(Neuer) Schweizer Datenschutz – Die Notwendigkeit zur Führung eines Bearbeitungsverzeichnisses als Konsequenz der Informationspflicht

Regelmässig taucht bei unserer Datenschutzberatung für Schweizer KMU die Frage auf, ob das Einrichten bzw. Führen eines Bearbeitungsverzeichnisses für die eigene Organisation, egal welcher Grösse, ein «Muss» ist.

Die Frage wird oft von kleineren Unternehmen, im Bereich von ca. 10-20+ Mitarbeitenden, gestellt. Häufigster Einwand ist, dass es zu überbürdendem Bürokratismus führe; man könne sich, als kleiner Markt-Player im wirtschaftlichen Wettbewerb, das Einrichten zusätzlicher Controlling-Strukturen, geschweige denn dafür zusätzlich notwendige Personalressourcen überhaupt nicht leisten; jetzt käme (schon wieder) etwas Neues, und wieder muss man sich anpassen; der Handlungsspielraum für das eigene Kerngeschäft würde immer noch enger werden.

Diese und andere ähnliche Bedenken, Zweifel sowie auch Widerstände klingen aus der praxisbezogenen, pragmatischen Perspektive und Welt insbesondere kleiner Unternehmen nachvollziehbar und plausibel. Immerhin betreiben KMU, von einigen wenigen Fachexperten und Juristen abgesehen, grundsätzlich «Datenschutz» nicht als ihr Kernprodukt bzw. ihre Kerndienstleistung.

Aber unsere heutige Welt ist vollkommen «digital»; wir haben in den letzten Jahren enorme Entwicklungen durch den technologischen Fortschritt erlebt. Alltägliche Dinge, beispielsweise das Surfen im Internet oder das kontaktlose Bezahlen im Supermarkt, sind ohne elektronischen Datenaustausch undenkbar. Personendaten werden tagtäglich in grossen Mengen von Unternehmen, Organisationen oder Behörden bearbeitet. Mit an Sicherheit grenzender Wahrscheinlichkeit wissen die meisten Menschen nicht einmal mehr, wo und welche persönlichen Informationen über sie erfasst, gespeichert und u. a. für «Big-Data»-Analysen verwendet werden.

Das Bundesamt für Justiz BJ veröffentlicht in seinem Web-Auftritt eine FAQ-Seite (Link: Fragen und Antworten zum Datenschutz, aus der klar hervorgeht, was das Gesetz bezweckt und regelt:

Was ist Sinn und Zweck des Datenschutzrechts?

Das Datenschutzrecht konkretisiert das Grundrecht auf informationelle Selbstbestimmung gemäss Art. 13 Abs. 2 BV. Mit dem Datenschutzrecht soll die Privatsphäre der Menschen geschützt werden. Das Datenschutzrecht sorgt dafür, dass dieses Grundrecht nicht nur im Verhältnis zum Staat, sondern auch unter Privaten wirksam wird (Art. 35 Abs. 3 BV).

Was regelt das Datenschutzrecht?

Das Datenschutzrecht legt die Grundsätze für die Bearbeitung von Personendaten fest. Es regelt die Pflichten derjenigen, welche die persönlichen Daten bearbeiten und verankert die Rechte der betroffenen Person. Damit diese Regeln in der Praxis auch angewendet werden, wird der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) mit der Aufsicht über die bundesrechtlichen Datenschutzvorschriften beauftragt.

Sinn und Zweck des Datenschutzes ist also, den Schutz unserer Personendaten zu gewährleisten. Ohne gesetzlich geregelten Datenschutz könnte jeder Zugriff auf unsere Daten erhalten und sie gegen uns verwenden. Betroffene Personen würden keine transparenten Auskünfte zu ihren Daten erhalten und hätten auch nicht das Recht, diese beispielsweise berichtigen oder löschen zu lassen.

Bis hierhin haben wir versucht, die rechtliche Grundlage und Notwendigkeit des Datenschutzgesetzes auf den Punkt zu bringen, und zwar vor dem Hintergrund, dass sich alle Unternehmen, auch KMU, mehr denn je ernsthaft mit dem Datenschutz im Rahmen der rasanten und immer unübersichtlicher werdenden «Digitalisierungsentwicklungen» befassen müssen.

Dies gilt insbesondere für die datenschutzbezogenen Informationen, die Unternehmen ihren Kunden und betroffenen Personen bereitstellen müssen, damit für diesen Adressatenkreis nachvollziehbar wird, welche ihrer Personendaten zu welchen Zwecken und mit welchen Mitteln bearbeitet werden. Denn nur so sind Kunden und betroffene Personen in der Lage, ihr informationelles Selbstbestimmungsrecht auszuüben und ggf. stattfindendem Missbrauch Ihrer Personendaten entgegenwirken zu können.

