LAWINFO

Datenschutzrecht

QR Code

Datenbearbeitungsverzeichnis

Rechtsgebiet:
Datenschutzrecht
Stichworte:
Datenschutz, Datenschutzrecht
Autor:
Bürgi Nägeli Rechtsanwälte
Herausgeber:
Verlag:
LAWMEDIA AG

Das nDSG sieht anstelle der der bisherigen allgemeinen Dokumentationspflicht ein Datenbearbeitungsverzeichnis (auch: Verzeichnis der Bearbeitungstätigkeiten) vor:

  • Definition
    • Datenbearbeitungsverzeichnis   =   Allgemeine Dokumentationspflicht mittels eines Verzeichnisses der Personendatenbearbeitungstätigkeiten.
  • Grundlagen
    • nDSG 12
    • nDSG 19
    • DSV 4
    • DSV 5
  • Inventar der Bearbeitungstätigkeiten
  • Das nDSG verlangt die Führung eines Verzeichnisses, welches die verschiedenen Bearbeitungstätigkeiten erfasst.
  • Format
  • Das revDSG überlässt die Ausgestaltung und Führung des Bearbeitungsverzeichnisses dem Unternehmen:
    • Excel-Tabelle
    • Eigens für das nDSG entwickeltes Tool
  • Mindestinhalt
    • Unternehmen
      • Das nDSG zählt in nDSG 12 Abs. 2 folgenden Mindestinhalt auf:
        • Es handelt sich weitgehend um die gleichen Angaben, die auch von der Informationspflicht nach nDSG 19 erfasst werden, nämlich um
          • a) die Identität des Verantwortlichen;
          • b) den Bearbeitungszweck;
          • c) eine Beschreibung der Kategorien betroffener Personen und der Kategorien bearbeiteter Personendaten;
          • d) die Kategorien der Empfängerinnen und Empfänger;
          • e) wenn möglich die Aufbewahrungsdauer der Personendaten oder die Kriterien zur Festlegung dieser Dauer;
          • f) wenn möglich eine allgemeine Beschreibung der Massnahmen zur Gewährleistung der Datensicherheit nach nDSG 8;
          • g) die Angabe des Staates sowie die Garantien nach nDSG 16 Abs. 2, falls die Daten ins Ausland bekanntgegeben werden.
      • Auftragsbearbeiter
        • Auftragsbearbeiter haben nach DSG 12 Abs. 3 ebenfalls ein Verzeichnis der Bearbeitungstätigkeiten zu führen, welches aber weniger Angaben enthalten muss:
          • Identität des Verantwortlichen
          • Identität des Auftragsbearbeiters
          • Kategorien der Bearbeitungen, welche im Auftrag jedes Verantwortlichen durchgeführt werden
          • Beschreibung der Massnahmen zur Gewährleistung der Datensicherheit nach nDSG 8
          • falls die Daten ins Ausland bekanntgegeben werden, die Angabe des Staates sowie die Garantien nach nDSG 16 Abs. 2.
        • Ausnahmen
          • Der Bundesrat (BR) hat in nDSV 24 die Ausnahme zu nDSG 12 Abs. 5 für Unternehmen mit weniger als 250 Mitarbeitern und weniger risikoreichen Datenbearbeitungen ausformuliert:
            • Stichtag der Beschäftigung durch Unternehmen und andere privatrechtliche Organisationen
              • der 1. Januar des Jahres,
                • wobei es sich dabei um angestellte Personen und nicht um FTE handeln dürfte.
          • Natürliche Personen – die Personendaten nicht ausschliesslich zum persönlichen Gebrauch bearbeiten (nDSG 2 Abs. 2) – sind trotzdessen zur Führung eines Verzeichnisses verpflichtet, wenn sie
            • a) entweder besonders schützenswerte Personendaten in grossem Umfang bearbeiten oder
            • b) ein Profiling mit hohem Risiko durchführen.
            • Bearbeitungen in grossem Umfang bedeutet folgendes:
              • grosse Mengen von Daten oder
              • grosse Zahl von Personen.
            • Die Umschreibung des Begriffs eines hohen Risikos orientiert sich an der Datenschutz-Folgenabschätzung in nDSG 22 Abs. 2.
  • Datentransfer ins Ausland
    • Transfer in sichere Staaten
      • Das nDSG erlaubt es, Personendaten ins Ausland bekanntzugeben, wenn die Gesetzgebung des betreffenden Staates ein angemessenes Schutzniveau gewährleistet.
    • Transfer in unsichere Drittstaaten
      • Ein Datentransfer in sog. «unsichere» Drittstaaten» ist nur zulässig,
        • wenn ein gleichwertiger Datenschutzausgleich sichergestellt ist.
      • Folgende besondere Schutzvorkehrungen gelten als anerkannt:
        • die vom EDÖB genehmigten Standard-Vertragsklauseln oder
        • «Binding Corporate Rules (BCR)».
      • BR-Sicherheitsqualifikationen
        • Der Bundesrat bestimmt, welche Länder als sicher gelten.
  •  

