In Kürze

Art. 12 DSG beschreibt die Pflicht für Bundesorgane und private Verantwortliche und Auftragsbearbeiter, ein Verzeichnis der Bearbeitungstätigkeiten zu führen. Die Daten sollen während ihres gesamten Lebenszyklus im Unternehmen erfasst werden. Ein Verzeichnis beinhaltet mindestens:

• die Identität der Verantwortlichen

• die Kategorien der bearbeiteten Personendaten

• den Zweck der Bearbeitung

• wenn möglich die Aufbewahrungsdauer oder zumindest die Kriterien zur Festlegung dieser Dauer

• die Empfänger und Empfängerinnen der bearbeiteten Daten

• datenschutzkonforme Massnahmen

• Vorgaben für eine Datenbekanntgabe ins Ausland

Nicht ins Verzeichnis gehören Kategorien von Personendaten, die das Unternehmen gar nicht bearbeitet und Garantien für die Datenbekanntgabe ins Ausland, wenn kein Datenexport betrieben wird. Auch Daten, die nur mit unverhältnismässigem Aufwand zuerst beschafft werden müssten.

Schliesslich sind Unternehmen mit weniger als 250 Mitarbeitenden (KMU) gesetzlich, aufgrund administrativer Entlastung, von der Pflicht zur Erstellung und Führung eines Bearbeitungsverzeichnisses entbunden. Da ein Verzeichnis von Bearbeitungstätigkeiten der unternehmensinternen Aufklärung über die bearbeiteten Daten sowie der Einhaltung von Haft- und Sorgfaltspflichten dient, empfiehlt es sich für jedes Unternehmen, ein Verzeichnis zu führen.

Das Verzeichnis der Bearbeitungstätigkeiten, das an keine Formvorschrift gebunden ist, wird innerhalb des Unternehmens erfasst und bietet u.a. neben Verhaltenskodizes und Zertifizierungen eine Möglichkeit der regulierten Selbstregulierung. Einerseits gewinnt das Unternehmen Klarheit über die von ihm bearbeiteten Daten, andererseits wird sich auch der EDÖB ab dem Inkrafttreten des revidierten DSG an Datenbearbeitungsverzeichnissen orientieren um die Datenschutzkonformität zu prüfen.

I. Allgemeines

A. Überblick

1 Ein Verzeichnis der Bearbeitungstätigkeiten ist gemäss den Bestimmungen des Datenschutzgesetzes (DSG) ein wichtiges Instrument zur Einhaltung der datenschutzrechtlichen Vorschriften. Es stellt einen systematisierten Überblick über die Datenbearbeitungstätigkeiten dar und dient sowohl Bundesorganen als auch Privatpersonen als Verpflichtung. Es gibt Auskunft über Herkunft und Zweck der Daten, Aufbewahrungsaspekte, sowie angewandte Sicherheitsmassnahmen und Datentransfer, u.U. ins Ausland. Die Norm ersetzt Art. 11a aDSG i.V.m. Art. 11 VDSG und präzisiert und erweitert die Pflicht zur Führung eines Registers der Datensammlungen. Verantwortliche müssen eigenständig die intern erhobenen Daten ermitteln und systematisiert dokumentieren. Im Verzeichnis wird damit ein verstärkter Fokus auf die Dokumentationspflicht und die Datenbearbeitungsprozesse gelegt. Ein Verzeichnis der Bearbeitungstätigkeiten ist jedoch von einem Register der Datensammlungen zu unterscheiden und hat zusätzliche inhaltliche Anforderungen (vgl. N. 6).

2 Dank dem Verzeichnis der Bearbeitungstätigkeiten verfügen Organisationen über wichtige Informationen ihrer digitalen Daten, sie haben eine klare und aktuelle Übersicht. So profitieren sowohl der EDÖB, dessen Überprüfung der Datenschutzkonformität eines Unternehmens vereinfacht wird, wie auch das Unternehmen selbst.

B. Entstehungsgeschichte

3 Gemäss Art. 11a aDSG führte der «Beauftragte», d.h. der EDÖB, ein öffentlich zugängliches Register von Datensammlungen («Register»). Während Bundesorgane sämtliche Datensammlungen beim EDÖB zur Registrierung anmelden mussten (Art. 11a Abs. 1 aDSG), waren Private nur meldepflichtig, wenn sie entweder Personendaten regelmässig an Dritte weitergaben (Art. 11a Abs. 3 lit. b aDSG) oder wenn sie Persönlichkeitsprofile oder besonders schützenswerte Daten bearbeiteten (Art. 11a Abs. 3 lit. a aDSG). Art. 11a Abs. 5 aDSG stellte mehrere Inhaber von Datensammlungen von einer Meldepflicht gegenüber dem EDÖB frei, darunter auch Inhaber einer Datenschutzzertifizierung oder Unternehmen mit einem Datenschutzverantwortlichen.

