Ausgangslage

Die Verordnung zum Schweizer Datenschutzgesetz (DSV) ist eine ergänzende Rechtsvorschrift, die das Schweizer Datenschutzgesetz (DSG) konkretisiert und detailliert regelt. Sie hat den Zweck, den Schutz von Personendaten in der Schweiz zu gewährleisten und den Umgang mit solchen Daten zu regeln.

Die Funktion der DSV besteht darin, die allgemeinen Bestimmungen des DSG zu konkretisieren und praktische Anweisungen für die Umsetzung des Datenschutzes zu geben. Sie legt fest, wie Personendaten erhoben, bearbeitet und genutzt werden dürfen. Die Verordnung enthält unter anderem Regelungen

• zu den Informationspflichten eines Datenverantwortlichen (im Folgenden «Verantwortlicher»; gemeint sind «private» Verantwortliche),
• zu den Rechten der betroffenen Personen,
• zu den technischen und organisatorischen Massnahmen zum Schutz der Daten
• sowie zu den Meldepflichten bei Datenschutzverletzungen.

Der Zweck der DSV besteht darin, einen einheitlichen und angemessenen Datenschutzstandard in der Schweiz sicherzustellen. Die Verordnung soll dazu beitragen, das Vertrauen der Bürger:innen in den Umgang mit ihren «Personendaten» zu stärken und den Schutz ihrer Privatsphäre zu gewährleisten. Die Verordnung dient auch dazu, Unternehmen und Organisationen klare Richtlinien für den Umgang mit Personendaten zu geben und sie bei der Umsetzung des Datenschutzes zu unterstützen.

Zahlreiche Bestimmungen im «neuen» DSG werden demnach auf Verordnungsebene konkretisiert. Dieser Beitrag befasst sich in diesem Zusammenhang mit den Veränderungen und der praktischen Bedeutung für Schweizer Unternehmen.

Es folgen Kommentierungen nur zu bestimmten Regelungsbereichen der DSV, d. h. zu denen, die für Verantwortliche sowie Auftragsbearbeiter bei der Umsetzung und Einhaltung des DSG besonders relevant sind.

Datensicherheit

Die Gewährleistung der Datensicherheit ist gemäss Artikel 8 Absatz 1 (Datensicherheit) DSG wie folgt normiert:

«1 Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.

2 Die Massnahmen müssen es ermöglichen, Verletzungen der Datensicherheit zu vermeiden.

3 Der Bundesrat erlässt Bestimmungen über die Mindestanforderungen an die Datensicherheit.»

Kernaussage: Die technischen und organisatorischen Massnahmen («TOM») müssen es ermöglichen, Verletzungen der Datensicherheit zu vermeiden.

Der damit verbundene Auftrag an den Bundesrat: Der Bundesrat präzisiert die Mindestanforderungen an die Datensicherheit auf Verordnungsstufe.

Der «risikobasierte» Ansatz der DSV beruht darauf, dass es in erster Linie die Aufgabe des jeweiligen Verantwortlichen selbst ist, die im Einzelfall notwendigen Massnahmen zur Risikominimierung und -kontrolle zu bestimmen und umzusetzen, d. h. die Massnahmen-Bestimmungen sind stark einzelfallbezogen und abhängig von der jeweiligen unternehmerischen Risikolandschaft. (Ein Spital wird beispielsweise wesentlich höhere und komplexere Schutzanforderungen für Personendaten haben als eine Bäckerei).

Daher werden die Leitlinien für die Bestimmung der zu ergreifenden Massnahmen insbesondere in der DSV behandelt, um die notwendige Flexibilität für die Vielfalt möglicher Fallkonstellationen zu erlauben und eine Überregulierung, insbesondere für Betriebe mit geringfügiger und wenig risikoreicher Datenbearbeitung, zu verhindern.

Grundsätze: Das Wesentliche aus Artikel 1 DSV

Gemäss Artikel 8 Absatz 1 DSG müssen Verantwortliche und Auftragsbearbeiter eine dem Risiko entsprechend angemessene Datensicherheit gewährleisten.

Artikel 1 Absatz 1 (Grundsätze) DSV greift diesen Grundsatz auf und legt fest, welche Kriterien bei der Beurteilung der Angemessenheit der technischen und organisatorischen Massnahmen zu berücksichtigen sind:

«1 Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen.

2 Der Schutzbedarf der Personendaten wird nach den folgenden Kriterien beurteilt:

1. Art der bearbeiteten Daten;
2. Zweck, Art, Umfang und Umstände der Bearbeitung.

3 Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person wird nach den folgenden Kriterien beurteilt:

1. Ursachen des Risikos;
2. hauptsächliche Gefahren;
3. ergriffene oder vorgesehene Massnahmen, um das Risiko zu verringern;
4. Wahrscheinlichkeit und Schwere einer Verletzung der Datensicherheit trotz der ergriffenen oder vorgesehenen Massnahmen.

4 Bei der Festlegung der technischen und organisatorischen Massnahmen werden zudem die folgenden Kriterien berücksichtigt:

1. Stand der Technik;
2. Implementierungskosten.

5 Der Schutzbedarf der Personendaten, das Risiko und die technischen und organisatorischen Massnahmen sind über die gesamte Bearbeitungsdauer hinweg zu überprüfen. Die Massnahmen sind nötigenfalls anzupassen.»

Datenbearbeitung – Zweck, Art, Umfang, Umstände: Hier geht es um das Schutzniveau, das angesichts der Gefährdung für die Persönlichkeitsrechte und Grundrechte betroffener Personen gewährleistet werden muss: je höher der Schutzbedarf ist, desto höher sind die Anforderungen an die notwendigen Schutzmassnahmen. Dabei ist der Umstand zu berücksichtigen, ob ggf. besonders schützenswerte Personendaten bearbeitet werden, oder ob der Zweck der Bearbeitung ein erhöhtes Risiko für die Persönlichkeitsrechte bzw. die Grundrechte betroffener Personen birgt. Auch der Aspekt des Automatisierungsgrades der Bearbeitung spielt hier eine Rolle, beispielsweise weil es sein kann, dass der Schutzbedarf bei einer vollständig automatisierten Bearbeitung (Stichwort: Künstliche Intelligenz) höher einzuschätzen ist als bei Datenbearbeitungen, die traditionell von natürlichen Personen durchgeführt und überprüft werden.

