Was bedeutet „Wir sind DSGVO-konform.“ ?

Juni 6, 2024

Auf dem Bild ist eine runde silbrige Dose zu sehen, die auf einem weißen Hintergrund platziert ist. Diese Dose hat eine glänzende, metallische Oberfläche, die das Licht reflektiert und ihr ein hochwertiges, modernes Aussehen verleiht. Auf der Vorderseite der Dose befindet sich ein auffälliger Sticker, der sofort ins Auge fällt. Der Sticker ist rund und hat einen tiefblauen Hintergrund, der an die Farbe der Europäischen Union erinnert. Am äußeren Rand des Stickers ist ein Kreis aus goldenen Sternen zu sehen. Diese zwölf Sterne sind gleichmäßig verteilt und symbolisieren die Einheit und Harmonie zwischen den europäischen Nationen. Dieser Sternenkreis ist ein bekanntes Symbol der Europäischen Union und verleiht dem Sticker einen offiziellen und vertrauenswürdigen Charakter. In der Mitte des Stickers steht in großen, weißen Buchstaben das Kürzel "DSGVO". Diese Abkürzung steht für die Datenschutz-Grundverordnung, eine wichtige gesetzliche Regelung der Europäischen Union, die den Schutz personenbezogener Daten und die Privatsphäre aller Bürger innerhalb der EU sicherstellen soll. Die Buchstaben sind klar und deutlich lesbar, was die Bedeutung und Relevanz dieses Gesetzes unterstreicht. Unterhalb des Kürzels "DSGVO" befindet sich ein weißer Balken, der sich horizontal über den Sticker erstreckt. In diesem Balken steht das Wort "konform" in kleineren, aber dennoch gut lesbaren schwarzen Buchstaben. Dieser Zusatz informiert den Betrachter darüber, dass das Produkt oder die Dienstleistung, die mit dieser Dose verbunden ist, den Anforderungen der DSGVO entspricht. Der gesamte Aufkleber vermittelt ein Gefühl von Sicherheit und Vertrauen, da er signalisiert, dass der Datenschutz ernst genommen wird und die europäischen Standards erfüllt werden. Die silbrige Dose mit dem blauen DSGVO-Sticker darauf steht somit nicht nur für Qualität und Professionalität, sondern auch für den Schutz der Privatsphäre und die Einhaltung gesetzlicher Vorgaben. Das schlichte, aber effektive Design macht die Dose zu einem attraktiven und vertrauenswürdigen Produkt, das den hohen Ansprüchen der europäischen Datenschutzrichtlinien gerecht wird.

Bei der Evaluierung von neuen Tools hört man in letzter Zeit oft die pauschale Aussage «Wir sind DSGVO-konform.». Damit suggeriert ein Dienstleister (datenschutzrechtlich: Auftragsbearbeiter), dass die Bearbeitung von Personendaten in Übereinstimmung mit der Europäischen Datenschutz-Grundverordnung (DSGVO) erfolgt.

Was aber heisst dies aus Sicht eines Schweizer Unternehmens? Lässt sich automatisch darauf schliessen, dass der Dienstleister auch nach Schweizer Datenschutzrecht konform handelt? Und werden durch den Abschluss eines DSGVO-konformen Vertrages mit dem Dienstleister auch die Anforderungen des Schweizer Datenschutzgesetzes (DSG) erfüllt?

Patrick Knabenhans, Rechtsanwalt, AEW Energie AG, und Michèle Balthasar, Dr. iur. Rechtsanwältin, Balthasar Legal AG, haben eine Annäherung gewagt.

