DSV / 1. Kapitel / 1. Abschnitt: Datens… / Art. 5

1. Abschnitt: Datensicherheit

Art. 1

Grundsätze

Art. 2

Ziele

Art. 3

Technische und organisatorische Massnahmen

Art. 4

Protokollierung

Art. 5

Bearbeitungsreglement von privaten Personen

Art. 6

Bearbeitungsreglement von Bundesorganen

2. Abschnitt: Bearbeitung durch Auftragsbearbeiter

Art. 7

Bearbeitung durch Auftragsbearbeiter

3. Abschnitt: Bekanntgabe von Personendaten ins Ausland

Art. 8

Beurteilung der Angemessenheit des Datenschutzes eines Staates, eines Gebiets, eines spezifischen Sektors in einem Staat oder eines internationalen Organs

Art. 9

Datenschutzklauseln und spezifische Garantien

Art. 10

Standarddatenschutzklauseln

Art. 11

Verbindliche unternehmensinterne Datenschutzvorschriften

Art. 12

Verhaltenskodizes und Zertifizierungen

1. Abschnitt: Pflichten des Verantwortlichen

Art. 13

Modalitäten der Informationspflicht

Art. 14

Aufbewahrung der Datenschutz-Folgenabschätzung

Art. 15

Meldung von Verletzungen der Datensicherheit

1. Abschnitt: Auskunftsrecht

Art. 16

Modalitäten

Art. 17

Zuständigkeit

Art. 18

Frist

Art. 19

Ausnahme von der Kostenlosigkeit

2. Abschnitt: Recht auf Datenherausgabe oder -übertragung

Art. 20

Umfang des Anspruchs

Art. 21

Technische Anforderungen an die Umsetzung

Art. 22

Frist, Modalitäten und Zuständigkeit

1. Abschnitt: Besondere Bestimmungen zur Datenbearbeitung durch private Personen

Art. 23

Datenschutzberaterin oder Datenschutzberater

Art. 24

Ausnahme von der Pflicht zur Führung eines Verzeichnisses der Bearbeitungstätigkeiten

1. Abschnitt: Datenschutzberaterin oder -berater

Art. 25

Ernennung

Art. 26

Anforderungen und Aufgaben

Art. 27

Pflichten des Bundesorgans

Art. 28

Anlaufstelle des EDÖB

2. Abschnitt: Informationspflichten

Art. 29

Informationspflicht bei der Bekanntgabe von Personendaten

Art. 30

Informationspflicht bei der systematischen Beschaffung von Personendaten

3. Abschnitt: Meldung der Projekte zur automatisierten Bearbeitung von Personendaten an den EDÖB

Art. 31

Meldung der Projekte zur automatisierten Bearbeitung von Personendaten an den EDÖB

4. Abschnitt: Pilotversuche

Art. 32

Unentbehrlichkeit des Pilotversuchs

Art. 33

Verfahren bei der Bewilligung des Pilotversuchs

Art. 34

Evaluationsbericht

5. Abschnitt: Datenbearbeitung für nicht personenbezogene Zweck

Art. 35

Datenbearbeitung für nicht personenbezogene Zweck

Abschnitt 1: Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter

Art. 36

Sitz und ständiges Sekretariat

Art. 37

Kommunikationsweg

Art. 38

Mitteilung von Entscheiden, Richtlinien und Projekten

Art. 39

Bearbeitung von Personendaten

Art. 40

Selbstkontrolle

Art. 41

Zusammenarbeit mit dem NCSC

Art. 42

Art. 43

Verhaltenskodizes

Art. 44

Gebühren

1. Abschnitt: Schlussbestimmungen

Art. 45

Aufhebung und Änderung anderer Erlasse

Art. 46

Übergangsbestimmungen

Art. 47

Inkrafttreten

Anhang 1

Staaten, Gebiete, spezifische Sektoren in einem Staat und internationale Organe mit einem angemessenen Datenschutz

DSV

1. Kapitel: Allgemeine Bestimmungen

Artikel

zurück zu
Art. 4

weiter zu
Art. 6

1. Kapitel: Allgemeine Bestimmungen

Art. 5 Bearbeitungsreglement von privaten Personen

Der private Verantwortliche und sein privater Auftragsbearbeiter müssen ein Reglement für automatisierte Bearbeitungen erstellen, wenn sie:
1. besonders schützenswerte Personendaten in grossem Umfang bearbeiten; oder
2. ein Profiling mit hohem Risiko durchführen.
Das Reglement muss insbesondere Angaben zur internen Organisation, zum Datenbearbeitungs- und Kontrollverfahren sowie zu den Massnahmen zur Gewährleistung der Datensicherheit enthalten.
Der private Verantwortliche und sein privater Auftragsbearbeiter müssen das Reglement regelmässig aktualisieren. Wurde eine Datenschutzberaterin oder ein Datenschutzberater ernannt, so muss dieser oder diesem das Reglement zur Verfügung gestellt werden.

zurück zu
Art. 4

weiter zu
Art. 6

Erläuternder Bericht

Ein Bearbeitungsreglement erstellen musste der “Inhaber einer meldepflichtigen automatisierten Datensammlung” nach Artikel 11a Absatz 3 DSG, der nicht aufgrund von Artikel 11a Absatz 5 Buchstaben b – d DSG von der Pflicht, seine Datensammlungen anzumelden, ausgenommen war (Art. 11 Abs. 1 VDSG). Da die Meldepflicht für private Verantwortliche (Art. 11a DSG) im nDSG nicht mehr besteht, kann Artikel 11 VDSG nicht unverändert übernommen werden. Gemäss dem in der DSGVO vorgesehenen Grundsatz der Rechenschaftspflicht oder “accountability” muss der Verantwortliche die Einhaltung der Grundsätze der Datenbearbeitung nachweisen können (Art. 5 Abs. 2 DSGVO). Das Schweizer Recht kennt keine allgemeine Rechenschaftspflicht oder “accountability”, aber die Pflicht zur Erstellung eines Bearbeitungsreglements erfüllt denselben Zweck.

