Ausgangslage

(Hinweis: Die relevanten Gesetzestexte, auf die in diesem Beitrag Bezug genommen wird, sind am Ende des Textes komplett abgebildet).

Die Bezeichnung "Datenschutzberater" bzw. "Datenschutzberaterin" (nachfolgend "DSB", geschlechtsneutral gemeint) ist im Schweizer Datenschutzgesetz ab dem 1. September 2023 (nDSG) zwar ein "Neuling", aber kein komplettes Novum. Im gegenwärtigen Gesetz (DSG) gibt es (noch) den "Datenschutzverantwortlichen" (nachfolgend "DSV", ebenfalls geschlechtsneutral gemeint).

Eine Differenzierung der Begrifflichkeiten (DSV:DSB) heben wir hervor, weil Aufgaben und Stellung eines DSB mit denen eines DSV zwar vergleichbar sind, ein DSV aber laut gegenwärtiger Rechtsprechung eine besondere Funktion ausübt, die für einen DSB ab dem 1. September 2023 entfällt.

Es geht um den (noch) gültigen Artikel 11a DSG, konkret um das sogenannte "Register der Datensammlungen", dass der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) auf seiner Website öffentlich (nur noch befristet) zugänglich macht.

"Private Personen" ("Verantwortliche") müssen nach gegenwärtig gültigem Recht ihre "Datensammlungen" dem EDÖB melden, wenn einer von zwei Sachverhalten vorliegt:

• Der Verantwortliche bearbeitet regelmässig besonders schützenswerte Personendaten oder Persönlichkeitsprofile, oder
• der Verantwortliche gibt regelmässig Personendaten an Dritte bekannt.

Man mag sich fragen, was aus derzeit benannten, aktiven DSVs wird. Denkbar ist, dass ein DSV zum DSB mutiert, d. h. zum DSB umbenannt wird. Oder die DSV-Bezeichnung bleibt erhalten, während sich sein Aufgabenspektrum auf die Vorgaben des (neuen) Artikels 10 nDSG für einen DSB einspielt.

Wichtig ist, dass man sich der "Stellung" bewusst ist, die ab dem 1. September 2023 für einen benannten DSB gültig wird, und die, wenn man es genau nimmt, den Schwerpunkt deutlich auf eine im Wesentlichen "beratende" Rolle ausrichtet.

Laut Artikel 5 Buchstabe j nDSG ist eine "Verantwortlicher" "[...] [eine] private Person oder [ein] Bundesorgan, die oder das allein oder zusammen mit anderen über den Zweck und die Mittel der Bearbeitung entscheidet; [...]". Weder ein DSB noch ein DSV (DS-"verantwortlicher") soll bzw. darf über Zwecke und Mittel der Bearbeitung von Personendaten verfügen bzw. entscheiden; ansonsten bestünde die Gefahr eines Interessenkonfliktes, oder man geriete sogar in die absurde und unmögliche Situation, sich selbst "datenschutzrechtlich" kontrollieren zu müssen. Durch die Neuschaffung und Klarstellung des DSB-Begriffs beugt man hier sicherlich bewusst auch Missverständnissen vor. Notabene: In der Rechtsliteratur taucht auch der Begriff "Datenverantwortlicher" statt "Verantwortlicher" auf; gemeint ist dasselbe.

Ein anderer Unterschied zwischen einem DSV und einem DSB ist das Bindungsverhältnis zum eigenen Unternehmen. In der Regel sind alle benannten DSVs in der Schweiz betriebsintern verankert, d. h. sie werden jeweils im bzw. für das eigene Unternehmen "bestellt" und entsprechend den derzeit geltenden gesetzlichen Datenschutzbestimmungen (Artikel 12a und 12b VDSG) ausgestattet, bevollmächtigt und prozess- oder betriebsbezogen eingebunden.

Ein DSB kann dem gegenüber auch eine externe Person oder ein externes Unternehmen sein. Nach unserer bisherigen Erfahrung zeigt sich eine Tendenz von Schweizer Unternehmen, externen Datenschutz-Spezialisten bei den notwendigen Umsetzungsmassnahmen für den eigenen Datenschutz den Vorrang zu geben.

