Erläuterungen zur Checkliste Datenschutzcompliance

11.03.2021 von Lukas Stoller

A. Bereich Datenbeschaffung

Was muss die Datenschutzerklärung alles beinhalten?

Als verantwortliche Person musst Du die betroffenen Personen bei einer Datenbeschaffung über die Datenverwendung informieren. Diese Informationspflicht erfüllst Du am einfachsten mit einer Datenschutzerklärung. Eine Datenschutzerklärung muss mindestens folgende Punkte enthalten:

  • die Identität und die Kontaktdaten des Verantwortlichen;

  • den Bearbeitungszweck;

  • gegebenenfalls die Empfängerinnen und Empfänger oder die Kategorien von Empfängerinnen und Empfängern, denen Personendaten bekanntgegeben werden.

In einem ersten Schritt solltest Du klären, welche Personendaten Du bei Deiner Tätigkeit erfasst. In einem zweiten Schritt musst Du beurteilen, zu welchem Zweck Du diese Daten sammelst und an welche Personen Du die Daten weitergibst. Als Hilfestellung kannst Du das Verzeichnis der Bearbeitungstätigkeiten heranziehen (vgl. Ziff. B unten).

Die gesammelten Informationen sollten anschliessend in der Datenschutzerklärung aufgeführt werden.

Wir empfehlen Dir grundsätzlich, eine umfassende Datenschutzerklärung zu erstellen und unter anderem aufzuführen:

  • von wem Du sonst noch Daten erhalten kannst;

  • wie lange Du die Daten aufbewahrst;

  • welche Rechte die betroffenen Personen haben; etc.

Du kannst Dich beispielsweise an unserer Datenschutzerklärung orientieren. Beachte aber, dass unsere Erklärung nicht zu 100 % auf Deinen Fall zugeschnitten ist und Du im Zweifelsfall den Rat eines Experten zur Hilfe ziehen solltest. Unsere Datenschutzerklärung dient lediglich als Orientierungshilfe.

Nimmst Du Deine Informationspflichten nicht korrekt wahr, kann Dir nach dem neuen Datenschutzgesetz eine Busse drohen.

Das Gesetz sieht übrigens in Art. 20 revDSG eine Reihe von Ausnahmen und Einschränkungen der Informationspflicht vor.

Was sind datenschutzfreundliche Voreinstellungen?

Die datenschutzfreundlichen Voreinstellungen (auch unter „Privacy by Default“ bekannt) musst Du beachten, wenn Du beispielsweise eine Website, einen Onlinedienst oder eine App anbietest.

Als verantwortliche Person bist Du verpflichtet, das Erfassen und Bearbeiten der Personendaten durch entsprechende Voreinstellungen auf ein Minimum zu beschränken. Deine Dienste müssen also standardmässig datenschutzfreundlich eingestellt sein. Die betroffenen Personen können die Einstellungen anschliessend selbständig nach ihren Bedürfnissen verändern, so dass mehr Daten von ihnen bearbeitet werden.

Die Botschaft zum neuen Datenschutzgesetz nennt hierzu folgendes Beispiel (vgl. Art. 7 Abs. 3 revDSG):

«Beispielsweise wäre es denkbar, dass eine Website grundsätzlich Einkäufe erlaubt, ohne dass dafür ein Benutzerprofil erstellt werden muss. Die Kunden müssen lediglich minimale Angaben wie Namen und Adresse machen. Falls die Kunden aber von weiteren Diensten dieser Website profitieren möchten, zum Beispiel vom Zugriff auf ihre gesamten Einkäufe in der Vergangenheit oder dem Anlegen von Listen mit Einkaufswünschen, müssen sie ein Benutzerprofil anlegen, wodurch auch eine umfassendere Bearbeitung ihrer Personendaten erfolgt

Was sind automatisierte Einzelentscheide?

Automatisierte Einzelentscheide sind Entscheide, die ausschliesslich auf einer automatisierten Bearbeitung der Personendaten beruhen.

Beispiel: Eine Person möchte online von einem Sonderangebot für ein Mobile-Abo profitieren. Der Vertragsschluss wird ihr verweigert mit der Begründung, dass die Bonitätsprüfung negativ ausgefallen sei. Die Voraussetzungen für den Vertragsschluss wurden durch einen Computeralgorithmus geprüft, an diesem Prozess war folglich kein Mensch beteiligt. Bei einem solchen Vorgang handelt es sich um einen automatisierten Einzelentscheid.

