Revidiertes DSG und DSGVO
Umsetzung der datenschutzrechtlichen Compliance
210122/V014
Walder Wyss AG Seefeldstrasse 123 Postfach 8034 Zrich Schweiz
Telefon +41 58 658 58 58 Telefax +41 58 658 59 59 www.walderwyss.com
Das revidierte Datenschutzgesetz der Schweiz (revDSG) wurde am 25. September 2020 verabschiedet und tritt voraussichtlich Mitte 2022 in Kraft. Auf Mitte 2021 rechnen wir mit dem Beginn der Vernehmlassung zur revidierten Verordnung zum DSG (revVDSG). Sie wird zahlreiche Punkte konkretisieren und ergnzen, verlangt aber nicht, dass Umsetzungsarbeiten bis dahin aufgeschoben werden.
Die Umsetzung des revDSG verlangt eine gewisse Planung. Sie ist nur effektiv, wenn sie der Ttigkeit und Struktur sowie den Risiken und Bedrfnissen des Unternehmens Rechnung trgt one size fits all ist hier ein falscher Ansatz. Die Umsetzung muss vielmehr auf die konkreten Umstnde Rcksicht nehmen. Dazu gehren der Umfang und die Komplexitt der Geschftsttigkeiten des bzw. der Unternehmen, die Bedeutung von Datenbearbeitungen fr das Geschftsmodell, aber auch die Sensitivitt der bearbeiteten Personendaten und die Anwendbarkeit regulatorischer bzw. sektorieller datenrechtlicher Bestimmungen. Von Bedeutung ist auch, welchen Stellenwert die Reputation fr das Unternehmen besitzt und welche Erwartungen aufseiten des Publikums und der Behrden bestehen. Schliesslich ist zu beachten, wie komplex die IT-Landschaft des Unternehmens gestaltet und wie es um die bestehenden Prozesse und ihre Dokumentation bestellt ist insbesondere in den Bereichen Warenproduktion, Leistungen und Vertrieb, IT, HR und Marketing.
Compliance ist kein Selbstzweck, sondern die Vorgabe, Risiken fr die betroffenen Personen zu erkennen, zu verstehen und angemessen und bewusst damit umzugehen. Das ist eine Daueraufgabe.
Dieses Dokument ist auch auf Englisch und Franzsisch verfgbar.
Die ersten und wichtigsten Schritte sind oft mit wenig Aufwand mglich. Das gilt besonders dann, wenn bereits Umsetzungsarbeiten fr die EU-Datenschutzgrundverordnung (DSGVO) erfolgt sind. In diesem Dokument finden sich deshalb Hinweise auf die wichtigsten Schritte fr Unternehmen, die bei der Umsetzung am Anfang stehen, und auf Arbeiten, die bei einer bereits erfolgten Umsetzung der DSGVO ergnzend erforderlich sind.
Unternehmen, die mit der Umsetzung der DSGVO bzw. des revDSG beginnen, empfehlen wir folgende Erst- bzw. Mindestmassnahmen:
Prfung der anwendbaren rechtlichen Bestimmungen
Ausarbeitung einer Datenschutz-Richtlinie
Aufnahme von Bearbeitungsverzeichnissen
Ausarbeitung von Datenschutzerklrungen fr Produkte/Leistungen, die Website bzw. fr Apps, Mitarbeiter und evtl. fr Stellenbewerber
Gewhrleistung einer ausreichenden, den Risiken angemessenen Datensicherheit
Ausarbeitung einer Auftragsbearbeitungsvereinbarung fr Kunden, soweit das Unternehmen im IT-Bereich Dienstleistungen erbringt oder sonst als Auftragsbearbeiter von Kunden ttig ist
Wir helfen mit einer umfangreichen Toolbox aus Anleitungen, Checklisten und Vorlagen, den Aufwand und Zeitbedarf wie auch die Kosten zu kontrollieren und zu reduzieren.
Dieses Dokument enthlt Hinweise auf Anforderungen der DSGVO und des revDSG und ihre Umsetzung, mit einem Fokus auf private Unternehmen ausserhalb der Verwaltung. Es ist nicht abschliessend und ersetzt weder eine Risikoeinschtzung noch eine Beratung im Einzelfall. Eine Haftung fr den Inhalt ist ausgeschlossen.
Revidiertes DSG und DSGVO Umsetzung der datenschutzrechtlichen Compliance
Planungsfragen
Die Umsetzung der DSGVO und des revDSG ist nicht unbedingt aufwendig, verlangt aber eine gewisse Planung schon aus Grnden der Budgetierung und des Reportings. Als Planungshilfe sind Checklisten usw. verfgbar. Wichtig ist nicht Vollstndigkeit, sondern eine konkrete Vorstellung des vom Vorgehen, damit auf nderungen und Verzgerung richtig reagiert werden kann.
