Lawyers als erste Kanzlei der Schweiz ein Voll-Outsourcing einer Versicherungsgesellschaft in der Schweiz auf eine Cloud-Lösung eines ausländischen Hyperscalers begleitet, und die Lösungsansätze von Laux Lawyers gelten noch heute als wegweisend).
- Soweit im Kontext einer Cloud-Lösung Auslandsbezüge hergestellt werden, sind auch diese datenschutzrechtlich korrekt abzubilden. Dies ist aber heute in aller Regel möglich.
3. Worauf ist zu achten, wenn Mitarbeitende private Laptops oder Mobiltelefone nutzen, oder Dokumente an ihre private Email-Adresse schicken?
Es geht hier um sogenannte BYOD-Regeln. BYOD steht für «Bring Your Own Device». Das Unternehmen muss Kontrolle über seinen Datenbestand haben, und zwar auch dann, wenn Mitarbeitende die Daten nicht auf unternehmenseigenen Geräten bearbeiten. Unternehmen können mit Reglementen Kontrolle organisatorischer und vertraglicher Art herstellen. Es gibt auch technische Lösungen («Sandboxes»), die auf privaten Geräten eingerichtet werden können, um einen technischen Schutz einzurichten.
Im Einzelnen:
Wenn Mitarbeitende Daten auf eigenen Geräten bearbeiten, schliesst dies nicht aus, dass das Unternehmen Kontrolle behält. Die Grundregeln der Kontrolle über Daten sollten aber geregelt werden, um Folgendes sicherzustellen:
- Nur befugte Personen sollen auf Personendaten und andere Daten des Unternehmens zugreifen können. Der Missbrauch von Daten ist sicherzustellen. Mit Weisungen sollte sichergestellt werden, dass gewisse Daten erst gar nicht auf das private Gerät gespeichert werden.
- Das Unternehmen soll Personendaten vom Gerät der Mitarbeitenden löschen können und sich über die Löschung vergewissern können, bevor der betreffende Mitarbeitende das Unternehmen verlassen hat.
- Technische Schutzmassnahmen müssen auf dem Gerät eingerichtet sein.
4. Wie sind gedruckte Daten betroffen, z.B. ausgedruckte Verträge oder Emails?
Auch physische Unterlagen wie Papierausdrucke werden vom nDSG geregelt.
Im Einzelnen:
- Auch in Bezug auf sogenannte «Hard Copies» gilt, dass diese nur so lange aufbewahrt werden dürfen, wie dies nötig ist.
- Es braucht auch für Papierunterlagen zweckmässige Schutzmassnahmen. Hier geht es insbesondere um Massnahmen wie «Clean Desk Policies» und verschliessbare Aufbewahrungsschränke. Reinigungspersonal sollte beispielsweise nicht in vertrauliche Dokumente respektive Dokumente mit Personendaten Einsicht nehmen können.
5. Darf ich Kundendaten an Lieferanten (z.B. Druckerei) oder Partner weitergeben?
Ja, das ist rechtmässig möglich. Lieferanten oder andere Dienstleister sind je nach Aufgabenstellung als Auftragsbearbeiter vertraglich in die eigene Organisation des Kunden einzubinden. Es braucht somit Verträge mit Schutzmassnahmen. Der Kunde muss die Dienstleistenden sorgfältig auswählen.
Im Einzelnen:
Die Auswahl von Partnern scheitert nicht am Datenschutzrecht. Man darf Partner auswählen, aber muss diese sorgfältig auswählen und in die eigene Datenschutzorganisation einbinden (Einbindung in den eigenen personellen und organisatorischen Perimeter). Es handelt sich um eine Aufgabenstellung für die Sourcing-Abteilung des Unternehmens.
Was gehört mindestens in solche Verträge?