Verwirrungspotenzial entsteht regelmässig, wenn die Schnittstelle zur EU erreicht wird, da es gemäss der EU-DSGVO (nachfolgend "DSGVO") die rechtlich normierte Funktion eines "Datenschutzbeauftragten" gibt, der in der Schweiz als das Pendent zum "Datenschutzberater" betrachtet zu werden scheint.

In der Tat scheint der Schweizer Gesetzgeber bei der Gestaltung des Datenschutzrechts dem Muster der DSGVO zu folgen und, wie sich zeigt, er orientiert sich wohl am DSGVO-Profil für einen "Datenschutzbeauftragten" bei der Festlegung der Rolle der Schweizer Variante eines "Datenschutzberaters".

Hierzu empfehlen wir Ihnen, sich die Inhalte über die folgenden Verlinkungen einmal anzusehen, um ein genaueres Bild über die beeindruckende Tiefe der Profil-Definition seitens der EU zu erhalten: Artikel 37 DSGVO (Benennung eines Datenschutzbeauftragten); Artikel 38 DSGVO (Stellung des Datenschutzbeauftragten); Artikel 39 DSGVO (Aufgaben des Datenschutzbeauftragten).) Achten Sie auf die Ausführlichkeit der Profilbeschreibung unter der DSGVO im Vergleich zum verwandten Schweizer Rechtstext.

Spätestens wenn Sie die Schnittstelle zur DSGVO erreichen, kann das Thema "Datenschutzbeauftragter" sehr relevant für Sie werden, beispielsweise wenn Sie eine Filiale oder Niederlassung im EWR und dort einen "DSGVO-Datenschutzbeauftragten" bestellt haben. Wie man damit für Schweizer Verhältnisse bezogen auf die Benennung eines "Datenschutzberaters" im eigenen Land umgeht bzw. umgehen kann, erörtern wir in einem zukünftigen Blog-Beitrag, oder Sie kontaktieren uns unverbindlich für weitere Informationen.

Nicht nur in der Schweiz, sondern auch anderswo bedient man sich (selbstverständlich aus praktischen Erwägungen) gerne gängiger Abkürzungen (die auch wir gerne anwenden).

Sowohl im Schweizer Datenschutz als auch in der EU verwendet man die Abkürzung "DSB". An dieser Stelle sollte also klar sein, warum ein Missverständnis leicht möglich wird, denn – zumindest aus Schweizer Sicht – ein Schweizer "DSB" ist nicht gleich ein "EU-DSB", und umgekehrt ebenso wenig.

Die Relevanz dieser Klarstellung ist leicht zu erklären: Tatsächlich gibt es in der Schweiz die Bezeichnung "Datenschutzbeauftragter", und zwar (und ausschliesslich) in Verbindung mit Bundesorganen, insbesondere bezogen auf die Kantone. Hier lohnt sich vielleicht ein Blick auf die Online-Präsenz der Konferenz für schweizerische Datenschutzbeauftragte, um die Wichtigkeit der Begriffs-Differenzierung noch besser zu verstehen. By the way: der EDÖB ist auch (öffentlicher) "Datenschutzbeauftragter" und in seiner Funktion und Rolle (ebenso wie es bei den "DSBs" der Kantone der Fall ist) nicht mit einem "EU-DSB" vergleichbar, allein schon wegen der schwerpunktmässigen Aufsichtsfunktionen, mit denen weder ein Schweizer DSB (Datenschutzberater) noch ein EU-DSB (Datenschutzbeauftragter) betraut ist.

Benennung, Aufgaben, Funktion, Stellung, DSFA

Private Unternehmen haben gemäss Artikel 10 nDSG die Möglichkeit, einen DSB zu benennen, der in einem arbeitsvertraglichen Verhältnis zu Ihrem Unternehmen stehen kann, es aber nicht sein muss. In beiden Fällen sollte die Datenschutzberatung aber getrennt von übrigen Aufgaben des Unternehmens wahrgenommen werden.