Projektumfang und -gegenstand
Das Umsetzungsprojekt und dessen Umfang und Gegenstand sind zu planen. Hier lauten die Kernfragen etwa, ob man es mit einer (teil-)konzernweiten Umsetzung oder einzelnen Gesellschaften zu tun hat, ob nur gesamthafte Beteiligungen oder auch Mehr- und Minderheitsbeteiligungen einzubeziehen sind und ob die Konzerngesellschaften zwingend daran partizipieren oder bloss ber Empfehlungen und Hilfestellungen eingebunden werden. Sodann sind die bereits erfolgten Umsetzungsarbeiten auf Basis der DSGVO oder des DSG zu bercksichtigen und die Projektziele samt Erfolgsmessung zu bestimmen.
Bei abgeschlossener DSGVO-Umsetzung: Bestimmung des Anpassungsaufwands bestehender Dokumente und Prozesse
Was den Zeitplan betrifft, tritt das revDSG voraussichtlich Anfang/Mitte 2022 in Kraft. Es enthlt kaum (relevante) bergangsfristen.
Bei der revVDSG wird der Beginn der Vernehmlassung Mitte 2021 erwartet. Die revVDSG wird voraussichtlich u.a. Regelungen betreffend Datenschutzberater, Zertifizierung, Datensicherheit, Ausnahmen bei Bearbeitungsverzeichnissen, Informationspflichten und Ausnahmen bei Betroffenenrechten enthalten.
Bei kleineren Unternehmen ohne hochriskante Bearbeitungen von Personendaten und ausserhalb des Geltungsbereichs der DSGVO ist die Umsetzung i.d.R. weder zeitaufwendig noch kostenintensiv.
Umsetzungsvorgaben
Erstmassnahme
Wichtig ist die Prfung des relevanten rechtlichen Rahmens, der die Projektziele mit vorgibt. Dies betrifft zum einen die DSGVO und ggf. auch deren Umsetzungsrecht, aber auch die Gruppenvorgaben wie etwa die Einhaltung der DSGVO.
Weiter ist zu prfen, wieweit das revDSG anwendbar ist, namentlich in Bezug auf die internationale Ebene (Territorialitt- und Auswirkungsprinzip) sowie die Bestimmungen ber Bundesorgane. Schliesslich werfen sektorielle Bestimmungen (in der Schweiz und/oder im Ausland) die Frage nach der freiwilligen Anwendbarkeit strengerer Regelungen und deren Umfang auf.
Bei abgeschlossener DSGVO-Umsetzung: Bestimmung weiterer Anforderungen, die bei der DSGVO-Umsetzung ggf. nicht bercksichtigt worden sind, und Entscheidung ber eine freiwillige Umsetzung der DSGVO (zusammen mit dem revDSG) in der Schweiz
Das Umsetzungsrecht enthlt z.T. strengere Anforderungen, besonders in regulierten Bereichen (ggf. auch strafbewehrte Berufsgeheimnisse). Diesbezglich kann es sich anbieten, die Anwendbarkeit der DSGVO aktiv auszuschliessen (z.B. durch Ausschluss von Kunden aus dem EWR oder des Trackings bei Besuchern aus dem EWR).
Eine freiwillige Anwendung der DSGVO ist demgegenber oft sinnvoll bei einer Eingliederung in einen auslndischen Konzern, bei Dienstleistern mit auslndischen Kunden und bei Anbietern mit erheblichem Kundenstamm im Ausland. Die freiwillige Anwendung ist dabei oft beschrnkt (und fhrt daher bspw. nicht zu Einwilligungserfordernissen, die das revDSG nicht kennt).
Seite 2 von 19
Revidiertes DSG und DSGVO Umsetzung der datenschutzrechtlichen Compliance
Projektvorgehen
Ebenfalls entscheidend ist, das konkrete Vorgehen im Projekt zu planen. Das Vorgehen gestaltet sich je nach den Umstnden unterschiedlich. Besonders zu beachten ist die Frage, ob man eine zentrale Steuerung anstrebt oder es bei Hilfestellungen und Ressourcen fr die einzelnen Gesellschaften bzw. Bereiche bewenden und sie auch die Verantwortung fr die Umsetzung tragen lsst. Die wichtigsten Hilfsangebote mssen geplant und das interne Projektsponsoring sowie allfllige externe Untersttzung bestimmt werden. Hinzu kommen zeitliche Vorgaben sowie die Budgetierung, das Controlling und Reporting.
Funktionen und Verantwortlichkeiten
Die Datenschutz-Compliance als laufende Aufgabe verlangt eine der Grsse und Komplexitt des Unternehmens angemessene Struktur und die notwendigen Kompetenzen. Eine eigene Fachstelle oder Funktion fr den Datenschutz ist aber nicht rechtlich zwingend, mit Ausnahme der Bestellung eines Datenschutzbeauftragten (DPO) im Anwendungsbereich der DSGVO bei bestimmten, heikleren Datenbearbeitungen. Das revDSG kennt keinen DPO, sieht aber einen Datenschutzberater vor, dessen Bestellung immer freiwillig ist. Sowohl die DSGVO als auch das revDSG sehen zudem, unter bestimmten Voraussetzungen, eine lokale Vertretung eines Unternehmens ausserhalb des EWR bzw. der Schweiz vor.
