Für Unternehmen

Im Unterschied zu einer Richtlinie entfaltet die DSGVO als Verordnung direkte und unmittelbare Wirkung in jedem Mitgliedstaat der Europäischen Union und des Europäischen Wirtschaftsraumes. Der Gesetzestext der DSGVO muss demzufolge nicht erst in nationales Recht umgesetzt werden, sondern kommt direkt zur Anwendung.

Die DSGVO besteht aus 99 Artikeln und 173 Erwägungsgründen, welche die einzelnen Artikel näher erläutern. Die Hälfte der Bestimmungen regelt das materielle Datenschutzrecht und enthält neben allgemeinen Bestimmungen und Grundsätzen Ausführungen zu den Rechten der betroffenen Personen, den Verpflichtungen der Verantwortlichen oder Auftragsverarbeiter und regelt die Übermittlung personenbezogener Daten in Drittländer.

Die andere Hälfte der Vorschriften befasst sich überwiegend mit organisatorischen Fragen der Datenschutzaufsicht durch die nationalen Aufsichtsbehörden, Fragen zu Regelungskompetenzen und weiteren formellen Themen.

Im Unterschied zu einer Richtlinie entfaltet die DSGVO direkte und unmittelbare Wirkung in den Mitgliedstaaten und muss folglich nicht erst in nationales Recht umgesetzt werden. 

Allerdings enthält die DSGVO eine Reihe von sog. Öffnungs- und Spezialklauseln, die den Staaten gewisse Gestaltungsräume gewähren und es ihnen ermöglichen, nationale konkretisierende Datenschutzregelungen beizubehalten oder neu zu schaffen. 

Liechtenstein nützte diesen Gestaltungsspielraum mit der Totalrevision des Datenschutzgesetzes. Dieses ist Anfang 2019 in Kraft treten. Das Datenschutzgesetz, die dazugehörige Datenschutzverordnung sowie Materialien finden Sie hier.

Personenbezogene Daten sind heute in jedem Unternehmen in der einen oder anderen Weise präsent, weshalb Datenschutz ein Thema ist, dem sich kein Unternehmen mehr entziehen kann. Ein grosser Teil der Mitarbeitenden im Unternehmen hat täglich ebenfalls mit Daten zu tun und es ist unumgänglich, dass Ihre Mitarbeitenden die neuen Anforderungen im Datenschutz kennen und Sie alle gemeinsam daran arbeiten, dass Ihr Unternehmen datenschutzkonform ist.

Art. 29 DSGVO präzisiert die Verantwortung der datenverarbeitenden Stelle und die Rolle der Mitarbeitenden folgendermassen:

Der Auftragsverarbeiter und jede dem Verantwortlichen oder dem Auftragsverarbeiter unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschliesslich auf Weisung des Verantwortlichen verarbeiten, es sei denn, dass sie nach dem Unionsrecht oder dem Recht der Mitgliedstaaten zur Verarbeitung verpflichtet sind. Nach Art. 29 DSGVO dürfen Beschäftigte eines Verantwortlichen oder eines Auftragsverarbeiters personenbezogene Daten ausschliesslich auf Weisung des Verantwortlichen oder Auftragsverarbeiters verarbeiten, es sei denn, eine gesetzliche Regelung schreibt eine Verarbeitung dieser Daten vor.

Art. 32 Abs. 4 DSGVO wiederholt diese Bestimmung mit Bezugnahme auf die Sicherheit der Verarbeitung:

Der Verantwortliche und der Auftragsverarbeiter unternehmen Schritte, um sicherzustellen, dass ihnen unterstellte natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten, es sei denn, sie sind nach dem Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet.

Für den Fall der Auftragsverarbeitung bestimmt Art. 28 Abs. 3 Satz 2 Bst. b DSGVO, dass der Auftragsverarbeiter gewährleisten muss,

dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen;

Auch wenn die DSGVO kein spezifisches Vorgehen für die Verpflichtung der Mitarbeitenden vorschreibt, empfiehlt es sich in der Praxis, dass Mitarbeitende, Auszubildende, Praktikanten, Leiharbeiter oder ehrenamtlich tätige Personen eine schriftliche Erklärung unterzeichnen, mit der sie sich zur Wahrung des Datengeheimnisses und zur Beachtung der datenschutzrechtlichen Anforderungen verpflichten.

