Wahrscheinlich gibt es vor der Verabschiedung des neuen Schweizer Datenschutzgesetzes (geplant für September 2018) noch die eine oder andere Anpassung. Für Schweizer Unternehmen mit Geschäftsbeziehungen in die EU empfiehlt es sich – unabhängig von der zentralen Bedeutung innerhalb der beiden Gesetze – mit der geforderten Dokumentation zu beginnen. Ein Unternehmen, das sich an die EU-Datenschutz-Grundverordnung hält, kann auch in der Schweiz beruhigt sein. Die DS-GVO reicht völlig aus, um auch die persönliche Integrität eines Schweizer Bürgers zu schützen.
Bereits heute ist der Verantwortliche und der Auftragsbearbeiter laut Art. 19 DSG verpflichtet, seine Datenbearbeitungsvorgänge an das Register zu melden. Welche Angaben zukünftig dokumentiert werden müssen, sieht das DSG in seiner jetzigen Form im Gegensatz zur DS-GVO der Europäischen Union nicht vor: Die Dokumentation muss jedoch so ausgestaltet sein, dass der Verantwortliche und der Auftragsbearbeiter ihren Informations- und Meldepflichten nachkommen können. Die bis dahin übliche Meldung an das Register soll zukünftig entfallen (Ausnahme: Bundesorgane). Die Dokumentationspflicht gilt länderübergreifend als zentrales Element zur Verwirklichung einer transparenten Datenbearbeitung. So muss zum Beispiel dem Auskunftsersuchen eines Betroffenen gem. Art. 20 VE-DSG jederzeit nachgekommen werden können. Ein Verstoss gegen die Dokumentationspflicht wird sanktioniert (Art. 51 Bst. F VE-DSG Verletzung der Sorgfaltspflichten).
Damit personenbezogene Daten durch den Verantwortlichen und den Auftragsbearbeiter wirkungsvoll geschützt werden können, muss ermittelt werden, in welchen Fällen personenbezogene Daten – beispielsweise von Mitarbeitern, Bewerbern, Kunden, Lieferanten, etc. – erhoben, bearbeitet und genutzt werden. Im ersten Schritt ist dafür eine Listung aller Systeme, Tools und Verfahren, in welchen und bei denen personenbezogene Daten automatisiert und/oder nicht-automatisiert bearbeitet und gespeichert werden, zu erstellen. Die Verantwortlichen und Auftragsbearbeiter werden darüber hinaus verpflichtet, ein Verzeichnis ihrer Bearbeitungstätigkeiten zu führen. Das Verzeichnis des Verantwortlichen muss gemäss Satz 2 mindestens nachstehende Angaben enthalten:
- Die Identität des Verantwortlichen,
- den Bearbeitungszweck,
- eine Beschreibung der Kategorien betroffener Personen und die Kategorien bearbeiteter Personendaten.
- Die Kategorien der Empfängerinnen und Empfänger,
- wenn möglich die Aufbewahrungsdauer der Personendaten oder die Kriterien zur Festlegung dieser Dauer.
- Wenn möglich eine allgemeine Beschreibung der Massnahmen zur Gewährleistung der Datensicherheit nach Art. 7 und,
- falls die Daten ins Ausland bekanntgegeben werden, die Angabe des Staates sowie die Garantien nach Art. 13.
Die Schweiz gilt als sicheres Drittland im Sinne der Datenschutzrichtlinie 95/46/EG. Nach EU-Kriterien bietet die Schweiz ein angemessenes Schutzniveau für die Übermittlung personenbezogener Daten von der EU in die Schweiz. Um auch zukünftig nach Art. 45 DS-GVO (Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses) über ein angemessenes Schutzniveau für die Übermittlung personenbezogener Daten nach EU-Kriterien zu verfügen, hat die Schweiz bereits Ende 2016 eine Revision des eigenen Datenschutzgesetzes (DSG) beschlossen. Einige Parallelen zwischen der DS-GVO und dem DSG, wie etwa im Bereich des so genannten Verzeichnisses der Bearbeitungstätigkeiten oder der Datenschutz-Folgenabschätzung, sind vorhanden. Die für September 2018 geplante Neuerung folgt der Zielsetzung, das Schweizer Datenschutzniveau dem der EU anzugleichen.
Gemäss Art. 3 Abs. 2 DS-GVO (Räumlicher Anwendungsbereich) findet die Verordnung Anwendung, sobald ein nicht in der Union niedergelassener Verantwortlicher oder Auftragsverarbeiter personenbezogene Daten von betroffenen Personen, die sich in der Union befinden, verarbeitet. Man spricht hier vom so genannten „Marktortprinzip“. Davon betroffen sind somit unter anderem Betreiber von Online-Portalen, Versandhändler, Exporteure sowie jegliche Dienstleister, die Leistungen in der EU anbieten und dabei personenbezogene Daten verarbeiten.
Im Rahmen einer Auftragsverarbeitung mit einem EU-Auftraggeber (Controller) hat der Schweizer Auftragnehmer (Prozessor) ein Verzeichnis von Verarbeitungstätigkeiten gemäss Art. 30 Abs. 2 DS-GVO zu führen. In dieser Übersicht sind alle durchgeführten Tätigkeiten der Verarbeitungen im Auftrag eines Verantwortlichen (Controller) zu dokumentieren. Der Auftragnehmer hat zusätzlich auch im notwendigen Umfang bei der Erstellung des Verarbeitungsverzeichnisses mitzuwirken und den Auftraggeber dabei zu unterstützen. Spätestens auf Anfrage beziehungsweise im Rahmen von Kontrollen durch den Auftraggeber ist diese Dokumentation vorzulegen.
Wie das Verzeichnis der Bearbeitungstätigkeiten im Detail gestaltet und durchgeführt werden soll, dazu liefert der vorliegende Gesetzesentwurf keine konkreten Vorgaben. Im Rahmen der Dokumentationspflichten sind jedoch entsprechende Informationen vorzuhalten, um zum Beispiel im Fall des Auskunftsersuchens der betroffenen Person den Informationspflichten nachkommen zu können. Des Weiteren ist der Verantwortliche verpflichtet, die betroffene Person zu informieren, wenn die Bearbeitung einem Auftragsbearbeiter übertragen wird. In diesem Zug muss der Verantwortliche der betroffenen Person ebenso die Daten oder Kategorien von Daten mitteilen, die bearbeitet werden. Darüber hinaus stiftet eine Übersicht der Bearbeitungstätigkeiten im Hinblick auf die Einhaltung des Datenschutzes vielfachen Nutzen. So werden Datenflüsse im Unternehmen ermittelt und definiert. Die Übersicht dient darüber hinaus als Grundlage für die Erfüllung der Betroffenenrechte (Art. 20), für die Erstellung des Lösch- und Aufbewahrungskonzepts (Art. 17) oder ebenso als Informationsgeber für die Meldung von Verletzungen des Datenschutzes (Art. 17). Ausserdem verlangt das Marktortprinzip aus der DS-GVO zwingend nach einer Erstellung des Verzeichnisses der Verarbeitungstätigkeiten gemäss Art. 30 DS-GVO (Accountability) für einen nicht in der Union niedergelassenen Verantwortlichen.
