Neues Datenschutzgesetz

Neues Datenschutzgesetz

Workshop

Ablauf

 Wo spielt bei Ihnen Datenschutz eine Rolle?

 Hintergrund und Entwicklung

 DSGVO

 Einige Grundbegriffe und Grundsätze

 Konkrete Themen

 Bearbeitungsverzeichnis

 Datenschutzerklärung

 Auftragsbearbeitungsvertrag

 Nach Wunsch: Q&A oder Bekanntgabe ins Ausland

Haben Sie Fragen für Q&A?

https://padlet.com/appsmiwi/rqluo8bgmdtzsqmc

Wo spielt bei Ihnen Datenschutz eine Rolle?

www.padlet.com/appsmiwi/22uf2doptgcjaf22

DSG Revision

DSG Revision: Hintergrund und Entwicklung

 DSG von 1992

 DSGVO

 Verabschiedung neues DSG: September 2020

 Juni 2021: Vernehmlassung Entwurf VDSG

 Inkrafttreten revDSG/revVDSG: 2. Hälfte 2022 / 2023??

 Keine Übergangsfrist vorgesehen!

Anwendbares Recht:

DSGVO anwendbar?

DSGVO anwendbar?

Hier nur so viel:

Anwendbarkeit auch auf viele Schweizer Unternehmen (Art. 3 Abs.

1 und 2 DSGVO), bspw.

 EU-Niederlassung (Verarbeitung veranlasst oder vorgenommen durch in der EU niedergelassenen Verantwortlichen oder Auftragsverarbeiter)

 Betroffene Personen mit Aufenthalt in der EU, wenn Verarbeitung im Zusammenhang

 Angebot von Waren und Dienstleistungen an betroffene Personen in der EU;

 Beobachtung von Verhalten der betroffenen Personen, das in der EU erfolgt.

Beispiele …

revDSG

 Neue Befugnisse des EDÖB

 Zivilrechtliche Klagen wegen Persönlichkeitsverletzung (neu:

Kostenlos)

 Strafrechtline Sanktionen

Strafrechtliche Sanktionen

 Was ist strafbar?

 Verletzung der Informationspflicht (Art. 19 Abs. 1, 19 Abs. 2 und 21 Abs. 1 revDSG) oder des Auskunftsrechts (Art. 25 revDSG)

 Verletzung der Sorgfaltspflichten

 Verstösse beim Transfer ins Ausland (Art. 16 Abs. 1 und 2 revDSG)

 Übergabe der Auftragsverarbeitung, ohne dass

Voraussetzungen Art. 9 Abs. 1 und 2 revDSG erfüllt sind – bspw. wenn Treuhänder Auftragsbearbeitungen für ihre Klienten vornehmen

 Nichteinhaltung der Mindestanforderungen an die Datensicherheit, welche der Bundesrat erlassen wird

 Verletzung Berufsgeheimnis (allgemein betreffend «geheime Personendaten») Berufsgeheimnis bspw. für Treuhänder (auch ausserhalb von Vorschriften von Berufsverbänden)

 Missachten von Verfügungen des EDÖB

Einige Grundbegriffe im revDSG

Grundbegriffe

Personendaten

 Derzeit: „Alle Angaben, die sich auf eine bestimmte oder

bestimmbare natürliche oder juristische Person beziehen„ (Art. 3 lit. a DSG)

 Art. 5 lit. a revDSG: «alle Angaben, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen“

Unterschied?

Grundbegriffe

Personendaten

 Angaben

 Informationen

 Bezug zu Person

 Bestimmt

 Bestimmbar

 Bestimmbarkeit (Herstellung des Bezugs zu einer bestimmbaren Person)

 Wer muss diesen Bezug herstellen können?

 Reicht es, dass irgendwer diesen Bezug herstellen kann? (absolut)

 Muss der Bezug durch den Datenbearbeiter hergestellt werden können?

(relativ)

 Was ist der Massstab? «Es liegt dann keine Bestimmbarkeit vor, wenn der Aufwand hierfür so gross ist, dass nach der allgemeinen Lebenserfahrung nicht damit gerechnet werden muss, dass der interessierte Bearbeiter diesen Aufwand auf sich nehmen wird.“ (BGE 136 II 514, E.3.2.)