Setzt Du als verantwortliche Person solche Algorithmen ein, bist Du verpflichtet, die betroffene Person darüber zu informieren, wenn:

  • die vom Algorithmus getroffene Entscheidung mit einer Rechtsfolge verbunden ist; oder

  • die vom Algorithmus getroffene Entscheidung die betroffene Person erheblich beeinträchtigt.

Beantragt es die betroffene Person, musst Du ihr die Möglichkeit gewähren, ihren Standpunkt darzulegen. Die betroffene Person kann im Anschluss die Überprüfung der automatisierten Einzelentscheidung von einer natürlichen Person verlangen.

Aber aufgepasst: Art. 21 Abs. 3 revDSG enthält Ausnahmen von der Informationspflicht bei automatisierten Einzelentscheidungen.

 

B. Bereich Dokumentation

Was muss das Verzeichnis über die Bearbeitungstätigkeiten alles beinhalten?

Als verantwortliche Person musst Du neu ein Verzeichnis über die Bearbeitungstätigkeiten führen. Das Verzeichnis ist ein Teil Deiner Dokumentationspflichten und zeigt unter anderem auf, welche Datenbearbeitungen vorgenommen werden, was mit den Daten gemacht wird und an wen die Daten übermittelt werden. Das Verzeichnis muss zwingend beinhalten:

  • die Identität des Verantwortlichen;

  • den Bearbeitungszweck;

  • eine Beschreibung der Kategorien betroffener Personen und Kategorien bearbeiteter Personendaten;

  • die Kategorien der Empfängerinnen und Empfänger;

  • wenn möglich die Aufbewahrungsdauer der Personendaten oder die Kriterien zur Festlegung dieser Dauer;

  • wenn möglich eine allgemeine Beschreibung der Massnahmen zur Gewährleistung der Datensicherheit nach Art. 8 revDSG;

  • falls die Daten ins Ausland bekanntgegeben werden, die Angabe des Staates sowie die Garantien nach Art. 16 Abs. 2 revDSG.

Was ist eine Datenschutz-Folgenabschätzung (DSFA)?

Für besonders heikle Datenbearbeitungen musst Du vorgängig eine DSFA erstellen. Dies ist der Fall, wenn eine Datenbearbeitung ein hohes Risiko für die Grundrechte oder die Persönlichkeit der betroffenen Personen darstellt.

Das Vorliegen eines hohen Risikos muss anhand des Einzelfalles geprüft werden. Das revDSG führt zwei Fälle auf, die auf ein hohes Risiko hindeuten und bei deren Vorliegen eine DSFA erstellt werden muss:

  • bei der umfangreichen Bearbeitung von besonders schützenswerten Personendaten; oder

  • bei der systematischen, umfangreichen Überwachung von öffentlichen Bereichen.

Unter der DSGVO wurden Listen erarbeitet, die für konkrete Bearbeitungen eine DSFA vorsehen. Als Orientierungshilfe kannst Du bspw. die Liste der deutschen Datenschutzkonferenz (DSK) konsultieren. Bist Du danach immer noch unsicher, hilft Dir allenfalls das Prüfschema der Landesbeauftragten für den Datenschutz Niedersachsen weiter.

Mittels der DSFA wird eine Beurteilung über die Art und Weise der geplanten Datenbearbeitung vorgenommen. Folgende Fragen solltest Du in der DSFA beantworten:

  • Welche Mittel bzw. Technologien werden bei der Datenbearbeitung verwendet?

  • Was ist der genaue Zweck der Datenbearbeitung?

  • Wie lange werden die Daten aufbewahrt?

  • Welche internen oder externen Personen werden Zugriff auf diese Daten haben?

  • Welche technischen und organisatorischen Massnahmen werden zur Gewährleistung der Datensicherheit ergriffen?

Aufgrund der vorangegangenen Fragen, musst Du Überlegungen zu den möglichen negativen Folgen für die betroffenen Personen tätigen. Im Anschluss musst Du Massnahmen festlegen, damit die negativen Folgen nicht eintreten.

Wenn die Datenerhebung trotz der ergriffenen Massnahmen immer noch ein hohes Risiko darstellt, musst Du den EDÖB vorgängig um eine Stellungnahme ersuchen. Der EDÖB wird Dir dann geeignete Massnahmen zur Risikominimierung vorschlagen. Du kannst auf die Benachrichtigung des EDÖB verzichten, wenn Du einen Datenschutzberater hast, den Du in dieser Sache konsultierst (vgl. Art. 23 revDSG).