 

Einhaltung der Grundsätze zur Bearbeitung von Personendaten

Beiden Gesetzgebungen gemeinsam ist, dass die Grundsätze zur Bearbeitung von Personendaten eingehalten werden müssen. Diese Grundsätze sind ähnlich ausgestaltet und lassen sich wie folgt zusammenfassen:

  • Personendaten dürfen nur zu einem bestimmten Zweck bearbeitet werden (Zweckbindung).
  • Die Datenerhebung muss erforderlich sein und es soll ein überwiegendes Interesse des Verantwortlichen an der Erhebung bestehen. Es dürfen deshalb nur Personendaten gespeichert und bearbeitet werden, die für eine konkrete Aufgabenerfüllung notwendig sind. Nicht mehr benötigte Daten sind unter Berücksichtigung allfälliger gesetzlicher Aufbewahrungsfristen zu vernichten (Verhältnismässigkeit).
  • Sowohl die Beschaffung der Daten als auch der Zweck ihrer Bearbeitung müssen für die betroffene Person erkennbar sein (Transparenz).
  • Personendaten dürfen nicht ohne Wissen und gegen den Willen der betroffenen Person beschafft werden. Diese darf darauf vertrauen, dass der Verantwortliche, welcher die Personendaten bearbeitet, sorgfältig damit umgeht (Treu und Glauben).
  • Wer Personendaten bearbeitet, hat sich über deren Richtigkeit zu vergewissern. Es muss sichergestellt sein, dass die Daten richtig, vollständig und aktuell sind. Ist dies nicht der Fall, müssen die Daten korrigiert oder vernichtet werden (Datenrichtigkeit).

Während das DSG vom «Erlaubnisprinzip mit Verbotsvorbehalt» ausgeht, gilt nach der DSGVO das «Verbotsprinzip mit Erlaubnisvorbehalt». Damit ist das DSG für Unternehmen etwas günstiger ausgestaltet als die DSGVO, da Datenbearbeitungen nicht prinzipiell verboten sind.

 

Gewährleistung der Datensicherheit

Sowohl nach der DSGVO als auch nach dem DSG stehen Verantwortliche und Auftragsbearbeiter in der Pflicht, durch technische und organisatorische Massnahmen («TOM») eine dem Risiko angemessene Datensicherheit zu gewährleisten.

In der Schweiz werden die Mindestmassnahmen in der Datenschutzverordnung (DSV) definiert. Mit der Revision im Jahr 2023 sind die bisherigen Vorschriften überarbeitet und ergänzt worden, um sie auf den aktuellen Stand der Technik abzustimmen und um den Vorgaben der Schengen-relevanten Richtlinie (EU) 2016/680 zu genügen. Zudem wurde Wert auf die Kompatibilität mit der DSGVO gelegt, damit Schweizer Unternehmen, die bereits in der EU tätig sind und eine DSGVO-konforme Datensicherheit gewährleisten, auch in der Schweiz die Mindestanforderungen erfüllen. Daraus lässt sich ableiten, dass «DSGVO-konforme» Dienstleister die Vorgaben bzgl. Datensicherheit gemäss DSG und DSV einhalten.

 

Datenbearbeitung im Auftragsverhältnis

Dienstleister, welche Personendaten bearbeiten, haben ferner Art. 28 DSGVO und/oder Art. 9 DSG zu beachten. Beide Bestimmungen sind ähnlich ausgestaltet, wobei die DSGVO die Verpflichtungen des Auftragsbearbeiters detaillierter aufführt. Deshalb lehnt man sich in der Schweiz bei der Ausgestaltung von Auftragsbearbeitungsverträgen gerne an die Vorschriften der DSGVO an.

Nach Art. 9 DSG darf der Verantwortliche die Bearbeitung von Personendaten einem Auftragsbearbeiter nur dann übertragen, wenn (kumulativ):

    • dieser die Personendaten so bearbeitet, wie dies der Verantwortliche selbst tun dürfte;
    • keine gesetzliche und vertragliche Geheimhaltungspflicht die Übertragung verbietet.

Das verantwortliche Unternehmen vergewissert sich dabei, dass der Auftragsbearbeiter in der Lage ist, die Datensicherheit zu gewährleisten.

