Mit den aktuellen Revisionen der Datenschutzgesetze in der EU und in der Schweiz werden Schweizer Unternehmen in Zukunft einige Anpassungen an ihrer Organisation, den Prozessen und ihrer Dokumentation vornehmen müssen. Dieser Blogbeitrag gibt Tipps zu Publikationen und Tools, die dabei unterstützen können.

Jedes Unternehmen ist dafür verantwortlich, dass die eigenen Verzeichnisse und Datenschutz-Folgenabschätzungen korrekt ausgefüllt werden.

Stand der Revision des DSG

Der Entwurf und die Botschaft zum revidierten Datenschutzgesetz des Bundes wurden am 15. September 2017 publiziert. Im Januar 2018 beschloss das Parlament, den Entwurf in 2 Phasen zu beraten, wobei zuerst die Bestimmungen für den öffentlichen Bereich und erst anschliessend diejenigen für den privaten Bereich behandelt werden sollen. Das genaue Datum des Inkrafttretens des revidierten Datenschutzgesetzes ist daher zurzeit noch ungewiss. Unternehmen, die auch unter die EU-Datenschutz-Grundverordnung (DSGVO) fallen, müssen die erforderlichen Umsetzungsarbeiten aber bereits bis am 25. Mai 2018 abgeschlossen haben.

Neue Prozesse und Dokumentationen

Der Entwurf des revidierten DSG (E-DSG) zeigt, dass Unternehmen in Zukunft nach dem schweizerischen DSG ähnliche Dokumentationspflichten haben werden, wie sie auch in der DSGVO vorgesehen sind. So müssen Unternehmen beispielsweise in Zukunft nicht mehr ihre Datensammlungen dokumentieren, sondern Verzeichnisse über die Geschäftsprozesse führen, in denen Personendaten bearbeitet werden. Diese sogenannten Verzeichnisse von Bearbeitungstätigkeiten enthalten Angaben zum Unternehmen, zur Bearbeitungstätigkeit und zu den technischen und organisatorischen Massnahmen.

Ist eine geplante Datenbearbeitung voraussichtlich mit erhöhten Risiken für die betroffenen Personen verbunden, so muss in Zukunft eine sogenannte Datenschutz-Folgenabschätzung durchgeführt werden, bevor mit der Datenbearbeitung begonnen wird. Diese umfasst unter anderem eine Beschreibung der geplanten Datenbearbeitung, die Risiken, die für die betroffenen Personen entstehen und die Massnahmen, mit denen diese Risiken eingeschränkt oder verringert werden.

Da die DSGVO praktisch dieselben Pflichten vorsieht, kann betreffend den Inhalt und die Gestaltung der Verzeichnisse sowie betreffend die Durchführung von Datenschutz-Folgenabschätzungen auf diverse Publikationen von Aufsichtsbehörden und anderen offiziellen Stellen aus der EU zurückgegriffen werden.

Die folgende Übersicht enthält Hinweise und Links zu diversen Publikationen und Mustern, die im Internet publiziert wurden und die bei der Erstellung der Verzeichnisse und bei der Durchführung der Datenschutz-Folgenabschätzung praktische Hilfestellungen geben können.

Herausgeber/ QuelleName / ThemaLink
GDD, Gesell-schaft für Da-tenschutz und DatensicherheitPraxishilfe V, Verzeichnis von Verarbeitungstätigkeitenhttps://www.gdd.de/downloads/praxishilfen/GDD-Praxishilfe_DS-GVO_5.pdf
Datenschutz-Konferenz (DSK)DSK-Kurzpapier Nr. 1: Verzeichnis von Verarbei-tungstätigkeitenhttps://www.lda.bayern.de/media/dsk_kpnr_1_verzeichnis_verarbeitungstaetigkeiten.pdf
GDD, Gesell-schaft für Da-tenschutz und DatensicherheitPraxishilfe X: Voraussetzungen der Datenschutz-Folgenabschätzunghttps://www.gdd.de/downloads/praxishilfen/GDD-Praxishilfe_DS-GVO_10.pdf
GDD, Gesell-schaft für Da-tenschutz und DatensicherheitPraxishilfe XIV: Die Datenschutz-Folgenabschätzunghttps://www.gdd.de/downloads/praxishilfen/GDD-Praxishilfe_DS-GVO_14.pdf
Datenschutz-Konferenz (DSK)DSK-Kurzpapier Nr. 5: Datenschutz-Folgenabschätzung nach Art. 35 DS-GVOhttps://www.lda.bayern.de/media/dsk_kpnr_5_dsfa.pdf
CNIL, Commis-sion Nationale de l'Informatique et des Libertés Tool für die Durchführung einer Da-tenschutz-Folgenabschätzung (Open Source) in englischer und französi-scher Sprachehttps://www.cnil.fr/en/tag/Privacy+Impact+Assessment+(PIA)

 

Selbstverständlich muss jedes Unternehmen, das die genannten Muster verwendet beachten, dass die Publikationen aus dem EU-Bereich auf den gesetzlichen Grundlagen der DSGVO basieren und daher allenfalls auf die konkreten schweizerischen Vorgaben angepasst werden müssen. Schlussendlich bleibt jedes Unternehmen dafür verantwortlich, dass die eigenen Verzeichnisse und Datenschutz-Folgenabschätzungen korrekt ausgefüllt werden. Die Muster ersetzen daher nicht eine allfällig notwendige Rechtsberatung, aber sie enthalten wertvolle Tipps und praktische Hinweise darauf, wie die Umsetzung erfolgen kann.