- Weisungen über die Datenverwendung
- Geheimhaltungsbestimmungen
- Löschpflichten für die Zeit nach Auftragserfüllung
- Regelung, ob bzw. wie Unterauftragnehmer einbezogen werden können (Verbot oder Vorabgenehmigung)
- Technische Massnahmen zum Schutz von Personendaten
- Unterstützungspflichten in Bezug auf Betroffenenbegehren und Data Breaches
6. Darf ich personenbezogene Daten per E-Mail versenden, und braucht es eine Verschlüsselung dazu?
Personenbezogene Daten sollten immer weniger und somit nur sehr zurückhaltend per E-Mail versendet werden.
Im Einzelnen:
E-Mail-Systeme sollten eigentlich der Vergangenheit angehören. Es ist nicht nur aus datenschutzrechtlichen Gründen von Vorteil, Kollaborationssysteme mit passwortgeschützten und gekapselten Zugriffsbereichen zu verwenden. Wer solche Systeme aktiv einsetzt, kann durch die Wahl der technischen Lösung einen grossen Beitrag nicht nur zur IT-Sicherheit, sondern auch zum Datenschutz leisten.
7. Darf ich Messengerdienste (z.B. WhatsApp, Signal, Microsoft Teams) einsetzen, um personenbezogene Daten zu teilen?
Das nDSG regelt nicht die Technik («Weg zum Ziel»), sondern verlangt, dass ein Verantwortlicher Datenbearbeitungen kontrolliert. Messengerdienste sind somit nicht per se datenschutzkonform oder datenschutzwidrig. Somit ist keine abstrakte Ja- oder Nein-Antwort möglich.
Im Einzelnen:
- Wer Messengerdienste für private Zwecke benutzt, untersteht diesbezüglich nicht dem Datenschutzrecht. Dies aus dem folgenden Grund: Das nDSG gilt nicht, wenn eine Privatperson Personendaten von sich selbst oder von andern ausschliesslich zum persönlichen Gebrauch bearbeitet.
- Im Unternehmenskontext muss man differenzieren:
- WhatsApp hat eine Lösung für Unternehmenskunden, die datenschutzrechtskonform genutzt werden kann. In Bezug auf den im Privatgebrauch genutzten Messenger wird die Verantwortliche aber kaum je die Kontrollen anwenden können, die es braucht, um der datenschutzrechtlichen Grundformel zu entsprechen: «Kontrollieren kann man nur, was man auch versteht».
- Entsprechendes gilt auch für andere Messenger, die isoliert genutzt werden.
- Die Nutzung von Microsoft Teams ist für den Unternehmenskontext durchaus kontrollierbar, wenn die Verantwortliche Teams als Teil einer M365-Lösung nutzt, die gesamthaft gut aufgesetzt und vertraglich gut abgebildet ist.
8. Brauche ich ein Backup der Daten?
Ja, ein Backup ist zu empfehlen und kann aus datenschutzrechtlicher Sicht sogar geboten sein.
Im Einzelnen:
- Daten sollten grundsätzlich immer gut gesichert sein. Hier kann ein IT-Dienstleister helfen, die IT-Sicherheit zu gewährleisten.
- Der Bundesrat hat in der Datenschutzverordnung den folgenden Grundsatz notiert: «Der Verantwortliche und der Auftragsbearbeiter müssen technische und organisatorische Massnahmen treffen, damit die bearbeiteten Daten ihrem Schutzbedarf entsprechend … verfügbar sind, wenn sie benötigt werden (Verfügbarkeit)». Dieser Grundsatz kann dann gelten, wenn ein Auskunftsbegehren zu beantworten ist.
- Umgekehrt ist eine lange Aufbewahrungsdauer nicht nur deswegen vorzukehren, um ein Auskunftsbegehren beantworten zu können. Wenn Daten rechtmässig gelöscht worden sind, schadet es nicht, wenn auf das Auskunftsbegehren nur die folgende Antwort erteilt werden kann: «Über Ihre Person ist in unseren Systemen keine Angabe gespeichert.»
