default

Verzeichnis der Bearbeitungstätigkeiten

FAQ

  • Wie kann man Datenschutz-Compliance messen und demonstrieren?

    Eine vollständige und aktuelle Dokumentation trägt viel zur Demonstration der Datenschutz-Compliance bei. Im Fall einer Untersuchung wird der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte ("EDÖB") voraussichtlich zuerst die interne datenschutzrechtliche Dokumentation (Policies, Datenschutzfolgeabklärungen etc.) verlangen, allen voran das Verzeichnis der Bearbeitungstätigkeiten. Ob und inwiefern diese Dokumentation auch wirklich befolgt bzw. umgesetzt wird, ist dann erst in einem zweiten Schritt abzuklären. Somit ist für die Demonstration der eigenen Datenschutz-Compliance eine vollständige und aktuelle Dokumentation notwendig. Für die Messung der Compliance empfiehlt es sich, das Bearbeitungsverzeichnis sorgfältig und vollständig zu führen und auf dem aktuellsten Stand zu halten.

  • Wie können wir zur Erstellung unseres Bearbeitungsverzeichnisses Daten und deren Bearbeitungsprozesse identifizieren und klassifizieren?

    Die Identifizierung und Klassifizierung der Datenflüsse sollten in Zusammenarbeit mit den relevanten Stakeholdern in der Organisation stattfinden. In einem ersten Schritt empfiehlt es sich, eine möglichst rohe Übersicht aller Datenflüsse in der Organisation zu erfassen. Eine solche Übersicht kann z.B. durch Interviews mit Schlüsselpersonen oder mit Fragebögen erstellt werden. Die erfassten Datenflüsse ("Am Empfang werden Namen und Telefonnummern von Anrufern notiert", "das Sales-Team vereinbart Zeit und Ort für Pitches mit potentiellen Kunden") können anschliessend nach Datentyp (Kontaktdaten, Standortdaten) und nach Typ betroffener Person (spontane Kontaktaufnahme, prospektive Klienten) kategorisiert werden. Dazu gibt es keine vom Gesetz definierten Kategorien, sie sollten aber logisch und für externe Personen wie z.B. den EDÖB nachvollziehbar sein.

  • Wie sieht ein solches Verzeichnis aus? Wie sollte es aufgebaut sein?

    Es gibt keine Formvorschriften für das Bearbeitungsverzeichnis. Es kann in Word oder Excel, aber auch in einer eigens dafür geschaffenen Software erstellt werden. Letztlich sollte eine Form gewählt werden, welche dem Verzeichnis erlaubt, sich über die Zeit an die veränderten Datenbearbeitungen in der Organisation anzupassen. Der Aufbau ist auch nicht explizit geregelt, sollte aber logisch und nachvollziehbar sein.

Auf einen Blick

Das Bearbeitungsverzeichnis gibt Auskunft darüber, welche Personendaten von welchen betroffenen Personen zu welchem Zweck von einem Unternehmen beschafft, bearbeitet, übermittelt, archiviert oder löscht werden. Dies kann in Form einer Worddatei, einer Exceltabelle oder mittels einer Softwarelösung erstellt werden und muss regelmässig aktualisiert werden (z.B. jährlich).

Einleitung

Ein ausführliches und aktuelles Verzeichnis der Bearbeitungstätigkeiten oder "Data Mapping" gilt als Grundbaustein für eine erfolgreiche Datenschutzstrategie. Es gibt detaillierte Auskunft über sämtliche Datenbearbeitungsprozesse eines Unternehmens und liefert somit die notwendigen Informationen für die Erstellung der Datenschutzerklärung sowie anderer, internen Policies und unterstützt bei der Erfüllung der Pflichten des Unternehmens im Falle eines ausgeübten Betroffenenrechts [LINK AUSKUNFTSRECHT]. Es wird in der Regel auch eines der Dokumente sein, welches eine Aufsichtsbehörde bei einer Untersuchung des Unternehmens konsultiert.

