Deine Pflichten als Verantwortlicher oder Auftragsdatenbearbeiter? – Auf dem Weg zum nDSG Teil 9

Wir haben in einem Beitrag bereits gesehen, welche Rollen eine Person bei der Datenbearbeitung einnehmen kann (zum Beitrag). Wenn klar ist, welche Rolle Du bei der Datenbearbeitung hast, ist es wichtig zu wissen, welche Pflichten mit Inkrafttreten des totalrevidierten Bundesgesetzes über den Datenschutz (revDSG) am 1. September 2023 damit einhergehen.

Du bist Verantwortlicher. Welche Pflichten musst Du erfüllen?

Als Verantwortlicher hast Du etliche datenschutzrechtliche Pflichten zu beachten. Nachfolgend haben wir Dir die wichtigsten Pflichten zusammengefasst:

1.      Bearbeitungsgrundsätze beachten

Als Verantwortlicher musst Du grundsätzlich dafür sorgen, dass bei der Datenbearbeitung die Datenschutzvorschriften, insbesondere die Bearbeitungsgrundsätze (Rechtmässigkeit, Treu und Glauben, Zweckbindung, Transparenz und Verhältnismässigkeit), eingehalten werden.

Hier erfährst Du mehr über die Grundsätze.

2.      Ergreifen von technischen und organisatorischen Massnahmen (sog. TOMs)

Als Verantwortlicher musst Du technische und organisatorische Massnahmen ergreifen, um eine dem Risiko angemessene Datensicherheit zu gewährleisten.

Diese Massnahmen müssen insbesondere dem Stand der Technik, der Art und dem Umfang der Datenbearbeitung sowie dem Risiko, das die Bearbeitung für die Persönlichkeit oder die Grundrechte der betroffenen Personen mit sich bringt, angemessen sein.

3.      Sicherstellung von datenschutzfreundlichen Voreinstellungen

Als Verantwortlicher hast Du die Pflicht, mittels geeigneter Voreinstellungen sicherzustellen, dass die Bearbeitung der Personendaten auf das für den Verwendungszweck nötige Mindestmass beschränkt ist, soweit die betroffene Person nicht etwas anderes bestimmt.

Beispiel: Du hast eine Website, auf der Einkäufe getätigt werden können. Hierfür müssen lediglich minimale Angaben wie Namen und Adresse gemacht werden. Möchten Deine Kunden von weiteren Diensten profitieren, haben sie die Möglichkeit, ein Benutzerprofil zu erstellen, wodurch eine umfassendere Bearbeitung ihrer Personendaten erfolgt.

4.      Führung eines Bearbeitungsverzeichnisses

Als Verantwortlicher bist Du verpflichtet, ein Verzeichnis Deiner Bearbeitungstätigkeiten zu führen.

Ausgenommen von dieser Pflicht sind Unternehmen mit weniger als 250 Mitarbeitenden, sofern sie nicht umfangreich besonders schützenswerte Personendaten bearbeiten oder ein Profiling mit hohem Risiko vornehmen.

Hier findest Du kompakte Informationen zur Erstellung eines Bearbeitungsverzeichnis.

5.      Informationspflicht bei der Beschaffung von Personendaten

Als Verantwortlicher musst Du die betroffene Person über die Beschaffung von Personendaten informieren. Je nach Art der bearbeiteten Daten, der Natur und dem Umfang der fraglichen Datenbearbeitung musst Du verstärkt informieren.

Werden die Daten bei der betroffenen Person beschafft, kann eine allgemeine Information genügen. Diese muss leicht zugänglich, vollständig und genügend sichtbar sein und im Zeitpunkt der Datenbeschaffung erfolgen. Wichtig ist, dass die betroffene Person die Information erhält, ohne explizit danach fragen zu müssen.

Werden die Daten hingegen nicht bei der betroffenen Person beschafft, ist es ratsam, sie aktiv darüber zu informieren – sei dies in einer geeigneten allgemeinen Form oder durch individuelle Information. Dies muss spätestens innert einem Monat, nachdem Du die Daten erhalten hast, geschehen. Gibst Du die Daten vor Ablauf diese Frist an Empfänger*innen bekannt, so musst Du die betroffene Person spätestens im Zeitpunkt der Bekanntgabe informieren.