Weiteres
1. Wann ist ein Vertreter in der Schweiz zu bestellen?
Es gibt in der Schweiz Ähnlichkeiten mit der DSGVO in Bezug auf die Pflicht, einen Vertreter zu bestellen. Unter gewissen Voraussetzungen müssen ausländische Unternehmen einen Vertreter melden, damit der EDÖB eine Kontaktstelle in der Schweiz hat für Kommunikation über die Durchsetzung des nDSG auch gegenüber ausländischen Unternehmen.
Im Einzelnen:
Voraussetzungen der Vertretermeldung:
- Zusammenhang mit dem Angebot von Waren und Dienstleistungen in der Schweiz
- Umfangreiche Bearbeitung
- Regelmässige Bearbeitung
- Hohes Risiko.
2. Welches sind die Rechtsfolgen, wenn besonders schützenswerte Personendaten in grossem Umfang in einer Cloud bearbeitet werden?
Wenn besonders schützenswerte Personendaten in grossem Umfang in der Cloud bearbeitet werden, können eine Datenschutzfolgeabschätzung, das Erstellen eines Bearbeitungsverzeichnisses und eines Bearbeitungsreglements notwendig werden. Es kann eine Pflicht zur Konsultation des EDÖB geben und es kann nötig werden, Bearbeitungen in den Systemen zu loggen (Erstellung von System-Logs).
Im Einzelnen:
- DSFA (Datenschutzfolgeabschätzung): Wenn die Bearbeitung der besonders schützenswerten Personendaten «umfangreich» ausfällt, kann bei Verwendung einer Cloud («neue Technologie») die Pflicht zur Vornahme einer Datenschutzfolgeabschätzung begründet sein (Art. 22 Abs. 2 nDSG), sofern sie nicht aus bestimmten Gründen entfällt (Art. 22 Abs. 4 oder 5 nDSG). Aufbewahrung von zwei Jahren. Wird sie freiwillig erstellt, sollte auch die Freiwilligkeit dokumentiert sein (andernfalls Gefahr des Umkehrschlusses).
- Konsultation des EDÖB: Im Extremfall könnte daran eine Konsultationsphase von zwei bis drei Monaten beim EDÖB anknüpfen (Art. 23 nDSG), was sich mit Bestellung eines Datenschutzberaters aber abwenden liesse (Art. 23 Abs. 4 nDSG).
- Logging: Weist die Bearbeitung der besonders schützenswerten Personendaten einen «grossen Umfang» auf, ist für Protokollierung zu sorgen (Logging, Art. 3 Abs. 3 lit. a nDSV und Art. 4 Abs. 1 nDSV). Aufbewahrung von einem Jahr für Logs. Logging ist aber keine Pflicht der Cloud per se.
- Bearbeitungsreglement: Weist die Bearbeitung der besonders schützenswerten Personendaten einen «grossen Umfang» auf, braucht es ein Bearbeitungsreglement (Art. 5 nDSV; diese Pflicht trifft auch den Cloud-Anbieter). Das Bearbeitungsreglement ist aber keine Pflicht der Cloud per se.
- Bearbeitungsverzeichnis: Weist die Bearbeitung der besonders schützenswerten Personendaten einen «grossen Umfang» auf, ist ein Bearbeitungsverzeichnis zu erstellen (Art. 24 lit. a nDSV), wobei das Bearbeitungsverzeichnis (mit Beschreibung der Cloud) keine Folge der Cloud ist.
3. Weist das Profiling mit hohem Risiko Besonderheiten auf?
Ja, es gibt diverse Compliance-Massnahmen, die vorgenommen werden müssen.