 

C. Bereich Prozesse

Wie ist das Auskunftsrecht im revDSG ausgestaltet?

Eine betroffene Person kann von Dir als verantwortliche Person Auskunft darüber verlangen, ob Daten über sie bearbeitet werden. Weiter kann sie alle Informationen herausverlangen, die erforderlich sind, um ihre Ansprüche aus dem Datenschutzgesetz geltend zu machen. Du bist verpflichtet, den betroffenen Personen folgende Auskünfte zu erteilen:

  • die Identität und die Kontaktdaten des Verantwortlichen;

  • die bearbeiteten Personendaten als solche;

  • den Bearbeitungszweck;

  • die Aufbewahrungsdauer der Personendaten als solche;

  • die verfügbaren Angaben über die Herkunft der Personendaten, soweit sie nicht bei der betroffenen Person beschafft wurden;

  • gegebenenfalls das Vorliegen einer automatisierten Einzelentscheidung sowie die Logik, auf der die Entscheidung beruht;

  • gegebenenfalls die Empfängerinnen und Empfänger oder die Kategorien von Empfängerinnen und Empfänger, denen Personendaten bekanntgegeben werden, sowie die Information nach Art. 25 Abs. 4 revDSG.

Wenn eine betroffene Person Auskunft über die Bearbeitung ihrer Daten verlangt, bist Du verpflichtet, innerhalb von 30 Tagen eine kostenlose und vollständige Auskunft zu erteilen. Hierfür solltest Du eine Stelle/Person bestimmen, die für solche Anfragen zuständig ist und die Fristen einhält.

Eine Ausnahme der Kostenlosigkeit besteht, wenn das Gesuch einen unverhältnismässigen Aufwand verursacht. Der Bundesrat wird dies in seiner Verordnung zum revDSG näher erläutern.

Was beinhaltet ein Auftragsdatenverarbeitungsvertrag?

Als verantwortliche Person bist Du verpflichtet, mit allen Auftragsbearbeitern (Subunternehmen, IT-Lieferanten etc.) sog Auftragsdatenverarbeitungsverträge, kurz ADVs, abzuschliessen. Ein ADV regelt unter anderem die Weisungsrechte und Kontrollrechte der verantwortlichen Person, die Unterstützungspflicht des Auftragsbearbeiters bei der Datenschutzcompliance und hält die vom Auftragsbearbeiter ergriffenen technischen und organisatorischen Massnahmen, kurz TOMs, fest.

Das revDSG schweigt aktuell noch betreffend dem notwendigen Inhalt des Vertrags. Allenfalls wird dieser in der Verordnung des Bundesrats näher definiert. Deshalb kannst Du die inhaltlichen Anforderungen von Art. 28 Abs. 3 lit. a – f DSGVO als Hilfestellung heranziehen.

Wenn einer Deiner Auftragsbearbeiter die Bearbeitung einem Dritten übertragen will, muss er übrigens vorgängig Deine Zustimmung einholen.

D. Bereich Datensicherheit

Was sind technische und organisatorische Massnahmen?

Wie bereits angesprochen, muss die Sicherheit von Personendaten durch die Umsetzung von sog. TOMs gewährleistet werden. Dazu ist nicht nur der Auftragsbearbeiter verpflichtet, sondern auch Du als verantwortliche Person bist in der Pflicht.

Art. 7 revDSG schreibt dazu vor, dass die TOMs angemessen sein müssen. Dies bedeutet, dass sie sich am Risiko orientieren müssen, das die Datenbearbeitung für die Persönlichkeit oder die Grundrechte der betroffenen Person darstellt. Dabei haben sie den Stand der Technik zu berücksichtigen.

Ein Beispiel dazu:

Nehmen wir an, Du führst einen Sportverein und nutzt aus Kostengründen ein veraltetes Betriebssystem, für das es keine Updates mehr gibt. Die Sicherheit ist deshalb nicht mehr lückenlos gewährleistet.

Da Deine Mitglieder auch an Wettbewerben teilnehmen, verfügst Du über umfassende Angaben über deren Gesundheit sowie über deren Körpermasse (sog. biometrische Daten).

Dies sind besonders schützenswerte Daten, deren Abhandenkommen ein grosses Risiko für die Persönlichkeit der Vereinsmitglieder darstellt. Du bist deshalb verpflichtet, Deine IT-Sicherheit auf dem neusten Stand zu halten. In einem solchen Falle müsstest Du Dein altes Betriebssystem umgehend ablösen.