Wir folgen der Empfehlung des EDÖB, die Aufgaben der Datenschutzberatung nicht mit jenen der übrigen Rechtsberatung und -vertretung zu vermischen. Wichtig ist, dass es einem DSB erlaubt ist, seinen Standpunkt bei Meinungsverschiedenheiten der Unternehmensleitung zur Kenntnis bringen zu können.

Anders als unter der DSGVO, wo die Schwelle zur Pflicht der Benennung eines "Datenschutzbeauftragten" sehr niedrig angesetzt und schnell erreicht ist, ist es in der Schweiz prinzipiell, von bestimmten Ausnahmen abgesehen, eine fakultative Entscheidung.

Hingegen sind Bundesorgane gesetzlich dazu verpflichtet, "Datenschutzbeauftragte" zu benennen.

Private Unternehmen melden ihre DSBs dem EDÖB über sein hierfür geschaffenes online Meldeportal:

Meldeportal für Kontaktdaten von Datenschutzberaterinnen und -beratern.

Eine Meldepflicht für private Unternehmen besteht, wenn sie die "Ausnahme" zur Vorlage einer Datenschutz-Folgenabschätzung (DSFA) beim EDÖB beanspruchen möchten.

Die Durchführung einer DSFA [siehe Artikel 22 (Datenschutz-Folgenabschätzung) nDSG] – falls eine solche aufgrund der Besonderheiten der Personendaten-Bearbeitungen in Ihrem Unternehmen erforderlich wird – "triggert" die direkte Beteiligung des DSB, denn dieser Bereich gehört zu den Hauptaufgaben in der Ausübung seiner DSB-Funktionen. Deshalb folgt nun ein kleiner, aber im Zusammenhang wichtiger "Themen-Schlenker".

Die DSFA

Bei der DSFA handelt es sich um nichts anderes als eine strukturierte Risikoanalyse für potenziell besonders risikoträchtige geplante Datenbearbeitungsprozesse.

Gemäss dem Anforderungsprofil für einen "EU-DSB" soll er durch seinen Einsatz bei der Durchführung einer DSFA gewährleisten, «dass die Verantwortlichen die Risiken riskanter Verarbeitungsprozesse in Bezug auf die Privatsphäre und den Datenschutz angemessen berücksichtigen». In diesem Beitrag befassen wir uns ausschliesslich mit den Vorgaben des nDSG.

Eine DSFA ist in der Schweiz gemäss Artikel 22 Absatz 1 nDSG grundsätzlich immer dann durchzuführen, wenn eine Bearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringen kann.

Konkret ergibt sich das hohe Risiko gemäss Artikel 22 Absatz 2 nDSG insbesondere bei Verwendung neuer Technologien sowie aus der Art, dem Umfang, den Umständen und dem Zweck der Bearbeitung. Das hohe Risiko liegt namentlich vor,

• wenn eine umfangreiche Bearbeitung besonders schützenswerter Personendaten stattfindet
• und wenn systematisch umfangreiche öffentliche Bereiche überwacht werden.

Die Durchführung einer DSFA ist nicht notwendig, wenn, gemäss Artikel 24 Absatz 4 und 5 nDSG, Folgendes der Fall ist:

• Das Unternehmen ist gesetzlich zur Bearbeitung der Personendaten verpflichtet.
• Das Unternehmen setzt ein System, ein Produkt oder eine Dienstleistung ein, das oder die für die vorgesehene Verwendung (nach Artikel 13 nDSG) zertifiziert ist.
• Das Unternehmen hält gemäss Artikel 11 nDSG einen Verhaltenskodex ein, der folgende Voraussetzungen erfüllt:
  • Der Kodex beruht auf einer DSFA.
  • Der Kodex sieht Massnahmen zum Schutz der Persönlichkeit oder der Grundrechte der betroffenen Person vor.
  • Der Kodex wurde dem EDÖB vorgelegt.

Das Erstellen einer DSFA gehört sicherlich für den DSB zu seinen spannendsten Tätigkeiten, die gleichzeitig mit den grössten Herausforderungen aufwartet, denn es bedarf des Austausches und der kollaborativen Zusammenführung von rechtlichem, technischem und betriebswirtschaftlichem Know-how. Insbesondere in grösseren Unternehmen wird zudem auch Projektmanagement-Erfahrung im Team erforderlich sein.