Im Einzelnen:
Es kann nötig sein, die folgenden Massnahmen zu treffen:
- Höhere Sicherheitsanforderungen treffen
- Detaillierter erklären und so für höhere Transparenz sorgen
- Prüfung der Kreditwürdigkeit ist kein Rechtfertigungsgrund (Art. 31 Abs. 2 lit. c Ziff. 1 nDSG)
- Einwilligung muss – für den Fall, dass sie aufgrund einer anderen Bestimmung des nDSG notwendig sein sollte (und nur dann) – ausdrücklich sein (Art. 6 Abs. 7 lit. b nDSG)
- Logging ist erforderlich (Art. 4 nDSV)
- Bearbeitungsreglement ist Pflicht auch für Private (Art. 5 Abs. 1 lit. b nDSV)
- Bearbeitungsverzeichnis ist Pflicht auch für Private (Art. 24 lit. b nDSV)
Ein Profiling mit hohem Risiko liegt vor, wenn:
- Automatisierte Bearbeitung;
- Bewertung über bestimmte persönliche Aspekte möglich,
- Analyse (gefährliche Datensammlung);
- Prognose (gefährliche Aussage);
- Es besteht eine Verknüpfung zu Daten, die eine Beurteilung über wesentliche Aspekte ermöglichen.
4. Gibt es Besonderheiten in Bezug auf besonders schützenswerte Personendaten?
Ja, es gibt diverse Handlungspflichten, die zu prüfen sind.
Im Einzelnen:
Es kann nötig sein, die folgenden Massnahmen zu treffen:
- Höhere Sicherheitsanforderungen treffen
- Detaillierter erklären und so für höhere Transparenz sorgen
- Besonders gute Sicherheitsmassnahmen treffen
- Prüfung der Kreditwürdigkeit ist kein Rechtfertigungsgrund (Art. 31 Abs. 2 lit. c Ziff. 1 nDSG)
- Einwilligung muss – für den Fall, dass sie aufgrund einer anderen Bestimmung des nDSG notwendig sein sollte (und nur dann) – ausdrücklich sein (Art. 6 Abs. 7 lit. a nDSG)
- Logging ist erforderlich (Art. 4 nDSV)
- Bearbeitungsreglement ist Pflicht auch für Private (Art. 5 Abs. 1 lit. b nDSV)
- Bearbeitungsverzeichnis ist Pflicht auch für Private (Art. 24 lit. b nDSV)
- Bekanntgabe nur mit besonderer Rechtfertigung (Art. 30 Abs. 2 lit. c nDSG)
- Sonderregelung bei Rechtfertigung zu Zwecken der Forschung (Art. 31 Abs. 2 lit. e nDSG und Art. 39 Abs. 1 lit. b nDSG)
5. Was sind wichtige Stichworte zum Thema «Datensicherheitsverletzungen»?
Datensicherheitsverletzungen (Data Breaches) nehmen leider zu, derzeit wegen Angriffen von aussen. Auch datenschutzrechtlich kann einiges dazu gesagt werden. Es geht vor allem um Meldepflichten. Im Einzelfall können solche Ereignisse aber auch zu Strafbarkeit führen.
Im Einzelnen:
- Mangelnde Datensicherheit kann nach Art. 64 Abs. 2 DSG zu Strafbarkeit führen (Verletzung von Art. 8 DSG); Meldung kann nur mit Einverständnis «der meldepflichtigen Person» gegen sie verwendet werden (gilt dies auch für das Unternehmen).
- Meldepflicht an EDÖB bei hohem Risiko. Zeitpunkt: «so rasch als möglich»
- Meldepflicht an betroffene Person (a) bei Erforderlichkeit oder (b) auf Verlangen EDÖB. Zeitpunkt: offen
- Pflicht zur Dokumentation des Sicherheitsvorfalls und Aufbewahrung der Dokumentation während zwei Jahren nach Meldung an den EDÖB (sofern Meldung vorgenommen wird, egal ob in Erfüllung einer Pflicht oder nicht; ist allerdings nur Verordnungsrecht)
- Ansonsten sei auf die folgenden Seiten zur Verortung verwiesen:
- Verhandeln mit Erpressern: https://magazin.nzz.ch/nzz-am-sonntag/schweiz/cyberangriffe-soll-man-den-erpressern-geld-bezahlen-ld.1743005
- Darkweb und White Hat Hacking: https://www.inside-it.ch/podcast-was-ist-erlaubt-im-darkweb-20230629
