Neues Datenschutzgesetz
Workshop
Ablauf
Wo spielt bei Ihnen Datenschutz eine Rolle?
Hintergrund und Entwicklung
DSGVO
Einige Grundbegriffe und Grundsätze
Konkrete Themen
Bearbeitungsverzeichnis
Datenschutzerklärung
Auftragsbearbeitungsvertrag
Nach Wunsch: Q&A oder Bekanntgabe ins Ausland
Haben Sie Fragen für Q&A?
https://padlet.com/appsmiwi/rqluo8bgmdtzsqmc
Wo spielt bei Ihnen Datenschutz eine Rolle?
www.padlet.com/appsmiwi/22uf2doptgcjaf22
DSG Revision
DSG Revision: Hintergrund und Entwicklung
DSG von 1992
DSGVO
Verabschiedung neues DSG: September 2020
Juni 2021: Vernehmlassung Entwurf VDSG
Inkrafttreten revDSG/revVDSG: 2. Hälfte 2022 / 2023??
Keine Übergangsfrist vorgesehen!
Anwendbares Recht:
DSGVO anwendbar?
DSGVO anwendbar?
Hier nur so viel:
Anwendbarkeit auch auf viele Schweizer Unternehmen (Art. 3 Abs.
1 und 2 DSGVO), bspw.
EU-Niederlassung (Verarbeitung veranlasst oder vorgenommen durch in der EU niedergelassenen Verantwortlichen oder Auftragsverarbeiter)
Betroffene Personen mit Aufenthalt in der EU, wenn Verarbeitung im Zusammenhang
Angebot von Waren und Dienstleistungen an betroffene Personen in der EU;
Beobachtung von Verhalten der betroffenen Personen, das in der EU erfolgt.
Beispiele …
revDSG
Neue Befugnisse des EDÖB
Zivilrechtliche Klagen wegen Persönlichkeitsverletzung (neu:
Kostenlos)
Strafrechtline Sanktionen
Strafrechtliche Sanktionen
Was ist strafbar?
Verletzung der Informationspflicht (Art. 19 Abs. 1, 19 Abs. 2 und 21 Abs. 1 revDSG) oder des Auskunftsrechts (Art. 25 revDSG)
Verletzung der Sorgfaltspflichten
Verstösse beim Transfer ins Ausland (Art. 16 Abs. 1 und 2 revDSG)
Übergabe der Auftragsverarbeitung, ohne dass
Voraussetzungen Art. 9 Abs. 1 und 2 revDSG erfüllt sind – bspw. wenn Treuhänder Auftragsbearbeitungen für ihre Klienten vornehmen
Nichteinhaltung der Mindestanforderungen an die Datensicherheit, welche der Bundesrat erlassen wird
Verletzung Berufsgeheimnis (allgemein betreffend «geheime Personendaten») Berufsgeheimnis bspw. für Treuhänder (auch ausserhalb von Vorschriften von Berufsverbänden)
Missachten von Verfügungen des EDÖB
Einige Grundbegriffe im revDSG
Grundbegriffe
Personendaten
Derzeit: „Alle Angaben, die sich auf eine bestimmte oder
bestimmbare natürliche oder juristische Person beziehen„ (Art. 3 lit. a DSG)
Art. 5 lit. a revDSG: «alle Angaben, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen“
Unterschied?
Grundbegriffe
Personendaten
Angaben
Informationen
Bezug zu Person
Bestimmt
Bestimmbar
Bestimmbarkeit (Herstellung des Bezugs zu einer bestimmbaren Person)
Wer muss diesen Bezug herstellen können?
Reicht es, dass irgendwer diesen Bezug herstellen kann? (absolut)
Muss der Bezug durch den Datenbearbeiter hergestellt werden können?
(relativ)
Was ist der Massstab? «Es liegt dann keine Bestimmbarkeit vor, wenn der Aufwand hierfür so gross ist, dass nach der allgemeinen Lebenserfahrung nicht damit gerechnet werden muss, dass der interessierte Bearbeiter diesen Aufwand auf sich nehmen wird.“ (BGE 136 II 514, E.3.2.)