Ein Muster einer solchen Verpflichtungserklärung finden Sie hier.

Art. 30 DSGVO sieht vor, dass jeder Verantwortliche und jeder Auftragsverarbeiter ein Verzeichnis der unter seiner Verantwortung ausgeführten Datenverarbeitungstätigkeiten führen muss.

Der Inhalt des Verzeichnisses ist in Art. 30 Abs. 1 DSGVO für den Verantwortlichen und in Abs. 2 für den Auftragsverarbeiter detailliert beschrieben. Nähere Hinweise zum Inhalt des Verzeichnisses sowie Muster finden Sie hier.

Das Verzeichnis ist schriftlich zu führen, wobei dies auch in einem elektronischen Format erfolgen kann.

Das Verzeichnis muss im Unternehmen verfügbar sein und der Aufsichtsbehörde jederzeit auf Anfrage zur Verfügung gestellt werden.

Bevor Sie beginnen, das Verzeichnis zu erstellen, machen Sie eine Bestandsaufnahme aller personenbezogenen Daten, die Sie in Ihrem Unternehmen verarbeiten und stellen Sie sich die folgenden Fragen:

• Welche Daten verarbeiten Sie in Ihrem Unternehmen? (Stammdaten, Kennziffern, sensible Daten wie Gesundheitsdaten, etc.)
• Welchen Personen(gruppen) lassen sich die Daten zuordnen? (Mitarbeitende, Kunden, Lieferanten, Besucher Ihrer Unternetseite, Patienten, Vereinsmitglieder, Sponsoren etc.)
• Zu welchem Zweck verarbeiten Sie die Daten? (zur Erfüllung eines Arbeitsvertrages oder Kaufvertrages, weil Sie gesetzlich dazu verpflichtet sind, um Kunden über Ihre neuen Produkte zu informieren, etc.) 
• Auf welchem Weg haben Sie die Daten erhalten? (direkt von der betroffenen Person, gekaufte Adresslisten, aus einem öffentlichen Verzeichnis etc.)
• Wie lange behalten Sie die Daten?
• Wie sicher sind die Daten bei Ihnen, etwa in Bezug auf die Zugänglichkeit?
• Teilen Sie die Daten mit Dritten und wenn ja, auf welcher Grundlage?

 

Ausnahmen von der Pflicht, ein Verzeichnis zu führen:

Nur Unternehmen mit weniger als 250 Beschäftigten sind von dieser Pflicht ausgenommen (vgl. Art. 30 Abs. 5 DSGVO), wenn

• die Datenverarbeitung kein Risiko für die Rechte und Freiheiten der betroffenen Personen darstellt,
• die Verarbeitung nur gelegentlich erfolgt und
• die Verarbeitung keine sensiblen Daten bzw. keine Daten über strafrechtliche Verurteilungen beinhaltet.

Jedes Unternehmen, das eine Lohnverrechnung und/oder Kundendateien führt, muss ein Verzeichnis führen, da diese Verarbeitungen nicht „nur gelegentlich“ erfolgen!

Art. 13 und 14 DSGVO verpflichten Unternehmen, betroffene Personen, von denen sie personenbezogene Daten erheben, über diese Datenerhebung zu informieren.

Wenn Sie Daten direkt von der betroffenen Person erhalten (etwa anlässlich des Besuchs Ihrer Internetseite, bei der Anmeldung in einer Arztpraxis oder der Angabe der Daten zum Abschluss eines Kaufvertrages), müssen Sie den betroffenen Personen die Information zum Zeitpunkt der Erfassung ihrer personenbezogenen Daten zur Verfügung stellen.

Wenn Sie personenbezogene Daten aus anderen Quellen erhalten, hat die Information unter Berücksichtigung der spezifischen Umstände der Verarbeitung der personenbezogenen Daten innerhalb einer angemessenen Frist nach Erlangung der personenbezogenen Daten, längstens jedoch innerhalb eines Monats, zu erfolgen.

Versäumen Sie nicht, Ihre Datenschutzinformationen regelmässig zu überprüfen und gegebenenfalls zu aktualisieren. Sie müssen betroffene Personen auf alle neuen Verarbeitungen ihrer personenbezogenen Daten aufmerksam machen, bevor Sie mit der Verarbeitung beginnen!