Beispiele …

Grundbegriffe

Bearbeiten

 Jeder Umgang mit Personendaten, insbesondere Beschaffen, Aufbewahren, Verwenden, Umarbeiten, Bekanntgeben, Archivieren oder Vernichten von Daten (Art. 3 lit. e DSG)

 (Art. 5 lit. d revDSG: «jeder Umgang mit Personendaten, unabhängig von den angewandten Mitteln und Verfahren, insbesondere das Beschaffen, Speichern, Aufbewahren, Verwenden, Verändern, Bekanntgeben, Archivieren, Löschen oder Vernichten von Daten“)

Grundbegriffe

Verantwortlicher vs. Auftragsbearbeiter (Art. 5 lit. j und k revDSG)

 Verantwortlicher:“Person (…), die (…) allein oder zusammen mit anderen über den Zweck und die Mittel der Bearbeitung entscheidet“

 Es kann mehrere Verantwortliche geben

 Auftragsbearbeiter:„Person (…), die (…) im Auftrag des Verantwortlichen Personendaten bearbeitet“

Beispiele …

Grundsätze

Grundsätze

Rechtmässigkeit Treu und Glauben Verhältnismässigkeit Zweckbindung Erkennbarkeit Datenrichtigkeit Datensicherheit Datenschutz

basierend auf Folien DSB ZH

Ausserdem

• Art. 328b OR: Pflichten des Arbeitgebers bei der Bearbeitung von Personendaten (jetzige Fassung)

„Der Arbeitgeber darf Daten über den Arbeitnehmer nur bearbeiten, soweit sie dessen Eignung für das Arbeitsverhältnis betreffen oder zur Durchführung des Arbeitsvertrages erforderlich sind. Im Übrigen gelten die Bestimmungen des Bundesgesetzes vom (…) über den Datenschutz“ (Art. 328b OR).

Beispiele

Konkrete Themen …

Beispiele von Pflichten

 Bearbeitungsverzeichnis

 Informationspflicht

 Pflichten bei Auftragsbearbeitung, insbesondere Auftragsbearbeitungsvertrag

 Übermittlung ins Ausland (sog. Auslandtransfer), insbesondere EU Standard Contractual Clauses

Verzeichnis der Bearbeitungstätigkeiten

Verzeichnis der Bearbeitungstätigkeiten (Art. 12 revDSG)

 Pflicht: Führen eines Verzeichnisses der Bearbeitungstätigkeiten

 Für eigene Bearbeitungen

 Für Auftragsbearbeitungen

 Keine Dokumentationspflicht resp. Rechenschaftspflicht wie in DSGVO

 E-VDSG sieht Ausnahmen für Unternehmen mit weniger als 250 MA vorsehen, sofern Datenbearbeitung ein geringes Risiko von Persönlichkeitsverletzungen betr. Personen mit sich bringt

 Unabhängig von Pflicht: Wichtiges Werkzeug für Aktivitäten im Bereich Datenschutz

Verzeichnis der Bearbeitungstätigkeiten (Art. 12 revDSG)

 Inhalt des Verzeichnisses Verantwortlicher (mindestens): Art. 12 Abs. 2 revDSG

 Identität des Verantwortlichen

 Zweck

 Kategorien von Betroffenen, Personendaten und Empfängern

 Aufbewahrungsdauer oder Kriterien

 Beschreibung Massnahmen Datensicherheit

 Bei Bekanntgabe ins Ausland: Zielland sowie Garantien

 Inhalt Verzeichnis Auftragsverarbeiter: Art. 12 Abs. 3 revDSG

Simples Beispiel: Excel-Sheet …

Informationspflicht / Datenschutzerklärungen

Allgemeine Informationspflicht (Art. 19 revDSG)

 Neu: Es wird eine generelle Informationspflicht bei

«Beschaffung» eingeführt

 Erforderlich ist eine angemesseneInformation der betroffenen Person

 Grundgedanke: Verbesserung der Transparenz

 Grundsatz: «Informationen, die erforderlich sind, damit sie ihre Rechte nach diesem Gesetz geltend machen kann und eine transparente Datenbearbeitung gewährleistet ist»

 Datenschutzerklärung gewinnt an Wichtigkeit

Allgemeine Informationspflicht (Art. 19 revDSG)

 Mindestinhalt gemäss Art. 19 Abs. 2 DSG (geringer als DSGVO)

 Identität und Kontakt Verantwortlicher

 Bearbeitungszweck

 Empfänger (falls vorhanden)

 Bei Beschaffung über Dritte: Kategorien der Personendaten

 Auslandtransfer: Garantien und konkretes (!) Zielland (strenger als DSGVO!)

 Hinweis auf DS-Berater oder auf Vertretung gemäss Art. 14

Beispiel: Beginnen Sie den Entwurf einer kurzen Datenschutzerklärung

Auftragsbearbeitung, insb.

Auftragsbearbeitungsverträge

Auftragsbearbeitung (Art. 9 revDSG)

 Wann liegt aber eine Auftragsbearbeitung vor?