Beispiele …
Grundbegriffe
Bearbeiten
Jeder Umgang mit Personendaten, insbesondere Beschaffen, Aufbewahren, Verwenden, Umarbeiten, Bekanntgeben, Archivieren oder Vernichten von Daten (Art. 3 lit. e DSG)
(Art. 5 lit. d revDSG: «jeder Umgang mit Personendaten, unabhängig von den angewandten Mitteln und Verfahren, insbesondere das Beschaffen, Speichern, Aufbewahren, Verwenden, Verändern, Bekanntgeben, Archivieren, Löschen oder Vernichten von Daten“)
Grundbegriffe
Verantwortlicher vs. Auftragsbearbeiter (Art. 5 lit. j und k revDSG)
Verantwortlicher:“Person (…), die (…) allein oder zusammen mit anderen über den Zweck und die Mittel der Bearbeitung entscheidet“
Es kann mehrere Verantwortliche geben
Auftragsbearbeiter:„Person (…), die (…) im Auftrag des Verantwortlichen Personendaten bearbeitet“
Beispiele …
Grundsätze
Grundsätze
Rechtmässigkeit Treu und Glauben Verhältnismässigkeit Zweckbindung Erkennbarkeit Datenrichtigkeit Datensicherheit Datenschutz
basierend auf Folien DSB ZH
Ausserdem
• Art. 328b OR: Pflichten des Arbeitgebers bei der Bearbeitung von Personendaten (jetzige Fassung)
„Der Arbeitgeber darf Daten über den Arbeitnehmer nur bearbeiten, soweit sie dessen Eignung für das Arbeitsverhältnis betreffen oder zur Durchführung des Arbeitsvertrages erforderlich sind. Im Übrigen gelten die Bestimmungen des Bundesgesetzes vom (…) über den Datenschutz“ (Art. 328b OR).
Beispiele
Konkrete Themen …
Beispiele von Pflichten
Bearbeitungsverzeichnis
Informationspflicht
Pflichten bei Auftragsbearbeitung, insbesondere Auftragsbearbeitungsvertrag
Übermittlung ins Ausland (sog. Auslandtransfer), insbesondere EU Standard Contractual Clauses
Verzeichnis der Bearbeitungstätigkeiten
Verzeichnis der Bearbeitungstätigkeiten (Art. 12 revDSG)
Pflicht: Führen eines Verzeichnisses der Bearbeitungstätigkeiten
Für eigene Bearbeitungen
Für Auftragsbearbeitungen
Keine Dokumentationspflicht resp. Rechenschaftspflicht wie in DSGVO
E-VDSG sieht Ausnahmen für Unternehmen mit weniger als 250 MA vorsehen, sofern Datenbearbeitung ein geringes Risiko von Persönlichkeitsverletzungen betr. Personen mit sich bringt
Unabhängig von Pflicht: Wichtiges Werkzeug für Aktivitäten im Bereich Datenschutz
Verzeichnis der Bearbeitungstätigkeiten (Art. 12 revDSG)
Inhalt des Verzeichnisses Verantwortlicher (mindestens): Art. 12 Abs. 2 revDSG
Identität des Verantwortlichen
Zweck
Kategorien von Betroffenen, Personendaten und Empfängern
Aufbewahrungsdauer oder Kriterien
Beschreibung Massnahmen Datensicherheit
Bei Bekanntgabe ins Ausland: Zielland sowie Garantien
Inhalt Verzeichnis Auftragsverarbeiter: Art. 12 Abs. 3 revDSG
Simples Beispiel: Excel-Sheet …
Informationspflicht / Datenschutzerklärungen
Allgemeine Informationspflicht (Art. 19 revDSG)
Neu: Es wird eine generelle Informationspflicht bei
«Beschaffung» eingeführt
Erforderlich ist eine angemesseneInformation der betroffenen Person
Grundgedanke: Verbesserung der Transparenz
Grundsatz: «Informationen, die erforderlich sind, damit sie ihre Rechte nach diesem Gesetz geltend machen kann und eine transparente Datenbearbeitung gewährleistet ist»
Datenschutzerklärung gewinnt an Wichtigkeit
Allgemeine Informationspflicht (Art. 19 revDSG)
Mindestinhalt gemäss Art. 19 Abs. 2 DSG (geringer als DSGVO)
Identität und Kontakt Verantwortlicher
Bearbeitungszweck
Empfänger (falls vorhanden)
Bei Beschaffung über Dritte: Kategorien der Personendaten
Auslandtransfer: Garantien und konkretes (!) Zielland (strenger als DSGVO!)
Hinweis auf DS-Berater oder auf Vertretung gemäss Art. 14
Beispiel: Beginnen Sie den Entwurf einer kurzen Datenschutzerklärung
Auftragsbearbeitung, insb.
Auftragsbearbeitungsverträge
Auftragsbearbeitung (Art. 9 revDSG)
Wann liegt aber eine Auftragsbearbeitung vor?