Überblick zum Datenbearbeitungsverzeichnis

Die Elemente des Datenbearbeitungsverzeichnisses sind:

  • Inventar der Bearbeitungstätigkeiten
    • Das nDSG verlangt die Führung eines Verzeichnisses, welches die verschiedenen Bearbeitungstätigkeiten erfasst.
  • Format
    • Das nDSG überlässt die Ausgestaltung und Führung des Bearbeitungsverzeichnisses dem Unternehmen:
      • Excel-Tabelle
      • Eigens für das nDSG entwickeltes Tool
      • etc.
    • Mindestinhalt
      • Der Mindestinhalt des Bearbeitungsverzeichnisses wird vom nDSG vorgegeben:
        • Identität des Verantwortlichen oder Auftragsdatenbearbeiters
        • Zweck der Bearbeitung
        • Kategorien der betroffenen Personen
        • Kategorien der bearbeiteten Personendaten
        • Kategorien der Empfänger
        • Aufbewahrungsdauer resp. Datenschutzmassnahmen
        • Empfängerstaaten
        • Angabe betreffend Schutzmassnahmen.
      • ferner DSG 12 (siehe auch nachfolgende Box).

Die Details von nDSG 12 + nDSG 19 sowie DSV 4 + DSV 5

Art. 12 nDSG   Verzeichnis der Bearbeitungstätigkeiten

1 Die Verantwortlichen und Auftragsbearbeiter führen je ein Verzeichnis ihrer Bearbeitungstätigkeiten.

2 Das Verzeichnis des Verantwortlichen enthält mindestens:

  1. die Identität des Verantwortlichen;
  2. den Bearbeitungszweck;
  3. eine Beschreibung der Kategorien betroffener Personen und der Kategorien bearbeiteter Personendaten;
  4. die Kategorien der Empfängerinnen und Empfänger;
  5. wenn möglich die Aufbewahrungsdauer der Personendaten oder die Kriterien zur Festlegung dieser Dauer;
  6. wenn möglich eine allgemeine Beschreibung der Massnahmen zur Gewährleistung der Datensicherheit nach Artikel 8;
  7. falls die Daten ins Ausland bekanntgegeben werden, die Angabe des Staates sowie die Garantien nach Artikel 16 Absatz 2.

3 Das Verzeichnis des Auftragsbearbeiters enthält Angaben zur Identität des Auftragsbearbeiters und des Verantwortlichen, zu den Kategorien von Bearbeitungen, die im Auftrag des Verantwortlichen durchgeführt werden, sowie die Angaben nach Absatz 2 Buchstaben f und g.

4 Die Bundesorgane melden ihre Verzeichnisse dem EDÖB.

5 Der Bundesrat sieht Ausnahmen für Unternehmen vor, die weniger als 250 Mitarbeiterinnen und Mitarbeiter beschäftigen und deren Datenbearbeitung ein geringes Risiko von Verletzungen der Persönlichkeit der betroffenen Personen mit sich bringt.

Art. 19  nDSG Informationspflicht bei der Beschaffung von Personendaten

1 Der Verantwortliche informiert die betroffene Person angemessen über die Beschaffung von Personendaten; diese Informationspflicht gilt auch, wenn die Daten nicht bei der betroffenen Person beschafft werden.

2 Er teilt der betroffenen Person bei der Beschaffung diejenigen Informationen mit, die erforderlich sind, damit sie ihre Rechte nach diesem Gesetz geltend machen kann und eine transparente Datenbearbeitung gewährleistet ist; er teilt ihr mindestens mit:

  1. die Identität und die Kontaktdaten des Verantwortlichen;
  2. den Bearbeitungszweck;
  3. gegebenenfalls die Empfängerinnen und Empfänger oder die Kategorien von Empfängerinnen und Empfängern, denen Personendaten bekanntgegeben werden.

3 Werden die Daten nicht bei der betroffenen Person beschafft, so teilt er ihr zudem die Kategorien der bearbeiteten Personendaten mit.

4 Werden die Personendaten ins Ausland bekanntgegeben, so teilt er der betroffenen Person auch den Staat oder das internationale Organ und gegebenenfalls die Garantien nach Artikel 16 Absatz 2 oder die Anwendung einer Ausnahme nach Artikel 17 mit.