Verletzung der Datensicherheit: Neben dem notwendigen Fokus auf die potenziellen Auswirkungen einer Verletzung der Datensicherheit, ist neu zusätzlich die Berücksichtigung (bzw. Einschätzung) von deren Eintrittswahrscheinlichkeit ausschlaggebend. Demnach richtet sich das Ausmass der Anforderungen an die Schutzmassnahmen nach der Höhe der Eintrittswahrscheinlichkeit, d. h. die Schutzmassnahmen sind wirksamer und intensiver umzusetzen, je höher die Risikoeinschätzung ausfällt. Dabei wird vom Gesetzgeber keine absolute Sicherheit verlangt. Beispiel: Ein Verantwortlicher führt eine Risikoanalyse durch und setzt auf deren Basis alle aus seiner Sicht notwendigen und geeigneten Schutzmassnahmen um. Wenn sich das «Restrisiko» dennoch realisiert und eine Verletzung der Datensicherheit verursacht, kann das dem Verantwortlichen zunächst nicht angelastet werden. In diesem Fall wäre zu prüfen, ob der Verantwortliche und, falls zutreffend, sein(e) Auftragsbearbeiter angesichts der konkreten Sachlage tatsächlich die erforderlichen und angemessenen Schutzmassnahmen getroffen haben; wenn das der Fall ist, spielt eine Verletzung der Datensicherheit keine «haftbare» Rolle. Es ist im Rahmen der Mindestanforderungen vielmehr zu prüfen, ob Verantwortliche und Auftragsbearbeiter angesichts der konkreten Sachlage angemessene Massnahmen zur Gewährleitung der Datensicherheit getroffen haben, unabhängig davon, ob eine Verletzung der Datensicherheit eintritt.

Stand der Technik: Der «Stand der Technik» muss berücksichtigt werden, weil ein mittlerweile komplett digitalisiertes Umfeld in den meisten Fällen der wesentliche Bestimmungsfaktor für Schutzmassnahmen ist. Geläufig sind in diesem Zusammenhang die sogenannten «anerkannten Regeln der Technik» und «der Stand von Wissenschaft und Technik». Der «Stand von Wissenschaft und Technik» ist die strengste Auslegung, denn das Anforderungsprofil stellt auf die neuesten technischen und wissenschaftlichen Erkenntnisse ab. Dagegen setzen die «anerkannten Regeln der Technik» die Einhaltung des allgemein wissenschaftlich Anerkannten und praktisch Bewährten voraus. Der «Stand der Technik» steht zwischen diesen beiden «Ständen». Er verzichtet auf die schon erreichte allgemeine Anerkennung, die für die «anerkannten Regeln der Technik» gefordert ist und definiert stattdessen einen fortgeschrittenen Entwicklungsstand, der zur Erreichung bestimmter praktischer Schutzzwecke als gesichert angesehen werden darf. Der «Stand der Technik» gibt also vor, was technisch notwendig, geeignet, angemessen und vermeidbar ist, wobei er den Entwicklungsstand fortschrittlicher Verfahren mit einschliesst.

Implementierungskosten: Bei der Beurteilung der Angemessenheit erforderlicher Schutzmassnahmen ist die Einschätzung der «Implementierungskosten» ein wichtiges Beurteilungskriterium. Dabei sind in der Regel konkret Kosten gemeint, die mit der Umsetzung notwendiger, risikorelevanter und angemessener technischer und organisatorischer Massnahmen (TOM) in Zusammenhang stehen. Für Verantwortliche und Auftragsbearbeiter ist es hier wichtig zu verstehen, dass man sich nicht von der Pflicht einer angemessenen Datensicherheit befreien kann, indem man es mit übermässig hohen Kosten begründet. Es geht immer darum, dass Verantwortliche und Auftragsbearbeiter grundsätzlich in der Lage sein müssen, eine angemessene Datensicherheit zu gewährleisten. Wenn die Kosten für Verantwortliche (und deren Auftragsbearbeiter) für notwendige Schutzmassnahmen für eine bestimmte Bearbeitung von Personendaten höher ausfallen würden als der Nutzen, müsste man ggf. von einer solchen Bearbeitung absehen. Wenn zur Gewährleistung eines stets angemessenen Datenschutzniveaus mehrere Schutzmassnahmen zur Verfügung stehen, darf man durchaus der kostengünstigeren Variante den Vorzug geben.

Zur Gewährleistung der Datensicherheit kommen unterschiedliche Massnahmen in Betracht. Folgende Massnahmen sind beispielhaft erwähnt:

Anonymisierung, Pseudonymisierung und Verschlüsselung von Personendaten: Die Anonymisierung trägt insbesondere dazu bei, dass potenziell negative Auswirkungen für betroffene Personen reduziert werden, was sich beispielsweise über eine unbefugte Offenlegung von deren Personendaten ergeben kann. Wenn eine effektive Anonymisierung vorliegt, kommt das DSG in der Regel nicht zur Anwendung.

Verfahren zur Identifikation, Bewertung und Evaluierung der Risiken: Bei datenschutzbezogenen Risikoumfeldern ist oftmals ein Niveau erreicht, ab dem es notwendig wird, standardisierte Verfahren und Prozesse zu implementieren, durch die die Angemessenheit getroffener Schutzmassnahmen regelmässig zu überprüfen, zu bewerten und zu evaluieren ist, was insbesondere bei automatisierten Systemen der Fall ist, da sie einen wesentlichen, wenn nicht sogar den bedeutsamsten Beitrag zur dauerhaften Gewährleistung der Datensicherheit beitragen und der Nachweis ihrer Sicherheit einfacher demonstriert werden kann.