Nun verpflichtet Dich das Datenschutzgesetz, die von Dir für die Datenbearbeitung eingesetzte Technologie bereits von Beginn weg datenfreundlich auszugestalten. Du hast dafür zu sorgen, dass die TOMs bereits bei der Planung eines Datenschutzvorhabens in der Technologie berücksichtigt werden. Dieses für die Schweiz neue Konzept heisst „Privacy by Design“.

Was ist ein Zugriffskonzept?

In einem Unternehmen, einer Stiftung usw. ist es nicht notwendig, dass alle Mitarbeitenden oder sonstige beteiligte Akteure Zugriff auf Personendaten haben. Deshalb solltest Du als verantwortliche Person ein Zugriffskonzept erstellen, in dem die Berechtigungen geregelt sind.

In einem ersten Schritt solltest Du Dir überlegen, welche Mitarbeitende und welche externe Personen zwingend Zugriff auf gewisse Personendaten benötigen, um ihre Aufgaben erfüllen zu können. In einem zweiten Schritt stellt sich die Frage, in welchem Umfang den einzelnen Personen Zugriff auf die benötigten Daten gewährt werden muss.

Die zugriffsberechtigten Personen werden anschliessend in einem Zugriffskonzept festgehalten. Im Zugriffkonzept sollten ebenfalls Regeln aufgestellt werden, welche die Verhinderung des unberechtigten Zugriffs sicherstellen. Das Zugriffskonzept sollte ausserdem schriftlich erstellt und den betroffenen Mitarbeitenden erklärt werden.

Die Zugriffsberechtigungen im Zugriffskonzept sollten regelmässig überprüft und bei Veränderungen entsprechend angepasst werden. Insbesondere müssen Zugriffsberechtigungen von austretenden Mitarbeitenden umgehend gesperrt bzw. gelöscht werden.

 

E. Bereich externe Ressourcen

Wann ist die Ernennung einer Datenschutzberaterin bzw. eines Datenschutzberaters hilfreich?

Als verantwortliche Person steht Dir die Möglichkeit offen, eine Person zu ernennen, welche die Rolle als Datenschutzberater/-In übernimmt. Diese Person nimmt eine beratende Funktion ein und überwacht die Einhaltung der Datenschutzvorschriften. Für die Ernennung müssen die folgenden Voraussetzungen erfüllt sein:

  • Die Datenschutzberaterin oder der Datenschutzberater übt ihre oder seine Funktion gegenüber dem Verantwortlichen fachlich unabhängig und nicht weisungsgebunden aus;

  • Sie oder er übt keine Tätigkeiten aus, die mit ihren oder seinen Aufgaben als Datenschutzberaterin oder Datenschutzberater unvereinbar sind;

  • Sie oder er verfügt über die erforderlichen Fachkenntnisse;

  • der Verantwortliche veröffentlicht die Kontaktdaten der Datenschutzberaterin oder des Datenschutzberaters und teilt diese dem EDÖB mit.

Die Ernennung einer Datenschutzberaterin oder eines Datenschutzberaters kann Dir gewisse Vorteile verschaffen. Du kannst namentlich im Falle einer DSFA von der Konsultation des EDÖB absehen.

Du kannst diese Rolle im Übrigen auch einer Mitarbeiterin bzw. einem Mitarbeiter von Dir übertragen, solange diese Person ihre Unabhängigkeit wahren kann.

Hinweis: Die obigen Ausführungen beziehen sich auf das neue Datenschutzgesetz ("revDSG"), dass im Jahr 2022 in Kraft tritt.

Ratgeber Weitere Themen

Alle Themen anzeigen
Kontakt

Schildere uns Deinen Fall. Unsere Datenschutzexpert*innen beraten Dich gerne!

Christian Mitscherlich, MLaw, Rechtsanwalt, Partner

subscribe

Melde Dich für unseren Newsletter an, um auf dem Laufenden zu bleiben!

datenschutz.law logo

Domenig & Partner
Rechtsanwälte AG
Laupenstrasse 1
Postfach
CH-3001 Bern

Tel: +41 31 380 11 00
Fax: +41 31 380 11 09

datenschutz@domenig.law
www.domenig.law

Beiträge

Gesetzgebungen

Behördeninformationen

Rechtsprechung

Ratgeber

News

Ratgeber

Datenschutz Schweiz

Datenschutz Unternehmen

Datenschutz online

Die Personendaten

Datenschutz international

Glossar

News

Gesetze

Beratung

Datenschutzerklärung

Impressum