Nähere Details zu den Informationspflichten finden Sie hier.

Vergessen Sie nicht, auch die Besucher Ihrer Internetseite zu informieren, was mit ihren Daten passiert, während Sie sich Ihre Internetseite anschauen! Nähere Informationen zur Ausgestaltung einer Datenschutzerklärung sowie Bausteine für eine solche Erklärung finden Sie hier.

Eines der wesentlichen Ziele bei der europäischen Reform des Datenschutzes durch die DSGVO ist die Stärkung der Betroffenenrechte. Sie müssen daher sicherstellen, dass in Ihrem Unternehmen Verfahren vorhanden sind, die es erlauben, die Rechte der betroffenen Personen zu wahren.

Informationen darüber, welche Rechte den betroffenen Personen zustehen und was diese konkret beinhalten, finden Sie hier.

Für die Gewährung dieser Rechte gelten gemäss Art. 12 DSGVO die folgenden Grundsätze:

• Art. 12 Abs. 5 DSGVO bestimmt, dass die Auskunft grundsätzlich unentgeltlich erteilt werden muss;
• Zur konkreten Frist für die Beantwortung eines Ersuchens bestimmt Art. 12 Abs. 3 DSGVO, dass diese ohne unangemessene Verzögerung, spätestens aber innerhalb eines Monats oder bei komplexen Sachverhalten innerhalb von drei Monaten, zu erfolgen hat;
• Gemäss Art. 12 Abs. 3 DSGVO ist ein Auskunftsersuchen nach Möglichkeit auf elektronischem Wege zu beantworten, wenn es auf elektronischem Wege gestellt wurde. Wenn aber ein anderer Weg geeigneter, vor allem sicherer erscheint, ist jener zu wählen.

Gemäss Art. 6 DSGVO steht die Verarbeitung personenbezogener Daten unter dem Grundsatz des Verbotes mit Erlaubnisvorbehalt. Das heisst im Grundsatz bleibt jegliche Datenverarbeitung verboten, soweit sie nicht ausdrücklich erlaubt ist.

Eine Auflistung mit den zulässigen Rechtsgrundlagen für die Verarbeitung personenbezogener Daten findet sich in Art. 6 Abs. 1 DSGVO.

Was bedeutet dies für Sie konkret?

• Als Unternehmer müssen Sie vor jeder Verarbeitung personenbezogener Daten prüfen, welche rechtmässige Grundlage für die konkrete Verarbeitungstätigkeit in Frage kommt. Achten Sie darauf, von Beginn an mit der richtigen Grundlage zu arbeiten, denn Sie sollten nicht zu einem späteren Zeitpunkt ohne Grund zu einer anderen Grundlage wechseln.
• Sie müssen die Rechtsgrundlage den betroffenen Personen im Wege ihrer Information gemäss Art. 13 und 14 DSGVO kommunizieren!
• Der Grundsatz der Rechenschaftspflicht erfordert, dass Sie nachweisen können, dass Sie die rechtmässige Grundlage für jeden Verarbeitungszweck richtig eingeschätzt haben und Ihre Entscheidung begründen können. Für diese Dokumentation gibt es keine konkreten Formvorschriften, die Datenschutzstelle empfiehlt aber eine schriftliche Dokumentation.

Rechtsgrundlage für die Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9 DSGVO)

Wenn Sie besondere Kategorien personenbezogener Daten verarbeiten, finden Sie mögliche Rechtfertigungsgründe in Art. 9 Abs. 2 DSGVO. Angesichts der Sensitivität der besonderen Kategorien von Daten sind diese Rechtfertigungsgründe restriktiv auszulegen!  

Die DSGVO verlangt, dass Sie geeignete technische und organisatorische Massnahmen ergreifen, um die Datenschutzgrundsätze umzusetzen und die individuellen Rechte der Betroffenen zu wahren. 

In der Praxis bedeutet dies, dass Datensicherheit  gemäss Art. 25 DSGVO mittels Technikgestaltung (privacy by design) und datenschutzfreundlichen Voreinstellungen (privacy by default) schon im Vorfeld der Datenverarbeitung wie auch nachgehend während des gesamten Datenverarbeitungsprozesses verwirklicht werden muss. Dieses Konzept ist nicht neu, sondern war bereits vor Geltung der DSGVO als „Privacy by Design“ Teil des Datenschutzrechts. Neu ist allerdings, dass die DSGVO es zu einer gesetzlichen Verpflichtung macht.  