Es stimmt, was behauptet wird: Die erstmalige Erstellung einer DSFA kann bzw. wird (mit sehr hoher Wahrscheinlichkeit) aufwändig und aufreibend.

Dennoch, mit jeder Iteration nimmt die Erfahrung des DSB zu und der Prozess wird entsprechend überschaubarer, effizienter und effektiver. Nach unserer Erfahrung können wir sogar bestätigen, dass in den meisten Fällen am Ende dieses Prozesses das Unternehmen bzw. dessen Mitarbeitende ein deutlich umfassenderes Verständnis für ihre Prozesse und Daten entwickeln konnten. Das ein solches neu gewonnenes Verständnis eine klare Wertschöpfung für das Unternehmen bedeutet, sollte klar sein.

Hinweis: Eine erste Stellungnahme zur DSFA hat der EDÖB online unter folgender Verlinkung online veröffentlicht: EDÖB zur DSFA

Der EDÖB erarbeitet zurzeit ausführlichere Hinweise zu den Voraussetzungen und zum Inhalt der DSFA, die er (voraussichtlich) im Sommer dieses Jahres zugänglich machen wird.

Voraussetzungen

Wie bereits erwähnt, würde die Bestellung eines DSB für Ihr Unternehmen die Möglichkeit eröffnen, von der Ausnahme zur Konsultationspflicht (dem EDÖB gegenüber) Gebrauch zu machen. Um den Anspruch wahrnehmen zu können, müssen dabei folgende Voraussetzungen erfüllt sein:

• Der DSB übt seine Funktion in Ihrem Unternehmen fachlich unabhängig und nicht weisungsgebunden aus.
• Der DSB übernimmt keine Tätigkeiten, die mit seinen Aufgaben als DSB unvereinbar sind. Beispielsweise werden Mitglieder der Geschäftsleitung in der Regel aufgrund eines Interessenkonfliktes nicht gleichzeitig DSB sein können.
• Der DSB verfügt über die erforderlichen Fachkenntnisse. Der Gesetzgeber bietet noch keine offizielle Orientierung, (das nDSG "schweigt" hierzu), d. h. es bleibt unbestimmt, welche konkreten Qualifikationen ein DSB schlussendlich nachweisen können muss.
• Der DSB kennt die wesentlichen Grundzüge des nDSG und kann sie anwenden; die konkreten Voraussetzungen sind hierbei jedoch (noch) nicht klar definiert. Laut Empfehlung des EDÖB verfügt der DSG im Idealfall bereits über juristische Kenntnisse, oder erhält entsprechende juristische Schulungen; (EDÖB-Empfehlung: Mindestdauer solcher Schulungen = sechs Monate). Dem EDÖB geht es dabei um die Sicherstellung, dass ein DSB in der Lage ist zu erkennen, wann die Datenbearbeitungen im Unternehmen die Persönlichkeit von Betroffenen beeinträchtigen können.
• Der DSB verfügt sowohl über technische als auch organisatorische Kenntnisse zum Datenschutz im Kontext der Bearbeitung(en) von Personendaten im betreffenden Unternehmen.
• Unternehmen sind zudem verpflichtet, die Kontaktdaten des DSB zu veröffentlichen (beispielsweise über die Datenschutzerklärung auf der Website) und diese dem EDÖB mitzuteilen.

Empfehlung: Geben Sie die Benennung und Kontaktdaten des DSB in Ihrem Unternehmen per Rundschreiben oder Rund-Mail bekannt.

Aufgaben

Die Aufgaben eines DSB werden in Artikel 10 Absatz 2 nDSG festgelegt. Demnach

• agiert der DSB als Anlaufstelle für betroffene Personen und für Behörden, die für den Datenschutz zuständig sind;
• berät der DSB die Geschäftsleitung allgemein in Fragen des Datenschutzes;
• führt der DSB Sensibilisierungsmassnahmen zum Datenschutz im Unternehmen durch, beispielsweise Schulungen für Mitarbeitende und das Management;
• wirkt der DSB bei der Anwendung und Umsetzung der Datenschutzvorschriften und internen Datenschutzrichtlinien im Unternehmen (aktiv) mit.