4 Art. 11a DSG führte die Anforderungen an ein Register der Datensammlungen nicht selbst aus, sondern Art. 11 VDSG konkretisierte diese. Danach musste das Register Beschreibungen über die internen Organisationsstrukturen und die Datenbearbeitungs- und Kontrollverfahren enthalten. Belege über die Planung, Umsetzung und den Betrieb der Datensammlung sowie der genutzten Informatikmittel mussten ebenfalls aufgeführt werden. Diese Präzisierungen galten nur für die meldepflichtigen Datenbearbeitungen.

5 Der Begriff des «Verzeichnis der Bearbeitungstätigkeiten» geht aber über eine kurze Übersicht von gesammelten Daten hinaus. Er umfasst zusätzlich die Informationen, was mit den Daten gemacht wird, wie sie erhoben werden und wohin sie weitergegeben werden. Register überschneiden sich zwar inhaltlich mit einem Verzeichnis der Bearbeitungstätigkeiten, fokussieren sich jedoch eingehender auf die (unternehmens-) interne Struktur, Planung und Verwaltung. Im aktuellen DSG ist der Begriff des Registers der Datensammlungen nicht mehr enthalten, da er durch das Verzeichnis der Bearbeitungstätigkeiten ersetzt wurde.

6 Art. 12 DSG ist umfangreicher und verlangt zusätzliche Informationen wie die Identität des Verantwortlichen, den Bearbeitungszweck, eine Kategorisierung von sowohl den bearbeiteten Personendaten als auch den beabsichtigten Empfängern und Empfängerinnen, die Aufbewahrungsdauer und konkrete Massnahmen zur Gewährleistung der Datensicherheit. Vieles überschneidet sich zwar mit Art. 11 VDSG, die Anforderungen sind aber um einiges detaillierter, was auch die Erstellung eines Verzeichnisses vereinfachen sollte. Auch die frühere allgemeine Dokumentationspflicht, d.h. eine Meldepflicht von Datensammlungen, wird durch das Datenbearbeitungsverzeichnis abgelöst.

7Mit dem in Kraft treten des neuen DSG müssen gemäss Art. 12 DSG Privatpersonen und Bundesorgane ein Verzeichnis der Bearbeitungstätigkeiten erstellen. Allerdings sind es ausschliesslich Bundesorgane, die ihr Bearbeitungsverzeichnis dem EDÖB vorlegen müssen (Art. 12 Abs. 4 DSG). Die Pflicht zur Führung eines Verzeichnisses gilt hingegen auch für Private. Das Verzeichnis der Bearbeitungstätigkeiten ermöglicht es die eigenen Daten besser zu kontrollieren. Das Verzeichnis der Bearbeitungstätigkeiten wird neu bei den allgemeinen Datenschutzbestimmungen eingeordnet.

C. Normzweck

8 Art. 12 DSG gilt als Verpflichtungsnorm für Verantwortliche und Auftragsbearbeiter. Der Zweck der Norm ist es, die Transparenz bei der Bearbeitung von Daten zu erhöhen. Dies wird sichergestellt durch die strengeren Anforderungen an das Verzeichnis (Art. 12 DSG) als an das frühere Pendent dem Register der Datensammlungen (Art. 11a aDSG). Mit genauen Mindestangaben haben Verantwortliche einen klaren Orientierungsrahmen, welche Daten in ein Verzeichnis gehören. So werden Datenbearbeitungen vereinheitlicht aufgezeichnet. Es wird für den Verantwortlichen betriebsintern einfacher, den Überblick über die gesammelten Daten zu behalten. Einerseits kann er die Informationspflicht adäquat erfüllen und andererseits dem Auskunftsrecht zufriedenstellend nachkommen.

9 Eine systematische Erfassung von Daten und Informationen ist für Unternehmen allgemein vorteilhaft, nicht nur auf dem Gebiet der Personendaten. Ein Materialienverzeichnis oder eine Erfassung von Informationen, die einer Geheimhaltungspflicht unterstehen, ermöglichen dem Unternehmen einen stets aktuellen, korrekten und vereinfachten Überblick über den internen Informationsfluss. Auch hier gilt der Grundsatz, dass die systematische Sammlung und Erhebung von Daten eine wichtige digitale Anlage darstellen.

10 Auch für den EDÖB stellt die Norm eine Vereinfachung dar. Er profitiert von der Vereinheitlichung des Verzeichnisses, da ihm nun alle relevanten Kategorisierungen oder Bearbeitungen unmittelbar zu Verfügung stehen. Der EDÖB wird zukünftig bei einer Untersuchung als erstes nach dem Verzeichnis fragen.

Trotzdem führt das Unterlassen der Führung eines Verzeichnisses nicht zu einer unmittelbaren Sanktion. Das Erteilen falscher Auskünfte oder eine Verweigerung der Unterstützung im Rahmen einer Untersuchung des EDÖBs bleiben jedoch, wie schon im geltenden Recht, strafbar.