 

Was bedeutet dies konkret?

Der Verantwortliche muss gemäss Art. 25 DSGVO geeignete technische und organisatorische Massnahmen treffen, um die in Art. 5 DSGVO festgelegten Datenschutzgrundsätze wirksam umzusetzen und die Rechte der von einer Datenverarbeitung betroffenen Personen zu schützen.

• Privacy by Design findet sich beispielsweise bei der Pseudonymisierung von Daten.
• Privacy by Default wiederum findet sich zum Beispiel verwirklicht bei Einstellungen zur Speicherfrist oder der Zugänglichkeit von Daten.

Bei der Auswahl der technischen und organisatorischen Massnahmen ist gemäss Art. 25 Abs. 1 DSGVO der „Stand der Technik“ zu beachten, welcher jedoch gesetzlich nicht weiter präzisiert wird.

Es wird empfohlen, sich hier an den national oder international anerkannten Standards, wie z.B. ISO-Standards, zu orientieren.

Die Massnahmen sind des Weiteren gemäss Art. 25 Abs. 1 DSGVO nach Massgabe der „unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen“ einzusetzen.

Im Rahmen einer Risikoanalyse ist dabei zu prüfen, in welchem Umfang und zu welchem Zweck personenbezogene Daten bearbeitet werden sollen, um welche Art von Daten es sich handelt (Schutzbedarf der Daten) und welche Risiken/Gefahren mit der Datenbearbeitung für die betroffenen Personen einhergehen. Im Rahmen einer solchen Risikoanalyse ist insbesondere auch die Eintrittswahrscheinlichkeit einer möglichen Datenschutzverletzung zu prüfen und sind zu ihrer Verhinderung geeignete Abhilfemassnahmen zu setzen.

Eine Datenschutz-Folgenabschätzung ist die Beschreibung, Bewertung und Eliminierung von Risiken für die Rechte und Freiheiten natürlicher Personen bei der Verarbeitung personenbezogener Daten. Dabei müssen insbesondere die Risiken für die Rechte und Freiheiten natürlicher Personen, die durch den Verarbeitungsvorgang auftreten, bewertet und durch geeignete Gegenmassnahmen ausreichend gemindert werden.

Eine Datenschutz-Folgenabschätzung ist bei einem zu erwartenden hohen Risiko für die Rechte und Freiheiten natürlicher Personen vorgängig zu einer solchen Datenverarbeitung zwingend durchzuführen. Eine DSFA bezieht sich auf die verarbeiteten Daten, die verwendete Hard- und Software und die eingesetzten Prozesse eines konkreten Verarbeitungsvorgangs.

Im Abwägungsprozess, ob ein hohes Risiko zu erwarten ist, sind gemäss Art. 35 Abs. 1 DSGVO die Art, der Umfang, die Umstände und der Zweck der Datenverarbeitung zu berücksichtigen. Ist ein Datenschutzbeauftragter ernannt, ist bei Durchführung einer Datenschutz-Folgenabschätzung gemäss Art. 35 Abs. 2 DSGVO sein Ratschlag einzuholen.

Art. 35 Abs. 3 DSGVO benennt drei Kategorien von Fällen, die eine Datenschutz-Folgenabschätzung jedenfalls erforderlich machen. Dies sind:

(a) systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschliesslich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen;

(b) umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäss Artikel 9 Absatz 1 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäss Artikel 10 oder

(c) systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche.

Art. 35 Abs. 4 DSGVO verlangt von den nationalen Aufsichtsbehörden, dass sie zusätzlich eine Liste mit Verarbeitungsvorgängen erstellen, bei denen zwingend eine Datenschutz-Folgeabschätzung durchzuführen ist (sogenannte „Blacklist“).

Befindet sich die geplante Datenverarbeitung auf dieser „Blacklist“, ist der Verantwortliche zur Durchführung einer Folgenabschätzung verpflichtet. Die Beurteilung, ob die Datenverarbeitung „voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen“ zur Folge hat, ist in diesen Fällen bereits durch die Aufsichtsbehörde erfolgt und muss vom Verantwortlichen nicht mehr vorgenommen werden.