Schulung und Beratung: Die Umsetzung von Schulungen und Beratungen bezieht sich auf die damit betrauten Personen. Der Bundesrat sieht diese Massnahmen als bedeutsam, denn die Umsetzung und Wirksamkeit der Datensicherheit hängt insbesondere davon ab, ob die involvierten Personen festgelegte Schutzmassnahmen auch wirklich anwenden. Eine Verletzung der Datensicherheit kann beispielsweise dadurch entstehen, dass Mitarbeiter:innen eine mit Malware beladene E-Mail öffnen, weil im Unternehmen für Cyber-Angriffsszenarien dieser Art entsprechende Sensibilisierungsmassnahmen fehlen.

Schutzziele und TOM: Das Wesentliche aus den Artikeln 2 und 3 DSV

Artikel 2 (Ziele) DSV enthält eine Auflistung der Schutzziele, auf deren Basis die technischen und organisatorischen Massnahmen (TOM) auszurichten sind, die dann in Artikel 3 (Technische und organisatorische Massnahmen) DSV konkretisiert werden:

Artikel 2 (Ziele) DSV

«Der Verantwortliche und der Auftragsbearbeiter müssen technische und organisatorische Massnahmen treffen, damit die bearbeiteten Daten ihrem Schutzbedarf entsprechend:

1. nur Berechtigten zugänglich sind (Vertraulichkeit);
2. verfügbar sind, wenn sie benötigt werden (Verfügbarkeit);
3. nicht unberechtigt oder unbeabsichtigt verändert werden (Integrität);
4. nachvollziehbar bearbeitet werden (Nachvollziehbarkeit).»

Artikel 3 (Technische und organisatorische Massnahmen) DSV

«1 Um die Vertraulichkeit zu gewährleisten, müssen der Verantwortliche und der Auftragsbearbeiter geeignete Massnahmen treffen, damit:

1. berechtigte Personen nur auf diejenigen Personendaten Zugriff haben, die sie zur Erfüllung ihrer Aufgaben benötigen (Zugriffskontrolle);
2. nur berechtigte Personen Zugang zu den Räumlichkeiten und Anlagen haben, in denen Personendaten bearbeitet werden (Zugangskontrolle);
3. unbefugte Personen automatisierte Datenbearbeitungssysteme nicht mittels Einrichtungen zur Datenübertragung benutzen können (Benutzerkontrolle).

2 Um die Verfügbarkeit und Integrität zu gewährleisten, müssen der Verantwortliche und der Auftragsbearbeiter geeignete Massnahmen treffen, damit:

1. unbefugte Personen Datenträger nicht lesen, kopieren, verändern, verschieben, löschen oder vernichten können (Datenträgerkontrolle);
2. unbefugte Personen Personendaten im Speicher nicht speichern, lesen, ändern, löschen oder vernichten können (Speicherkontrolle);
3. unbefugte Personen bei der Bekanntgabe von Personendaten oder beim Transport von Datenträgern Personendaten nicht lesen, kopieren, verändern, löschen oder vernichten können (Transportkontrolle);
4. die Verfügbarkeit der Personendaten und der Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederhergestellt werden können (Wiederherstellung);
5. alle Funktionen des automatisierten Datenbearbeitungssystems zur Verfügung stehen (Verfügbarkeit), Fehlfunktionen gemeldet werden (Zuverlässigkeit) und gespeicherte Personendaten nicht durch Fehlfunktionen des Systems beschädigt werden können (Datenintegrität);
6. Betriebssysteme und Anwendungssoftware stets auf dem neusten Sicherheitsstand gehalten und bekannte kritische Lücken geschlossen werden (Systemsicherheit).

3 Um die Nachvollziehbarkeit zu gewährleisten, müssen der Verantwortliche und der Auftragsbearbeiter geeignete Massnahmen treffen, damit:

1. überprüft werden kann, welche Personendaten zu welcher Zeit und von welcher Person im automatisierten Datenbearbeitungssystem eingegeben oder verändert werden (Eingabekontrolle);
2. überprüft werden kann, wem Personendaten mit Hilfe von Einrichtungen zur Datenübertragung bekanntgegeben werden (Bekanntgabekontrolle);
3. Verletzungen der Datensicherheit rasch erkannt (Erkennung) und Massnahmen zur Minderung oder Beseitigung der Folgen ergriffen werden können (Beseitigung).»

Verantwortliche und Auftragsbearbeiter haben zu prüfen, mit welchen angemessenen Massnahmen sie die o. a. Schutzziele erreichen; sie können sich dabei durchaus an einem Verhältnismässigkeitsrahmen orientieren. Vorstellbar ist auch, dass nicht alle Schutzziele relevant sind; allerdings muss ein als «nicht relevant» bezeichnetes Schutzziel von Verantwortlichen und Auftragsbearbeitern plausibel begründet werden können.

Zugriffskontrolle: Der Begriff wurde neu normiert. Besonders hervorzuheben und als zielführend geeignet ist in diesem Zusammenhang die Festlegung von Zugriffsberechtigungen, durch die Art und Umfang eines Zugriffs geregelt werden.

Zugangskontrolle: Bei der Zugangskontrolle geht es darum, unbefugten Personen den Zugang zu den Einrichtungen und Anlagen des Verantwortlichen oder Auftragsbearbeiters zu verwehren. Der Begriff «Anlagen» ist neu, womit insbesondere zum Ausdruck gebracht werden soll, dass auch der Zugang zu mobilen Bearbeitungsanlagen zu verhindern ist. Der sehr weit gefasste Begriff bezieht sich demnach auf fest angelegte Serveranlagen, Computer, Mobiltelefone oder Tablets, d. h. auf jegliches Gerät zur Bearbeitung von Personendaten. Mögliche Schutzmassnahmen der Zugangskontrolle sind u. a. Alarmanlagen und abschliessbare Serverschränke.

