Der Bundesrat hat an seiner Sitzung vom 31. August 2022 entschieden, dass das totalrevidierte Datenschutzgesetz nun am 1. September 2023 in Kraft tritt. Gleichzeitig mit dem Beschluss über das Datum des Inkrafttretens des neuen Datenschutzgesetzes hat der Bundesrat den verbindlichen Text zur Verordnung zum Datenschutzgesetz (neue Abkürzung: DSV; PDF) sowie die neue Verordnung über die Datenschutzzertifizierung (VDSZ; PDF) veröffentlicht. Bereits am 23. Juni 2021 hat der Bundesrat die Vernehmlassung zum Entwurf der Verordnung zum DSG eröffnet. [Siehe hierzu Blogbeitrag]
Die DSV enthält im Wesentlichen Vorgaben zu folgenden Themen:
- Grundsätze, Ziele, Technische und organisatorische Massnahmen (Art. 1 – 3 DSV)
- Vorgaben an die Protokollierung (Art. 4 DSV)
Die Protokollierungspflicht wurde ausgebaut und konkretisiert. Werden besonders schützenswerte Personendaten in grossem Umfang automatisiert bearbeitet oder wird ein Profiling mit hohem Risiko durchgeführt und können die präventiven Massnahmen den Datenschutz nicht gewährleisten, so müssen der private Verantwortliche und sein privater Auftragsbearbeiter zumindest das Speichern, Verändern, Lesen, Bekanntgeben, Löschen und Vernichten der Daten protokollieren. Eine Protokollierung muss insbesondere dann erfolgen, wenn sonst nachträglich nicht festgestellt werden kann, ob die Daten für diejenigen Zwecke bearbeitet wurden, für die sie beschafft oder bekanntgegeben wurden.
Bei Personendaten, welche allgemein öffentlich zugänglich sind, sind zumindest das Speichern, Verändern, Löschen und Vernichten der Daten zu protokollieren.
Die Protokollierung muss Aufschluss geben über die Identität der Person, die die Bearbeitung vorgenommen hat, die Art, das Datum und die Uhrzeit der Bearbeitung sowie gegebenenfalls die Identität der Empfängerin oder des Empfängers der Daten.
- Bearbeitungsreglement von privaten Personen (Art. 5 DSV)
Der private Verantwortliche und sein privater Auftragsbearbeiter müssen ein Reglement für automatisierte Bearbeitungen erstellen, wenn sie:
- besonders schützenswerte Personendaten in grossem Umfang bearbeiten; oder
- ein Profiling mit hohem Risiko durchführen.
Das Reglement muss insbesondere Angaben zur internen Organisation, zum Datenbearbeitungs- und Kontrollverfahren sowie zu den Massnahmen zur Gewährleistung der Datensicherheit enthalten.
- Bearbeitung durch Auftragsbearbeiter (Art. 6 DSV)
Bei einer allgemeinen Genehmigung informiert der Auftragsbearbeiter den Verantwortlichen über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Dritter. Der Verantwortliche kann Widerspruch gegen diese Änderung erheben. Die vorgängige Genehmigung des Verantwortlichen, die dem Auftragsbearbeiter erlaubt, die Datenbearbeitung einem Dritten zu übertragen, kann spezifischer oder allgemeiner Art sein.
- Beurteilung der Angemessenheit des Datenschutzes bei Bekanntgabe von Personendaten ins Ausland (Art. 8 DSV).
Die DSV regelt neu die Kriterien, welche für die Bekanntgabe von Personendaten ins Ausland zu berücksichtigen sind. Im Anhang 1 sind tabellarisch diejenigen Staaten und internationalen Organe aufgeführt, welche über ein angemessenes Datenschutzniveau verfügen. Die Liste wird periodisch neu beurteilt.
- Mindestinhalt der Datenschutzklauseln und spezifische Garantien (Art. 9 DSV)
Der Verantwortliche und im Fall von Datenschutzklauseln in einem Vertrag der Auftragsbearbeiter müssen angemessene Massnahmen treffen, um sicherzustellen, dass die Empfängerin oder der Empfänger diese Klauseln oder die spezifischen Garantien einhält.
- Standarddatenschutzklauseln (Art. 10 DSV)
Der EDÖB veröffentlich eine Liste von Standarddatenschutzklauseln, die er genehmigt, ausgestellt oder anerkannt hat. Er teilt das Ergebnis der Prüfung der Standarddatenschutzklauseln, die ihm unterbreitet werden, innerhalb von 90 Tagen mit.
- Pflichten des Verantwortlichen (Art. 13 – 15 DSV)
- Modalitäten der Informationspflicht
- Aufbewahrung der Datenschutz-Folgenabschätzung
- Meldung von Verletzungen der Datensicherheit Modalitäten der Informationspflichten mit folgende Inhalt:
- die Art der Verletzung;
- soweit möglich den Zeitpunkt und die Dauer;
- soweit möglich die Kategorien und die ungefähre Anzahl der betroffenen Personendaten;
- soweit möglich die Kategorien und die ungefähre Anzahl der betroffenen Personen;
- die Folgen, einschliesslich der allfälligen Risiken, für die betroffenen Personen;
- welche Massnahmen getroffen wurden oder vorgesehen sind, um den Mangel zu beheben und die Folgen, einschliesslich der allfälligen Risiken, zu mindern;
- den Namen und die Kontaktdaten einer Ansprechperson
- Auskunftsrecht (Art. 16 – 19 DSV)
- Modalitäten
- Zuständigkeit bei gemeinsamer Verantwortlichkeit
- Frist
- Ausnahme von der Kostenlosigkeit
- Recht auf Datenherausgabe und -übertragung (Art. 20 – 22 DSV)
- Datenschutzberaterin oder Datenschutzberater (Art. 23 DSV)
- Ausnahmen von der Pflicht zur Führung eines Verzeichnisses der Bearbeitungstätigkeiten (Art. 24 DSV): Unternehmen und andere privatrechtliche Organisationen, die am 1. Januar eines Jahres weniger als 250 Mitarbeiterinnen und Mitarbeiter beschäftigen, sowie natürliche Personen sind von der Pflicht befreit, ein Verzeichnis der Bearbeitungstätigkeiten zu führen, ausser eine der folgenden Voraussetzungen ist erfüllt:
-
- Es werden besonders schützenswerte Personendaten in grossem Umfang bearbeitet.
- Es wird ein Profiling mit hohem Risiko durchgeführt.
Sehr gerne Unterstützung wir sie bei Fragen rund um den Datenschutz und die Datensicherheit. Wir freuen uns auf Ihre Kontaktaufnahme.