Bisher gab es im Schweizer Datenschutzgesetz noch keine Pflicht ein solches Verzeichnis zu führen. Mit dem revDSG ändert sich dies jedoch. Unternehmen, die unter die Europäischen Datenschutz-Grundverordnung ("EU-DSGVO") fallen, werden diese Pflicht bereits kennen, da eine solche unter der EU-DSGVO schon besteht.

Entsprechend sieht die neue Pflicht unter dem revDSG vor, dass die Verantwortlichen und Auftragsbearbeiter je ein Verzeichnis ihrer Bearbeitungstätigkeiten führen müssen. Dabei geht es sich nicht darum, ein Journal sämtlicher Datenbearbeitungen zu erstellen, in welchem protokollartig einzelne Handlungen aufgeführt werden. Vielmehr handelt es sich um eine generelle Beschreibung der Art und des Umfangs der Bearbeitungstätigkeiten in der Unternehmung.

Wer muss ein Verzeichnis über was führen?

Die Anforderungen an das Verzeichnis des Verantwortlichen gehen weiter als diejenigen an das Verzeichnis des Auftragsbearbeiters. Darüber hinaus sind KMUs unter gewissen (restriktiven) Voraussetzungen von der Pflicht erlassen, ein solches zu erstellen.

Das Verzeichnis des Verantwortlichen – des Unternehmens, das über die Datenbearbeitung entscheidet – beinhaltet:

  • die Identität des Verantwortlichen, d.h. dessen Namen falls der Verantwortliche eine natürliche Person ist oder die Firma, im Falle einer juristischen Person;
  • den Zweck, dem die Bearbeitung dient, z.B. "Zeiterfassung", "Mitarbeiterevaluierung", "Kundenakquise" etc.;
  • eine Beschreibung der Kategorien betroffener Personen und der Kategorien bearbeiteter Personendaten: Mit Kategorien betroffener Personen sind typisierte Gruppen gemeint, die über bestimmte gemeinsame Merkmale verfügen wie z.B. "Arbeitnehmer", "Bewerber" oder "externe Dienstleistungsanbieter". Betreffend die Kategorien bearbeiteter Personendaten sind ebenso typisierte Gruppen anzugeben ("Kontaktdaten", "Arbeitsprodukte", "Korrespondenz", "Sozialversicherungsdaten" etc.) sowohl auch, ob es sich dabei um besonders schützenswerte Personendaten handelt.
  • die Kategorien der Empfängerinnen und Empfänger: Auch hier kann man mit typisierten Gruppen vorgehen, wie z.B. "Öffentlichkeit", "Gemeinsam Verantwortliche", "Gerichte", "Gruppengesellschaften" etc.
  • Die Aufbewahrungsdauer der Personendaten oder die Kriterien zur Festlegung dieser Dauer: Die Aufbewahrungsdauer richtet sich nach dem Verwendungszweck wie oben in Nr. ii) beschrieben. Die Dauer kann direkt bestimmbar sein (z.B. "drei Monate nach definitiver Abweisung der Bewerbung" oder "solange Kundenbeziehung besteht"). Falls dies nicht möglich ist, sind die Kriterien für die Bestimmung der Dauer anzugeben ("Ablauf der Verjährungsfrist", "öffentlich-rechtliche Aufbewahrungspflichten" etc.).
  • wenn möglich eine allgemeine Beschreibung der Massnahmen zur Gewährleistung der Datensicherheit: Sofern dies hinreichend konkret umschrieben werden kann, sind unter diesem Punkt technische und organisatorische Massnahmen zu erwähnen, die es ermöglichen, Verletzungen der Datensicherheit [Link Datensicherheit] zu vermeiden. Etwaige Datensicherheitszertifizierungen können hier aufgeführt werden (z.B. ISO 27001).
  • falls die Daten ins Ausland bekanntgegeben werden, die Angabe des Staates sowie, falls der betroffene Staat nicht über eine Anerkennung der Gewährleistung eines angemessenen Schutzniveaus verfügt, die Massnahmen, durch diese nichtsdestotrotz ein geeigneter Datenschutz gewährleistet wird. Solche Massnahmen sind z.B. vom EDÖB vorgängig genehmigte Standarddatenschutzklauseln in einem Vertrag zwischen dem Übermittler und dem ausländischen Empfänger oder verbindliche unternehmensinterne Datenschutzvorschriften, die vom EDÖB genehmigt wurden.