 Verantwortlicher: siehe vorne

 Es kann mehrere Verantwortliche geben

 Auftragsbearbeiter: siehe vorne

 Hat u.a. Einfluss auf

 Umfang Informationspflichten;

 Stellung/Pflichten bei Auskunftsbegehren;

 Abschluss eines Vertrags betr. Auftragsbearbeitung

Auftragsbearbeitung (Art. 9 revDSG)

 Auslagerung ist ähnlich wie bisher zulässig, wenn

 Übertragung durch Vertrag (oder Gesetz) erfolgt

 Auftragnehmer Daten bearbeitet wie Verantwortlicher

 Keine Geheimhaltungspflicht entgegensteht

 Datensicherheit gewährleistet ist (regelmässige Kontrolle)

 Neu: Unterauftragnehmer dürfen nur mit vorgängiger Genehmigung des Verantwortlichen beigezogen werden

 Empfehlenswert bei Verletzungen der Datensicherheit:

 Meldepflicht bei Verletzungen der Datensicherheit (oder dringendem Verdacht)

 Unterstützungspflichten bei gesetzlich vorgesehener Meldung an Behörden und Private

Beispiel: Lesen Sie den verteilten

Auftragsverarbeitungsvertrag (unter DSGVO) und finden Sie heikle/unzulässige Punkte …

Gehen Sie dabei davon aus, dass Sie Auftraggeberin sind

Bekanntgabe ins Ausland

Bekanntgabe ins Ausland (Art. 16 f. revDSG)

 Bekanntgabe in Staaten mit angemessenem Schutz ohne weiteres möglich

 Bundesrat stellt verbindlich fest, welche Staaten «angemessenen Schutz» gewährleisten (Anhang zu E-VDSG)

 In übriges Ausland Transfer nur mit zusätzlichen «Garantien»

 Individuelle Vertragsklauseln (dem EDÖB vorgängig mitgeteilt)

 Standarddatenschutzklauseln (durch EDÖB genehmigt, ausgestellt oder anerkannt)

 Binding Corporate Rules

 Oder ohne „Garantien“

 Einwilligung der betroffenen Person

 Vertragszusammenhang

 Wahrung öffentlicher oder lebenswichtiger Interessen

Bekanntgabe ins Ausland (Art. 16 f. revDSG)

 Andernfalls Gewährleistung angemessenen Datenschutzes wie in Art. 16 Abs. 2 revDSG festgelegt, bspw.

 Ausnahmen gemäss Art. 17 revDSG, bspw.

Bekanntgabe ins Ausland: Jetzige Situation

- Webseite EDÖB betr. Transfers ins Ausland:

-

https://www.edoeb.admin.ch/edoeb/de/home/datenschutz/hand el-und-wirtschaft/uebermittlung-ins-ausland.html#-2053327153

41

Bekanntgabe ins Ausland: Jetzige Situation

Ferner: Anleitung für die Prüfung der Zulässigkeit von

Datenübermittlungen mit Auslandbezug (nach Art. 6 Abs. 2 lit. a DSG) (Juni 2021)

 Exporteur ist verantwortlich

 Wenn auf Staatenliste EDÖB, darf darauf verlassen (ausgenommen anderweitige Anhaltspunkte im Einzelfall und Pflicht zur periodischen Überprüfung)

 Falls nicht als «sicher» auf Staatenliste (oder Schutz greift im konkreten Fall nicht)

 Detaillierte Erfassung Export

 Vier Garantien prüfen mit Blick auf behördliche Zugriffe (Legalitätsprinzip,

Verhältnismässigkeit der Befugnisse und Massnahmen, Rechtsmittel, Rechtsweggarantie und Zugang zu unabhängigem und unparteiischen Gericht)

 Falls vier Garantien erfüllt: Standardvertragsklauseln («eventuell» mit weiteren Massnahmen

 Wenn nicht erfüllt: weitere vertragliche und/oder technische Schutzmassnahmen

Bekanntgabe ins Ausland: Jetzige Situation

 Ausgangssituation: Bekanntgabe zulässig, wenn angemessenes Datenschutzniveau durch hinreichende Garantien, insbesondere durch Vertrag (Art. 6 Abs. 2 lit. a DSG) gewährleistet wird

 Meldepflicht an EDÖB vereinfacht, wenn anerkannte Musterverträge oder vom EDÖB anerkannte Standardvertragsklauseln

 Bisher anerkannt:

 Alte EU Standardvertragsklauseln

 Swiss Transborder Data Flow Agreement (for outsourcing of data processing) von November

 2013;

 Mustervertrag des Europarats für die Sicherstellung eines angemessenen Datenschutzes im Rahmen des grenzüberschreitenden Datenverkehrs