Datenträgerkontrolle: Bei der Datenträgerkontrolle geht es darum, unbefugten Personen das Lesen, Kopieren, Verändern, Verschieben oder Entfernen von Datenträgern unmöglich zu machen. Es soll insbesondere verhindert werden, dass Personendaten unkontrolliert auf Datenträger (wie Festplatten, USB-Sticks etc.) übertragen werden können. Als «Datenträger» werden nicht nur physische Träger bezeichnet, sondern auch Cloud-Dienste sind als Datenträger einzureihen. Mögliche Schutzmassnahmen der Datenträgerkontrolle sind u. a. die Verschlüsselung und das ordnungsgemässe Vernichten von Datenträgern.

Speicherkontrolle: Bei der Speicherkontrolle geht es um das Verhindern von unbefugten Eingaben in den Datenspeicher, von unbefugten Einsichtnahmen und von unbefugten Veränderungen oder Löschungen gespeicherter Personendaten. Es ist sicherzustellen, dass es unbefugte Personen unmöglich gemacht wird, auf den Inhalt des Datenspeichers Zugriff zu bekommen, diesen einzusehen, zu verändern oder zu löschen. Mögliche Schutzmassnahmen der Speicherkontrolle sind u. a. die Festlegung von differenzierten Zugriffsberechtigungen für Daten, Anwendungen und Betriebssysteme sowie die Protokollierung von Zugriffen auf Anwendungen.

Benutzerkontrolle: Die Benutzerkontrolle ist darauf ausgerichtet zu verhindern, dass unbefugte Personen automatisierte Datenbearbeitungssysteme mittels Einrichtungen über Mechanismen zur Datenübertragung benutzen können. Mögliche Schutzmassnahmen der Benutzerkontrolle sind u. a. regelmässige Kontrollen von Berechtigungen (im Rahmen eines formalen Berechtigungskonzeptes) sowie der Einsatz von Anti-Viren bzw. Anti-Spyware-Software.

Transportkontrolle: Durch die Transportkontrolle muss bei der Bekanntgabe von Personendaten sowie beim Transport von Datenträgern verhindert werden, dass die Daten unbefugt gelesen, kopiert, verändert oder gelöscht werden können. Verantwortliche und Auftragsbearbeiter haben dafür zu sorgen, dass designierte Empfänger:innen die übermittelten Personendaten in ihrer ursprünglichen Form erhalten und diese nicht von (unberechtigten) Dritten abfangen werden können. Bei besonders schützenswerten Personendaten stellen sich erhöhte Anforderungen an die Massnahmen. Mögliche Schutzmassnahmen der Transportkontrolle sind u. a. die Verschlüsselung von Daten bzw. von Datenträgern.

Eingabekontrolle: Der Begriff wurde neu normiert. Bei der Eingabekontrolle geht es um die Sicherstellung, dass nachträglich in automatisierten Systemen überprüft werden kann, welche Personendaten zu welcher Zeit und von welcher Person eingegeben oder verändert wurden. Der Begriff ist so auszulegen, dass auch die Veränderung von Personendaten nachträglich überprüfbar sein können muss. Eine typische Schutzmassnahme der Eingabekontrolle ist die Protokollierung der Eingabevorgänge.

Bekanntgabekontrolle: Bei der Bekanntgabekontrolle wird überprüft, wem Personendaten mittels Einrichtungen zur Datenübertragung bekanntgegeben wurden. Damit verbundene Massnahmen sollen es vor allem ermöglichen, die Datenempfänger:innen zu identifizieren. Unter Umständen kann es dabei ausreichen, wenn bei einer Bekanntgabe die Informationselemente so gestaltet sind, dass die natürliche Person dahinter nicht identifizierbar ist. Allerdings muss bei Bedarf anhand von Protokollen nachvollziehbar sein, mit welchen Mitteln welche Personendaten an wen bekanntgegeben wurden.

Möglichkeit der Wiederherstellung der Verfügbarkeit der Personendaten und des Zugangs zu ihnen nach einem physischen oder technischen Zwischenfall: Diese Regelung wurde neu normiert. Sie entspricht der Richtlinie (EU) 2016/680. Eine mögliche Schutzmassnahme zu dieser Regelung wäre das Ausarbeiten und Anwenden eines «Backup-Konzeptes».

Systemverfügbakeit: Mit Systemverfügbarkeit ist gemeint, dass alle Funktionen des Systems zur Verfügung stehen, auftretende Fehlfunktionen gemeldet werden (Zuverlässigkeit) und gespeicherte Personendaten nicht durch Fehlfunktionen des Systems beschädigt werden können (Datenintegrität). Dabei geht es insbesondere darum, die Stabilität bzw. die Belastbarkeit der eingesetzten Systeme dauerhaft zu gewährleisten. Meldungen von Fehlfunktionen soll das System selbst durchführen, d. h. Verantwortliche oder Auftragsbearbeiter sollen automatisch auf das Vorliegen einer Fehlfunktion aufmerksam gemacht werden.

Verletzungen der Datensicherheit: Verantwortliche und Auftragsbearbeiter müssen Verletzungen der Datensicherheit rasch erkennen und Massnahmen zur Minderung oder Beseitigung von deren Folgen einleiten. Im Hauptfokus stehen hier «reaktive» Massnahmen, die von Verantwortlichen und Auftragsbearbeitern getroffen werden.