II. Inhalt

A. Inhalt eines Bearbeitungsverzeichnisses

11 Art. 12 sieht für dieses Verzeichnis einige inhaltliche Mindestanforderungen vor, die wie folgt lauten:

• Wer ist verantwortlich?, Art. 12 Abs. 2 lit. a DSG.

  Verantwortlich ist jene Person, die über den Zweck und die Mittel einer Datenbearbeitung entscheidet. Bei mehreren Verantwortlichen sind alle aufzuführen.

• Was ist der Bearbeitungszweck?, Art. 12 Abs. 2 lit. b DSG.

  Der Zweck kann variieren; entscheidend ist, welches Ziel mit einer Datenbearbeitung verfolgt wird. In der Regel entscheidet derjenige, der die Bearbeitung veranlasst, auch über deren Zweck.

• Welche Personen und welche Art von Personendaten werden bearbeitet (Kategorisierungen)?, Art. 12 Abs. 2 lit. c DSG.

  Kategorien betroffener Personen sind typisierte Gruppierungen wie «Konsumenten» oder «Arbeitnehmer».

  Mit den Kategorien «bearbeiteter Personendaten» sind die Arten von bearbeiteten Daten, etwa besonders schützenwerte Personendaten gemeint.

• Wer ist der Empfänger oder die Empfängerin der bearbeiteten Daten?, Art. 12 Abs. 2 lit. d DSG.

  Auch die Empfänger bzw. die Empfängerinnen der bearbeiteten Personendaten werden kategorisiert, beispielsweise Aufsichtsbehörden.

• Wie lange werden Personendaten aufbewahrt bzw. wie lässt sich diese Dauer feststellen?, Art. 12 Abs. 2 lit. e DSG

  Es geht insbesondere um die Archivierungsfristen von erhobenen Daten. Falls keine gesetzliche Grundlage oder kein definierter Zweck mehr zur Aufbewahrung der erhobenen Personendaten besteht, müssen jene gelöscht oder anonymisiert werden (Art. 6 Abs. 4 DSG).

• Welche Massnahmen werden getroffen, um Datensicherheit nach Art. 8 zu gewährleisten?, Art. 12 Abs. 2 lit. f DSG

  Es wird auf die grundsätzlichen Prinzipien des Datenschutzes und der Datensicherheit verwiesen. Dazu gehören insbesondere die Integrität der erhobenen Daten, geeignete technische und organisatorische Massnahmen und «privacy by default» und «privacy by design».

• Welche Massnahmen müssen getroffen werden, um Daten ins Ausland bekanntzugeben?, Art. 12 Abs. 2 lit. g DSG.

  Neben den gesetzlichen Massnahmen (vgl. Art. 16 ff. DSG) gehören dazu auch vertraglich vereinbarte Standardklauseln in Verträgen und international festgelegte, sektorenspezifische Standards (vgl. dazu Art. 11 DSG i.V.m. Art. 12 DSV).

12Art. 12 ist sehr präzise und ausführlich gefasst, erlaubt dabei trotzdem einen gewissen Gestaltungsspielraum. Das Verzeichnis soll beispielsweise nur Informationen umfassen, über die in inhaltlicher Hinsicht ausreichend Gewissheit besteht. Eine Beschreibung soll nur erfolgen, wenn die Tätigkeiten auch hinreichend konkret umschrieben werden können.

Mitunter lässt sich etwa die genaue Aufbewahrungsdauer nicht festlegen. So müssen nur die Kriterien zur Aufbewahrungsdauer festgelegt werden. Aufgrund dieser breit gehaltenen Ausgestaltung wäre die Herausarbeitung von sektorenspezifischen Leitfäden, welche in den jeweiligen Branchen einheitlich angewendet werden könnten, wünschenswert. Sowohl die Arbeit der Unternehmen als auch die des EDÖB würde erleichtert. Durch die Entwicklung sektorenspezifischer Leitfäden, die einheitlich in den jeweiligen Branchen angewendet werden könnten, könnte diese breit gefasste Ausgestaltung konkretisiert werden. Dies würde sowohl den Verantwortlichen als auch dem EDÖB helfen, ihre Arbeit zu erleichtern. Die Leitfäden würden den Verantwortlichen klare Anweisungen geben und ihnen dabei helfen, die Datenschutzanforderungen in ihrer Branche besser zu verstehen und umzusetzen. Gleichzeitig würde es dem EDÖB ermöglichen, eine einheitlichere Überprüfung und Durchsetzung des Datenschutzes in verschiedenen Branchen vorzunehmen.

B. Form eines Verzeichnisses

13Wie genau die Datenbearbeitungen im Verzeichnis der Bearbeitungstätigkeiten systematisiert werden, ist in Art. 12 DSG nicht ins Detail geregelt.