6. In welchen Fällen kann eine Datenschutzverletzung zu Strafbarkeit führen?
Das nDSG sieht für verschiedene Fälle Strafsanktionen vor (siehe Text zum Aufklappen). Bis zur Grenze von CHF 50 000.– kann auch eine Unternehmensbusse resultieren (Art. 64 Abs. 2 DSG)
Im Einzelnen:
Eine Strafsanktion kann es in den folgenden Fällen geben:
- Keine, falsche oder unvollständige proaktive Information, wenn Erhebung direkt bei der betroffenen Person, und zwar sofort. Inhalt: (i) Wer, (ii) Wozu, (iii) Empfänger oder Empfängerkategorien; (iv) Zielland mit Garantien.
- Keine, falsche oder unvollständige proaktive Information, wenn Erhebung bei Dritten. 1 Monat (ausser frühere Bekanntgabe). Inhalt: (i) Wer, (ii) Was; (iii) Wozu, (iv) Empfänger oder Empfängerkategorien; (v) Zielland mit Garantien.
- Keine, falsche oder unvollständige proaktive Information bei relevanter AEFE
- Reaktive Information, die falsch oder unvollständig ist (es müssen die Informationen im Szenario «bei Dritten» sowie: (vi) Aufbewahrungsdauer; (vii) Herkunft; (viii) AEFE (Existenz und Logik) beauskunftet werden). Verspätung (nach Ablauf von 30 Tagen, ohne Meldung im Sinne von Art. 18 Abs. 2 DSV) oder «Nicht-Auskunft» ist nicht strafbar.
- Auslandsübermittlung entgegen den Voraussetzungen
- Unzureichende Einbindung von Auftragsbearbeitern: z.B.Beizug Auftragsbearbeiter ohne Sicherung der Voraussetzungen(Verwendungsbeschränkungen und Sicherheitsbestimmungen)
- Verletzung Datensicherheit, das heisst ohne Vornahme der Schutzbedarfsanalyse, technische und organisatorische Massnahmen
- Verletzung Geheimhaltung (Art. 62 DSG)
- Missachten von Verfügungen (Art. 63 nDSG)
- Identitätsdiebstahl (Art. 179decies StGB)
7. Hat der EDÖB Untersuchungsbefugnisse auch gegenüber privaten Unternehmen?
Ja. Mit dem nDSG hat der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) zusätzliche Untersuchungsbefugnisse erhalten. Sie gehen weiter als bisher und eine Untersuchung kann rascher als noch nach altem Recht eingeleitet werden («wenn genügend Anzeichen bestehen, dass eine Datenbearbeitung gegen die Datenschutzvorschriften verstossen könnte»).
Im Einzelnen:
Der EDÖB kann in den folgenden Situationen untersuchen:
- Untersuchung gegen Private auch von Amtes wegen, wenn genügend Anzeichen bestehen, dass eine Datenbearbeitung gegen die Datenschutzvorschriften verstossen könnte (Art. 49 nDSG; Ausnahme: geringfügige Verletzungen).
- Untersuchungsbefugnis als Aufsichtsbehörde gegenüber Behörden des Bundes.
Der EDÖB hat dabei die folgenden Befugnisse:
- Direktes Verfügungsrecht (Änderung, Unterbruch oder Einstellung einer Verarbeitung; Löschung von Personendaten; Information von Betroffenen; Durchführung einer DSFA usw.)
- Untersuchungsbefugnisse (Art. 50 nDSG): (a) Zugang zu Auskünften/Dokumenten; (b) Zugang zu Räumlichkeiten und Anlagen; (c) Zeugeneinvernahmen; (d) Begutachtungen durch Sachverständige.
- Verfügungskompetenz als Aufsichtsbehörde gegenüber Behörden des Bundes.
8. Welche Fristen kann man sich merken, wenn man über das nDSG spricht?
Fristen können im nDSG in verschiedenen Konstellationen relevant werden.
