Teil 5 unserer Serie zum Datenschutzrecht in der Schweiz
In diesem Teil unserer Serie befassen wir uns mit der Frage, ob und unter welchen Voraussetzungen die Bearbeitung von Personendaten gemäss dem Bundesgesetz über den Datenschutz (DSG) intern dokumentiert werden muss.
Allgemeine Pflicht zur Führung eines Verzeichnisses der Bearbeitungstätigkeiten
Gemäss Art. 12 DSG sind sowohl Verantwortliche als auch Auftragsbearbeiter verpflichtet, ein Verzeichnis ihrer Bearbeitungstätigkeiten zu führen.
Das Verzeichnis des Verantwortlichen muss mindestens folgende Angaben enthalten: a) Identität des Verantwortlichen b) Zweck der Bearbeitung c) Kategorien betroffener Personen und bearbeiteter Personendaten d) Kategorien von Empfängern e) sofern möglich: Dauer der Aufbewahrung der Personendaten oder die Kriterien zur Festlegung dieser Dauer f) sofern möglich: allgemeine Beschreibung der getroffenen Datensicherheitsmassnahmen g) bei Bekanntgabe ins Ausland: der Staat und die anwendbare Garantie.
Das Verzeichnis des Auftragsbearbeiters muss folgende Informationen enthalten: a) Identität des Auftragsbearbeiters und des Verantwortlichen b) Kategorien der im Auftrag des Verantwortlichen durchgeführten Bearbeitungen c) sofern möglich: allgemeine Beschreibung der getroffenen Datensicherheitsmassnahmen d) bei Bekanntgabe ins Ausland: der Staat und die anwendbare Garantie.
Meldepflicht für Bundesorgane
Bundesorgane sind zusätzlich verpflichtet, ihr Verzeichnis der Bearbeitungstätigkeiten dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) zu melden.
Die Meldung erfolgt über ein dafür vorgesehenes Online-Meldeportal und wird im öffentlich zugänglichen Register publiziert: https://datareg.edoeb.admin.ch
Ausnahme für kleine Unternehmen
Private Organisationen mit weniger als 250 Mitarbeitenden per 1. Januar eines Kalenderjahres sind von der Pflicht zur Führung eines Bearbeitungsverzeichnisses befreit, sofern ihre Datenbearbeitungen nur ein minimales Risiko für die Persönlichkeit der betroffenen Personen darstellen – das heisst insbesondere, wenn keine grossen Mengen besonders schützenswerter Personendaten bearbeitet werden und kein Profiling mit hohem Risiko durchgeführt wird.
Empfehlung aus der Praxis
Um eine Übersicht über alle Bearbeitungstätigkeiten zu behalten, ein effizientes Datenmanagement zu ermöglichen und die Einhaltung datenschutzrechtlicher Pflichten sicherzustellen, wird allen Organisationen dringend empfohlen, ein Bearbeitungsverzeichnis zu führen – auch wenn keine gesetzliche Pflicht besteht. Der Aufwand für kleine Organisationen hält sich dabei in Grenzen.
Vorschau auf Teil 6
In Teil 6 unserer Serie beleuchten wir die Datenschutzrechte betroffener Personen nach dem DSG.
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.