Es gibt ebenfalls keine Formvorschriften. Ein Verzeichnis kann sowohl in einer einfachen Word- oder Exceldokument, wie auch in einer komplexen IT-Lösung daherkommen. Das Verzeichnis kann dezentral geführt werden und die Führung kann sogar delegiert werden.

C. Pflichten von Privatpersonen

1. Gesetzliche Anforderungen

14Grundsätzlich sind alle Unternehmen und sonstige private Verantwortliche verpflichtet, ein Verzeichnis der Bearbeitungstätigkeiten zu führen. Dies ergibt sich aus der Tatsache, dass nahezu alle Privatpersonen in ihrer wirtschaftlichen oder gemeinnützigen Tätigkeit Personendaten sammeln und auch bearbeiten.

2. Der Auftragsbearbeiter

15Das Verzeichnis der Bearbeitungstätigkeiten muss vom Verantwortlichen und Auftragsbearbeiter geführt werden (Art. 12 Abs. 1 DSG). Unter dem Auftragsbearbeiter versteht man eine Person, die im Auftrag des Verantwortlichen Daten bearbeitet (Art. 5 lit. k DSG). Ein Beispiel ist der IT-Dienstleister, der eine Website hostet,

oder ein Angestellte, welcher die Kontaktdaten von Kunden aufnimmt. Ein Verantwortlicher ist dagegen diejenige Person, die über den Zweck und die Mittel zur Datenbearbeitung entscheidet (Art. 5 Abs. j DSG).

16Jedes Unternehmen ist ausschliesslich für die intern bearbeiteten Daten verantwortlich. Ein Auftragsbearbeiter (Processor), ist nicht verpflichtet, für die Verantwortlichen ein Bearbeitungsverzeichnis zu führen. Daten des Verantwortlichen, auch «Controller» genannt, müssen nicht aufgeführt werden. Dies obliegt nur dem Verantwortlichem selbst, der für seine erhobenen Daten – beispielsweise Kundendaten – verantwortlich ist. Andernfalls würde dies zu einer übermässigen Erfassung von Personendaten führen. Diese Anforderung wäre für Unternehmen schier unmöglich durchzusetzen. Man müsste bei jeder Dienstleistung die Gesamtheit aller Personendaten des Auftraggebers erfassen. Ein Ausufern der Verzeichnisse und ein damit einhergehender Verlust über den Überblick der erfassten Daten wäre zu erwarten. Das Verzeichnis des Auftragsbearbeiters enthält demzufolge weniger Angaben, als das eines Verantwortlichen. Dafür schafft dieses Verzeichnis Transparenz im Auftragsverhältnis zwischen dem Verantwortlichen und dem Auftragsbearbeiter, indem es vorschreibt, dass beide Parteien eindeutig identifizierbar sein müssen. Die massgeblichen Rahmenbedingungen sind in Art. 9 DSG festgehalten, welcher die Datenbearbeitung durch einen Auftragsbearbeiter klärt.

3. Gesetzliche Ausnahmen: KMU

17Art. 12 Abs. 5 beabsichtigt eine Ausnahme für Unternehmen, die weniger als 250 Mitarbeiter beschäftigen und keine risikoreichen Daten bearbeiten. Diese sind von der Pflicht, ein Verzeichnis der Bearbeitungstätigkeiten zu führen, befreit. Risikoreiche Datenbearbeitungen sind jene, die mit grösserer Wahrscheinlichkeit eine Verletzung der Persönlichkeit zur Folge haben (Eingriff in die Intimsphäre, medizinische Daten, sexuelle Orientierung, Konfession uvm.). Diese Ausnahme wird auch in Art. 24 der Verordnung über den Datenschutz (DSV) erwähnt. Nähere Bestimmungen zu der gesetzlichen Ausnahme lassen sich bei Art. 24 jedoch nicht finden. Es wird lediglich wiederholt, dass KMU von einer Verzeichnisverpflichtung ausgenommen sind, ausser sie bearbeiten in grossem Umfang besonders schützenwerte Personendaten (lit. a), oder führen risikoreiches Profiling durch (lit. b). Der Begriff des hohen Risikos wird analog zu jenem in Art. 22 Abs. 2 DSG verwendet.

18Ziel dieser Ausnahme ist es, kleinere Unternehmen administrativ zu entlasten. Es wird nicht nur die Grösse eines Unternehmens berücksichtigt, sondern auch die jeweiligen Daten, die bearbeitet werden und welche Risiken damit einhergehen.

Auch KMU sind von den im DSG vorgesehenen Sanktionen betroffen und die Einhaltung von Datenschutzgrundsätzen wird von KMUs gefordert. Daraus ergibt sich für die Unternehmen, obwohl sie nicht gesetzlich zur Erstellung eines Bearbeitungsverzeichnisses verpflichtet sind, eine indirekte Dokumentationspflicht. Denn der EDÖB wird sich ungeachtet ob ein Verzeichnis der Bearbeitungstätigkeiten besteht oder nicht, mit den datenschutzrechtlichen Massnahmen innerhalb eines KMUs befassen. Das KMU muss also sowieso die bearbeiteten Daten vorweisen. Ein Verzeichnis sichert das Unternehmen haftpflichtrechtlich und im Sinne der Sorgfaltspflichten besser ab.