Im Einzelnen:
Im Sinne einer Zusammenfassung werden hier die verschiedenen Fristen des nDSG erwähnt:
- So rasch wie möglich: Data Breach Notification an EDÖB
- Angemessene Frist: Data Breach Notification an betroffene Person (ist nicht immer gefordert)
- 1 Monat: Proaktive Information nach Art. 19 Abs. 5 nDSG
- 30 Tage: Reaktive Information (Art. 25 Abs. 7 nDSG; Art. 18 DSV)
- 1 Jahr: Aufbewahrung von Logs (Art. 4 DSV)
- 2 Jahre: Aufbewahrung der Datenschutzfolgeabschätzung (Art. 14 DSV)
- 5 Jahre (nach Inkrafttreten des nDSG): Recht von Bundesbehörden zur Bekanntgabe von Daten juristischer Personen gestützt auf das RVOG (Art. 71 nDSG) besteht bis zum 31. August 2028.
- 5 Jahre: Verfolgungsverjährung (Art. 66 nDSG)
- 10 Jahre: Prüfung der Kreditwürdigkeit ist kein Rechtfertigungsgrund mehr, wenn Daten älter sind (Art. 31 Abs. 2 lit. c Ziff. 4 nDSG)
9. Welche Rechte habe ich als Person gemäss nDSG gegenüber Verantwortlichen?
Man spricht hier von den sogenannten Betroffenenrechten. Gemeint sind die Rechte, die man als betroffene Person gegenüber Verantwortlichen hat.
Im Einzelnen:
Das nDSG nennt die folgenden Betroffenenrechte:
- Recht auf Auskunft: Art. 25 nDSG
- Recht auf Berichtigung: Art. 32 Abs. 1 nDSG
- Recht auf Löschung oder Vernichtung von Personendaten: Art. 32 Abs. 2 lit. c nDSG
- Datenherausgabe oder -übertragung (Datenportabilität): Art. 28 nDSG
Zusätzlich zu nennen ist der Umstand, dass eine Verantwortliche Informationspflichten gegenüber der betroffenen Person hat:
- Proaktive Transparenz (Art. 19 nDSG), AEFE (Art. 21 nDSG)
- Data Breach Notice (Art. 24 Abs. 4 nDSG)
- Nennung der Kontaktdaten des Datenschutzberaters (Art. 10 Abs. 3 lit. d nDSG)
10. Gibt es Meldepflichten nach dem nDSG?
Ja, in verschiedenen Konstellationen schreibt das nDSG eine Meldung an den EDÖB vor.
Im Einzelnen:
Es geht um die folgenden Meldepflichten:
- Kontaktdaten des Datenschutzberaters (Art. 10 Abs. 3 lit. d nDSG): Wenn ein Unternehmen einen Datenschutzberater einsetzt, muss dieser dem EDÖB gemeldet werden, andernfalls die vom Gesetz vorgesehene Privilegierungswirkung (im Kontext der Datenschutzfolgeabschätzung, DSFA) nicht zum Tragen kommt. Es ist somit möglich, einen Datenschutzberater zu haben und ihn dem EDÖB nicht zu melden.
- Datenschutzfolgeabschätzungen (DSFA) müssen erstellt und dem EDÖB eingereicht werden, wenn nach Durchführung derselben ein Nettorisiko «hoch» verbleibt und das Unternehmen keinen Datenschutzberater bestellt hat.
- Data Breach mit hohem Risiko: Eine Verletzung der Datensicherheit ist unter Umständen dem EDÖB zu melden.
- Auslandsübermittlungen auf Basis von Datenschutzklauseln, von spezifischen Garantien oder von Binding Corporate Rules (BCR) sind dem EDÖB zu melden.
- Der Vertreter nach Art. 14 nDSG muss dem EDÖB gemeldet werden
11. Kann ich als Verantwortliche dem EDÖB für gewisse Handlungen ein Genehmigungsgesuch einreichen, damit mein Risiko nach nDSG abnimmt?