Bei Erfüllung der bereits erwähnten Voraussetzungen, und in Kombination mit den Aufgabenerfüllungen, kann der DSB auch für die Durchführung einer DSFA konsultiert werden, d. h. die ansonsten notwendige Konsultation mit dem EDÖB kann man sich sparen.

Zusammenfassung

Wie bereits erwähnt, besteht keine (gesetzliche) Pflicht, einen DSB zu benennen. Der Einsatz eines DSB bringt jedoch erhebliche Vorteile für Ihr Unternehmen. Beispielsweise wird durch das Erfüllen der Voraussetzungen unter Artikel 10 Absatz 3 nDSG (siehe Relevante Gesetzestexte) ermöglicht, dass Ihr Unternehmen neue "Tools" (i. d. R. digitalisierte Produkte, Dienstleistungen, Services etc.) einfacher und schneller einführt, Prozesse rascher aufsetzt und Projekte agiler abarbeitet.

Wenn Sie in Ihrem Unternehmen neue Bearbeitungsverfahren für Personendaten einführen (wollen), kommt eine DSFA zur Anwendung. Wenn sich im Ergebnis der Analyse herausstellt, "[...] dass die geplante Bearbeitung trotz der [von Ihrem Unternehmen, als Verantwortlicher] vorgesehenen Massnahmen noch ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person zur Folge hat [...]", ist eine Konsultation des EDÖB gemäss Artikel 23 Absatz 1 nDSG obligatorisch.

Wenn Sie allerdings einen entsprechend qualifizierte DSB benannt haben, können Sie Ihren DSB anstelle des EDÖB konsultieren und erfahren dadurch einen deutlichen und wertvollen Zeit- und Wettbewerbsvorteil.

Ein qualifizierter DSB bringt Ihrem Unternehmen den zusätzlichen Vorteil einer entsprechend "qualifizierten" Beratung, insbesondere bei der Abwägung über die Notwendigkeit zur Durchführung einer DSFA, oder bei sich daraus ergebenden Folgemassnahmen.

Wenn Sie einen "internen" DSB benennen, sollten Sie den dafür notwendigen "Qualifizierungsaufwand" (d. h. die zusätzlichen Kosten, die sicherlich entstehen) nicht unterschätzen. Ein "externer" DSB bietet hier klare Vorteile, denn er ist eine spezialisierte Fachkraft mit entsprechend notwendigen Fachkenntnissen, Erfahrungen und Qualifikationen und garantiert zudem u. a. die erforderliche "Unabhängigkeit" der DSB-Funktion.

Relevante Gesetzestexte

Artikel 10 Datenschutzberaterin oder -berater nDSG [Quelle]

1 Private Verantwortliche können eine Datenschutzberaterin oder einen Datenschutzberater ernennen.

2 Die Datenschutzberaterin oder der Datenschutzberater ist Anlaufstelle für die betroffenen Personen und für die Behörden, die in der Schweiz für den Datenschutz zuständig sind. Sie oder er hat namentlich folgende Aufgaben:

1. Schulung und Beratung des privaten Verantwortlichen in Fragen des Datenschutzes;
2. Mitwirkung bei der Anwendung der Datenschutzvorschriften.

3 Private Verantwortliche können von der Ausnahme nach Artikel 23 Absatz 4 Gebrauch machen, wenn die folgenden Voraussetzungen erfüllt sind:

1. Die Datenschutzberaterin oder der Datenschutzberater übt ihre oder seine Funktion gegenüber dem Verantwortlichen fachlich unabhängig und weisungsungebunden aus.
2. Sie oder er übt keine Tätigkeiten aus, die mit ihren oder seinen Aufgaben als Datenschutzberaterin oder -berater unvereinbar sind.
3. Sie oder er verfügt über die erforderlichen Fachkenntnisse.
4. Der Verantwortliche veröffentlicht die Kontaktdaten der Datenschutzberaterin oder des Datenschutzberaters und teilt diese dem EDÖB mit.