 Grundsatz: Neuanmeldungen nicht mehr möglich; bestehende müssen bis 1.1.23 ersetzt werden

43

Bekanntgabe ins Ausland: Jetzige Situation

 Neue SCC (standard contractual clauses) der EU

 EDÖB anerkennt diese (mit dem Vorbehalt, dass sie im konkreten Anwendungsfall nötigerweise angepasst und/oder ergänzt werden)

 Notwendige Anpassungen und Ergänzungen «für eine Verwendung unter Schweizer Datenschutzrecht» gemäss Ziff. 4 der Anleitung müssen vorgenommen werden

 Sofern Bekanntgabe nur dem DSG untersteht, Anpassungen bspw. in einem Anhang

 Sofern Bekanntgabe dem DSG und der DSGVO untersteht

 Separate SCC oder

 Vorsehen, dass DSGVO insgesamt gelte (bspw. mit ergänzendem Anhang)

Bekanntgabe ins Ausland: Jetzige Situation

EU Standard Contractual Clauses (SCC) (auf Moodle)

 Teils gemeinsame Vorschriften

 4 unterschiedliche Module

 Übermittlung zwischen Verantwortlichen (Modul 1)

 Übermittlung zwischen Verantwortlichen und Auftragsbearbeiter (Modul 2)

 Übermittlung von Auftragsbearbeiter zu Auftragsbearbeiter (Modul 3)

 Übermittlung von Auftragsbearbeiter zu Verantwortlichem (Modul 4)

 Anwendbares Modul auswählen

 Auch bei diesen Klauseln prüfen, ob zusätzliche Massnahmen erforderlich sind

 Für Private und Behörden

 Können nicht geändert werden / dürfen aber Teil eines grösseren Vertragswerks sein

45

Beispiel EU Standard Contractual Clauses …

Beispiele weiterer Pflichten resp. Auswirkungen des revDSG

Beispiele weiterer Pflichten / Auswirkungen

 Recht auf Herausgabe oder Übertragung

 Pflicht zur Benennung einer Vertretung in gewissen Fällen

 Auswirkungen auf Löschung

 Datenschutzfolgenabschätzung

 Privacy by Design / Privacy by Default

Abschluss

 Welche Rechtsordnung/en ist/sind anwendbar? Kommt die DSGVO (ebenfalls) zur Anwendung?

 Werden Personendaten bearbeitet? Bearbeitungsverzeichnis resp. Kenntnis der Bearbeitungen

 Was ist «gegen aussen» sichtbar?

 Datenschutzerklärung (pot. Strafbarkeit wg.

Informationspflicht)

 Verträge (generell bei Auftragsbearbeitungen und v.a. bei Auslandstransfer; identifizieren und ev. anpassen) (pot.

Strafbarkeit)

 Auslandtransfers prüfen

 Prozesse prüfen oder einführen / dokumentieren zur Sicherstellung der Compliance und Prävention von Fehlern, bspw.

 Beantwortung und Bearbeitung Betroffenenrechte, insbesondere Auskunftsrecht (pot. Strafbarkeit) und Löschung

 Datenschutzfolgenabschätzungen

 Meldung von Verletzungen der Datensicherheit (pot. Strafbarkeit)

 Datensicherheit: Technische und organisatorische Massnahmen

 Wird anwendbares Recht materiell eingehalten, insbesondere: Werden die Grundsätze eingehalten? Keine Bearbeitung gegen den ausdrücklichen Willen? Keine Bekanntgabe von besonders schützenswerten

Personendaten an Dritte? Sonst: Rechtfertigungsgründe?

 Weisungen an / Sensibilisierung / Schulung von Mitarbeitenden?

 Priorisierung?

 Datenschutzberater?

Newsletter zur DSG-Revision

 Bisherige Newsletter

 Überblick (Mai 2021)

(https://probstpartner.ch/images/aktuelles/NL_Datenschutz_Mai_20 21.pdf)

 Wie umsetzen (Juni 2021)(https://swissdataprotectionlaw.ch/wp- content/uploads/2021/06/NL-Datenschutz-Juni-2021-

Umsetzung.pdf)

 Datenschutzerklärungen (Juli 2021)

(https://www.probstpartner.ch/images/NL_Datenschutz_Juli_2021_

-_Datenschutzerkl%C3%A4rungen.pdf)

 Aufnahme in Verteilerliste: E-Mail an info@probstpartner.ch

Kontakt

Dr. iur. Michael Widmer, LL.M.

Rechtsanwalt Probst Partner AG Bahnhofplatz 18 8400 Winterthur +41 (0) 52 269 1400

michael.widmer@probstpartner.ch