19Sind die Hälfte aller bearbeiteten Daten risikoreich, fallen sie unter die Anforderungen der verstärkten Dokumentationspflichten, müssen aber gesetzlich u.U. trotzdem nicht in einem Verzeichnis der Bearbeitungstätigkeiten aufgeführt werden. Die Haftung und das Risiko für allfällige datenschutzrechtliche Verstösse trägt dabei immer der Verantwortliche. Die Erstellung eines Bearbeitungsverzeichnisses ist also empfehlenswert, wenn risikoreiche Datenbearbeitungen vorgenommen werden, ungeachtet des Umfangs.

4. Vertragliche Anforderungen

20Es ist auch möglich, das Führen eines Verzeichnisses vertraglich vorzusehen. Obwohl eine solche Verpflichtung dispositiv ist, könnte sie je nach Branche eine grössere Bedeutung entwickeln. Durch das Führen eines Bearbeitungsverzeichnisses kann sich nämlich ein Unternehmen nicht nur gegenüber dem EDÖB und den gesetzlichen Anforderungen, sondern auch gegenüber anderen Unternehmen, die sowohl Partner als auch Kunden und Kundinnen darstellen können, absichern. Weiss ein Verantwortlicher, wie der Auftragsbearbeiter Daten bearbeitet und aufbewahrt und mit welchen Mitteln, fördert dies das Vertrauen und die Zusammenarbeit zwischen beiden Parteien. Weiter ermöglicht die Durchsetzung einer Praxis, wo Verzeichnisse vertraglich abgeschlossen werden, eine selbständige Herausarbeitung von Verzeichnissen, die den jeweiligen wirtschaftlichen Sektoren angepasst sind und den spezifischen datenschutzrechtlichen Herausforderungen in den betroffenen Arbeitsbereichen gerecht werden.

21Bei der vertraglichen Vereinbarung von Verzeichnissen müssen bestimmte Aspekte berücksichtigt werden, und es können verschiedene Hürden auftreten. Die Umsetzung einer solchen Praxis ermöglicht es den Unternehmen, eigenständig Verzeichnisse zu erstellen, die den spezifischen Anforderungen und datenschutzrechtlichen Herausforderungen ihrer jeweiligen wirtschaftlichen Sektoren gerecht werden.

22Eine der Hürden besteht darin, die Verträge so zu gestalten, dass sie die genauen Anforderungen des Datenschutzrechts erfüllen. Es müssen klare Vereinbarungen über die Art der erfassten Daten, den Zweck der Datenverarbeitung, die Aufbewahrungsdauer, die Sicherheitsmassnahmen und andere relevante Datenschutzaspekte getroffen werden. Es ist wichtig, sicherzustellen, dass die vertraglichen Vereinbarungen den gesetzlichen Bestimmungen entsprechen und die Rechte der betroffenen Personen angemessen geschützt sind.

23Darüber hinaus kann die Herausarbeitung von branchenspezifischen Verzeichnissen herausfordernd sein. Unterschiedliche wirtschaftliche Sektoren haben unterschiedliche datenschutzrechtliche Anforderungen und spezifische Arbeitsbereiche, die spezielle Datenschutzherausforderungen mit sich bringen können. Die Unternehmen müssen in der Lage sein, diese spezifischen Anforderungen zu identifizieren und in ihre Verzeichnisse einzubeziehen, um den Datenschutzbestimmungen gerecht zu werden.

24Die Zusammenarbeit zwischen den beteiligten Parteien, wie z.B. den Unternehmen, Datenschutzexperten und ggf. Aufsichtsbehörden, kann hilfreich sein, um die vertraglichen Vereinbarungen und die Herausarbeitung branchenspezifischer Verzeichnisse erfolgreich umzusetzen.

D. Pflichten der Bundesorgane (Art. 12 Abs. 4 DSG)

25Als Bundesorgane gelten nach Art. 5 lit. i DSG nicht nur Behörden oder Zentralverwaltungsstellen, sondern jede Behörde oder Dienstelle des Bundes, so wie auch Personen, die öffentliche Aufgaben des Bundes erfüllen.

26Bundesorgane haben nach Art. 12 Abs. 4 DSG die Pflicht, ihre Verzeichnisse der Bearbeitungstätigkeiten dem EDÖB zu melden. Der EDÖB selbst führt wiederum nach Art. 56 DSG ein Register der Bearbeitungstätigkeiten der Bundesorgane, welches publiziert wird.