4 Der Bundesrat regelt die Ernennung von Datenschutzberaterinnen und Datenschutzberatern durch die Bundesorgane.

Artikel 12a Bezeichnung des Datenschutzverantwortlichen und Mitteilung an den Beauftragten VDSG (Verordnung zum DSG, vom 14. Juni 1993) [Quelle]

1 Will der Inhaber der Datensammlung nach Artikel 11a Absatz 5 Buchstabe e DSG von der Pflicht zur Anmeldung der Datensammlung befreit werden, so muss er:

1. einen betrieblichen Datenschutzverantwortlichen bezeichnen, der die Anforderungen von Absatz 2 und von Artikel 12b erfüllt; und
2. den Beauftragten über die Bezeichnung des Datenschutzverantwortlichen informieren.

2 Der Inhaber der Datensammlung kann einen Mitarbeiter oder einen Dritten als Datenschutzverantwortlichen bezeichnen. Dieser darf keine anderen Tätigkeiten ausüben, die mit seinen Aufgaben als Datenschutzverantwortlicher unvereinbar sind, und muss über die erforderliche Fachkenntnis verfügen.

Artikel 12b Aufgaben und Stellung des Datenschutzverantwortlichen VDSG (vom 14. Juni 1993) [Quelle]

1 Der Datenschutzverantwortliche hat namentlich folgende Aufgaben:

1. Er prüft die Bearbeitung von Personendaten und empfiehlt Korrekturmassnahmen, wenn er feststellt, dass Datenschutzvorschriften verletzt wurden.
2. Er führt eine Liste der Datensammlungen nach Artikel 11a Absatz 3 DSG, die vom Inhaber der Datensammlungen geführt werden; diese Liste ist dem Beauftragten oder betroffenen Personen, die ein entsprechendes Gesuch stellen, zur Verfügung zu stellen.

2 Der Datenschutzverantwortliche:

1. übt seine Funktion fachlich unabhängig aus, ohne diesbezüglich Weisungen des Inhabers der Datensammlung zu unterliegen;
2. verfügt über die zur Erfüllung seiner Aufgaben erforderlichen Ressourcen;
3. hat Zugang zu allen Datensammlungen und Datenbearbeitungen sowie zu allen Informationen, die er zur Erfüllung seiner Aufgabe benötigt.

Artikel 11a Register der Datensammlungen DSG (vom 19. Juni 1992) [Quelle]

1 Der Beauftragte führt ein Register der Datensammlungen, das über Internet zugänglich ist. Jede Person kann das Register einsehen.

2 Bundesorgane müssen sämtliche Datensammlungen beim Beauftragten zur Registrierung anmelden.

3 Private Personen müssen Datensammlungen anmelden, wenn:

1. regelmässig besonders schützenswerte Personendaten oder Persönlichkeitsprofile bearbeitet werden; oder
2. regelmässig Personendaten an Dritte bekannt gegeben werden.

4 Die Datensammlungen müssen angemeldet werden, bevor sie eröffnet werden.

5 Entgegen den Bestimmungen der Absätze 2 und 3 muss der Inhaber von Datensammlungen seine Sammlungen nicht anmelden, wenn:

1. private Personen Daten aufgrund einer gesetzlichen Verpflichtung bearbeiten;
2. der Bundesrat eine Bearbeitung von der Anmeldepflicht ausgenommen hat, weil sie die Rechte der betroffenen Personen nicht gefährdet;
3. er die Daten ausschliesslich für die Veröffentlichung im redaktionellen Teil eines periodisch erscheinenden Mediums verwendet und keine Daten an Dritte weitergibt, ohne dass die betroffenen Personen davon Kenntnis haben;
4. die Daten durch Journalisten bearbeitet werden, denen die Datensammlung ausschliesslich als persönliches Arbeitsinstrument dient;
5. er einen Datenschutzverantwortlichen bezeichnet hat, der unabhängig die betriebsinterne Einhaltung der Datenschutzvorschriften überwacht und ein Verzeichnis der Datensammlungen führt;
6. er aufgrund eines Zertifizierungsverfahrens nach Artikel 11 ein Datenschutz-Qualitätszeichen erworben hat und das Ergebnis der Bewertung dem Beauftragten mitgeteilt wurde.

