Verzeichnis der Bearbeitungstätigkeiten

Das Bearbeitungsverzeichnis gibt Auskunft darüber, welche Personendaten von welchen betroffenen Personen zu welchem Zweck von einem Unternehmen beschafft, bearbeitet, übermittelt, archiviert oder löscht werden. Dies kann in Form einer Worddatei, einer Exceltabelle oder mittels einer Softwarelösung erstellt werden und muss regelmässig aktualisiert werden (z.B. jährlich).

Ein ausführliches und aktuelles Verzeichnis der Bearbeitungstätigkeiten oder "Data Mapping" gilt als Grundbaustein für eine erfolgreiche Datenschutzstrategie. Es gibt detaillierte Auskunft über sämtliche Datenbearbeitungsprozesse eines Unternehmens und liefert somit die notwendigen Informationen für die Erstellung der Datenschutzerklärung sowie anderer, internen Policies und unterstützt bei der Erfüllung der Pflichten des Unternehmens im Falle eines ausgeübten Betroffenenrechts [LINK AUSKUNFTSRECHT]. Es wird in der Regel auch eines der Dokumente sein, welches eine Aufsichtsbehörde bei einer Untersuchung des Unternehmens konsultiert.

Bisher gab es im Schweizer Datenschutzgesetz noch keine Pflicht ein solches Verzeichnis zu führen. Mit dem revDSG ändert sich dies jedoch. Unternehmen, die unter die Europäischen Datenschutz-Grundverordnung ("EU-DSGVO") fallen, werden diese Pflicht bereits kennen, da eine solche unter der EU-DSGVO schon besteht.

Entsprechend sieht die neue Pflicht unter dem revDSG vor, dass die Verantwortlichen und Auftragsbearbeiter je ein Verzeichnis ihrer Bearbeitungstätigkeiten führen müssen. Dabei geht es sich nicht darum, ein Journal sämtlicher Datenbearbeitungen zu erstellen, in welchem protokollartig einzelne Handlungen aufgeführt werden. Vielmehr handelt es sich um eine generelle Beschreibung der Art und des Umfangs der Bearbeitungstätigkeiten in der Unternehmung.

Die Anforderungen an das Verzeichnis des Verantwortlichen gehen weiter als diejenigen an das Verzeichnis des Auftragsbearbeiters. Darüber hinaus sind KMUs unter gewissen (restriktiven) Voraussetzungen von der Pflicht erlassen, ein solches zu erstellen.

Das Verzeichnis des Verantwortlichen – des Unternehmens, das über die Datenbearbeitung entscheidet – beinhaltet:

• die Identität des Verantwortlichen, d.h. dessen Namen falls der Verantwortliche eine natürliche Person ist oder die Firma, im Falle einer juristischen Person;
• den Zweck, dem die Bearbeitung dient, z.B. "Zeiterfassung", "Mitarbeiterevaluierung", "Kundenakquise" etc.;
• eine Beschreibung der Kategorien betroffener Personen und der Kategorien bearbeiteter Personendaten: Mit Kategorien betroffener Personen sind typisierte Gruppen gemeint, die über bestimmte gemeinsame Merkmale verfügen wie z.B. "Arbeitnehmer", "Bewerber" oder "externe Dienstleistungsanbieter". Betreffend die Kategorien bearbeiteter Personendaten sind ebenso typisierte Gruppen anzugeben ("Kontaktdaten", "Arbeitsprodukte", "Korrespondenz", "Sozialversicherungsdaten" etc.) sowohl auch, ob es sich dabei um besonders schützenswerte Personendaten handelt.
• die Kategorien der Empfängerinnen und Empfänger: Auch hier kann man mit typisierten Gruppen vorgehen, wie z.B. "Öffentlichkeit", "Gemeinsam Verantwortliche", "Gerichte", "Gruppengesellschaften" etc.
• Die Aufbewahrungsdauer der Personendaten oder die Kriterien zur Festlegung dieser Dauer: Die Aufbewahrungsdauer richtet sich nach dem Verwendungszweck wie oben in Nr. ii) beschrieben. Die Dauer kann direkt bestimmbar sein (z.B. "drei Monate nach definitiver Abweisung der Bewerbung" oder "solange Kundenbeziehung besteht"). Falls dies nicht möglich ist, sind die Kriterien für die Bestimmung der Dauer anzugeben ("Ablauf der Verjährungsfrist", "öffentlich-rechtliche Aufbewahrungspflichten" etc.).
• wenn möglich eine allgemeine Beschreibung der Massnahmen zur Gewährleistung der Datensicherheit: Sofern dies hinreichend konkret umschrieben werden kann, sind unter diesem Punkt technische und organisatorische Massnahmen zu erwähnen, die es ermöglichen, Verletzungen der Datensicherheit [Link Datensicherheit] zu vermeiden. Etwaige Datensicherheitszertifizierungen können hier aufgeführt werden (z.B. ISO 27001).
• falls die Daten ins Ausland bekanntgegeben werden, die Angabe des Staates sowie, falls der betroffene Staat nicht über eine Anerkennung der Gewährleistung eines angemessenen Schutzniveaus verfügt, die Massnahmen, durch diese nichtsdestotrotz ein geeigneter Datenschutz gewährleistet wird. Solche Massnahmen sind z.B. vom EDÖB vorgängig genehmigte Standarddatenschutzklauseln in einem Vertrag zwischen dem Übermittler und dem ausländischen Empfänger oder verbindliche unternehmensinterne Datenschutzvorschriften, die vom EDÖB genehmigt wurden.

Das Verzeichnis des Auftragsbearbeiters enthält Angaben zur Identität des Auftragsbearbeiters und des Verantwortlichen, zu den Kategorien von Bearbeitungen, die im Auftrag des Verantwortlichen durchgeführt werden (wie oben in iii) beschrieben), sowie Angaben zur Datensicherheit (siehe oben vi)) und zur Bekanntgabe ins Ausland (siehe oben vii)).

Für kleine und mittlere Unternehmungen entfällt die Pflicht, ein Bearbeitungsverzeichnis zu führen, wenn diese weniger als 250 Mitarbeiter beschäftigen und deren Datenbearbeitung ein geringes Risiko von Verletzungen der Persönlichkeit der betroffenen Personen mit sich bringt. So lange ein hohes Risiko einer Verletzung der Persönlichkeit der betroffenen Personen vermieden werden kann, besteht also keine Pflicht, ein solches Verzeichnis zu führen. Ein hohes Risiko kann vorliegen, wenn die Datenbearbeitung sehr umfangreich ist, besonders schützenswerte Daten betrifft oder die Betroffenenrechte nicht vollständig erfüllt werden können, weil es unmöglich oder nur mit sehr grossem Aufwand möglich ist.