Das Verzeichnis des Auftragsbearbeiters enthält Angaben zur Identität des Auftragsbearbeiters und des Verantwortlichen, zu den Kategorien von Bearbeitungen, die im Auftrag des Verantwortlichen durchgeführt werden (wie oben in iii) beschrieben), sowie Angaben zur Datensicherheit (siehe oben vi)) und zur Bekanntgabe ins Ausland (siehe oben vii)).

Gibt es Ausnahmen?

Für kleine und mittlere Unternehmungen entfällt die Pflicht, ein Bearbeitungsverzeichnis zu führen, wenn diese weniger als 250 Mitarbeiter beschäftigen und deren Datenbearbeitung ein geringes Risiko von Verletzungen der Persönlichkeit der betroffenen Personen mit sich bringt. So lange ein hohes Risiko einer Verletzung der Persönlichkeit der betroffenen Personen vermieden werden kann, besteht also keine Pflicht, ein solches Verzeichnis zu führen. Ein hohes Risiko kann vorliegen, wenn die Datenbearbeitung sehr umfangreich ist, besonders schützenswerte Daten betrifft oder die Betroffenenrechte nicht vollständig erfüllt werden können, weil es unmöglich oder nur mit sehr grossem Aufwand möglich ist.

Was sind die Konsequenzen, wenn das Verzeichnis nicht geführt wird?

  • Bussen: Das Nichtführen eines Bearbeitungsverzeichnis ist nicht strafbewehrt, d.h. es ist unter dem revDSG nicht mit einer Busse zu rechnen, falls kein Verzeichnis geführt wird. Allerdings kann ein fehlendes oder unvollständiges Bearbeitungsverzeichnis zu einer Verletzung von weiteren (strafbewehrten) Pflichten führen, bspw. wenn mangels eines solchen Verzeichnisses der Informationspflicht bei Datenerhebung nur ungenügend nachgekommen werden kann.
  • Untersuchung durch den EDÖB: Wenn genügend Anzeichen bestehen, dass eine Datenbearbeitung gegen die Datenschutzvorschriften verstossen könnte, eröffnet der EDÖB von Amtes wegen oder auf Anzeige hin eine Untersuchung. Ergibt sich in seiner Untersuchung, dass kein oder ein unvollständiges Bearbeitungsverzeichnis geführt wird, kann der EDÖB dessen Erstellung oder Vervollständigung voraussichtlich nicht anordnen. Da das Bearbeitungsverzeichnis zu Recht aber als Grundbaustein für eine effektive Datenschutzstrategie bezeichnet wird, könnte dessen Abwesenheit auch zu anderen Verletzungen des revDSG führen, worüber der EDÖB Verfügungen erlassen kann (z.B. die Erfüllung der Informationspflicht bei Beschaffung von Personendaten [LINK INFORMATIONSPFLICHT]).
  • Reputationsrisiken: Der EDÖB hat die Möglichkeit, in Fällen von allgemeinem Interesse die Öffentlichkeit über seine Feststellungen und Verfügungen zu informieren. Ob ein fehlendes Bearbeitungsverzeichnis separat betrachtet von allgemeinem Interesse ist, bleibt abzuwarten. Wie im vorhergehenden Punkt erwähnt kann ein fehlendes Bearbeitungsverzeichnis aber zu weiteren Pflichtverletzungen führen (z.B. Verletzung der Grundrechte der betroffenen Personen [LINK AUSKUNFTSRECHT]). Diese können durchaus Objekt von Feststellungen und Verfügungen des EDÖB sein und somit mit dem einhergehenden Reputationsschaden publiziert werden.
  • Andere Risiken: Routinemässig wird bei datenschutzrechtlichen Due Diligence-Verfahren im Vorfeld einer Transaktion überprüft, ob ein Bearbeitungsverzeichnis besteht. Ist ein solches bei der zu veräussernden Gesellschaft nicht vorhanden, würde dies von den Rechtsberatern der akquirierenden Partei wohl als Red Flag eingestuft werden und es könnten deshalb entsprechende Garantien verlangt werden. Falls eine solche Transaktion bevorsteht, ist darauf zu achten, dass die datenschutzrechtliche Dokumentation (inkl. Bearbeitungsverzeichnis) aktuell und komplett ist.