6 Der Bundesrat regelt die Modalitäten der Anmeldung der Datensammlungen, der Führung und der Veröffentlichung des Registers sowie die Stellung und die Aufgaben der Datenschutzverantwortlichen nach Absatz 5 Buchstabe e und die Veröffentlichung eines Verzeichnisses der Inhaber der Datensammlungen, welche nach Absatz 5 Buchstaben e und f der Meldepflicht enthoben sind.

Artikel 5 Bearbeitungsreglement von privaten Personen (DSV neu) [Quelle]

1 Der private Verantwortliche und sein privater Auftragsbearbeiter müssen ein Reglement für automatisierte Bearbeitungen erstellen, wenn sie:

1. besonders schützenswerte Personendaten in grossem Umfang bearbeiten; oder
2. ein Profiling mit hohem Risiko durchführen.

2 Das Reglement muss insbesondere Angaben zur internen Organisation, zum Datenbearbeitungs- und Kontrollverfahren sowie zu den Massnahmen zur Gewährleistung der Datensicherheit enthalten.

3 Der private Verantwortliche und sein privater Auftragsbearbeiter müssen das Reglement regelmässig aktualisieren. Wurde eine Datenschutzberaterin oder ein Datenschutzberater ernannt, so muss dieser oder diesem das Reglement zur Verfügung gestellt werden.

Artikel 23 Konsultation des EDÖB nDSG [Quelle]

1 Ergibt sich aus der Datenschutz-Folgenabschätzung, dass die geplante Bearbeitung trotz der vom Verantwortlichen vorgesehenen Massnahmen noch ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person zur Folge hat, so holt er vorgängig die Stellungnahme des EDÖB ein.

2 Der EDÖB teilt dem Verantwortlichen innerhalb von zwei Monaten seine Einwände gegen die geplante Bearbeitung mit. Diese Frist kann um einen Monat verlängert werden, wenn es sich um eine komplexe Datenbearbeitung handelt.

3 Hat der EDÖB Einwände gegen die geplante Bearbeitung, so schlägt er dem Verantwortlichen geeignete Massnahmen vor.

4 Der private Verantwortliche kann von der Konsultation des EDÖB absehen, wenn er die Datenschutzberaterin oder den Datenschutzberater nach Artikel 10 konsultiert hat.

Artikel 22 Datenschutz-Folgenabschätzung nDSG [Quelle]

1 Der Verantwortliche erstellt vorgängig eine Datenschutz-Folgenabschätzung, wenn eine Bearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringen kann. Sind mehrere ähnliche Bearbeitungsvorgänge geplant, so kann eine gemeinsame Abschätzung erstellt werden.

2 Das hohe Risiko ergibt sich, insbesondere bei Verwendung neuer Technologien, aus der Art, dem Umfang, den Umständen und dem Zweck der Bearbeitung. Es liegt namentlich vor:

1. bei der umfangreichen Bearbeitung besonders schützenswerter Personendaten;
2. wenn systematisch umfangreiche öffentliche Bereiche überwacht werden.

3 Die Datenschutz-Folgenabschätzung enthält eine Beschreibung der geplanten Bearbeitung, eine Bewertung der Risiken für die Persönlichkeit oder die Grundrechte der betroffenen Person sowie die Massnahmen zum Schutz der Persönlichkeit und der Grundrechte.

4 Von der Erstellung einer Datenschutz-Folgenabschätzung ausgenommen sind private Verantwortliche, wenn sie gesetzlich zur Bearbeitung der Daten verpflichtet sind.

5 Der private Verantwortliche kann von der Erstellung einer Datenschutz-Folgenabschätzung absehen, wenn er ein System, ein Produkt oder eine Dienstleistung einsetzt, das oder die für die vorgesehene Verwendung nach Artikel 13 zertifiziert ist, oder wenn er einen Verhaltenskodex nach Artikel 11 einhält, der die folgenden Voraussetzungen erfüllt:

1. Der Verhaltenskodex beruht auf einer Datenschutz-Folgenabschätzung.
2. Er sieht Massnahmen zum Schutz der Persönlichkeit und der Grundrechte der betroffenen Person vor.
3. Er wurde dem EDÖB vorgelegt.