27Bereits vor der Revision des Datenschutzgesetzes waren Bundesorgane verpflichtet, Organisationsstrukturen und Datenbearbeitungsverfahren in einem Register der Datensammlungen festzuhalten. Dazu gehörte es implizit, Name und Adresse des verantwortlichen Bundesorganes, eine Bezeichnung der Datensammlung, das für das Auskunftsrecht zuständige Organ sowie die Rechtsgrundlage und den Zweck anzugeben. Kategorien von bearbeiteten Personendaten, der Empfängerinnen, sowie der an der Datensammlung Beteiligten wurden erfasst (Art. 11a des alten DSG).

Register von Datensammlungen mussten ebenfalls nach Art. 11a aDSG beim EDÖB zur Registrierung angemeldet werden. Im Generellen unterstanden Bundesorgane verschärften Anforderungen. Der Bundesrat hatte zudem die Befugnis, besondere Regelungen für den Datenschutz zu bestimmen (Art. 16 Abs. 2 aDSG).

28Eine erhebliche Änderung der Verpflichtungen für Bundesorgane ergibt sich somit nicht. Vielmehr wirkt Art. 12 DSG als Ausweitung der Pflichten, die früher nur den Bundesorganen galten, auf private Personen. Ein Verzeichnis der Bearbeitungstätigkeiten ist also für Bundesorgane ausnahmslos zu führen. Ein schon bestehendes, korrekt und aktuell gehaltenes Register erfüllt bereits viele Anforderungen an ein Verzeichnis, weshalb es für die Umsetzung des aktuellen Datenschutzgesetzes oft nur wenige oder gar keine Änderungen braucht. Die bedeutendste Veränderung ist, dass anstatt nach Datensammlungen neu nach Datenbearbeitungen unterteilt wird.

E. Umsetzung von Datenschutzkonformität

29Grundsätzlich ist ein Verzeichnis der Bearbeitungstätigkeiten nicht für betroffene Personen gedacht, sondern dient hauptsächlich der internen Kontrolle eines Betriebes sowie der Untersuchung durch den EDÖB.

Durch die Erstellung eines Verzeichnisses der Bearbeitungstätigkeiten erhalten die Verantwortlichen Klarheit über ihre eigenen Datenbearbeitungsaktivitäten. Das Führen eines Verzeichnisses vereinfacht die Umsetzung gewisser Pflichten und Erfüllung von Betroffenenrechten, wie das Auskunftsrecht (Art. 25 DSG).

1. Informationspflichten

30Art. 19 DSG sieht eine Informationspflicht für den Verantwortlichen und den Auftragsbearbeiter bei der Beschaffung von Personendaten vor. Es müssen mindestens Identität und Kontakt des Verantwortlichen, der Bearbeitungszweck und gegebenenfalls die Empfänger und Empfängerinnen der beschaffenen Personendaten bekanntgegeben werden. Mit der Datenschutzrevision wurde die Informationspflicht allgemein ausgeweitet. Vor der Revision galt sie nur bei der Beschaffung besonders schützenswerter Daten oder Persönlichkeitsprofile, während sie nun bei jeder Beschaffung von Personendaten besteht.

31Mit einem Verzeichnis der Bearbeitungstätigkeiten wird der Betroffene effizient und einheitlich über die Erhebung der eigenen Daten informiert. Weiter kann der Zweck, die Mittel und unter Umständen die Aufbewahrungsdauer auch exakt mitgeteilt werden, da diese Informationen selbst ja auch schon im Verzeichnis enthalten sind. Das Verzeichnis stellt in diesem Sinne eine verwaltungsmässige Entlastung für Unternehmen dar, mit welcher externe Informationsprozesse gegenüber Betroffenen oder auch dem EDÖB einfacher und effizienter ausgestaltet werden können. Durch diese effizientere Ausgestaltung ergeben sich mehrere Vorteile. Erstens reduziert der Verantwortliche den Verwaltungsaufwand, da er nicht mehr für jede einzelne Datenbearbeitung eine separate Benachrichtigung erstellen und versenden muss. Stattdessen kann es auf das Verzeichnis verweisen, das bereits alle erforderlichen Informationen enthält. Zweitens wird die Kommunikation mit den Betroffenen vereinheitlicht. Da alle Informationen im Verzeichnis enthalten sind, erhalten alle Betroffenen dieselben Angaben zu Zweck, Mittel und Aufbewahrungsdauer, was zu einer konsistenteren und transparenteren Kommunikation führt. Drittens erleichtert das Verzeichnis auch die Zusammenarbeit mit externen Parteien, wie beispielsweise dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB). Wenn der EDÖB Informationen über die Datenverarbeitung anfordert, kann das Unternehmen einfach das Verzeichnis bereitstellen, anstatt separate Berichte für jede einzelne Datenbearbeitung erstellen zu müssen.

2. Das Auskunftsrecht

32Das Auskunftsrecht nach Art. 25 DSG ist ein Betroffenenrecht, welches eine Einzelperson im Datenschutzrecht geltend machen kann. Mit dem Auskunftsrecht kann die Rechtmässigkeit einer Datenbearbeitung überprüft werden und der oder die Betroffene hat das Recht, eine Berechtigung oder Löschung der Daten zu verlangen.