Protokollierung: Das Wesentliche aus Artikel 4 DSV

Zweck der Protokollierung, wie sie in Artikel 4 (Protokollierung) DSV normiert wird, ist die nachträgliche Überprüfbarkeit der Bearbeitungen von Personendaten, um im Nachhinein feststellen zu können, ob Daten abhanden gekommen sind bzw. gelöscht, vernichtet, verändert oder offengelegt wurden. Im Übrigen geht es auch um die Gewährleistung der «Zweckkonformität», d. h. aus der Protokollierung können sich Hinweise ergeben, ob Personendaten zweckkonform bearbeitet wurden.

Artikel 4 (Protokollierung) DSV

«1 Werden besonders schützenswerte Personendaten in grossem Umfang automatisiert bearbeitet oder wird ein Profiling mit hohem Risiko durchgeführt und können die präventiven Massnahmen den Datenschutz nicht gewährleisten, so müssen der private Verantwortliche und sein privater Auftragsbearbeiter zumindest das Speichern, Verändern, Lesen, Bekanntgeben, Löschen und Vernichten der Daten protokollieren. Eine Protokollierung muss insbesondere dann erfolgen, wenn sonst nachträglich nicht festgestellt werden kann, ob die Daten für diejenigen Zwecke bearbeitet wurden, für die sie beschafft oder bekanntgegeben wurden. [...]

4 Die Protokollierung muss Aufschluss geben über die Identität der Person, die die Bearbeitung vorgenommen hat, die Art, das Datum und die Uhrzeit der Bearbeitung sowie gegebenenfalls die Identität der Empfängerin oder des Empfängers der Daten.

5 Die Protokolle müssen während mindestens einem Jahr getrennt vom System, in welchem die Personendaten bearbeitet werden, aufbewahrt werden. Sie dürfen ausschliesslich den Organen und Personen zugänglich sein, denen die Überprüfung der Anwendung der Datenschutzvorschriften oder die Wahrung oder Wiederherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Nachvollziehbarkeit der Daten obliegt, und dürfen nur für diesen Zweck verwendet werden.»

Protokollierungen dienen zwar auch dem Zweck, Verletzungen der Datensicherheit aufzudecken und aufzuklären. Es ist hingegen nicht das Ziel von Protokollierungen, den Personenkreis, der die Personendaten bearbeitet, zu überwachen.

Protokollierungen sind für private Verantwortliche und private Auftragsbearbeiter insbesondere dann zwingend vorzunehmen, wenn eine als notwendig befundene (durchgeführte) Datenschutz-Folgenabschätzung (DSFA) zu dem Ergebnis kommt, dass für eine beabsichtigte automatisierte Bearbeitung von Personendaten ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen besteht.

Die neue Verordnung konkretisiert die Inhalte der Protokollierung, die demzufolge Aufschluss über die Art des Bearbeitungsvorgangs, die Identität der jeweiligen Person, durch die die entsprechende Bearbeitung vorgenommen wurde, die Identität der Empfänger:innen sowie den Zeitpunkt, an dem die Bearbeitung erfolgt ist, zu geben haben.

Die Protokolle müssen gemäss der neuen Verordnung «mindestens» für ein Jahr getrennt von dem System, in dem die Personendaten bearbeitet werden, aufbewahrt werden. Die Trennung der «Aufbewahrung» zwischen Systemen ist deshalb notwendig, weil bei Cyberangriffen (Stichwort: Ransomware) auch das Protokoll selbst manipuliert oder verschlüsselt werden kann. Die Aufbewahrungsfrist sollte im Rahmen der Totalrevision des Datenschutzgesetzes auf zwei Jahre erhöht werden, da sich Angreifer bei Cyberangriffen zunehmend auch längere Zeit in Systemen aufhalten, ohne sofort Schaden anzurichten; somit bleibt ein solches «Eindringen» in das System nicht selten unerkannt. Eine längere Aufbewahrungsdauer der Protokolle soll dementgegen gewährleisten, dass Zeitpunkt und Art eines Eindringens bzw. Angriffs in das System nachvollziehbar sind. Indem man sich schlussendlich auf eine Aufbewahrung von «mindestens» einem Jahr geeinigt hat, «dürfen» Protokolle demnach auch länger aufbewahrt werden, was in Anbetracht der Cyberrisiken-Exponierung dringend zu empfehlen wäre; denn aufgrund der regelmässig späten Entdeckung von Cyberangriffen erweist sich die Aufbewahrungsfrist von einem Jahr als zu kurz.

Zugang zu den Protokollen ist ausschliesslich den Organen oder Personen vorbehalten, die für die Überwachung der Datenschutzvorschriften zuständig sind, oder die Verantwortung für die Wiederherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Nachvollziehbarkeit der Daten tragen. Die Protokolle dürfen nur für diesen Zweck verwendet werden; mit dieser Zweckzuordnung bringt die DSV neu zum Ausdruck, dass auch Sicherheitsverantwortliche Zugang zu den Protokollen haben sollen, damit sie besagte Vertraulichkeit, Integrität, Verfügbarkeit und Nachvollziehbarkeit der Daten wiederherstellen können.

Bearbeitungsreglement von privaten Personen: Das Wesentliche aus Artikel 5 DSV

Die Pflicht zur Erstellung eines Bearbeitungsreglements wird in Artikel 5 (Bearbeitungsreglement von privaten Personen) DSV normiert und obliegt dem Verantwortlichen sowie dessen Auftragsbearbeiter. Die Bearbeitungsreglemente sind von den beiden Parteien separat zu erstellen.

Artikel 5 (Bearbeitungsreglement von privaten Personen) DSV

«1 Der private Verantwortliche und sein privater Auftragsbearbeiter müssen ein Reglement für automatisierte Bearbeitungen erstellen, wenn sie:

1. besonders schützenswerte Personendaten in grossem Umfang bearbeiten; oder
2. ein Profiling mit hohem Risiko durchführen.

2 Das Reglement muss insbesondere Angaben zur internen Organisation, zum Datenbearbeitungs- und Kontrollverfahren sowie zu den Massnahmen zur Gewährleistung der Datensicherheit enthalten.

