Im neuen DSG wird davon abgesehen, Unternehmen zur Meldung von Datensammlungen zu verpflichten (zuvor noch in Art. 10a aDSG). Stattdessen besteht neu eine Pflicht zur Führung eines Verzeichnisses der Bearbeitungstätigkeiten (Art. 12 DSG). Im vorliegenden Beitrag wird diese neue Bestimmung dem geltenden Datenschutzrecht gegenübergestellt und dargelegt, wie die neuen Vorgaben am effizientesten umgesetzt werden können.
Art. 12 E-DSG Verzeichnis der Bearbeitungstätigkeiten
1 Die Verantwortlichen und Auftragsbearbeiter führen ein Verzeichnis ihrer Bearbeitungstätigkeiten.
2 Das Verzeichnis des Verantwortlichen enthält mindestens:
a. die Identität des Verantwortlichen;
b. den Bearbeitungszweck;
c. eine Beschreibung der Kategorien betroffener Personen und der Kategorien bearbeiteter Personendaten;
d. die Kategorien der Empfängerinnen und Empfänger;
e. wenn möglich die Aufbewahrungsdauer der Personendaten oder die Kriterien zur Festlegung dieser Dauer;
f. wenn möglich eine allgemeine Beschreibung der Massnahmen zur Gewährleistung der Datensicherheit nach Artikel 8;
g. falls die Daten ins Ausland bekanntgegeben werden, die Angabe des Staates sowie die Garantien nach Artikel 16 Absatz 2.
3 Das Verzeichnis des Auftragsbearbeiters enthält Angaben zur Identität des Auftragsbearbeiters und des Verantwortlichen, zu den Kategorien von Bearbeitungen, die im Auftrag des Verantwortlichen durchgeführt werden, sowie die Angaben nach Absatz 2 Buchstaben f und g.
[…]
5 Der Bundesrat sieht Ausnahmen für Unternehmen vor, die weniger als 250 Mitarbeiterinnen und Mitarbeiter beschäftigen und deren Datenbearbeitung nur ein geringes Risiko von Verletzungen der Persönlichkeit der betroffenen Personen mit sich bringt.
Gemäss Art. 11a aDSG war der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte verpflichtet, ein der Öffentlichkeit zugängliches Online-Verzeichnis der Datensammlungen zu führen. Von einigen Ausnahmen abgesehen, mussten die Inhaber von Datensammlungen diese melden. Bei einer Datensammlung handelte es sich dabei nach Art. 3 lit. g aDSG um jeden Bestand von Personendaten, der so aufgebaut ist, dass die Daten nach betroffenen Personen erschliessbar sind. Inhaber der Datensammlung sind private Personen oder Bundesorgane, die über den Zweck und den Inhalt der Datensammlung entscheiden (Art. 3 lit. i aDSG).
Mit dem neuen DSG wird erstens, der Begriff «Inhaber der Datensammlung» durch «Verantwortlicher» ersetzt. Abgesehen davon, dass der Verweis auf die Datensammlung aufgehoben wird, ergibt sich alleine dadurch keine materielle Änderung des Rechts. Der Verantwortliche ist – wie der Inhaber der Datensammlung – diejenige Person, die über den Zweck und die Mittel der Bearbeitung entscheidet.
Ersetzt wird zweitens die Dokumentationspflicht des aDSG (d.h. Meldung der Datensammlung) durch die Pflicht, ein Verzeichnis der Bearbeitungstätigkeiten zu führen. Dieses Verzeichnis ist das Herzstück einer jeden Datenschutzdokumentation, die man auch als Inventar oder Register bezeichnen kann. Die Pflicht zur Führung des Verzeichnisses obliegt nach Art. 12 Abs. 1 DSG dem Verantwortlichen und dem Auftragsbearbeiter.
