Data Privacy Day 2023

Der Weg zur Einhaltung der Vorschriften ist recht komplex. Wo sollte man am besten anfangen?

Ein guter Ausgangspunkt ist das Verzeichnis der Bearbeitungstätigkeiten. Ein solches Verzeichnis muss nicht nur gemäss dem neuen Gesetz geführt werden, sondern gibt auch einen nützlichen Einblick in den allgemeinen Stand der Einhaltung der Vorschriften in Ihrer Organisation. So lässt sich beispielsweise feststellen, wo Datenschutzhinweise fehlen, welche Datenaufbewahrungsfrist gilt (falls überhaupt), wie IT-Systeme gesichert sind oder mit welchen Dritten Daten ausgetauscht werden und welche Verträge diese Beziehungen regeln. Sobald diese Lücken erkannt sind, kann man damit beginnen, sie zu schliessen.

Du hast das Verzeichnis der Bearbeitungstätigkeiten erwähnt. Was ist das?

Lass mich diese Frage beantworten, indem ich beschreibe, was es NICHT ist. Erstens ist das Verzeichnis der Bearbeitungstätigkeiten keine Aufzeichnung aller Daten des Unternehmens. Es ist ein zentrales Verzeichnis, das dokumentiert, wie und zu welchem Zweck Personendaten bearbeitet werden. Zweitens liegt das Verzeichnis der Bearbeitungstätigkeiten nicht in der Verantwortung des IT-Teams. Seine Erstellung erfordert gemeinsame Anstrengungen von Abteilungsleitern oder sogenannten «Prozessverantwortlichen» im gesamten Unternehmen. Schliesslich ist die Erstellung des Verzeichnisses der Bearbeitungstätigkeiten keine einmalige Angelegenheit, vielmehr ist es ein «lebendes» Dokument, das laufend überprüft und aktualisiert werden muss.

Müsste man einen Datenschutzberater ernennen (das Schweizer Pendant zum EU-Datenschutzbeauftragten)? Wo sollte der Datenschutzberater in der Organisation angesiedelt sein?

Anders als nach der Datenschutz-Grundverordnung (DSGVO) der Europäischen Union (EU) ist die Bestellung eines Datenschutzberaters für Privatunternehmen nach dem neuen Gesetz nicht zwingend erforderlich. Allerdings sehen wir nicht, wie die verschiedenen Verpflichtungen realistischerweise ohne einen solchen erfüllt werden können. Wir empfehlen dringend, einen Datenschutzberater oder zumindest eine Person zu ernennen, die sich während des Geschäftsbetriebs um das Thema Datenschutz kümmert.

Dabei muss die Verantwortung nicht nur auf den Schultern einer einzelnen Person ruhen. Zum Beispiel könnte die Funktion des Datenschutzberaters sehr gut gemeinsam von je einer Person aus dem Compliance-Team, dem IT-Team und dem Vertriebsteam mit adäquaten Kenntnissen und gutem Überblick über die Geschäftstätigkeiten ausgefüllt werden. Mögliche Interessenkonflikte in den Funktionen sind allerdings zu berücksichtigen. Auch ein externer Datenschutzberater könnte eine gute Alternative sein.

Reicht es schon aus, wenn ein Unternehmen die DSGVO einhält? Was ist in solchen Fällen zu tun?

Das ist grossartig! Das bedeutet, dass man höchstwahrscheinlich bereits einen Grossteil der wichtigsten Aspekte adressiert hat. Dennoch dürften einige Anpassungen erforderlich sein, da die Einhaltung der Vorschriften aus schweizerischer und nicht aus europäischer Sicht erfolgen muss. In der Praxis könnte dies zum Beispiel bedeuten, dass man Datenexporte in Drittländer anhand der vom Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten genehmigten Liste überprüfen, Standardvertragsklauseln mit einem «Swiss Finish» abschliessen oder in Ihren Datenschutzhinweisen die Länder angeben, in die Personendaten übermittelt werden. Ausserdem muss man den persönlichen Charakter der Sanktionen im Rahmen des revDSG berücksichtigen.

Was ist erforderlich, wenn ein Unternehmen Teil eines grösseren internationalen Konzerns ist, mit dem Personendaten ausgetauscht werden?