Generell ist das Datenschutzrecht ein Rechtsbereich, in dem man selbst zu Lösungen kommen muss. Ob das, was man gemacht hat, rechtmässig war, entscheidet sich erst im Nachhinein. Das ist auf den ersten Blick unbefriedigend, kann aber in der Praxis durchaus handhabbar gemacht werden. Wer nach den folgenden Faustregeln lebt, sollte sich jedenfalls Sanktionen entziehen können:
- Seinen Laden im Griff haben (Kontrollieren kann nur, wer auch versteht)
- Sag’ was du tust, tu’ was du sagst
- Sei nicht unanständig
Im Einzelnen:
Es gibt im nDSG zum Teil aber dennoch die Pflicht, Handlungen dem EDÖB zu melden, damit er sie genehmigen kann (oder die Genehmigung im Einzelfall verweigern kann). Dies ist aber eher die Ausnahme.
Zu nennen sind die folgenden Fälle:
- Zertifizierung von Systemen oder Programmen (Art. 13 nDSG)
- Standarddatenschutzklauseln müssen zum Teil genehmigt werden
- Auch unternehmensweite Datenschutzvorgaben, sog. BCR oder Binding Corporate Rules müssen genehmigt werden
- Verhaltenskodizes (Art. 11 nDSG) müssten ebenfalls genehmigt werden; ob sich dieses Instrument durchsetzt, wird man aber abwarten müssen
12. Wann muss ich einen Datenschutzberater bestellen?
Man sollte als Verantwortliche einen Datenschutzberater bestellen, wenn:
- Man für Schulung und Handhabung des Datenschutzrechts eine Anlaufstelle haben will
- Man die Resultate einer Datenschutzfolgeabschätzung nicht dem EDÖB melden will
13. Muss ich als Unternehmen ein Bearbeitungsverzeichnis erstellen?
Im Privatbereich ist ein sogenanntes Bearbeitungsverzeichnis oder Verfahrensverzeichnis (manchmal auch kurz «ROPA» für Register of Processing Activities) für kleinere Unternehmen nicht zwingend. Das Gesetz sieht eine Ausnahme für Unternehmen vor, die weniger als 250 Mitarbeitende beschäftigen und deren Datenbearbeitung ein geringes Risiko von Verletzungen der Persönlichkeit der betroffenen Personen mit sich bringt. Wir empfehlen aber in jedem Fall, diese Verzeichnisse zu erstellen, da sie eine überaus wertvolle Grundlage für die weitere Datenschutzdokumentation sind.
Im Einzelnen:
Man muss in den folgenden Fällen ein Bearbeitungsverzeichnis haben:
- Wenn man mehr als 250 Mitarbeitende beschäftigt.
- Wenn man in grossem Umfang besonders schützenswerte Personendaten bearbeitet.
- Wenn man ein Profiling mit hohem Risiko vornimmt
14. Gibt es besondere Bestimmungen zum Übergangsrecht?
Im nDSG steht kein nennenswertes Übergangsrecht.
Im Einzelnen:
Die inhaltlichen Regeln des Übergangsrechts sind wie folgt:
- Im Grundsatz gilt Folgendes: Neue Anforderungen gelten mit Inkrafttreten in der Regel sofort
- Ausnahme: hängige Verfahren; Grandfathering-Tatbestand, das heisst, das alte Recht gilt weiter
- Grandfathering: Nur bei gleichbleibendem Datenbestand und Zweck («passive Datenbestände»). «Grandfathering» bedeutet hier Folgendes: Für diese zum Beispiel keine Informationspflicht, keine Datenschutzfolgeabschätzungen und keine Pflicht zu Privacy by Design und by Default. Aber ob die Übergangsregel auch für Sicherheitsmassnahmen gilt, ist gemäss Gesetz unklar. Man muss sehen: IT-Sicherheit ist eine laufende Aufgabenstellung, man sollte kein veraltetes Sicherheitsdispositiv haben. DerStand der Technik ist mindestens einzuhalten, aber der kann sich verändern.