Die Pflicht zur Erstellung eines Bearbeitungsreglements obliegt dem Verantwortlichen sowie dessen Auftragsbearbeiter. Private Auftragsbearbeiter, die im Auftrag von Bundesorganen handeln, fallen unter Artikel 6. Sollte ausnahmsweise einmal ein Bundesorgan als Auftragsbearbeiter eines privaten Verantwortlichen handeln, fällt es nicht unter Artikel 5, wo nur private Auftragsbearbeiter erfasst werden, sondern unter den strengeren Artikel 6. Das rechtfertigt sich durch die besondere Stellung und Verantwortung, die sich aus der Rechtsnatur des Bundesorgans ergibt. Die Bearbeitungsreglemente sind separat zu erstellen.

Entsprechend dem risikobasierten Ansatz der Vorgabe der Datensicherheit soll ein Bearbeitungsreglement immer dann erstellt werden, wenn ein erhöhtes Risiko vorliegt. So müssen private Verantwortliche ein Bearbeitungsreglement für automatisierte Bearbeitungen erstellen, wenn sie besonders schützenswerte Personendaten in grossem Umfang bearbeiten (Bst. a) oder ein Profiling mit hohem Risiko durchführen (Bst. b). Buchstabe a entspricht der Vorgabe in Artikel 22 Absatz 2 Buchstabe a nDSG und bezieht sich auf die Bearbeitung von besonders schützenswerten Personendaten in grossem Umfang. Ausgeschlossen werden damit Fälle, in denen besonders schützenswerte Personen nur vereinzelt bearbeitet werden. Viele Unternehmen, insbesondere “traditionelle” KMU, nehmen keine solche Bearbeitungen vor. Sie sind somit von dieser Bestimmung nicht betroffen.

Absatz 2 enthält eine Auflistung der Inhalte, die im Bearbeitungsreglement mindestens angegeben werden müssen. Die Inhalte wurden von Artikel 11 Absatz 1 bzw. Artikel 21 Absatz 2 VDSG in leicht angepasster Form übernommen und ergänzt. Wie bis anhin ist das Bearbeitungsreglement als eine Dokumentation oder ein Handbuch auszugestalten und sollte dem Verantwortlichen auch dazu dienen.

Wie bisher müssen der private Verantwortliche und Auftragsbearbeiter im Bearbeitungsreglement die interne Organisation beschreiben. Dazu gehört auch die Umschreibung der Architektur und der Funktionsweise der Systeme.

Absatz 2 legt fest, dass die Datenbearbeitungsverfahren, d. h. insbesondere die Verfahren zum Speichern, Berichtigen, Bekanntgeben, Aufbewahren, Archivieren, Pseudonymisieren, Anonymisieren, Löschen oder Vernichten der Daten, im Bearbeitungsreglement enthalten sein müssen. Dazu gehören auch Massnahmen zur Datenminimierung. Der Grundsatz der Datenminimierung ist ein zentraler Grundsatz des Datenschutzes und geht, wie der Botschaft DSG vom 15. September 2017 zu entnehmen ist , implizit aus dem Grundsatz der Verhältnismässigkeit gemäss Artikel 6 Absatz 2 nDSG hervor. Es soll insbesondere festgehalten werden, welche Datenbearbeitungsverfahren vorgenommen werden und wie diese ablaufen. Das Reglement muss auch das Verfahren zur Ausübung des Auskunftsrechts und des Rechts auf Datenherausgabe oder ‑übertragung enthalten. Die Kontrollverfahren müssen es ermöglichen, die Zugriffsberechtigungen, die Art und den Umfang des Zugriffs festzustellen. Schliesslich ist es von entscheidender Bedeutung, dass das Bearbeitungsreglement auch die technischen und organisatorischen Massnahmen zur Gewährleistung der angemessenen Datensicherheit umfasst. So ist etwa anzugeben, mit welchen Massnahmen den Schutzzielen nach Artikel 2 Rechnung getragen wird. Die Angaben sollten auch Aufschluss über die Konfiguration der Informatikmittel geben, da es sich dabei um eine technische Massnahme handelt. Der bisherige Artikel 21 Absatz 2 Buchstabe h VDSG, der die Konfiguration der Informatikmittel noch ausdrücklich nennt, wurde deshalb nicht übernommen. Es ist dabei ausreichend, dass die wichtigsten Grundkonfigurationen der Informatikmittel im Bearbeitungsreglement erläutert werden. Sie müssen aber nicht bis in die technischen Details ausgeführt werden.

Absatz 3 stellt eine Übernahme von Artikel 11 Absatz 2 VDSG dar. Im Vergleich zum geltenden Recht wurde auf die Ergänzung, dass das Bearbeitungsreglement der Beraterin oder dem Berater in einer für diese oder diesen verständlichen Form zur Verfügung zu stellen ist, verzichtet. Da die Beraterin oder der Berater selbst an der Erstellung des Reglements mitwirkt, ist dieses für sie oder ihn in aller Regel auch verständlich. Die Verpflichtung, dass das Bearbeitungsreglement auch dem Beauftragten auf Anfrage zur Verfügung zu stellen ist, wurde gestrichen. Analog zum Verzeichnis der Bearbeitungstätigkeiten kann der EDÖB dieses aber im Rahmen einer Untersuchung herausverlangen (Art. 50 Abs. 1 Bst. a nDSG).