30.06.2021 11:30 Kategorie: Aktuelles DE, Datenschutz, Deutschland, EU, News, Österreich, Schweiz

Verzeichnisse, Verantwortliche, Datenschutzberater und Konsultation der EDÖB

Bei der Umsetzung des Schweizerischen DSG von der DSGVO lernen

Ende Mai sorgte die Nachricht für großes Bedauern: Die Schweiz brach nach sieben Jahren die Verhandlungen mit der EU über einen Rahmenvertrag ab. Das Vertragswerk sollte die bilateralen Beziehungen auf eine neue Grundlage stellen. Schließlich sind gerade die Wirtschaftsbeziehungen seit Jahrzehnten eng und vielfältig. Dann die klaren Worte: Es habe keine Einigung über entscheidende Punkte gegeben, sagte der Schweizer Präsident Guy Parmelin. Tatsächlich hat sich die Schweiz in den vergangenen Jahren schon an EU-Recht angenähert und jetzt auch angekündigt diesen Kurs konsequent fortzusetzen. Beim Datenschutz ist dies bereits Realität. Das Schweizer Datenschutzgesetz (DSG) bewegt sich sehr nah am Niveau der Europäischen Datenschutzgrundverordnung (DSGVO), die seit fast drei Jahren den Datenschutz innerhalb der EU regelt. Aber es gibt Unterschiede und Besonderheiten. „Für Unternehmen hüben wie drüben der Grenze lohnt es sich diese genau zu betrachten“, erklärt der erfahrene Datenschutzexperte Dr. Jörn Voßbein. Heute geht es in unserer kleinen Serie über den Vergleich von DSG vs. DSGVO um die Rolle des Datenschutzberaters, die Konsultationen des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten EDÖB, das Verzeichnis von Bearbeitungstätigkeiten sowie die Vertretung von privaten Verarbeitern mit Sitz im Ausland.

Verlangt die DSGVO in bestimmten Fällen die Einsetzung eines Datenschutzbeauftragten, bleibt die Entscheidung über die Ernennung eines Datenschutzberaters – so der Schweizerische Begriff im neuen Datenschutzgesetz – jedem Unternehmen selbst überlassen. Die Aufgaben sind ähnlich. Der Datenschutzberater überwacht die Einhaltung der Datenschutzvorschriften innerhalb des Unternehmens und steht der Unternehmensleitung beratend zur Seite (Art. 10 Abs. 2 DSG). Diese trägt allerdings – analog zur DSGVO – immer noch allein die Verantwortung dafür, dass eine datenschutzkonforme Bearbeitung der Personendaten stattfindet. Trotzdem wird vom Datenschutzberater eine hohe Sachkunde erwartet, sie rechtfertigt die nachfolgende Erleichterung.

Wie in der DSGVO muss im Fall einer Datenschutz-Folgenabschätzung dann der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) konsultiert werden, wenn diese zu keiner Herabsetzung des Risikos führte. Wichtiger Unterschied zur DSGVO ist, dass von der Einbindung des EDÖB abgesehen werden kann, wenn ein Datenschutzberater ernannt ist. Dieser kann alternativ eingebunden werden. Allerdings ist dies zu dokumentieren. Trotzdem: Für Unternehmen eine klare Erleichterung und Vereinfachung und damit ein Argument für die Ernennung eines Datenschutzberaters.
Eine wichtige Neuerung stellt das Führen von Verzeichnissen von Bearbeitungstätigkeiten dar. Konkret: Das neue DSG verlangt von Verantwortlichen und Auftragsverarbeitern, jede Datenbearbeitung zu dokumentieren. Diese Pflicht ist mit der Führung eines Verzeichnisses aller Verarbeitungstätigkeiten in der DSGVO gleichzustellen. Die bisherige Meldepflicht beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) entfällt. Das neue DSG enthält eine Auflistung der Informationen, die dieses Verzeichnis enthalten muss.

Verantwortliche, die nicht in der Schweiz ansässig sind, aber personenbezogene Daten von Betroffenen verarbeiten, die sich in der Schweiz aufhalten, müssen einen Vertreter in der Schweiz benennen, wenn eine der drei Situationen zutrifft:

Die Verarbeitung steht im Zusammenhang mit dem Angebot von Waren oder Dienstleistungen in der Schweiz oder mit der Überwachung des Verhaltens von Menschen in der Schweiz.
Die Verarbeitung personenbezogener Daten ist umfangreich und findet regelmäßig statt.
Die Verarbeitung führt wahrscheinlich zu einem hohen Risiko für die Privatsphäre der betroffenen Person.

Diese Pflichten sind vergleichbar mit der DSGVO. Aber es empfiehlt sich eine Einzelfallprüfung. Gerade bei Konzernverbünden bestehend aus verschiedenen zusammenarbeitenden Gesellschaften und unterschiedlichen Unternehmenssitzen. „Die aufgezeigten Sachverhalte zeigen, dass eine unternehmensgenaue Betrachtung erforderlich ist. Deshalb sollten Verantwortliche und Auftragsverarbeiter mit Sitz in der Schweiz oder solche, die an Datenübermittlungen in die Schweiz beteiligt sind, mit Handlungsempfehlungen arbeiten. Diese liefert die UIMC als Rüstzeug, um datenschutzsicher durch unsichere Zeiten zu kommen“, betont Dr. Jörn Voßbein.

Dies ist der vierte Teil der UIMC-Reihe zum neuen Schweizerischen Datenschutzgesetz:

Teil 1: Neuregelung des Schweizer Datenschutzes – Ein kurzer Überblick

Teil 2: Schweizer Grundsätze bei der Datenverarbeitung

Teil 3: Datenschutz-Folgenabschätzung und Privacy by Design

<- Zurück zu: News: Aktuelles aus dem Bereich Datenschutz und Informationssicherheit

Ihr Ansprechpartner

Tim Hoffmann

Fragen? Informationen? Angebot?

Kontaktdaten und Standorte

Weitere Veröffentlichungen

Mit unserem Info-Brief "UIMCommunic@tion" bieten wir Ihnen regelmäßige Informationen rund um Datenschutz und Informationssicherheit. Die bisherigen Veröffentlichungen können Sie jederzeit nachlesen:

UIMCommunication

Name	Zweck	Ablauf	Typ	Anbieter
CookieConsent	Speichert Ihre Einwilligung zur Verwendung von Cookies.	1 Jahr	HTML	Website
fe_typo_user	Ordnet Ihren Browser einer Session auf dem Server zu. Dies beeinflusst nur die Inhalte, die Sie sehen und wird von uns nicht ausgewertet oder weiterverarbeitet.	Session	HTTP	Website

Name	Zweck	Ablauf	Typ	Anbieter
_pk_id	Wird verwendet, um ein paar Details über den Benutzer wie die eindeutige Besucher-ID zu speichern.	13 Monate	HTML	Matomo
_pk_ses	Kurzzeitiges Cookie, um vorübergehende Daten des Besuchs zu speichern.	30 Minuten	HTML	Matomo