- Daten juristischer Personen: Behörden haben noch bis 31. August 2028 ein Bekanntgaberecht
15. Woran ist zu denken, wenn ich Auftragsdatenbearbeiter beiziehe?
Vergewissern Sie sich (bei Auswahl und Kontrolle), dass Ihr Auftragsbearbeiter die Personendaten gegen Risiko von Datensicherheits-Verletzungen angemessen schützt. Dies bedeutet, dass man Auftragsbearbeiter sorgfältig auswählen und im Blick behalten muss. Zusätzlich sollte man sich vertraglich absichern.
Im Einzelnen:
Verträge mit Auftragsdatenbearbeitern sollten die folgenden Mindestinhalte aufweisen:
- Umschreibung des Gegenstands und des Umfangs der Auftragsbearbeitung
- Weisungsgebundenheit des Auftragsbearbeiters
- Ausreichende technische und organisatorische Datensicherheits-Massnahmen müssen vorgeschrieben und idealerweise auch auf anderem Weg substantiiert sein.
- Ausreichende Regelungen in Bezug auf Unter-Auftragsbearbeiter (siehe auch Art. 7 nDSV)
- Informations-, Kooperations- und Vertraulichkeitspflichten des Auftragsbearbeiters
- Prüfrechte des Verantwortlichen (Kontrolle während der Vertragsdauer)
- Regelungen zum Schutz von Berufsgeheimnissen
- Ausreichende Regelungen zum Auslandbezug
16. Gibt es Umsetzungstipps für KMU, was Sicherheit angeht?
Sicherheit zu schaffen ist eine wichtige Aufgabenstellung. Man sollte sich hier fachkundig helfen lassen. Damit kann man dies nicht mit einer kurzen Antwort im Rahmen dieses FAQ erledigen.
17. Gibt es trotzdem gute Checklisten zur Vornahme von IT-Security?
Das Nationale Zentrum für Cybersicherheit NCSC hat Hinweise zur Datensicherheit erlassen. Diese sind allerdings eher der Anfang eines Gesprächs als die Abkürzung zum Schluss des Gesprächs über Sicherheit. Einen Einstieg bietet auch der Artikel im Swisscom B2B-Magazin über grundlegende Massnahmen zum Schutz vor Cyberattacken.
Im Einzelnen:
Die folgenden Punkte können im Sinne einer kleinen Hausapotheke für das Aufsetzen eines internen Netzwerks in einem KMU genannt werden:
- Gekapselte «single purpose»-Geräte für bestimmte Tätigkeiten (Zahlungen)
- Massnahmen zur Kapselung im Netzwerk (Weiterverbreitung verhindern)
- Backups vor Infizierung schützen
- Updates durchführen
- Nutzerrechte im Auge behalten, kontrollieren und monitoren
- Admin-Rechte: Admins sollten ausserdem das Prinzip der minimalen Rechtevergabe einhalten.
- Makros sperren
- Websites in Verdachtsverzeichnissen sperren (zum Beispiel aus abuse.ch)
- IP-Adressen sperren (siehe abuse.ch)
- Logs (Speicherdauern): Perioden auf das Maximum setzen. Oft sind die Aufbewahrungsdauern von Logs zu kurz. 90 Tage sind das Minimum, manche Logs sollten auf längere Zeit eingestellt sein.
Empfehlungen für nächste Schritte
Datensicherheit ist Voraussetzung für den Datenschutz. Damit Sie sicher arbeiten können, bietet Ihnen Swisscom vielfältige Unterstützung bei IT-Sicherheitsthemen:
• Machen Sie den kostenlosen Security-Check für eine erste Einschätzung.
•Ein umfassendes Security-Assessment deckt Schwachstellen in Ihrer Umgebung auf und liefert Lösungsansätze.
•Nehmen Sie Kontakt auf mit unseren Fachleuten für eine Beratung.