Eckpunkte der Revision der Datenschutzverordnung

Okt 7, 2022

Der Bundesrat hat an seiner Sitzung vom 31. August 2022 entschieden, dass das totalrevidierte Datenschutzgesetz nun am 1. September 2023 in Kraft tritt. Gleichzeitig mit dem Beschluss über das Datum des Inkrafttretens des neuen Datenschutzgesetzes hat der Bundesrat den verbindlichen Text zur Verordnung zum Datenschutzgesetz (neue Abkürzung: DSV; PDF) sowie die neue Verordnung über die Datenschutzzertifizierung (VDSZ; PDF) veröffentlicht.  Bereits am 23. Juni 2021 hat der Bundesrat die Vernehmlassung zum Entwurf der Verordnung zum DSG eröffnet.  [Siehe hierzu Blogbeitrag]

Die DSV enthält im Wesentlichen Vorgaben zu folgenden Themen:

  • Grundsätze, Ziele, Technische und organisatorische Massnahmen (Art. 1 – 3 DSV)
  • Vorgaben an die Protokollierung (Art. 4 DSV)

Die Protokollierungspflicht wurde ausgebaut und konkretisiert. Werden besonders schützenswerte Personendaten in grossem Umfang automatisiert bearbeitet oder wird ein Profiling mit hohem Risiko durchgeführt und können die präventiven Massnahmen den Datenschutz nicht gewährleisten, so müssen der private Verantwortliche und sein privater Auftragsbearbeiter zumindest das Speichern, Verändern, Lesen, Bekanntgeben, Löschen und Vernichten der Daten protokollieren. Eine Protokollierung muss insbesondere dann erfolgen, wenn sonst nachträglich nicht festgestellt werden kann, ob die Daten für diejenigen Zwecke bearbeitet wurden, für die sie beschafft oder bekanntgegeben wurden.

Bei Personendaten, welche allgemein öffentlich zugänglich sind, sind zumindest das Speichern, Verändern, Löschen und Vernichten der Daten zu protokollieren.

Die Protokollierung muss Aufschluss geben über die Identität der Person, die die Bearbeitung vorgenommen hat, die Art, das Datum und die Uhrzeit der Bearbeitung sowie gegebenenfalls die Identität der Empfängerin oder des Empfängers der Daten.

  • Bearbeitungsreglement von privaten Personen (Art. 5 DSV)

Der private Verantwortliche und sein privater Auftragsbearbeiter müssen ein Reglement für automatisierte Bearbeitungen erstellen, wenn sie:

  • besonders schützenswerte Personendaten in grossem Umfang bearbeiten; oder
  • ein Profiling mit hohem Risiko durchführen.

Das Reglement muss insbesondere Angaben zur internen Organisation, zum Datenbearbeitungs- und Kontrollverfahren sowie zu den Massnahmen zur Gewährleistung der Datensicherheit enthalten.

  • Bearbeitung durch Auftragsbearbeiter (Art. 6 DSV)

Bei einer allgemeinen Genehmigung informiert der Auftragsbearbeiter den Verantwortlichen über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Dritter. Der Verantwortliche kann Widerspruch gegen diese Änderung erheben. Die vorgängige Genehmigung des Verantwortlichen, die dem Auftragsbearbeiter erlaubt, die Datenbearbeitung einem Dritten zu übertragen, kann spezifischer oder allgemeiner Art sein.

  • Beurteilung der Angemessenheit des Datenschutzes bei Bekanntgabe von Personendaten ins Ausland (Art. 8 DSV).

Die DSV regelt neu die Kriterien, welche für die Bekanntgabe von Personendaten ins Ausland zu berücksichtigen sind. Im Anhang 1 sind tabellarisch diejenigen Staaten und internationalen Organe aufgeführt, welche über ein angemessenes Datenschutzniveau verfügen. Die Liste wird periodisch neu beurteilt.

  • Mindestinhalt der Datenschutzklauseln und spezifische Garantien (Art. 9 DSV)

Der Verantwortliche und im Fall von Datenschutzklauseln in einem Vertrag der Auftragsbearbeiter müssen angemessene Massnahmen treffen, um sicherzustellen, dass die Empfängerin oder der Empfänger diese Klauseln oder die spezifischen Garantien einhält.

  • Standarddatenschutzklauseln (Art. 10 DSV)

Der EDÖB veröffentlich eine Liste von Standarddatenschutzklauseln, die er genehmigt, ausgestellt oder anerkannt hat. Er teilt das Ergebnis der Prüfung der Standarddatenschutzklauseln, die ihm unterbreitet werden, innerhalb von 90 Tagen mit.