Gemäss Art. 25 DSG erhält die betroffene Person alle Informationen über die eigenen Personendaten, damit sie ihre Rechte geltend machen kann, namentlich die Identität des Verantwortlichen, der Zweck der Bearbeitung und die bearbeiteten Personendaten selbst. Die Rechte, die danach geltend gemacht werden können, sind etwa der Anspruch auf Berichtigung der falsch erhobenen Personendaten oder die Beseitigung letzterer (Art. 32 DSG).

33Ein Verzeichnis der Bearbeitungstätigkeiten gewährleistet und unterstützt das Auskunftsrecht, da es die Informationen, die gemäss Art. 25 DSG dem Betroffenen mitgeteilt werden müssen, vollumfänglich umfasst. Der Betroffene erhält mit einem sauber geführten Verzeichnis eine vollständige, einheitliche und korrekte Auskunft über die erhobenen Daten. Eine adäquate Auskunft wird garantiert und die Sicherheit für beide Parteien erhöht, da das Unternehmen schon grundsätzlich einen besseren Überblick über die erhobenen Daten hat und weniger Gefahr läuft, gegen datenschutzrechtliche Vorgaben zu verstossen. Wenn das Verzeichnis nicht korrekt ist, kann dies dazu führen, dass der Verantwortliche Informationen über die Datenverarbeitung nicht richtig erfasst oder unzureichende Sicherheitsvorkehrungen trifft. Dies birgt das Risiko von Datenschutzverletzungen und kann rechtliche Konsequenzen nach sich ziehen.

F. Daten im Ausland (Art. 12 Abs. 2 lit. g)

34Nach Art. 12 Abs. 1 lit. g DSG muss bei Datenbekanntgabe ins Ausland das jeweilige Land angegeben werden, sowie die Garantien nach Art. 16 Abs. 2 DSG. Diese Bestimmungen stellen sicher, dass der Betroffene über die Übermittlung seiner Personendaten ins Ausland informiert wird und dass geeignete Schutzmassnahmen für den Datenschutz getroffen werden. Das Verzeichnis der Bearbeitungstätigkeiten kann diese Anforderungen umfassen, indem es den genauen Zweck der Datenübermittlung ins Ausland angibt und das Zielland benennt. Darüber hinaus sollte das Verzeichnis auch Informationen über die getroffenen Garantien gemäss Artikel 16 Abs. 2 DSG enthalten, um dem Betroffenen die Gewissheit zu geben, dass angemessene Schutzmassnahmen vorhanden sind. Es wichtig, dass der Betroffene klar und verständlich darüber informiert wird, dass seine Daten ins Ausland übermittelt werden und welche Schutzmassnahmen dabei getroffen wurden. Dadurch wird das Auskunftsrecht des Betroffenen gewährleistet und seine Privatsphäre geschützt. Diese verschärfen die Datenschutzanforderungen bei einer grenzüberschreitenden Datenbearbeitung und -bekanntgabe. Grundsätzlich dürfen Personendaten nur ins Ausland bekanntgegeben werden, wenn ein Entscheid des Bundesrates vorliegt, dass dieses Land selbst einen angemessenen Datenschutz gewährleistet. Welche Länder einen angemessenen Datenschutzaufweisen, wird vom Bundesrat festgelegt und im Anhang 1 der Datenschutzverordnung publiziert. Ungenügender Schutz leisten u.a. Russland, ein Grossteil der afrikanischen und südamerikanischen Länder, sowie ganz Asien (mit Ausnahme Israels).

35Art. 16 Abs. 2 DSG verlangt entweder einen völkerrechtlichen Vertrag, vertragliche Datenschutzklauseln, spezifische, durch den EDÖB genehmigte Garantien, Standardschutzklauseln oder verbindliche unternehmensinterne Datenschutzvorgaben, welche auch vom EDÖB genehmigt sind (Art. 16 lit. a–e DSG). Jene gelten nun bei einer Datenbekanntgabe nicht nur, wenn das Land selbst keinen ausreichenden Schutz gewährleistet, sondern bei jeglicher ausländischen Bekanntgabe.

III. Vergleich mit dem EU-Recht

36Art. 12 DSG weist, wie einige weitere Artikel nach der Totalrevision, einige Parallelen zu den Voraussetzungen der DSGVO auf. So wurde Art. 12 analog zu Art. 30 DSGVO ausgestaltet.