3 Der private Verantwortliche und sein privater Auftragsbearbeiter müssen das Reglement regelmässig aktualisieren. Wurde eine Datenschutzberaterin oder ein Datenschutzberater ernannt, so muss dieser oder diesem das Reglement zur Verfügung gestellt werden.»

Im Rahmen der Datensicherheit, die einen entsprechenden risikobasierten Ansatz vorgibt, ist eine Bearbeitungsreglement immer dann zu erstellen, wenn ein erhöhtes Risiko vorliegt. Dementsprechend müssen Verantwortliche und Auftragsbearbeiter dann ein Bearbeitungsreglement erstellen, wenn eine umfangreiche Bearbeitung besonders schützenswerter Personendaten oder ein Profiling mit hohem Risiko durchgeführt wird.

Unverändert in der DSV bleibt das Erfordernis für Verantwortliche und Auftragsbearbeiter im Bearbeitungsreglement die interne Organisation zu beschreiben, wozu auch die Umschreibung der Architektur und der Funktionsweise der jeweiligen Systeme gehört.

Ebenso sind die Herkunft und Art der Beschaffung der Personendaten anzugeben. Damit ist insbesondere die Herkunft der konkreten Informationsquelle gemeint, beispielsweise aus dem Handelsregister, von öffentlichen Websites, aus Kundenregistern, über Fragebögen an betroffene Personen, aus öffentlich-zugänglichen Quellen etc.

Die technischen und organisatorischen Massnahmen (TOM) zur Gewährleistung der Datensicherheit sind im Bearbeitungsreglement zu erfassen, beispielsweise durch Nennung der Massnahmen, über die den Schutzzielen Rechnung getragen wird. Da es sich hier um technische Massnahmen handelt, sollten die Angaben auch Aufschluss über die Konfiguration der Informatik-Mittel geben, wobei eine Erläuterung der wichtigsten Grundkonfigurationen dieser Mittel im Bearbeitungsreglement ausreicht und keine technischen Details ausgeführt werden müssen.

Die Zugriffsberechtigungen sowie Art und Umfang eines zulässigen Zugriffs sind im Bearbeitungsreglement aufzuführen.

Verantwortliche und Auftragsbearbeiter müssen gemäss der neuen DSV im Bearbeitungsreglement darlegen, welche Massnahmen zur Datenminimierung sie treffen bzw. getroffen haben. Der Grundsatz der Datenminimierung ist hier ein zentraler Grundsatz des Datenschutzes und lässt sich implizit aus dem Grundsatz der «Verhältnismässigkeit» ableiten.

Verantwortliche und Auftragsbearbeiter müssen im Bearbeitungsreglement auch die Datenbearbeitungsverfahren umschreiben, insbesondere bezogen auf die Verfahren, die bei der Speicherung, Berichtigung, Bekanntgabe, Aufbewahrung, Archivierung, Pseudonymisierung, Anonymisierung, Löschung oder Vernichtung von Personendaten durchgeführt werden. Konkret soll hier festgehalten werden, welche Datenbearbeitungsverfahren vorgenommen werden und wie diese ablaufen.

Verantwortliche und Auftragsbearbeiter müssen im Bearbeitungsreglement das Verfahren zur Auskunftserteilung und zur Ausübung des Rechts auf Datenherausgabe oder -übertragung darstellen. Selbstverständlich besteht dieses Recht nur im Rahmen des Gesetzes, namentlich gemäss der Vorgabe von Artikel 28 (Recht auf Datenherausgabe oder -übertragung) DSG; eine Umschreibung dieses Rechts muss deshalb nur im Rahmen zutreffender Fälle im Bearbeitungsreglement erfolgen.

Bekanntgabe von Personendaten ins Ausland: Das Wesentliche aus Artikel 8 ff. DSV

Die Bestimmungen zur Bekanntgabe von Personendaten ins Ausland werden in der DSV dem «1. Kapitel: Allgemeine Bestimmungen» zugeordnet. Dort wird die komplette Themenbehandlung in einem eigenen Abschnitt («3. Abschnitt: Bekanntgabe von Personendaten ins Ausland») mit fünf Artikeln behandelt:

• Artikel 8 (Beurteilung der Angemessenheit des Datenschutzes eines Staates, eines Gebiets, eines spezifischen Sektors in einem Staat oder eines internationalen Organs) DSV: Hier werden die Kriterien konkretisiert, die der Bundesrat zu berücksichtigen hat, um bestimmen zu können, ob ein Staat oder ein internationales Organ einen angemessenen Schutz gewährleistet.
• Artikel 9 (Datenschutzklauseln und spezifische Garantien) DSV: Hier wird dargelegt, was die Datenschutzklauseln in einem Vertrag und die spezifischen Garantien zur Gewährleistung eines geeigneten Datenschutzes regeln müssen.
• Artikel 10 (Standarddatenschutzklauseln) DSV
• Artikel 11 (Verbindliche unternehmensinterne Datenschutzvorschriften) DSV
• Artikel 12 (Verhaltenskodizes und Zertifizierungen) DSV: Aufgrund der dem Bundesrat zugewiesenen Kompetenz werden in diesem Artikel weitere geeignete Garantien vorgesehen.

Die Entscheidung, ob ein «Staat» (d. h. ein «Gebiet» bzw. einzelne oder mehrere «Sektoren» in einem Staat ausserhalb der Schweiz) oder ein internationales Organ einen angemessenen Schutz für die Rechte und Freiheiten betroffener Personen in Bezug auf deren Personendaten gewährleistet, wird vom Bundesrat getroffen, der dafür, wie bereits ausgeführt, die Erfüllung bestimmter Kriterien voraussetzt und nach einer entsprechenden Prüfung bei positivem Ergebnis einem sogenannten «Angemessenheitsentscheid» ausspricht.

