Die Details zum neuen Schweizer Datenschutzgesetz

Die Details zum neuen Schweizer Datenschutzgesetz

Artikel erschienen in IT Magazine 2020/11

Brauchen ich jetzt einen Datenschutzbeauftragten?

«In der EU gibt es ganz klare Bedingungen, wann ein Unternehmen einen Datenschutzbeauftragten braucht, etwa wenn das Unternehmen in seiner Kerntätigkeit Profiling betreibt oder unfangreiche sensible Daten bearbeitet», erklärt die Rechtsanwältin und ergänzt: «In der Schweiz wird das aber etwas komplizierter sein.»

Falls es die Abklärung braucht, ob eine Datenbearbeitung zulässig ist, weil diese ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringen kann, muss, wie in der EU, eine Datenschutzfolgeabschätzung (DSFA) erstellt werden. Ergibt sich aus der Datenschutzfolgenabschätzung, dass die geplante Bearbeitung trotz der vom Unternehmen vorgesehenen Massnahmen noch ein hohes Risiko zur Folge hat, so muss vorgängig die Stellungnahme des EDÖB eingeholt oder aber ein Datenschutzbeauftragter engagiert werden. Für die Expertin geht die schweizerische Regelung damit etwas weniger weit als in der EU. «In der EU besteht die Pflicht als solche, in bestimmten Fällen einen Datenschutzbeauftragten zu bestimmen. In der Schweiz steht es den Unternehmen frei, einen solchen zu benennen. Tun sie dies nicht, sind sie allerdings verpflichtet, bei verbleibendem hohem Risiko nach einer DSFA die vorgängige Stellungnahme des EDÖB einzuholen» so Balthasar.

Das Verzeichnis der Bearbeitungen

Das Datenbearbeitungsverzeichnis ist vereinfacht gesagt eine Liste mit allen Datenbearbeitungen, des verantwortlichen Unternehmens. Hier muss also definiert werden, welche Daten erfasst und bearbeitet werden, wer davon betroffen ist, wer an der Bearbeitung beteiligt ist, beziehungsweise in welches Land die Daten übermittelt werden, wann diese Daten wieder gelöscht werden und wie man sie schützt. Das neue DSG definiert, dass dieses ab 250 Mitarbeitern für Schweizer Unternehmen obligatorisch sein soll. Aber: Es wird Ausnahmeregelungen geben, etwa dann, wenn die Bearbeitungen nur geringe Risiken mit sich bringen. Auch hier gilt: Man muss auf die Verordnung warten. Michèle Balthasar relativiert die Hoffnung, dass man als Schweizer Betrieb um diese Pflicht herumkommt jedoch gleich wieder: «Man kann schon davon ausgehen, dass sich ein solches Verzeichnis für praktisch jede Organisation aufdrängt, da das Verzeichnis die Grundlage für die Überprüfung und Einhaltung des Datenschutzes überhaupt erst schafft, wir nennen das auch Data Mapping.» Als Unternehmen muss man, trotz aller Ausnahmen, letztlich nachweisen können, dass der Datenschutz eingehalten wird, wofür ein solches Data Mapping fast unabdingbar sein wird.

Neuen Kommentar erfassen

Anti-Spam-Frage Was für Schuhe trug der gestiefelte Kater?
Antwort
Name
E-Mail
SPONSOREN & PARTNER