Die Liste der Datenschutzstelle mit ausführlichen Erläuterungen finden Sie hier. 

Entgegen der bisherigen Rechtslage ist in Zukunft gemäss DSGVO ein Datenschutzbeauftragter in gewissen Fällen zwingend zu bestellen.

Gemäss Art. 37 Abs. 1 lit. a - c DSGVO muss ein Datenschutzbeauftragter zwingend bestellt werden, wenn:

1. es sich um eine Behörde oder öffentliche Stelle (mit Ausnahme von Gerichten, die im Rahmen ihrer justiziellen Tätigkeit handeln) handelt;
2. die Kerntätigkeit in umfangreicher, regelmässiger und systematischer Überwachung von Personen besteht oder
3. die Kerntätigkeit in umfangreicher Verarbeitung besonders sensibler Daten (Art. 9 und 10 DSGVO) besteht.

In der DSGVO ist nicht näher definiert, was unter „umfangreich“ zu verstehen ist. Für die Feststellung, ob eine Überwachung bzw. Datenverarbeitung als "umfangreich" zu qualifizieren ist, sind gemäss ErwGr. 91 und gemäss den Empfehlungen der Artikel-29-Datenschutzgruppe (WP29) folgende Kriterien zu berücksichtigen:

• Anzahl der verarbeiteten personenbezogenen Daten,
• geographische Ausbreitung der Datenverarbeitung (regional, national oder supranational),
• Anzahl der betroffenen Personen (als Absolutzahl) oder bezogen auf eine relevante Bezugsgrösse (prozentuell),
• Dauer bzw. Permanenz der Verarbeitung.

In der DSGVO ist auch nicht näher definiert, was unter „regelmässiger“ und "systematischer" Verarbeitung personenbezogener Daten zu verstehen ist.

1. Kerntätigkeit ist gemäss ErwGr. 97 definiert als die Haupttätigkeit des Unternehmens im Sinne ihres Unternehmensgegenstands (Geschäftszweck) in Abgrenzung zur Verarbeitung personenbezogener Daten als Nebentätigkeit. Massgeblich für die Abgrenzung ist hierbei Art, Umfang und Zweck der Verarbeitung. Ein Beispiel für Nebentätigkeit ist beispielsweise die Lohnbuchhaltung eines Industrieunternehmens.
2. Die WP29 nennt als Beispiele einer umfangreichen Verarbeitung z.B. die Verarbeitung von Kundendaten im gewöhnlichen Geschäftsbetrieb eines Versicherungsunternehmens oder einer Bank; die Verarbeitung von Patientendaten im gewöhnlichen Geschäftsbetrieb eines Krankenhauses. Keine umfangreiche Verarbeitung stellen gemäss ErwGr. 91 und der WP29 demgegenüber die Verarbeitung von Patientendaten durch einen einzelnen Arzt oder die Verarbeitung personenbezogener Daten durch einen einzelnen Rechtsanwalt dar.

Die WP29 ihrerseits interpretiert die Begriffe „regelmässig“ und „systematisch“ wie folgt:

• regelmässig: fortlaufend oder in Abständen wiederkehrend ständig oder regelmässig stattfindend
• systematisch: vereinbart, organisiert und methodisch im Rahmen eines allgemeinen Datenerfassungsplans erfolgend im Rahmen einer Strategie erfolgend

Beispiele einer regelmässigen und systematischen Verarbeitung gemäss der WP29 sind: Verfolgende E-Mail-Werbung, datengesteuerte Marketingaktivitäten, Typisierung und Scoring zu Zwecken der Risikobewertung (z.B. für Zwecke der Kreditvergabe, Festlegung von Versicherungsprämien etc.).

In Zweifelsfällen ist die Benennung eines Datenschutzbeauftragten generell zu empfehlen.

Nähere Informationen zum Datenschutzbeauftragten, insbesondere auch zur Stellung und den Aufgaben, sowie die Leitlinien der Artikel-29-Datenschutzgruppe finden Sie hier.

Die Auftragsverarbeitung ist die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten durch einen Auftragnehmer gemäss den Weisungen der verantwortlichen Stelle (Auftraggeber). Auftraggeber und Auftragsverarbeiter regeln ihre jeweiligen Rechte und Pflichten in einem Auftragsverarbeitungsvertrag.

Prüfen Sie, ob für Ihr Unternehmen Auftragsverarbeiter tätig sind und wenn ja, schliessen Sie mit diesen einen Auftragsverarbeitungsvertrag.

Nähere Informationen zur Auftragsverarbeitung finden Sie hier.

Kommt es in einem Unternehmen zu einer Panne im Datenschutz und werden z.B. personenbezogene Daten unberechtigten Dritten offengelegt, so muss dies gemäss Art. 33 DSGVO innerhalb von 72 Stunden der zuständigen Datenschutzaufsichtsbehörde gemeldet werden (ausser es besteht aller Wahrscheinlichkeit nach kein Risiko für die Rechte und Freiheiten von natürlichen Personen).
Ist dieses Risiko voraussichtlich aber sogar als hoch einzustufen, so muss der Verantwortliche gemäss Art. 34 DSGVO (mit wenigen Ausnahmen) auch die betroffenen Personen unverzüglich darüber benachrichtigen.

Die Dokumentation und allfällige Meldung einer Datenschutzverletzung folgt daher folgendem Prozess:
 

1.   Hat eine Datenschutzverletzung stattgefunden?

• Wenn ja: genaue Abklärung der Verletzung (z.B. welche Daten sind betroffen? Wie viele Betroffene gibt es?).
   

2.   Besteht voraussichtlich ein Risiko für die Rechte und Freiheiten natürlicher Personen?

• Wenn ja: Meldung der Verletzung innerhalb von 72 Stunden an die zuständige Datenschutzaufsichtsbehörde.
• Wenn nein: Interne Dokumentation der Verletzung und Begründung, warum voraussichtlich kein Risiko für die Betroffenen besteht.
• Wenn zweifelhaft: Kontaktaufnahme mit der Datenschutzstelle.
   

3.   Besteht voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen?

• Wenn ja: Unverzügliche Benachrichtigung der betroffenen Personen.
• Wenn nein: Interne Dokumentation der Verletzung und Begründung, warum voraussichtlich kein hohes Risiko für die Betroffenen besteht.
• Wenn zweifelhaft: Kontaktaufnahme mit der Datenschutzstelle.
   

Nähere Informationen zur Meldung von Datenschutzverletzungen, zu Ausnahmen davon, sowie ein Meldeformular für die Meldung an die Datenschutzstelle finden Sie hier.

Es kommt immer wieder vor, dass Unternehmen personenbezogene Daten an internationale Organisationen oder in Drittländer ausserhalb des EU/EWR-Raums übermitteln oder sie dort ansässigen Akteuren zugänglich machen. Um das hohe Datenschutzniveau der DSGVO auch in solch einem Fall zu gewährleisten, gelten strenge Regeln. So muss es (nebst der Einhaltung der Regeln der DSGVO) für die Organisation bzw. das Land entweder eine Adäquanzbescheinigung der EU-Kommission geben (z.B. Angemessenheitsbeschluss für die Schweiz) oder es müssen sonstige geeignete Garantien für den Datenschutz und die Rechte der Betroffenen vorgesehen werden. Dies können etwa EU-Standarddatenschutzklauseln, verbindliche interne Datenschutzvorschriften (Binding Corporate Rules), genehmigte Verhaltensregeln, Zertifizierungen etc. sein. In Ausnahmefällen darf auch eine auf einen Einzelfall begrenzte Datenübermittlung stattfinden, wenn z.B. die Einwilligung der betroffenen Person vorliegt oder dies zur Vertragserfüllung erforderlich ist.

Nähere Details zum internationalen Datentransfer sowie zu den verschiedenen vorzusehenden Garantien dafür finden Sie hier.

Es kann vorkommen, dass Projekte oder Aktivitäten, die im Interesse mehrere Akteure liegen, von diesen auch gemeinsam geplant und durchgeführt werden. Werden dabei personenbezogene Daten verarbeitet und entscheiden die beteiligten Akteure gemeinsam über die Zwecke und wesentlichen Mittel dieser Datenverarbeitung, so gelten sie dafür als gemeinsam Verantwortliche gemäss Art. 26 DSGVO. Die jeweilige Verantwortung muss dabei aber nicht genau gleich gross sein oder zum selben Zeitpunkt in der Datenverarbeitung stattfinden. Das Vorhandensein einer gemeinsamen Verantwortlichkeit ist daher oft schwierig von einem blossen Auftragsverarbeitungsverhältnis abzugrenzen.

Handelt es sich jedoch um eine gemeinsame Verantwortlichkeit gemäss Art. 26 DSGVO, so haben die beteiligten Akteure eine detaillierte und transparente Vereinbarung darüber zu treffen, wer welche Funktion in der betroffenen Datenverarbeitung übernimmt, wer welche Pflichten bezüglich der Betroffenenrechte gemäss DSGVO übernimmt und wie die Haftung zwischen den Akteuren geregelt wird. Die wesentlichen Informationen dieser Vereinbarung müssen den betroffenen Personen zur Verfügung gestellt werden (z.B. in der Datenschutzerklärung). Zu beachten ist jedoch, dass jeder der gemeinsam Verantwortlichen im Aussenverhältnis gegenüber allen betroffenen Personen und Aufsichtsbehörden für die Datenverarbeitung rechenschaftspflichtig ist und vollumfänglich dafür haftet.

Nähere Informationen zur gemeinsamen Verantwortlichkeit sowie zu konkreten Beispielen dafür finden Sie hier.

Jede Organisation, die Mitarbeiterinnen und Mitarbeiter beschäftigt, verarbeitet dazu von diesen gewisse personenbezogene Daten. Dies beginnt bereits in der Bewerbungsphase vor dem eigentlichen Stellenantritt, wenn etwa Bewerbungsunterlagen gesichtet, Referenzen abgeklärt und Vorstellungsgespräche geführt werden. Es findet sodann während des Beschäftigungsverhältnisses statt, wenn Lohnzahlungen getätigt, Mitarbeitergespräche geführt oder Geschäftsreisen gebucht werden. Und es umfasst schliesslich auch den Stellenaustritt und eine allfällige darüber hinaus gehende Speicherung gewisser personenbezogener Daten. Über all diese Datenverarbeitungen sind nicht nur die Betroffenen transparent zu informieren, sondern es sind dabei auch die anderen zentralen datenschutzrechtlichen Regeln zu beachten, allen voran die Rechtmässigkeit, Zweckbindung und Verhältnismässigkeit von Datenverarbeitungen sowie die konsequente Löschung nicht mehr erforderlicher Datensätze.

Die meisten Verarbeitungen personenbezogener Daten im Rahmen eines Beschäftigtenverhältnisses können mit der Anbahnung und Durchführung des Arbeitsvertrags rechtlich begründet werden oder stützen sich auf eine gesetzliche Verpflichtung, wie etwa die Aufbewahrungsfristen für Lohnabrechnungen. Einzelne darüber hinausgehende Verarbeitungen, wie etwa die Veröffentlichung von Portrait-Fotos auf der Webseite, bedürfen jedoch der Einwilligung der betroffenen Beschäftigten. Da eine solche in einem Arbeitsverhältnis aber nur selten als wirklich freiwillig bezeichnet werden kann – denn dazu dürfte eine Verweigerung keinerlei negativen Folgen für die betroffene Person haben –, wird sie nur in seltenen Fällen eine geeignete Rechtsgrundlage für eine Datenverarbeitung darstellen. Schliesslich verbleibt auch noch das berechtigte Interesse des Arbeitgebers als Rechtsgrundlage für gewisse Verarbeitungen personenbezogener Daten seiner Mitarbeitenden. Doch gilt es auch hier jeweils eine sehr sorgfältige Abwägung mit den schutzwürdigen Interessen der Beschäftigten vorzunehmen, bevor es als zulässige Rechtsgrundlage herangezogen werden kann.

Zentral im Beschäftigtendatenschutz ist ausserdem die Beachtung des Zweckbindungs- und des Verhältnismässigkeitsprinzips. Aus Datenschutzsicht äusserst heikel ist etwa jegliche Form der Überwachung von Beschäftigten durch den Arbeitgeber (z.B. durch Videokameras in Büros oder Pausenräumen, durch die gezielte Auswertung des GPS von Geschäftsfahrzeugen etc.). Sie kann nur in einzelnen Ausnahmefällen und bei nachweislich sehr gewichtigen Gründen als verhältnismässig und damit gerechtfertigt erscheinen. Auch die Weiterverwendung von zu bestimmten Zwecken erhobenen Daten (z.B. Zutrittsprotokolle zu besonders gesicherten Räumen) zu anderen Zwecken, wie etwa der gezielten Auswertung und Erstellung von Profilen über einzelne Mitarbeiterinnen oder Mitarbeiter, ist regelmässig untersagt. Problematisch ist ausserdem die häufig gestellte Frage, ob ein Arbeitgeber die Mailboxen und E-Mails von (ehemaligen) Beschäftigten einsehen darf. Dies ist aus Datenschutz-Sicht meistens zu verneinen, da hier in der überwiegenden Zahl der Fälle die schutzwürdigen Interessen der Betroffenen überwiegen. Nur bei Vorliegen sehr gewichtiger berechtigter Interessen des Arbeitgebers, wie z.B. bei begründetem Verdacht auf eine Straftat im Arbeitsverhältnis, darf er eine Mailbox und ihren Inhalt (soweit erforderlich) einsehen. Es empfiehlt sich deshalb für Arbeitgeber eine klare Regelung zur Nutzung geschäftlicher E-Mail-Adressen zu erlassen und etwa die private Nutzung gänzlich zu untersagen oder eine Einwilligung für bestimmte Zugriffsmöglichkeiten einzuholen. Die Mailbox und ihr Inhalt dürfen dann vom Arbeitgeber gänzlich oder im Rahmen der erteilten Einwilligung eingesehen werden.

Detailliertere Informationen zum Beschäftigtendatenschutz und diverse Beispiele finden Sie hier.

Möchte ein Unternehmen eine Videoüberwachungsanlage installieren und sind auf der Aufzeichnung einzelne Personen identifizierbar, so hat das Unternehmen dabei die strengen datenschutzrechtlichen Vorgaben aus der DSGVO und dem Datenschutzgesetz (DSG) einzuhalten.

Dies betrifft einerseits Anforderungen an die strikte Zweckbindung der Aufzeichnungen, an die Datenminimierung und Löschung nicht mehr erforderlicher Aufnahmen, an technische und organisatorische Massnahmen an der Anlage wie etwa den Fokus oder den Winkel der Kamera, an die Informationspflichten gegenüber den Betroffenen etc. Ausserdem ist eine Kamera, die öffentlichen Raum (mit)erfasst, bei der Datenschutzstelle meldepflichtig.

Detaillierte Ausführungen zu den genauen rechtlichen Anforderungen an zulässige Videoüberwachungsanlagen (inkl. Drohnen, Dash-Cams etc.) sowie das Meldeformular der DSS, ein Muster-Piktogramm und diverse anschauliche Beispiele finden Sie hier.

Ein Unternehmen hat jeweils die Wahl, potentielle Kunden mittels unpersönlicher Werbung via Plakate oder Zeitungsannoncen etc. auf sich aufmerksam zu machen, oder sie mit persönlicher Direktwerbung anzusprechen. Letzteres fällt jedoch unter die Regelungen des Datenschutzes, da dafür personenbezogene Daten wie Anschrift, Telefonnummern oder E-Mail-Adressen verarbeitet werden.

Datenschutzrechtlich gesehen ist solch eine Direktwerbung jedoch nur mit einer Einwilligung der betroffenen Person zulässig oder wenn diese vernünftigerweise mit Werbung des Unternehmens rechnen muss, z.B. weil sie schon ein bestehender Kunde dieses Unternehmens ist und ein Bezug zu dem von ihr bereits früher erworbenen Gut besteht. Es muss dies jedoch stets im konkreten Fall genau geprüft werden und den betroffenen Personen eine einfache Möglichkeit geboten werden, solcher Direktwerbung zu widersprechen oder eine einmal erteilte Einwilligung zu widerrufen. Ausserdem sind neben dem Datenschutzrecht auch die Bestimmungen des Gesetzes gegen den unlauteren Wettbewerb (UWG) sowie, je nach gewähltem Kommunikationskanal (E-Mail, Post, Telefon), auch des Kommunikationsgesetzes (KomG) zu beachten.

Genaue Ausführungen zur (Un-)Zulässigkeit von Direktwerbung, zu den spezifischen Anforderungen in den diversen Kommunikationskanälen sowie eine Checkliste für das werbende Unternehmen finden Sie hier.