Im Folgenden wird die Besonderheit von Artikel 8 DSV näher beleuchtet. Verantwortliche und Auftragsbearbeiter, die datenschutzbezogen mit «Staaten» ausserhalb der Schweiz zu tun haben, werden zunächst immer prüfen, ob dort ein «Angemessenheitsentscheid» des Bundesrats vorliegt. Diese Prüfung ist die Basis für ggf. «weitere Massnahmen», wenn ein «Angemessenheitsentscheid» fehlt. Die Artikel 9 bis 12 DSV befassen sich konkret mit «weiteren (möglichen) Massnahmen» zur Gewährleistung einer «Angemessenheit» der Datenschutzgesetzgebung in einem anderen «Staat»; die Einzelheiten dieser Massnahmen werden bei uns in anderen Blog-Beiträgen ausführlicher behandelt.

Mit einem «Gebiet» wird im datenschutzrechtlichen Kontext eine Region bezeichnet, bei der zwar die Gesetzgebung eines ausländischen Bundesstaates keinen angemessenen Schutz gewährleistet, wo aber einer seiner «Gliedstaaten» über angemessene Datenschutzregelungen verfügt, die als gültig bewertet werden.

Von einem «spezifischen Sektor» spricht man in diesem Zusammenhang, wenn der Bezug auf einen bestimmten Sektor innerhalb eines Staates gemacht wird, der für seinen Bereich einen angemessenen Datenschutz gewährleistet. So kann eine «teilweise» Angemessenheit für eine spezifische Instanz eines Staates zuerkannt werden, wie es beispielsweise für Kanada der Fall ist; hier hat die Europäische Kommission eine «teilweise» Angemessenheit ausgesprochen, weil aufgrund der kanadischen Datenschutzgesetzgebung nur für den «privaten» Sektor ein angemessener Schutz festgestellt werden konnte.

In seiner Botschaft zum Datenschutzgesetz (BBI 2017, S. 7038) definiert der Bundesrat ein «internationales Organ» wie folgt: «[...] Der Begriff «internationales Organ» bezieht sich auf alle internationalen Institutionen, seien dies Organisationen oder Gerichte. [...].»

Die Entscheidung, ob ein «Staat» (bzw. ein «Gebiet» oder ein «spezifischer Sektor») oder «ein internationales Organ» einen angemessenen Datenschutz bzw. eine angemessene Datenschutzgesetzgebung gewährleisten, wird vom Bundesrat unter Berücksichtigung folgender Kriterien getroffen:

• Welche internationalen Verpflichtungen der betroffene Staat oder das internationale Organ im Bereich des Datenschutzes übernommen hat.
• Ob die Achtung der Menschenrechte gewährleistet ist.
• Wie die geltende Gesetzgebung zum Datenschutz sowie deren Umsetzung und die einschlägige Rechtsprechung ausgestaltet ist.

Bereits diese ersten drei Kriterien enthalten die Kernelemente, auf deren Basis ein Angemessenheitsentscheid gefällt wird; dabei geht es um: Rechtsstaatlichkeit; Achtung der Menschenrechte und Grundfreiheiten; einschlägige allgemeine und Spezialgesetzgebungen des betroffenen Staates (beispielsweise in den Bereichen öffentliche Gesundheit, Verteidigung, nationale Sicherheit, Zugang öffentlicher Stellen zu Personendaten).

Weitere Kriterien, die der Bundesrat berücksichtigt:

• Ob die Gewährleistung der Rechte der betroffenen Personen und des Rechtsschutzes «wirksam» ist. (Geprüft wird hier nicht nur, ob betroffene Personen auf Basis einer ausländischen gesetzlichen Grundlage vorgesehene Rechte haben, sondern ob sichergestellt ist, dass diese Rechte auch tatsächlich umgesetzt werden).
• Ob sichergestellt ist, dass die im betroffenen Staat für den Datenschutz beauftragten Behörden wirksam funktionieren und über ausreichende Befugnisse und Kompetenzen verfügen
• die Berücksichtigung einer Beurteilung des Schutzniveaus, das von einer ausländischen, für den Datenschutz zuständigen Behörde (eines Staates mit einem angemessenem Schutzniveau) oder von einem internationalen Organ vorgenommen wurde.
• Zuhilfenahme von Beurteilungen, die die Europäische Kommission vorgenommen hat.

Meldung von Verletzungen der Datensicherheit: Das Wesentliche aus Artikel 15 DSV

Artikel 15 (Meldung von Verletzungen der Datensicherheit) DSV

«1 Die Meldung einer Verletzung der Datensicherheit an den EDÖB muss folgende Angaben enthalten:

1. die Art der Verletzung;
2. soweit möglich den Zeitpunkt und die Dauer;
3. soweit möglich die Kategorien und die ungefähre Anzahl der betroffenen Personendaten;
4. soweit möglich die Kategorien und die ungefähre Anzahl der betroffenen Personen;
5. die Folgen, einschliesslich der allfälligen Risiken, für die betroffenen Personen;
6. welche Massnahmen getroffen wurden oder vorgesehen sind, um den Mangel zu beheben und die Folgen, einschliesslich der allfälligen Risiken, zu mindern;
7. den Namen und die Kontaktdaten einer Ansprechperson.

2 Ist es dem Verantwortlichen nicht möglich, alle Angaben gleichzeitig zu melden, so liefert er die fehlenden Angaben so rasch als möglich nach.

3 Ist der Verantwortliche verpflichtet, die betroffene Person zu informieren, so teilt er ihr in einfacher und verständlicher Sprache mindestens die Angaben nach Absatz 1 Buchstaben a und e–g mit.