Wir haben dazu eine kurze Handreichung zusammengestellt, die über folgenden Link hochgeladen werden kann:

In der Handreichung fassen wir alle wesentlichen Aspekte, inklusive relevanter Gesetzestexte, zur unternehmerischen Informationspflicht gemäss dem neuen Datenschutzgesetz zusammen und konstatieren hier: Die Erfüllung der gesetzlichen Informationspflichten (wie in der Handreichung beschrieben) ist ohne eine systematisch strukturierte Erfassung der unterschiedlichen Quellen, Arten, Zwecke, Sicherheitsgarantien etc. von bzw. für Personendaten praktisch nicht «kontrollierbar» und würde deshalb unzureichend, d. h. nicht gesetzeskonform bleiben.

Im Übrigen müssen die Daten beispielsweise bei Auskunftsgesuchen von betroffenen Personen oder bei Anfragen des EDÖB schnell, wenn nicht sofort, (beispielsweise beim Auftreten einer ernsthaften «Datenpanne»), verfügbar gemacht werden.

Demnach ist ohne ein passendes «Instrument», das eine systematisch strukturierte Erfassung und Kontrolle von bearbeiteten Personendaten ermöglicht, eine ausreichende und zeitnahe Erfüllung der gesetzlichen Informationspflichten kaum möglich.

Eine systematisch strukturierte Erfassung der unterschiedlichen Personendaten, die bearbeitet werden, ist bereits seit Verabschiedung des Bundesdatenschutzgesetzes im Juni 1992 festgeschrieben und hat – bis zum Inkrafttreten des neuen Datenschutzgesetzes ab dem 1. September 2023 – auch einen offiziellen Namen: Register der Datensammlungen - Artikel 11a (altes) DSG.

Zukünftig heisst das Register «Verzeichnis der Bearbeitungstätigkeiten» (kurz: «Bearbeitungsverzeichnis»).

Eine Erläuterung für die (neu) zu erfassenden Inhalte haben wir in einer kurzen Handreichung zusammengestellt, die über folgenden Link hochgeladen werden kann:

Fazit: Die datenschutzrechtliche Informationspflicht führt, ohne ein rechtliches «Muss» zu sein, bereits aus rein praktischen Gründen zum Erfordernis einer systematisch strukturierten Erfassung der Personendaten, die in einem Unternehmen bearbeitet werden. Während der Gesetzgeber die Form der Erfassung nicht vorgibt, sind die Vorgaben der zu erfassenden (und zu kontrollierenden) Daten klar und deutlich.

Die Einrichtung eines Bearbeitungsverzeichnisses bringt zudem wesentliche Vorteile für Unternehmen jeder Grösse, beispielsweise:

• Grundsätzlich bildet das Bearbeitungsverzeichnis die Basis für einen Grossteil der weiteren Datenschutzaktivitäten und ermöglicht zudem einen vollständigen und strukturierten Überblick über die Datenströme im Unternehmen.
• Das Bearbeitungsverzeichnis wird zum «Datenschutz-Cockpit», das einen umfassenden Überblick über sämtliche Bearbeitungstätigkeiten innerhalb des Unternehmens verschafft.
• Für den EDÖB ermöglicht es eine erleichterte Kontrolle, wenn er «anklopft», um sich im Rahmen einer Datenschutzuntersuchung einen Überblick zu verschaffen.
• Das Verzeichnis dient als Basis für die erforderliche Datenschutzerklärung (zur Erfüllung der Informationspflicht) des Unternehmens und verschafft eine Übersicht über Verträge zur Auftragsdatenbearbeitung mit Dritten.
• Durch das Verzeichnis verschafft sich das Unternehmen alle Antworten, die zur Auskunft über die Bearbeitung der Personendaten einer betroffenen Person erteilt werden müssen. Sollten betroffene Personen ihre Betroffenenrechte (Auskunfts-, Berichtigungs-, Löschbegehren) gegenüber dem Unternehmen wahrnehmen, kann einem solchen Auskunftsbegehren auf Basis des Verzeichnisses der Bearbeitungstätigkeiten umfassend, rechtskonform und insbesondere auch zeitnah nachgekommen werden.

Setzen Sie sich für weiter Informationen zum Thema gerne mit uns in Verbindung. Wir beraten Sie auch gerne unverbindlich in einem ersten Gespräch, z. B. über Zoom oder Teams, über pragmatische und unkomplizierte Lösungsmöglichkeiten, die Ihren Datenschutz wesentlich erleichtern und definitiv Aufwand und Kosten sparen.

Bitte kontaktieren Sie uns über: ...