5 Werden die Daten nicht bei der betroffenen Person beschafft, so teilt er ihr die Informationen nach den Absätzen 2–4 spätestens einen Monat, nachdem er die Daten erhalten hat, mit. Gibt der Verantwortliche die Personendaten vor Ablauf dieser Frist bekannt, so informiert er die betroffene Person spätestens im Zeitpunkt der Bekanntgabe.

Art. 4 DSV Protokollierung

1 Werden besonders schützenswerte Personendaten in grossem Umfang automatisiert bearbeitet oder wird ein Profiling mit hohem Risiko durchgeführt und können die präventiven Massnahmen den Datenschutz nicht gewährleisten, so müssen der private Verantwortliche und sein privater Auftragsbearbeiter zumindest das Speichern, Verändern, Lesen, Bekanntgeben, Löschen und Vernichten der Daten protokollieren. Eine Protokollierung muss insbesondere dann erfolgen, wenn sonst nachträglich nicht festgestellt werden kann, ob die Daten für diejenigen Zwecke bearbeitet wurden, für die sie beschafft oder bekanntgegeben wurden.

2 Das verantwortliche Bundesorgan und sein Auftragsbearbeiter protokollieren bei der automatisierten Bearbeitung von Personendaten zumindest das Speichern, Verändern, Lesen, Bekanntgeben, Löschen und Vernichten der Daten.

3 Bei Personendaten, welche allgemein öffentlich zugänglich sind, sind zumindest das Speichern, Verändern, Löschen und Vernichten der Daten zu protokollieren.

4 Die Protokollierung muss Aufschluss geben über die Identität der Person, die die Bearbeitung vorgenommen hat, die Art, das Datum und die Uhrzeit der Bearbeitung sowie gegebenenfalls die Identität der Empfängerin oder des Empfängers der Daten.

5 Die Protokolle müssen während mindestens einem Jahr getrennt vom System, in welchem die Personendaten bearbeitet werden, aufbewahrt werden. Sie dürfen ausschliesslich den Organen und Personen zugänglich sein, denen die Überprüfung der Anwendung der Datenschutzvorschriften oder die Wahrung oder Wiederherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Nachvollziehbarkeit der Daten obliegt, und dürfen nur für diesen Zweck verwendet werden.

Art. 5 DSV Bearbeitungsreglement von privaten Personen

1 Der private Verantwortliche und sein privater Auftragsbearbeiter müssen ein Reglement für automatisierte Bearbeitungen erstellen, wenn sie:

  1. besonders schützenswerte Personendaten in grossem Umfang bearbeiten; oder
  2. ein Profiling mit hohem Risiko durchführen.

2 Das Reglement muss insbesondere Angaben zur internen Organisation, zum Datenbearbeitungs- und Kontrollverfahren sowie zu den Massnahmen zur Gewährleistung der Datensicherheit enthalten.

3 Der private Verantwortliche und sein privater Auftragsbearbeiter müssen das Reglement regelmässig aktualisieren. Wurde eine Datenschutzberaterin oder ein Datenschutzberater ernannt, so muss dieser oder diesem das Reglement zur Verfügung gestellt werden.

Literatur

  • SCHÖNBÄCHLER MATTHIAS R., Zum neuen Schweizer Datenschutzrecht, in: ZBJV 159 (2023) S. 187 ff.

Links

    Kontakt

    Bürgi Nägeli Rechtsanwälte

    Kontakt / Help

    Bürgi Nägeli Rechtsanwälte

    Anrede

    Ihr Vorname*

    Ihr Nachname*

    Firma

    Telefonnummer*

    Betreff (Interessen- / Streitgegenstand)*

    * = Pflichtfelder

    Datenschutzerklärung | Privacy

    Eine Kopie der Mitteilung geht an die im Feld "E-Mail" angegebene E-Mail-Adresse.

    Vorbehalt / Disclaimer

    Diese allgemeine Information erfolgt ohne jede Gewähr und ersetzt eine Individualberatung im konkreten Einzelfall nicht. Jede Handlung, die der Leser bzw. Nutzer aufgrund der vorstehenden allgemeinen Information vornimmt, geschieht von ihm ausschliesslich in eigenem Namen, auf eigene Rechnung und auf eigenes Risiko.

    Urheber- und Verlagsrechte

    Alle in dieser Web-Information veröffentlichten Beiträge sind urheberrechtlich geschützt. Das gilt auch für die veröffentlichten Gerichtsentscheide und Leitsätze, soweit sie von den Autoren oder den Redaktoren erarbeitet oder redigiert worden sind. Der Rechtschutz gilt auch gegenüber Datenbanken und ähnlichen Einrichtungen. Kein Teil dieser Web-Information darf ohne schriftliche Genehmigung des Verlages in irgendeiner Form – sämtliche technische und digitale Verfahren – reproduziert werden.