Weitere Details zur Informationspflicht findest du hier.

6.      Datenschutz-Folgeabschätzung

Wenn eine Bearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringen kann, musst Du vorgängig eine Datenschutz-Folgenabschätzung erstellen. Das bedeutet, dass du eine Prognose machen musst, welche Folgen eine geplante Datenbearbeitung für die betroffene Person hat.

7.      Meldung von Verletzungen der Datensicherheit

Als Verantwortlicher bist Du verpflichtet, dem EDÖB so rasch als möglich eine Verletzung der Datensicherheit zu melden, die voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person führt.

In der Meldung hast Du mindestens die Art der Verletzung der Datensicherheit, deren Folgen und die ergriffenen oder vorgesehenen Massnahmen zu nennen.

Die betroffene Person musst Du dann darüber informieren, wenn es zu ihrem Schutz erforderlich ist oder der EDÖB es verlangt. Du kannst die Information an die betroffene Person jedoch einschränken, aufschieben oder darauf verzichten, wenn ein gesetzlicher Grund vorliegt oder eine gesetzliche Geheimhaltungspflicht dies verbietet, wenn die Information unmöglich ist oder einen unverhältnismässigen Aufwand erfordert, oder die Information der betroffenen Person durch eine öffentliche Bekanntmachung in vergleichbarer Weise sichergestellt ist.

Hier erfährst Du mehr über die Meldungspflicht bei Data-Breach.

8.      Pflicht zur Vertreterbestellung

Hast Du als privater Verantwortlicher Deinen Sitz im Ausland, so musst Du unter bestimmten Bedingungen einen Vertreter in der Schweiz benennen. Dieser Vertreter ist in Deinem Namen tätig und dient den Aufsichtsbehörden als Anlaufstelle.

Du bist Auftragsbearbeiter. Welche Pflichten musst Du erfüllen?

Wenn du als Auftragsbearbeiter Personendaten bearbeitest, musst du bestimmte Pflichten im Blick behalten. Nachfolgend haben wir Dir eine Übersicht über die wichtigsten Pflichten erstellt:

1.      Weisungsgebundenheit und Dokumentationspflicht

Die Rolle des Auftragsbearbeiters zeichnet sich dadurch aus, dass er nicht über die Art und den Zweck der Datenbearbeitung entscheiden darf. Er ist somit an die Weisungen der Verantwortlichen gebunden. . Damit darfst Du als Auftragsbearbeiter die Daten nur in der Art und Weise bearbeiten, wie Du beauftragt wurdest. Somit bist Du auch verpflichtet, sicherzustellen, dass alle Dir unterstellten Personen nach den Weisungen des Verantwortlichen handeln.

Die Weisungserteilung erfolgt üblicherweise mittels eines Auftragsdatenbearbeitungsvertrags, kurz: «ADV». In diesem Vertrag, der zwischen der Verantwortlichen und dem Auftragsbearbeiter geschlossen wird, werden die Modalitäten der Datenbearbeitung genau bestimmt.

2.      Genehmigungspflicht beim Beizug von Sub-Auftragsbearbeitern

Ziehst Du bei Deiner Tätigkeit Sub-Auftragsbearbeiter bei, musst Du dies vorgängig vom Verantwortlichen genehmigen lassen. Diese Genehmigung kann im Rahmen des ADV erfolgen.

3.      Ergreifen von technischen und organisatorischen Massnahmen

Du musst geeignete technische und organisatorische Massnahmen zur Gewährung eines angemessenen Schutzniveaus ergreifen.

Liegt eine besonders risikoreiche Bearbeitung vor und können die technischen und organisatorischen Massnahmen den Datenschutz nicht gewährleisten, sind der Verantwortliche und Du dazu verpflichtet, die Verarbeitung zu protokollieren und ein Bearbeitungsreglement zu führen. Dabei handelt es sich um Mindestanforderungen an die Datensicherheit. Die Missachtung dieser Vorgaben kann zu einer Busse führen.

4.      Führung eines Bearbeitungsverzeichnisses

Wie der Verantwortliche, hast auch Du die Pflicht zur Führung eines Bearbeitungsverzeichnisses über Deine Tätigkeit. Erfahre mehr über das Bearbeitungsverzeichnis.