Art. 12 Abs. 2 DSG zählt die Mindestangaben auf, die das Verzeichnis enthalten muss. Dazu gehören zunächst die Identität (also der Name) des Verantwortlichen (lit. a) und der Bearbeitungszweck (lit. b). Anzugeben ist weiterhin eine Beschreibung der Kategorien betroffener Personen und der Kategorien bearbeiteter Personendaten (lit. c). Mit Kategorien betroffener Personen sind typisierte Gruppen gemeint, die bestimmte gemeinsame Merkmale haben; so etwa Konsumenten oder Arbeitgeber. Die Kategorien bearbeiteter Personendaten bezeichnet die Art der bearbeiteten Daten (Adressdaten, usw.). Eine solche Kategorie können zum Beispiel besonders schützenswerte Personendaten bilden. Aufgeführt werden müssen ebenfalls die Kategorien von Empfängern der Personendaten, soweit ihnen die Daten überhaupt übermittelt werden (lit. d). Auch hier sind wiederum typisierte Gruppen mit gemeinsamen Merkmalen gemeint, wie zum Beispiel Dienstleister oder Aufsichtsbehörden. Gemäss lit. e muss das Verzeichnis die Aufbewahrungsdauer der Personendaten enthalten. Da sich die Aufbewahrungsdauer nach dem Verwendungszweck der Personendaten richtet (vgl. Art. 6 Abs. 4 E-DSG), lässt sich die Aufbewahrungsdauer mitunter nicht exakt festlegen. Sind genaue Angaben nicht möglich, muss das Verzeichnis zumindest die Kriterien enthalten, nach denen die Dauer festgelegt wird. Schliesslich muss das Verzeichnis zufolge lit. f eine allgemeine Beschreibung der Massnahmen zur Gewährleistung der Datensicherheit nach Art. 8 DSG enthalten, soweit dies im konkreten Fall auch möglich ist. Hierbei handelt es sich um die sog. TOM’s, die Technischen und organisatorischen Massnahmen. Eine solche Beschreibung soll die Erkennung allfälliger Mängel in den Sicherheitsvorkehrungen erlauben. Befinden sich die Empfänger im Ausland, muss zudem aus dem Verzeichnis hervorgehen, ob grundsätzlich die Voraussetzungen für die Bekanntgabe ins Ausland erfüllt sind (d.h. ist das Datenschutzninveau im Empfängerstatt gleichwertig; oder werden sog. Standardvertragsklauseln angewendet). Für diese Fälle verlangt lit. g eine Angabe des betreffenden Staates sowie die nach Art. 16 Abs. 2 DSG vom Verantwortlichen gemachten Garantien.
Das dabei resultierende Verzeichnis stellt eine generelle Beschreibung der Bearbeitungstätigkeit dar, aus welcher sich Art und Umfang der Bearbeitung ergibt. Hingegen ist das Verzeichnis kein Journal sämtlicher Datenbearbeitungen, in dem protokollartig einzelne Handlungen aufgeführt werden müssen. Wie sich aus der Botschaft zum E-DSG ergibt, stellt das Verzeichnis «mithin eine schriftliche Darstellung der wesentlichen Informationen zu allen Datenbearbeitungen eines Verantwortlichen oder Auftragsbearbeiters» dar. Es lässt damit wesentliche Rückschlüsse darauf zu, ob eine Datenbearbeitung dem Grundsatz nach datenschutzkonform ausgestaltet ist. Darüber hinaus fallen die Mindestangaben des Verzeichnisses in vieler Hinsicht mit den Angaben zusammen, welche die betroffene Person aufgrund der Informationspflicht und des Auskunftsrechts erhalten muss.
Das heisst: jedes Unternehmen jeder Grösse muss ein solches Verzeichnis erstellen. Ansonsten wird man keine Datenschutzhinweise erstellen können und Betroffenen keine Auskunft erteilen können.n
Art. 12 Abs. 3 DSG enthält schlussendlich eine verkürzte Liste von Mindestangaben, die der Auftragsbearbeiter in seinem Verzeichnis anngeben muss. Beim Auftragsbearbeiter handelt es sich gemäss Art. 5 lit. k DSG um eine private Person oder ein Bundesorgan, die oder das im Auftrag des Verantwortlichen Personendaten bearbeitet (Outsourcing). Der Auftragsbearbeiter muss insbesondere die Kategorien von Bearbeitungen aufführen, die im Auftrag jedes Verantwortlichen durchgeführt werden. Das Verzeichnis des Auftragsbearbeiters muss ebenfalls die Identität der Verantwortlichen enthalten, für die er tätig ist.
Art. 12 Abs. 5 räumt dem Bundesrat die Möglichkeit ein, Ausnahmen von der Pflicht zur Führung eines Verzeichnisses für Unternehmen mit weniger als 250 Mitarbeitern vorzusehen. Der Bundesrat soll nach der Botschaft zum E-DSG dabei jedoch nicht alleine auf die Grösse eines Unternehmens abstellen, sondern auch mitberücksichtigen, welche Risiken im konkreten Fall einhergehen.