Verantwortlicher: siehe vorne
Es kann mehrere Verantwortliche geben
Auftragsbearbeiter: siehe vorne
Hat u.a. Einfluss auf
Umfang Informationspflichten;
Stellung/Pflichten bei Auskunftsbegehren;
Abschluss eines Vertrags betr. Auftragsbearbeitung
Auftragsbearbeitung (Art. 9 revDSG)
Auslagerung ist ähnlich wie bisher zulässig, wenn
Übertragung durch Vertrag (oder Gesetz) erfolgt
Auftragnehmer Daten bearbeitet wie Verantwortlicher
Keine Geheimhaltungspflicht entgegensteht
Datensicherheit gewährleistet ist (regelmässige Kontrolle)
Neu: Unterauftragnehmer dürfen nur mit vorgängiger Genehmigung des Verantwortlichen beigezogen werden
Empfehlenswert bei Verletzungen der Datensicherheit:
Meldepflicht bei Verletzungen der Datensicherheit (oder dringendem Verdacht)
Unterstützungspflichten bei gesetzlich vorgesehener Meldung an Behörden und Private
Beispiel: Lesen Sie den verteilten
Auftragsverarbeitungsvertrag (unter DSGVO) und finden Sie heikle/unzulässige Punkte …
Gehen Sie dabei davon aus, dass Sie Auftraggeberin sind
Bekanntgabe ins Ausland
Bekanntgabe ins Ausland (Art. 16 f. revDSG)
Bekanntgabe in Staaten mit angemessenem Schutz ohne weiteres möglich
Bundesrat stellt verbindlich fest, welche Staaten «angemessenen Schutz» gewährleisten (Anhang zu E-VDSG)
In übriges Ausland Transfer nur mit zusätzlichen «Garantien»
Individuelle Vertragsklauseln (dem EDÖB vorgängig mitgeteilt)
Standarddatenschutzklauseln (durch EDÖB genehmigt, ausgestellt oder anerkannt)
Binding Corporate Rules
Oder ohne „Garantien“
Einwilligung der betroffenen Person
Vertragszusammenhang
Wahrung öffentlicher oder lebenswichtiger Interessen
Bekanntgabe ins Ausland (Art. 16 f. revDSG)
Andernfalls Gewährleistung angemessenen Datenschutzes wie in Art. 16 Abs. 2 revDSG festgelegt, bspw.
Ausnahmen gemäss Art. 17 revDSG, bspw.
Bekanntgabe ins Ausland: Jetzige Situation
- Webseite EDÖB betr. Transfers ins Ausland:
-
https://www.edoeb.admin.ch/edoeb/de/home/datenschutz/hand el-und-wirtschaft/uebermittlung-ins-ausland.html#-2053327153
41
Bekanntgabe ins Ausland: Jetzige Situation
Ferner: Anleitung für die Prüfung der Zulässigkeit von
Datenübermittlungen mit Auslandbezug (nach Art. 6 Abs. 2 lit. a DSG) (Juni 2021)
Exporteur ist verantwortlich
Wenn auf Staatenliste EDÖB, darf darauf verlassen (ausgenommen anderweitige Anhaltspunkte im Einzelfall und Pflicht zur periodischen Überprüfung)
Falls nicht als «sicher» auf Staatenliste (oder Schutz greift im konkreten Fall nicht)
Detaillierte Erfassung Export
Vier Garantien prüfen mit Blick auf behördliche Zugriffe (Legalitätsprinzip,
Verhältnismässigkeit der Befugnisse und Massnahmen, Rechtsmittel, Rechtsweggarantie und Zugang zu unabhängigem und unparteiischen Gericht)
Falls vier Garantien erfüllt: Standardvertragsklauseln («eventuell» mit weiteren Massnahmen
Wenn nicht erfüllt: weitere vertragliche und/oder technische Schutzmassnahmen
Bekanntgabe ins Ausland: Jetzige Situation
Ausgangssituation: Bekanntgabe zulässig, wenn angemessenes Datenschutzniveau durch hinreichende Garantien, insbesondere durch Vertrag (Art. 6 Abs. 2 lit. a DSG) gewährleistet wird
Meldepflicht an EDÖB vereinfacht, wenn anerkannte Musterverträge oder vom EDÖB anerkannte Standardvertragsklauseln
Bisher anerkannt:
Alte EU Standardvertragsklauseln
Swiss Transborder Data Flow Agreement (for outsourcing of data processing) von November
2013;
Mustervertrag des Europarats für die Sicherstellung eines angemessenen Datenschutzes im Rahmen des grenzüberschreitenden Datenverkehrs