Sowohl in Art. 30 DSGVO als auch in Art. 12 DSG müssen sowohl öffentliche Organe als auch Privatpersonen ein Verzeichnis führen. Darin müssen die Identität des Verantwortlichen und des Auftragsbearbeiters angegeben werden. Beide Bestimmungen verlangen Angaben zum Bearbeitungszweck, zu den Kategorisierungen von bearbeiteten Personendaten und Empfängern, zu den Garantien zur Übermittlung ins Ausland, zur Aufbewahrungsdauer und zu technischen und organisatorischen Massnahmen bzgl. der Umsetzung der Datensicherheit. Auch die Ausnahme von der Erstellung eines Datenbearbeitungsverzeichnisses ist sowohl in Art. 30 DSGVO als auch in Art. 12 DSG erhalten. Die Aussage «wenn möglich» (Abs. 1 lit. f und g) ermöglicht, wie im schweizerischen Datenschutzgesetz, eine gewisse Flexibilität. Der Inhalt eines Verzeichnisses ist nicht für jedes Unternehmen gleich und strikt festgelegt, sondern orientiert sich daran, wie genau die bearbeiteten Daten überhaupt umschrieben werden können. So kann nicht immer mit Sicherheit gesagt werden, wann Daten gelöscht werden, noch folgen alle Unternehmen analogen und allgemein anerkannten technischen und organisatorischen Massnahmen. Ein Datenverzeichnis soll sich auch hier der jeweiligen Tätigkeit anpassen können.

37Unterschiede zwischen den Bestimmungen ergeben sich vereinzelt in den Formulierungen und Ausführungen. Analog zum EDÖB in der Schweiz übernimmt die Datenschutzaufsichtsbehörde in der EU ähnliche Funktionen wie Überwachung der Einhaltung der DSGVO bzw. des DSG. Art. 30 DSGVO fordert zusätzlich inhaltlich im Verzeichnis die Angabe der Identität des Datenschutzbeauftragten, falls ein solcher im Unternehmen existiert. Die Übermittlung ins Ausland muss nach DSGVO spezifisch angegeben werden und die Form eines Verzeichnisses muss schriftlich sein. Öffentliche Organe oder Privatpersonen haben nach Unionsrecht auch die Verpflichtung, das Verzeichnis der Verarbeitungstätigkeit auf Anfrage der Aufsichtsbehörde zur Verfügung zu stellen. Eine Zusammenarbeit nach Treu und Glauben mit staatlichen Behörden ist grundsätzlich vorausgesetzt.

38 Zusätzlich zu Art. 30 DSGVO führt Art. 24 der Richtlinie 2016/680 den Inhalt eines Verzeichnisses der Verarbeitungstätigkeiten aus. Erwähnenswert ist hier nur, dass nach Art. 24 der Richtlinie auch die Verwendung von Profiling (Art. 24 Abs. 1 lit. e) und die Angabe der Rechtsgrundlage für die Übermittlungen der personenbezogenen Daten (Art. 24 Abs. 1 lit. g) in einem Verarbeitungsverzeichnis vorsieht. Dies wird in der schweizerischen Regelung nicht vorgesehen, kann aber durch ergänzende Angaben im Bearbeitungszweck oder der Kategorisierungen von bearbeiteten Personendaten abgedeckt werden.

Literaturverzeichnis

Baeriswil Bruno, Kommentierung zu Art. 12 DSG in: Baeriswil Bruno/Pärli Kurt/Blonski Dominika (Hrsg.), Stämpfli Handkommentar zum DSG, 2. Aufl., Zürich/Basel, 2023.

Bucheli Bernadette, Datenschutz im Mietverhältnis: Ausgangslage und Revision des DSG, mp 2020, S. 383 ff.

Pärli Kurt/Eggmann Jonas, Das Auskunftsrecht im Privatrecht, digma 2020, S. 140 ff.

Rosenthal David, Controller oder Processor: Die datenschutzrechtliche Gretchenfrage, Jusletter 17.6.2019 (zit. Rosenthal, Controller oder Processor)

Rosenthal David, Das neue Datenschutzgesetz, Jusletter 16.11.2020 (zit. Rosenthal, Datenschutzgesetz)

Rosenthal David/Gubler Seraina, Die Strafbestimmungen des neuen DSG, SZW 2021, S. 52 ff. Rosenthal David/Jöhri Yvonne, Handkommentar zum Datenschutzgesetz sowie weiteren, ausgewählten Bestimmungen, Zürich 2008 (zit. Rosenthal/Jöhri), S. 304 ff.-

Steiner Thomas, Neues DSG: Umsetzung und Anwendung in Anwaltskanzleien, Anwaltsrevue 2022, S. 417 ff.

Sury Ursula, Neues Datenschutzgesetz und Dokumentation von Unternehmen, SJZ 2021, S. 458 ff.

Trüeb Hans Rudolf/Zobl Martin, Steuerdaten in der Cloud?, digma 2016, S. 102 ff.

Vasella David, Das neue Datenschutzgesetz und seine Umsetzung, TREX 2021, S. 272 ff.

Materialienverzeichnis

Botschaft vom 15.9.2017 zum Bundesgesetz über die Totalrevision des Bundesgesetzes über den Datenschutz und die Änderung weiterer Erlasse zum Datenschutz, BBl 2017 6941 ff.