Hinzu kommen weitere allgemeine datenschutzrechtliche Pflichten des Dienstleisters:

    • Der Auftragnehmer darf nur nach Weisung des Verantwortlichen Personendaten bearbeiten (Weisungsgebundenheit).
    • Die Übertragung der Datenbearbeitung an einen Unterbeauftragten bedarf der vorgängigen Zustimmung des Auftraggebers (Vetorecht).
    • Eine Datenschutz- bzw. Datensicherheitsverletzung ist dem Auftraggeber zu melden (Meldepflicht). Hier ist zu berücksichtigen, dass das europäische und schweizerische Recht sowohl die Fristen als auch die Risikoschwelle bzgl. Benachrichtigung der Behörden leicht anders regeln.

 

Keine Verpflichtung zur Einhaltung des Berufsgeheimnisses nach DSG

Wie erwähnt, verbietet Art. 9 DSG die Bearbeitung von Personendaten durch einen Auftragsbearbeiter, sofern eine gesetzliche und vertragliche Geheimhaltungspflicht die Übertragung untersagt.

Als gesetzliche Geheimhaltungspflicht gilt etwa das Berufsgeheimnis eines Rechtsanwaltes oder eines Arztes (Art. 321 Ziff. 1 StGB). Handelt es sich beim Auftragsbearbeiter um eine Hilfsperson eines solchen Berufsgeheimnisträgers, unterstellt ihn das StGB ebenfalls dem Berufsgeheimnis. Eine Offenbarung von Personendaten an eine Hilfsperson des Berufsgeheimnisträgers ist damit nicht als Verletzung einer gesetzlichen Geheimhaltungspflicht zu qualifizieren. In der Lehre wird deshalb die Meinung vertreten, dass eine Übertragung von Personendaten an einen Auftragsbearbeiter trotz gesetzlicher Geheimhaltungspflicht möglich ist.

Ein Verbot einer Auslagerung der Datenbearbeitung bei Vorliegen einer gesetzlichen Geheimhaltungspflicht ist in der DSGVO nicht vorgesehen. In Deutschland wurde allerdings nach Inkrafttreten der DSGVO mit dem «Gesetz zur Neuregelung des Schutzes von Geheimnissen bei der Mitwirkung Dritter an der Berufsausübung schweigepflichtiger Personen» verschiedene Gesetze zu Berufsgeheimnissen novelliert. So dürfen nunmehr u.a. die in § 203 Abs. 1 oder 2 StGB genannten Berufsgeheimnisträger (wie Ärzte, Zahnärzte, Tierärzte, Apotheker oder Angehörige eines anderen Heilberufs) bspw. externen Dienstleistern, die an ihrer beruflichen oder dienstlichen Tätigkeit mitwirken, Geheimnisse unter den Voraussetzungen des § 203 Abs. 3 und 4 StGB offenbaren. Im Gegenzug unterliegt der externe Dienstleister ähnlich wie in der Schweiz nach Art. 321 StGB nunmehr ebenfalls einer auch strafrechtlich sanktionierten Verschwiegenheitspflicht. Es ist davon auszugehen, dass auch in den anderen EU-Mitgliedstaaten ähnliche Regelungen getroffen wurden.

Keine Einhaltung der Anforderungen des EDÖB mit Bezug auf die SCC

In Bezug auf die SCC müssten es die Vorgaben des EDÖB (Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragten) hinsichtlich der SCC zusätzlich vereinbart werden (Bekanntgabe von Personendaten ins Ausland). Denn der EDÖB anerkennt die SCC nur unter Vorbehalt, dass sie im konkreten Anwendungsfall nötigenfalls angepasst und/oder ergänzt werden.

 

Fazit

Zusammenfassend bedeutet die Aussage «Wir sind DSGVO-konform.» für ein Schweizer Unternehmen, dass der Dienstleister die datenschutzrechtlichen Vorgaben nach DSGVO einhält und damit grundsätzlich auch den Anforderungen des DSG und der DSV genügt.

Letztendlich liegt es aber am Verantwortlichen, sich zu vergewissern, ob der Dienstleister die datenschutzrechtlichen Vorgaben tatsächlich einhält. Denn der Verantwortliche bleibt für die rechtmässige Bearbeitung der Personendaten verantwortlich.