Grundsatz: Neuanmeldungen nicht mehr möglich; bestehende müssen bis 1.1.23 ersetzt werden
43
Bekanntgabe ins Ausland: Jetzige Situation
Neue SCC (standard contractual clauses) der EU
EDÖB anerkennt diese (mit dem Vorbehalt, dass sie im konkreten Anwendungsfall nötigerweise angepasst und/oder ergänzt werden)
Notwendige Anpassungen und Ergänzungen «für eine Verwendung unter Schweizer Datenschutzrecht» gemäss Ziff. 4 der Anleitung müssen vorgenommen werden
Sofern Bekanntgabe nur dem DSG untersteht, Anpassungen bspw. in einem Anhang
Sofern Bekanntgabe dem DSG und der DSGVO untersteht
Separate SCC oder
Vorsehen, dass DSGVO insgesamt gelte (bspw. mit ergänzendem Anhang)
Bekanntgabe ins Ausland: Jetzige Situation
EU Standard Contractual Clauses (SCC) (auf Moodle)
Teils gemeinsame Vorschriften
4 unterschiedliche Module
Übermittlung zwischen Verantwortlichen (Modul 1)
Übermittlung zwischen Verantwortlichen und Auftragsbearbeiter (Modul 2)
Übermittlung von Auftragsbearbeiter zu Auftragsbearbeiter (Modul 3)
Übermittlung von Auftragsbearbeiter zu Verantwortlichem (Modul 4)
Anwendbares Modul auswählen
Auch bei diesen Klauseln prüfen, ob zusätzliche Massnahmen erforderlich sind
Für Private und Behörden
Können nicht geändert werden / dürfen aber Teil eines grösseren Vertragswerks sein
45
Beispiel EU Standard Contractual Clauses …
Beispiele weiterer Pflichten resp. Auswirkungen des revDSG
Beispiele weiterer Pflichten / Auswirkungen
Recht auf Herausgabe oder Übertragung
Pflicht zur Benennung einer Vertretung in gewissen Fällen
Auswirkungen auf Löschung
Datenschutzfolgenabschätzung
Privacy by Design / Privacy by Default
Abschluss
Welche Rechtsordnung/en ist/sind anwendbar? Kommt die DSGVO (ebenfalls) zur Anwendung?
Werden Personendaten bearbeitet? Bearbeitungsverzeichnis resp. Kenntnis der Bearbeitungen
Was ist «gegen aussen» sichtbar?
Datenschutzerklärung (pot. Strafbarkeit wg.
Informationspflicht)
Verträge (generell bei Auftragsbearbeitungen und v.a. bei Auslandstransfer; identifizieren und ev. anpassen) (pot.
Strafbarkeit)
Auslandtransfers prüfen
Prozesse prüfen oder einführen / dokumentieren zur Sicherstellung der Compliance und Prävention von Fehlern, bspw.
Beantwortung und Bearbeitung Betroffenenrechte, insbesondere Auskunftsrecht (pot. Strafbarkeit) und Löschung
Datenschutzfolgenabschätzungen
Meldung von Verletzungen der Datensicherheit (pot. Strafbarkeit)
Datensicherheit: Technische und organisatorische Massnahmen
Wird anwendbares Recht materiell eingehalten, insbesondere: Werden die Grundsätze eingehalten? Keine Bearbeitung gegen den ausdrücklichen Willen? Keine Bekanntgabe von besonders schützenswerten
Personendaten an Dritte? Sonst: Rechtfertigungsgründe?
Weisungen an / Sensibilisierung / Schulung von Mitarbeitenden?
Priorisierung?
Datenschutzberater?
Newsletter zur DSG-Revision
Bisherige Newsletter
Überblick (Mai 2021)
(https://probstpartner.ch/images/aktuelles/NL_Datenschutz_Mai_20 21.pdf)
Wie umsetzen (Juni 2021)(https://swissdataprotectionlaw.ch/wp- content/uploads/2021/06/NL-Datenschutz-Juni-2021-
Umsetzung.pdf)
Datenschutzerklärungen (Juli 2021)
(https://www.probstpartner.ch/images/NL_Datenschutz_Juli_2021_
-_Datenschutzerkl%C3%A4rungen.pdf)
Aufnahme in Verteilerliste: E-Mail an info@probstpartner.ch
Kontakt
Dr. iur. Michael Widmer, LL.M.
Rechtsanwalt Probst Partner AG Bahnhofplatz 18 8400 Winterthur +41 (0) 52 269 1400
michael.widmer@probstpartner.ch