  • Pflichten des Verantwortlichen (Art. 13 – 15 DSV)
    • Modalitäten der Informationspflicht
    • Aufbewahrung der Datenschutz-Folgenabschätzung
    • Meldung von Verletzungen der Datensicherheit Modalitäten der Informationspflichten mit folgende Inhalt:
      • die Art der Verletzung;
      • soweit möglich den Zeitpunkt und die Dauer;
      • soweit möglich die Kategorien und die ungefähre Anzahl der betroffenen Personendaten;
      • soweit möglich die Kategorien und die ungefähre Anzahl der betroffenen Personen;
      • die Folgen, einschliesslich der allfälligen Risiken, für die betroffenen Personen;
      • welche Massnahmen getroffen wurden oder vorgesehen sind, um den Mangel zu beheben und die Folgen, einschliesslich der allfälligen Risiken, zu mindern;
      • den Namen und die Kontaktdaten einer Ansprechperson
  • Auskunftsrecht (Art. 16 – 19 DSV)
    • Modalitäten
    • Zuständigkeit bei gemeinsamer Verantwortlichkeit
    • Frist
    • Ausnahme von der Kostenlosigkeit
  • Recht auf Datenherausgabe und -übertragung (Art. 20 – 22 DSV)
  • Datenschutzberaterin oder Datenschutzberater (Art. 23 DSV)
  • Ausnahmen von der Pflicht zur Führung eines Verzeichnisses der Bearbeitungstätigkeiten (Art. 24 DSV): Unternehmen und andere privatrechtliche Organisationen, die am 1. Januar eines Jahres weniger als 250 Mitarbeiterinnen und Mitarbeiter beschäftigen, sowie natürliche Personen sind von der Pflicht befreit, ein Verzeichnis der Bearbeitungstätigkeiten zu führen, ausser eine der folgenden Voraussetzungen ist erfüllt:
    • Es werden besonders schützenswerte Personendaten in grossem Umfang bearbeitet.
    • Es wird ein Profiling mit hohem Risiko durchgeführt.

 

Sehr gerne Unterstützung wir sie bei Fragen rund um den Datenschutz und die Datensicherheit. Wir freuen uns auf Ihre Kontaktaufnahme.  

 

Edith Luginbühl

Assistentin

Edith Luginbühl ist eine engagierte und erfahrene Assistentin mit über 50 Jahren Berufserfahrung. Ihre berufliche Laufbahn begann mit einer kaufmännischen Ausbildung bei einer Grossbank, und führte sie durch verschiedene Branchen, darunter die Gastronomie, Hotellerie, Autovermietung, Reisebüro, Zeitungsredaktion. Zu ihren Stärken zählen ihre freundliche und professionelle Art, ihre Zuverlässigkeit sowie ihr ausgeprägtes Auge für Details.

Alexander Wild begann 2019 sein rechtswissenschaftliches Studium an der Universität Zürich. Vor und während seinem Studium konnte er bereits erste Erfahrungen in einer Compliance Abteilung einer Bank erlangen, arbeitete als IT-Supporter sowie in einer Legal Abteilung eines international tätigen Pharmaunternehmen. Seine Tätigkeiten umfassten unter anderem die Prüfung/Einhaltung von Bankweisungen, Sanktionen, Kunden und Länderrisiko; Beurteilung des generellen Kunden-Risikos für die Bank; Wet Ink Support sowie Support in der Prozessoptimierung von Vertragsunterzeichnungen. Seit 2022 arbeitet er als Anwaltsassistent bei der Balthasar Legal AG sowie LR | Rechtsanwälte. Sein Masterstudium wird er voraussichtlich 2025 abschliessen. 

Sangmo Agontsang

Paralegal

Sangmo Agontsang schloss 2012 ihr Diplom als Wirtschaftsfachfrau an der Kaderschule Zürich ab. Nach ihrem Abschluss arbeitete sie als CEO-Assistentin, unter anderem für die Freitag lab ag und CBM Schweiz. Zusätzlich sammelte sie Erfahrung in der Organisation der Kaderschule Zürich und war in der Intellectual Property Abteilung der Freitag lab ag tätig. Dort arbeitete sie international mit einem Team von Anwälten zusammen, um die Rechte des Unternehmens zu verteidigen. Seit 2022 ist sie als Paralegal bei der Balthasar Legal AG beschäftigt.

Markus Bruggmann

MLaw Senior Berater

MLaw Markus Bruggmann hat 2013 sein rechtswissenschaftliches Studium an der Universität Zürich abgeschlossen und war seitdem unter anderem bei einer Bank, einer Wirtschaftskanzlei und einer Versicherung tätig, wo er sich auf die Beratung sowie die Prüfung und Redaktion von Verträgen in den Bereichen des Kommunikations- und Technologierechts (Datenschutz) unter Berücksichtigung des Haftpflicht- und Immaterialgüterrechts spezialisierte. Zu seinen Stärken gehören seine analytischen Fähigkeiten und seine breite Erfahrung.