 

Sehr gerne unterstützen wir Sie bei Fragen rund um den Datenschutz und die Datensicherheit. Wir freuen uns auf Ihre Kontaktaufnahme. 

Ihr Kontakt

Portrait Dr. iur. Michèle Balthasar
Bruno Schnarwiler

Konsulent Informationssicherheit

Bruno Schnarwiler ist ein Experte in Wirtschaftsinformatik mit über 30 Jahren Erfahrung als Auditor, Projektmanager, Berater und Führungskraft. Mit Abschlüssen als Eidg. Dipl. Wirtschaftsinformatiker, CISA und ISO 27001 Lead Auditor verfügt er über Fachkenntnisse in Informationssicherheit, Krisen- und Risikomanagement sowie digitalen Archivierungslösungen. Er hatte Schlüsselrollen wie Leiter IT-Revision und Risikomanagement in einer Bank, Leiter Softwareentwicklung und Berater für Sicherheit. Diese Tätigkeiten gaben ihm umfassende Einblicke in Branchen und Prozesse. Er trägt zur Implementierung sicherer IT-Umgebungen, Optimierung interner Kontrollsysteme und Entwicklung nachhaltiger Lösungen bei, die moderne Anforderungen erfüllen.
Edith Luginbühl

Assistentin

Edith Luginbühl ist eine engagierte und erfahrene Assistentin mit über 50 Jahren Berufserfahrung. Ihre berufliche Laufbahn begann mit einer kaufmännischen Ausbildung bei einer Grossbank, und führte sie durch verschiedene Branchen, darunter die Gastronomie, Hotellerie, Autovermietung, Reisebüro, Zeitungsredaktion. Zu ihren Stärken zählen ihre freundliche und professionelle Art, ihre Zuverlässigkeit sowie ihr ausgeprägtes Auge für Details.

Alex Wild

Student

Alexander Wild begann 2019 sein rechtswissenschaftliches Studium an der Universität Zürich. Vor und während seinem Studium konnte er bereits erste Erfahrungen in einer Compliance Abteilung einer Bank erlangen, arbeitete als IT-Supporter sowie in einer Legal Abteilung eines international tätigen Pharmaunternehmen. Seine Tätigkeiten umfassten unter anderem die Prüfung/Einhaltung von Bankweisungen, Sanktionen, Kunden und Länderrisiko; Beurteilung des generellen Kunden-Risikos für die Bank; Wet Ink Support sowie Support in der Prozessoptimierung von Vertragsunterzeichnungen. Seit 2022 arbeitet er als Anwaltsassistent bei der Balthasar Legal AG sowie LR | Rechtsanwälte. Sein Masterstudium wird er voraussichtlich 2025 abschliessen. 

Sangmo Agontsang

Paralegal

Sangmo Agontsang schloss 2012 ihr Diplom als Wirtschaftsfachfrau an der Kaderschule Zürich ab. Nach ihrem Abschluss arbeitete sie als CEO-Assistentin, unter anderem für die Freitag lab ag und CBM Schweiz. Zusätzlich sammelte sie Erfahrung in der Organisation der Kaderschule Zürich und war in der Intellectual Property Abteilung der Freitag lab ag tätig. Dort arbeitete sie international mit einem Team von Anwälten zusammen, um die Rechte des Unternehmens zu verteidigen. Seit 2022 ist sie als Paralegal bei der Balthasar Legal AG beschäftigt.

Markus Bruggmann

MLaw Senior Berater

MLaw Markus Bruggmann hat 2013 sein rechtswissenschaftliches Studium an der Universität Zürich abgeschlossen und war seitdem unter anderem bei einer Bank, einer Wirtschaftskanzlei und einer Versicherung tätig, wo er sich auf die Beratung sowie die Prüfung und Redaktion von Verträgen in den Bereichen des Kommunikations- und Technologierechts (Datenschutz) unter Berücksichtigung des Haftpflicht- und Immaterialgüterrechts spezialisierte. Zu seinen Stärken gehören seine analytischen Fähigkeiten und seine breite Erfahrung.