• Bussen: Das Nichtführen eines Bearbeitungsverzeichnis ist nicht strafbewehrt, d.h. es ist unter dem revDSG nicht mit einer Busse zu rechnen, falls kein Verzeichnis geführt wird. Allerdings kann ein fehlendes oder unvollständiges Bearbeitungsverzeichnis zu einer Verletzung von weiteren (strafbewehrten) Pflichten führen, bspw. wenn mangels eines solchen Verzeichnisses der Informationspflicht bei Datenerhebung nur ungenügend nachgekommen werden kann.
• Untersuchung durch den EDÖB: Wenn genügend Anzeichen bestehen, dass eine Datenbearbeitung gegen die Datenschutzvorschriften verstossen könnte, eröffnet der EDÖB von Amtes wegen oder auf Anzeige hin eine Untersuchung. Ergibt sich in seiner Untersuchung, dass kein oder ein unvollständiges Bearbeitungsverzeichnis geführt wird, kann der EDÖB dessen Erstellung oder Vervollständigung voraussichtlich nicht anordnen. Da das Bearbeitungsverzeichnis zu Recht aber als Grundbaustein für eine effektive Datenschutzstrategie bezeichnet wird, könnte dessen Abwesenheit auch zu anderen Verletzungen des revDSG führen, worüber der EDÖB Verfügungen erlassen kann (z.B. die Erfüllung der Informationspflicht bei Beschaffung von Personendaten [LINK INFORMATIONSPFLICHT]).
• Reputationsrisiken: Der EDÖB hat die Möglichkeit, in Fällen von allgemeinem Interesse die Öffentlichkeit über seine Feststellungen und Verfügungen zu informieren. Ob ein fehlendes Bearbeitungsverzeichnis separat betrachtet von allgemeinem Interesse ist, bleibt abzuwarten. Wie im vorhergehenden Punkt erwähnt kann ein fehlendes Bearbeitungsverzeichnis aber zu weiteren Pflichtverletzungen führen (z.B. Verletzung der Grundrechte der betroffenen Personen [LINK AUSKUNFTSRECHT]). Diese können durchaus Objekt von Feststellungen und Verfügungen des EDÖB sein und somit mit dem einhergehenden Reputationsschaden publiziert werden.
• Andere Risiken: Routinemässig wird bei datenschutzrechtlichen Due Diligence-Verfahren im Vorfeld einer Transaktion überprüft, ob ein Bearbeitungsverzeichnis besteht. Ist ein solches bei der zu veräussernden Gesellschaft nicht vorhanden, würde dies von den Rechtsberatern der akquirierenden Partei wohl als Red Flag eingestuft werden und es könnten deshalb entsprechende Garantien verlangt werden. Falls eine solche Transaktion bevorsteht, ist darauf zu achten, dass die datenschutzrechtliche Dokumentation (inkl. Bearbeitungsverzeichnis) aktuell und komplett ist.

Die Pflicht zur Führung eines Bearbeitungsverzeichnis wurde von der EU-DSGVO übernommen. Somit sind Verzeichnisse, welche für die EU-DSGVO erstellt wurden, auch kompatibel mit dem Schweizer DSG. Allenfalls müssen bei Bekanntgabe ins Ausland [LINK TRANSFER INS AUSLAND] die Angaben bezüglich der getroffenen Schutzmassnahmen angepasst werden.

Für die Erarbeitung eines Bearbeitungsverzeichnis sollte ein interner Audit durchgeführt werden, um alle Datenbearbeitungen im Unternehmen zu erfassen.

• Mitarbeitende in Schlüsselpositionen schulen: zur Vorbereitung eines internen Audits muss sichergestellt werden, dass diejenigen Personen, die über Datenbearbeitung in ihren Geschäftsbereich Auskunft geben verstehen, um was es bei dem Audit geht. Insbesondere sollten sie z.B. verstehen, was Personendaten im Sinne des revDSG sind, was für nicht-Juristen erfahrungsgemäss keineswegs offensichtlich ist.
• Interner Audit durchführen: Interviews mit Mitarbeitenden in Schlüsselpositionen durchführen, um alle Datenflüsse im Unternehmen zu erfassen.
• Abstrahierung und Typisierung der Datenflüsse: Das Bearbeitungsverzeichnis soll kein Journal aller Bearbeitungen sein, aber Auskunft über Art und Umfang der Bearbeitungen geben. Daher sind die im Audit erfassten Datenflüsse in sinnvollen Gruppen zu vereinen.
• Verantwortlichkeiten festlegen: Wer hat die übergreifende Verantwortung das Verzeichnis zu führen, zu aktualisieren und die regelmässigen Updates zu initiieren und zu verwalten? Wer hat in den verschiedenen Abteilungen oder Teams die Verantwortung, mit dem Hauptverantwortlichen alles zu koordinieren und steht für Fragen zur Verfügung?
• Prozesse für periodische Überarbeitung des Verzeichnisses festlegen.