Vergleich mit Anforderungen unter Europäischem Datenschutzrecht

Die Pflicht zur Führung eines Bearbeitungsverzeichnis wurde von der EU-DSGVO übernommen. Somit sind Verzeichnisse, welche für die EU-DSGVO erstellt wurden, auch kompatibel mit dem Schweizer DSG. Allenfalls müssen bei Bekanntgabe ins Ausland [LINK TRANSFER INS AUSLAND] die Angaben bezüglich der getroffenen Schutzmassnahmen angepasst werden.

Checklist

Für die Erarbeitung eines Bearbeitungsverzeichnis sollte ein interner Audit durchgeführt werden, um alle Datenbearbeitungen im Unternehmen zu erfassen.

  • Mitarbeitende in Schlüsselpositionen schulen: zur Vorbereitung eines internen Audits muss sichergestellt werden, dass diejenigen Personen, die über Datenbearbeitung in ihren Geschäftsbereich Auskunft geben verstehen, um was es bei dem Audit geht. Insbesondere sollten sie z.B. verstehen, was Personendaten im Sinne des revDSG sind, was für nicht-Juristen erfahrungsgemäss keineswegs offensichtlich ist.
  • Interner Audit durchführen: Interviews mit Mitarbeitenden in Schlüsselpositionen durchführen, um alle Datenflüsse im Unternehmen zu erfassen.
  • Abstrahierung und Typisierung der Datenflüsse: Das Bearbeitungsverzeichnis soll kein Journal aller Bearbeitungen sein, aber Auskunft über Art und Umfang der Bearbeitungen geben. Daher sind die im Audit erfassten Datenflüsse in sinnvollen Gruppen zu vereinen.
  • Verantwortlichkeiten festlegen: Wer hat die übergreifende Verantwortung das Verzeichnis zu führen, zu aktualisieren und die regelmässigen Updates zu initiieren und zu verwalten? Wer hat in den verschiedenen Abteilungen oder Teams die Verantwortung, mit dem Hauptverantwortlichen alles zu koordinieren und steht für Fragen zur Verfügung?
  • Prozesse für periodische Überarbeitung des Verzeichnisses festlegen.

Art. 12 Verzeichnis der Bearbeitungstätigkeiten

1 Die Verantwortlichen und Auftragsbearbeiter führen je ein Verzeichnis ihrer Bearbeitungstätigkeiten.

2 Das Verzeichnis des Verantwortlichen enthält mindestens:

a. die Identität des Verantwortlichen;
b. den Bearbeitungszweck;
c. eine Beschreibung der Kategorien betroffener Personen und der Kategorien bearbeiteter Personendaten;
d. die Kategorien der Empfängerinnen und Empfänger;
e. wenn möglich die Aufbewahrungsdauer der Personendaten oder die Kriterien zur Festlegung dieser Dauer;
f. wenn möglich eine allgemeine Beschreibung der Massnahmen zur Gewährleistung der Datensicherheit nach Artikel 8;
g. falls die Daten ins Ausland bekanntgegeben werden, die Angabe des Staates sowie die Garantien nach Artikel 16 Absatz 2.

3 Das Verzeichnis des Auftragsbearbeiters enthält Angaben zur Identität des Auftragsbearbeiters und des Verantwortlichen, zu den Kategorien von Bearbeitungen, die im Auftrag des Verantwortlichen durchgeführt werden, sowie die Angaben nach Absatz 2 Buchstaben f und g.

4 Die Bundesorgane melden ihre Verzeichnisse dem EDÖB.

5 Der Bundesrat sieht Ausnahmen für Unternehmen vor, die weniger als 250 Mitarbeiterinnen und Mitarbeiter beschäftigen und deren Datenbearbeitung ein geringes Risiko von Verletzungen der Persönlichkeit der betroffenen Personen mit sich bringt.