4 Der Verantwortliche muss die Verletzungen dokumentieren. Die Dokumentation muss die mit den Vorfällen zusammenhängenden Tatsachen, deren Auswirkungen und die ergriffenen Massnahmen enthalten. Sie ist ab dem Zeitpunkt der Meldung nach Absatz 1 mindestens zwei Jahre aufzubewahren.»

Die Mindestanforderungen bezüglich einer Meldung des Verantwortlichen an den EDÖB von Verletzungen der Datensicherheit sind in Artikel 24 Absatz 2 DSG vorgegeben und beinhalten u. a. die Darstellung der Art der Verletzung der Datensicherheit, deren Folgen und die ergriffenen oder vorgesehenen Massnahmen.

Artikel 24 (Meldung von Verletzungen der Datensicherheit) DSG

«[...] 2 In der Meldung nennt [der Verantwortliche] mindestens die Art der Verletzung der Datensicherheit, deren Folgen und die ergriffenen oder vorgesehenen Massnahmen. [...]»

Die inhaltliche Anforderung der Meldung wird präzisiert, indem sie klarstellt, dass Meldungen auf Verletzungen der Datensicherheit beschränkt sind, die voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte betroffener Personen führen.

Artikel 24 (Meldung von Verletzungen der Datensicherheit) DSG

«1 Der Verantwortliche meldet dem EDÖB so rasch als möglich eine Verletzung der Datensicherheit, die voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person führt. [...]»

In Artikel 24 Absatz 1 DSG wird durch die Anwendung des Begriffs «voraussichtlich» deutlich gemacht, dass auch in Zweifelsfällen, d. h., wenn das Vorliegen eines hohen Risikos nicht ausgeschlossen werden kann, eine Meldung zu erfolgen hat.

In Artikel 15 Absatz 1 Buchstabe b DSV sieht die Verordnung vor, dass, soweit möglich, auch der Zeitpunkt und die Dauer der Datensicherheitsverletzung mitzuteilen ist. Dadurch erhält der EDÖB die Möglichkeit zu überprüfen, ob der Verantwortliche seine Pflicht erfüllt hat, die Meldung «so rasch als möglich» zu machen.

In Artikel 15 Absatz 1 Buchstaben c und d DSV müssen, soweit möglich, auch die Kategorien sowie die ungefähre Anzahl der Personendaten, die von der Verletzung der Datensicherheit betroffen sind, gemeldet werden, ebenso die Kategorien und die ungefähre Anzahl der betroffenen Personen. Um das Ausmass einer Datenschutzverletzung (einigermassen) richtig einschätzen zu können, sind diese Informationen von grosser Bedeutung. Insbesondere von Bedeutung ist die Kenntnis über die Kategorien von Personendaten, die von der Verletzung betroffen sind, beispielsweise Adressen, Kreditkartenformationen oder Gesundheitsdaten, um die Ausführungen zu den Folgen, Risiken und erforderlichen Schutzmassnahmen überhaupt nachvollziehbar zu machen.

Wenn betroffene Personen aufgrund eines für sie potenziell oder akut bestehenden hohen Risikos durch die Datenschutzverletzung entsprechend informiert werden müssen, muss der Verantwortliche bei der Information an die betroffenen Personen unter anderem auch Ausführungen dazu machen, welche Kategorien von Personendaten in ihrem Fall von der Verletzung betroffen sind und welche konkreten Massnahmen die betroffenen Personen selbst vorsehen können, beispielsweise indem man sie auffordert bzw. ihnen nahe legt, unverzüglich ihre Passwörter zu ändern, oder Kreditkarten zu sperren.

Ausserdem haben Verantwortliche jeweils den Namen und die Kontaktdaten einer Ansprechperson zu melden, die Anlaufstelle für die Kommunikation sowohl mit dem EDÖB als auch mit betroffenen Personen ist.

Verantwortlichen wird durch die Verordnung die Möglichkeit eingeräumt, die Informationen zu einer Datenschutzverletzung sukzessive an den EDÖB zu liefern, d. h., wenn es dem Verantwortlichen bei der Entdeckung einer Datenschutzverletzung nicht möglich ist, dem EDÖB alle Informationen sofort vorzulegen, reicht zunächst die Meldung als solche und Weiteres kann bzw. muss «schrittweise» nachgereicht werden.

Wenn es in diesem Zusammenhang in Artikel 24 Absatz 1 DSG heisst, dass der Verantwortliche die Meldung «so rasch als möglich» zu machen hat, führt das in der Praxis regelmässig zu Problemen, denn in vielen, wenn nicht sogar in den meisten Fällen werden die zu liefernden Informationen unmittelbar nach Entdeckung der Datenschutzverletzung noch gar nicht vorliegen.

Der Verantwortliche hat deshalb die Möglichkeit, in einem ersten Schritt bei der Entdeckung einer Datenschutzverletzung nur die ihm bekannten Grundangaben «so rasch als möglich» zu liefern. Selbstverständlich müssen die restlichen Informationen ohne weitere Verzögerung, (wie bereits erwähnt «schrittweise»), an den EDÖB geliefert werden, sobald sie vorliegen.

Damit den Verantwortlichen eine strukturierte Meldemöglichkeit angeboten und die Menge von Meldungen möglichst effizient abgearbeitet werden kann, hat der EDÖB eine webbasierten Meldeplattform bereitgestellt, die über folgenden Link abgerufen werden kann und eine genaue Orientierung der erforderlichen bereitzustellenden Informationen bietet: Online-Dienst zur Meldung von Datensicherheitsverletzungen (Artikel 24 DSG).

Setzen Sie sich für weitere Informationen zu diesem Thema gerne jederzeit mit uns in Verbindung. Wir beraten Sie auch gerne unverbindlich in einem ersten Gespräch, z. B. mittels MS Teams, über pragmatische und unkomplizierte Lösungsmöglichkeiten, die Ihren Datenschutz wesentlich erleichtern und definitiv Aufwand und Kosten sparen.

Bitte kontaktieren Sie uns über: