Externer Datenschutzberater (DPO)

Als externer DPO übernehmen wir sämtliche gesetzlich vorgeschriebenen Funktionen und begleiten Ihr Unternehmen bei allen Fragen rund um den Datenschutz und die Datensicherheit, pragmatisch und zielführend.

Der externe Datenschutzberater wirkt bei der Einhaltung des Datenschutzes in Ihrem Betrieb mit.

 

Relevante Datenschutzbestimmungen

In der Schweiz gilt das schweizerische Bundesgesetz über den Datenschutz (DSG) sowie dessen Verordnung (DSV).

Das revidierte DSG ist am 1. September 2023 in Kraft getreten. Das aktuelle DSG ist hier zu finden. Weitere Hinweise finden Sie hier.

Die Europäische Datenschutz-Grundverordnung (DSGVO) ist eine Verordnung der Europäischen Union, mit der die Regeln für die Verarbeitung von personenbezogenen Daten durch private Unternehmen und öffentliche Stellen europaweit vereinheitlicht werden. Sie gilt seit dem 25. Mai 2018.

Datenschutzberater nach DSGVO

Nach Artikel 37 DSGVO benennen der Verantwortliche und der Auftragsverarbeiter auf jeden Fall einen Datenschutzberater, wenn die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, mit Ausnahme von Gerichten, soweit sie im Rahmen ihrer justiziellen Tätigkeit handeln, die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmässige und systematische Überwachung von betroffenen Personen erforderlich machen, oder die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten besteht.

Datenschutzberater nach revidiertem DSG

Art. 11 DSG

Nach Artikel 11 des revidierten DSG können private Verantwortliche eine Datenschutzberaterin oder einen Datenschutzberater ernennen.

Private Verantwortliche können von der Ausnahme nach Artikel 23 Absatz 4 Gebrauch machen, wenn die folgenden Voraussetzungen erfüllt sind:

  • Die Datenschutzberaterin oder der Datenschutzberater übt ihre oder seine Funktion gegenüber dem Verantwortlichen fachlich unabhängig und weisungsungebunden aus.
  • Sie oder er übt keine Tätigkeiten aus, die mit ihren oder seinen Aufgaben als Datenschutzberaterin oder -berater unvereinbar sind.
  • Sie oder er verfügt über die erforderlichen Fachkenntnisse.
  • Der Verantwortliche veröffentlicht die Kontaktdaten der Datenschutzberaterin oder des Datenschutzberaters und teilt diese dem EDÖB mit.
    Ihre Vorteile eines externen Datenschutzberaters
    • Unabhängig und neutral, weisungsungebunden
    • Thema Datenschutz durch Spezialistin/Spezialisten betreut
    • Interessenkonflikte werden vermieden
    • Gewährleistung der Kontinuität
    • Reduzierte Aufwände
    • Effizienz durch Kompetenz
    Schwerpunkte der Datenschutzberatung

    Die Datenschutzberaterin oder der Datenschutzberater ist Anlaufstelle für die betroffenen Personen und für die Behörden, die in der Schweiz für den Datenschutz zuständig sind. Sie oder er hat namentlich folgende Aufgaben:

    • Schulung und Beratung des privaten Verantwortlichen in Fragen des Datenschutzes;
    • Mitwirkung bei der Anwendung der Datenschutzvorschriften.

    Aufgaben des Datenschutzberaters können sein:

    • Bearbeitung von Personendaten innerhalb des Betriebes prüfen;
    • Korrekturmassnahmen empfehlen, wenn er feststellt, dass Datenschutzvorschriften verletzt wurden;
    • Ausarbeiten von Datenschutzrichtlinien und -erklärungen
    • Data Mapping, Erarbeitung des Verzeichnisses der Bearbeitungstätigkeiten
    • Prüfen und Erarbeiten von Auftragsverarbeitungsverträgen / Joint Controller-Verträgen
    • Überwachen der Übermittlung von Personendaten ins Ausland (Einhaltung Cross-Border-Datenschutz-Compliance)
    • Etablieren von Prozessen auf Anfragen von Betroffenen (z.B. Auskunfts-, Berichtigungs-, Löschprozesse)
    • Planung des Verhaltens bei Feststellung von Datensicherheitsverletzungen
    • Beraten und Begleiten bei der Durchführung von Datenschutz-Folgenabschätzungen
    • Umsetzen der Prinzipien Privacy by Design und Privacy by Default
    • Erarbeiten und Prüfen von Datensicherheitskonzepten
    • Erarbeiten und Implementieren von Löschkonzepten
    • Kommunikation mit Aufsichtsbehörden
    • Festlegen von Kontrollen zur Einhaltung des Datenschutzes/Datenschutzaudits
    • Mitarbeiterschulungen

    Aktuell

    Datenschutz - Compliance

    Wir unterstützen Sie bei der Umsetzung der neuen Anforderungen an das Schweizer Datenschutzgesetz, pragmatisch und mit vernünftigen Lösungen.

    Schwerpunkte:

    • Datenschutzrichtlinien und -erklärungen (DSG, DSGVO)
    • Data Mapping, Erarbeitung des Verzeichnisses der Bearbeitungstätigkeiten
    • Auftragsverarbeitungsverträgen
    • Überwachen der Übermittlung von Personendaten ins Ausland
    • Prozesse für Anfragen von Betroffenen
    • Prozesse Datensicherheitsverletzungen
    • Umsetzung Prinzipien Privacy by Design und Privacy by Default
    • Datensicherheitskonzepte
    • Löschkonzepte
    Datenschutz - Assessment

    Wir machen eine Bestandsaufnahme des Umgangs mit den Personendaten in Ihrem Unternehmen und unterbreiten Ihnen konkrete Handlungsempfehlungen.

    Schwerpunkte:

    • Status Quo-Erhebung (Analyse des Ist-Zustandes)
      • Verzeichnis der Bearbeitungstätigkeiten
      • Bearbeitung besonders schützenswerter Personendaten
      • Einhaltung der Datenschutzgrundsätze
      • Informationspflicht
      • Rechte der betroffenen Personen
      • Technische und organisatorische Massnahmen
      • Archivierung und Löschprozesse
    • Anpassungsbedarf (Soll-Zustand)
      • Massnahmenplanung

    Zum Beitrag:  Was ist zu tun bis zum revDSG ?

    Datenschutz - Schulungen

    Wir schulen Ihre Mitarbeitenden auf die wichtigen Themen, verständlich, unterhaltsam und mit viel Praxisbezug. 

    Schwerpunkte:

    • Neue Begriffe
    • Grundsätze der Datenbearbeitung
    • Wichtigkeit, den Zugang zu Personendaten zu limitieren
    • Verzeichnis der Bearbeitungstätigkeiten
    • Data Breach Prozess
    • Prozesse der Rechte der Betroffenen
    • Archivierung, Löschung

    Methodik:

    Wir schulen bei Ihnen vor Ort oder in unseren Räumlichkeiten. Möglich sind auch digitale Schulungen mit den üblichen Kommunikationsmitteln eine Stunde, einen halben Tag oder mehrere Tage, ganz nach Ihren Bedürfnissen. 

    Datenschutz für Mitarbeitende

    Wir unterstützen Sie dabei, dass in Ihrem Unternehmen die Datenschutzbestimmung auch hinsichtlich Ihrer Mitarbeitenden eingehalten wird.

    Schwerpunkte:

    • Bewerbungsprozess
    • Personaldossier
    • Verzeichniss der Bearbeitungen
    • Elektronische Arbeits- und Kommunikationsmittel für die Mitarbeitenden
    • Regelung Überwachung am Arbeitsplatz und der IT-Nutzung
    • Weisungen und Nutzungsreglemente für die Mitarbeitenden
    • Regelung hinsichtlich der Bekanntgabe und Nutzung von Mitarbeiterdaten
    • Unterstützung bei der Wahrung der Rechte der Mitarbeitenden
    • Rückgabe und Vernichtung von Mitarbeiterdaten und Personalakten
    Datenschutz - Folgenabschätzung

    Wir unterstützen Sie bei der Prüfung der Notwendigkeit und der Durchführung einer Datenschutz-Folgenabschätzung.

    Schwerpunkte:

     

    • Umschreibung der geplanten Bearbeitung
    • Schwellenwertanalyse
    • Prüfung der Bearbeitung auf Datenschutz-Compliance
    • Risikoanalyse und Bewertung
    • Umsetzung der technischen und organisatorischen Massnahmen
    Datenschutz - Löschkonzept

    Wir unterstützen Sie bei der Erarbeitung der Grundlagen zur Umsetzung der datenschutzrechtlichen Vorgaben hinsichtlich der Löschung von Personendaten, pragmatisch und zielführend.

    Schwerpunkte:

    • Erheben der Löschgründe
    • Lösch- und Aufbewahrungsfristen
    • Bestimmen der Löschregeln
    • Umschreiben des Löschvorgangs
    • Festlegen der Löschmethoden
    Datenschutz- Verzeichnis

    Wir unterstützen Sie bei der Erarbeitung eines Verzeichnisses der Bearbeitungen.

    Sowohl der Verantwortliche als auch der Auftragsbearbeiter sind verpflichtet, ein Verzeichnis der Bearbeitungstätigkeiten zu führen. Für Unternehmen, die weniger als 250 Mitarbeitende beschäftigen und deren Datenbearbeitung nur ein geringes Risiko mit sich bringt, ist der Bundesrat nach zukünftigem Schweizer Datenschutzgesetz ermächtigt, Ausnahmen vorzusehen. Da die Erfüllung vieler Datenschutzpflichten ohne eine Übersicht über die Datenbearbeitungen im Unternehmen kaum machbar ist, dürfte sich ein entsprechendes Verzeichnis wohl für praktisch jede Organisation aufdrängen.

    ChatGPT Datenschutz Schweiz: Wenn KI-Chats auf Google landen

    ChatGPT Datenschutz Schweiz: Wenn KI-Chats auf Google landen

    Einleitung Ende Juli 2025 sorgte ein Vorfall international für Aufsehen: Private Konversationen aus ChatGPT wurden in der Google-Suche auffindbar. Was für viele Nutzerinnen und Nutzer ein Schock war, war für Juristinnen und Juristen eher erwartbar. Denn wer sensible...

    Silvia Mathys

    lic. iur. Senior Beraterin

    lic. iur. Silvia Mathys hat 2004 ihr rechtswissenschaftliches Studium an der Universität Basel abgeschlossen und war seither in verschiedenen Unternehmen, unter anderem in der Finanzbranche, der Industrie sowie im Technologiebereich, tätig. Sie spezialisierte sich auf die rechtliche Begleitung und Umsetzung im Bereich Datenschutz und Compliance. Neben ihrer Tätigkeit bei internationalen Konzernen bringt sie langjährige Erfahrung in der Beratung, Schulung und Implementierung datenschutzrechtlicher Vorgaben (inkl. DSGVO) mit. Zu ihren Stärken gehören ihre fundierte Fachkompetenz, ihre praxisorientierte Arbeitsweise sowie ihre breite Erfahrung im internationalen Umfeld.

    Bruno Schnarwiler

    Konsulent Informationssicherheit

    Bruno Schnarwiler ist ein Experte in Wirtschaftsinformatik mit über 30 Jahren Erfahrung als Auditor, Projektmanager, Berater und Führungskraft. Mit Abschlüssen als Eidg. Dipl. Wirtschaftsinformatiker, CISA und ISO 27001 Lead Auditor verfügt er über Fachkenntnisse in Informationssicherheit, Krisen- und Risikomanagement sowie digitalen Archivierungslösungen. Er hatte Schlüsselrollen wie Leiter IT-Revision und Risikomanagement in einer Bank, Leiter Softwareentwicklung und Berater für Sicherheit. Diese Tätigkeiten gaben ihm umfassende Einblicke in Branchen und Prozesse. Er trägt zur Implementierung sicherer IT-Umgebungen, Optimierung interner Kontrollsysteme und Entwicklung nachhaltiger Lösungen bei, die moderne Anforderungen erfüllen.
    Edith Luginbühl

    Assistentin

    Edith Luginbühl ist eine engagierte und erfahrene Assistentin mit über 50 Jahren Berufserfahrung. Ihre berufliche Laufbahn begann mit einer kaufmännischen Ausbildung bei einer Grossbank, und führte sie durch verschiedene Branchen, darunter die Gastronomie, Hotellerie, Autovermietung, Reisebüro, Zeitungsredaktion. Zu ihren Stärken zählen ihre freundliche und professionelle Art, ihre Zuverlässigkeit sowie ihr ausgeprägtes Auge für Details.

    Alexander Wild begann 2019 sein rechtswissenschaftliches Studium an der Universität Zürich. Vor und während seinem Studium konnte er bereits erste Erfahrungen in einer Compliance Abteilung einer Bank erlangen, arbeitete als IT-Supporter sowie in einer Legal Abteilung eines international tätigen Pharmaunternehmen. Seine Tätigkeiten umfassten unter anderem die Prüfung/Einhaltung von Bankweisungen, Sanktionen, Kunden und Länderrisiko; Beurteilung des generellen Kunden-Risikos für die Bank; Wet Ink Support sowie Support in der Prozessoptimierung von Vertragsunterzeichnungen. Seit 2022 arbeitet er als Anwaltsassistent bei der Balthasar Legal AG sowie LR | Rechtsanwälte. Sein Masterstudium wird er voraussichtlich 2025 abschliessen. 

    Sebastian Andres

    Student, Content Manager

    Sebastian Andres begann 2019 sein Studium der Rechtswissenschaften an der Universität Zürich, wo er voraussichtlich 2026 den Masterabschluss erlangen wird. Erste praktische Erfahrungen sammelte er bei der Digt AG, wo er in der Vertragsgestaltung tätig war und daneben auch Aufgaben im Bereich Content Management übernahm. Bei der ADMG AG, bei der er seit 2024 arbeitet, erwarb er anschliessend vertiefte Kenntnisse in Zivil-, Verwaltungs-, Handels- und Wirtschaftsrecht. Seit 2025 ist er zudem bei der Balthasar Legal AG als Content Manager tätig.

    Markus Bruggmann

    MLaw Senior Berater

    MLaw Markus Bruggmann hat 2013 sein rechtswissenschaftliches Studium an der Universität Zürich abgeschlossen und war seitdem unter anderem bei einer Bank, einer Wirtschaftskanzlei und einer Versicherung tätig, wo er sich auf die Beratung sowie die Prüfung und Redaktion von Verträgen in den Bereichen des Kommunikations- und Technologierechts (Datenschutz) unter Berücksichtigung des Haftpflicht- und Immaterialgüterrechts spezialisierte. Zu seinen Stärken gehören seine analytischen Fähigkeiten und seine breite Erfahrung.