Konzerne tauschen laufend intern Daten aus. Damit solche Datenübermittlungen rechtmässig sind, ist eine Vereinbarung über den konzerninternen Datenaustausch abzuschliessen. Es ist wichtig, genau festzulegen, welche juristischen Personen an der Vereinbarung beteiligt sind und welche Verantwortung sie jeweils für die Übermittlungen tragen (Datenverantwortlicher/Auftragsbearbeiter). Es ist unbedingt festzulegen, welche Personendaten weitergegeben werden und warum. Ebenso ist die Notwendigkeit von Standardvertragsklauseln für Länder zu berücksichtigen, die im Vergleich zur Schweiz kein angemessenes Datenschutzniveau bieten. Eine Aufstellung verbindlicher Unternehmensregeln ist ebenfalls ratsam.

Wann wäre der Einsatz einer Datenschutzmanagementsoftware empfehlenswert?

Es gibt eine Reihe von Gründen, warum man in eine Datenschutzmanagementsoftware investieren sollten. Je mehr Personendaten bearbeitet werden, desto schwieriger ist es, den Überblick zu behalten, und desto attraktiver wird eine Softwarelösung. Wenn ein Unternehmen Daten in mehreren Ländern bearbeitet, für die unterschiedliche Datenschutzgesetze gelten, könnte die richtige Technologie ebenfalls von Vorteil sein. Die transparente Verwendung eines anerkannten Tools kann auch ein Mittel sein, das Vertrauen der Kunden aufzubauen und zu erhalten.

In der EU gibt es viele weitere Gesetzgebungsprojekte wie das Gesetz über künstliche Intelligenz, das Daten-Governance-Gesetz, das Gesetz über digitale Dienste (GdD) usw. Inwieweit sind diese für Schweizer Unternehmen relevant?

Ähnlich wie die DSGVO haben die neuen EU-Vorschriften und -Verordnungen eine extraterritoriale Wirkung. Sie gelten also auch für Unternehmen mit Sitz ausserhalb der EU, wenn sie dort ihre Dienste anbieten. Darüber hinaus müssen Schweizer Unternehmen ohne Niederlassung in der EU nach einigen Verordnungen – beispielsweise dem GdD – einen gesetzlichen Vertreter benennen. Abgesehen von der unmittelbaren Relevanz der EU-Verordnungen für Schweizer Unternehmen könnte die Schweiz auch dem Beispiel der EU folgen und eigene Gesetze zur Regelung dieser bisher nicht regulierten Bereiche einführen. Schweizer Unternehmen, welche die DSGVO bisher als nicht für sich relevant angesehen haben, müssen nun schnell aufholen. Es ist daher besonders wichtig, die Entwicklung der EU-Verordnungen in diesem Bereich genau zu verfolgen.

Was, wenn ein Unternehmen mit dem Outsourcing in die Cloud beginnen möchte, auch ausserhalb der Schweiz. Ist das möglich und wie?

Die Migration in die Cloud kann erhebliche geschäftliche Vorteile mit sich bringen, darunter grössere Effizienz und Flexibilität. Angesichts der rechtlichen Rahmenbedingungen – insbesondere bei ausländischen Cloud-Anbietern – kann der erfolgreiche Übergang zur Cloud jedoch komplex sein. In der Tat dachte man bis vor Kurzem, insbesondere im Bankensektor: «über die Grenze, ausser Kontrolle». Heute gilt dies nicht mehr – vorausgesetzt, es werden die entsprechenden technischen, organisatorischen und vertraglichen Massnahmen getroffen. Bevor ein Projekt zum Cloud-Outsourcing in Angriff genommen wird – als reines Infrastrukturprojekt oder als umfassendes Software-as-a-Service-Projekt –, ist unbedingt eine gründliche rechtliche und technische Bewertung der Anbieter vorzunehmen. Dies erfordert gemeinsame Anstrengungen der Rechts-, Geschäfts- und IT-Abteilungen.

Wie sollte man mit der Aufbewahrung und Löschung von Daten umgehen?

Theoretisch ist die Regel ganz einfach. Wenn Sie Daten nicht mehr benötigen, um den Zweck zu erfüllen, für den sie erhoben wurden, und keine anderen Verpflichtungen zur Aufbewahrung der Daten bestehen, sollte man diese löschen. In der Praxis ist dies für die meisten Unternehmen leichter gesagt als getan, da die Daten auf fragmentierte und sich ergänzende Weise in verschiedenen Systemen gespeichert sind. Daher ist die Entwicklung eines strategischen, automatisierten Löschkonzepts sehr wichtig – und zwar nicht nur aus Compliance-Gründen. Wenn sich eine betroffene Person mit der Bitte an ein Unternehmen wendet, ihr «Recht auf Vergessenwerden» auszuüben, kann man dieser Bitte nur dann ordnungsgemäss nachkommen, wenn man genau weiss, wo die Daten gespeichert sind, wer sie löschen muss und wie.