Gruppeninterne Funktionen
Zentrale Funktionen, deren Kompetenzen und Verantwortlichkeiten sowie deren Rolle bei der Umsetzung sind zu planen. Neben einer eigenen Fachstelle fr Datenschutz kommen eigene Datenschutzkompetenzen im Legal- und Compliance-Bereich in Betracht sowie die Schaffung von Datenschutz-Champions oder hnlichen Funktionen in Gruppengesellschaften bzw. Bereichen. Die Wahl ist abzustimmen auf die Komplexitt und den Zentralisierungsgrad sowie die verfgbaren Kompetenzen und Kapazitten.
Datenschutzbeauftragter (DPO i.S.d. DSGVO)
Zu prfen ist, ob ein Datenschutzbeauftragter (DPO) nach der DSGVO bestellt werden muss oder soll. Dies bestimmt sich nach der DSGVO und dem lokalen Umsetzungsrecht, das, wie z.B. in Deutschland, teils strengere Anforderungen kennt. Neben der Auswahl und dem Bestellvorgang des DPO muss das Reporting geplant und die Rollen und Verantwortlichkeiten klar definiert
Bei abgeschlossener DSGVO-Umsetzung: Prfung der Kompetenzen in den Gruppenfunktionen bzgl. des revDSG, soweit erforderlich, oder Aufbau einer Beziehung zu externen Beratern
Bei abgeschlossener DSGVO-Umsetzung: Bestellung des DPO als Datenschutzberater prfen (s. unten, Ziff. 6)
Seite 3 von 19
Revidiertes DSG und DSGVO Umsetzung der datenschutzrechtlichen Compliance
werden. Dies macht ggf. auch Anpassungen im Bearbeitungsverzeichnis, der DSE sowie bei bestehenden Prozessen ntig. Konkret ist z.B. der Einbezug des DPO z.B. bei Datenschutz-Folgenabschtzungen (DSFA) festzulegen.
Eine externe Stelle kann als DPO bestellt werden, wobei nach nicht unumstrittener Praxis auch juristische Personen dafr in Frage kommen.
Datenschutzberater (i.S.d. revDSG)
Eine Bestellungspflicht besteht nach dem revDSG nicht. Dennoch kann sich besonders bei Unternehmen mit heikleren Bearbeitungen eine freiwillige Bestellung lohnen. Auch hier ist darauf zu achten, dass neben der Auswahl und dem Bestellvorgang des Beraters das Reporting geplant und die Rollen und Verantwortlichkeiten klar definiert werden. Dies macht ggf. auch Anpassungen im Bearbeitungsverzeichnis, der DSE sowie bei bestehenden Prozessen ntig.
Konkret ist z.B. der Einbezug des Beraters bei Datenschutz-Folgenabschtzungen (DSFA) festzulegen. Obschon dessen Bestellung freiwillig ist, befreit sie bei korrekter Bestellung von der Pflicht, dem EDB hohe Nettorisiken bei der DSFA zu melden (vgl. Ziff. 21).
Bei abgeschlossener DSGVO-Umsetzung: ggf. Bestellung eines unabhngigen Datenschutzberaters
Bestimmte Anforderungen gelten hinsichtlich der Unabhngigkeit: Der Datenschutzberater sollte keine Exekutivfunktionen innehaben. Eine Personalunion mit dem DPO ist mglich, wenn der DPO ber ausreichende Kenntnisse verfgt oder darauf zugreifen kann.
Auch eine externe Stelle und darunter auch juristische Personen kommen als Berater in Frage. Weitere Regelungen werden voraussichtlich der revVDSG zu entnehmen sein.
EU- und UK-Vertreter
Bei Unternehmen, die unter die DSGVO fallen, im EWR bzw. im Vereinigten Knigreich aber keine Niederlassung haben, ist der EU- bzw. UK-Vertreter ist eine lokale Ansprechperson fr Behrden und betroffene Personen. Auch hier gilt es, die Bestellungspflicht zu prfen. Im Falle einer Bestellung sind Anpassungen in der DSE sowie im Bearbeitungsverzeichnis und dessen Prozessen vorzunehmen, etwa den Erhalt von Kopien zuhanden des EU-Vertreters.
Bei abgeschlossener DSGVO-Umsetzung: ggf. Bestellung eines EU-Vertreters
Eine Bestellungspflicht besteht, wenn die DSGVO nach Art. 3 Abs. 2 anwendbar ist (d.h. bei Marktausrichtung oder Verhaltensbeobachtung), sofern die entsprechende Verarbeitung nicht nur gelegentlich erfolgt und/oder besondere Datenkategorien umfangreich bearbeitet werden und/oder die Bearbeitung zu einem erhhten Risiko fhrt.
Der EU-Vertreter muss sich in einem EWR-Staat befinden, in dem sich angesprochene oder beobachtete Personen befinden. Er kann eine natrliche oder juristische Person sein. Dasselbe gilt fr das Gebiet des Vereinigen Knigreichs nach der UK GDPR.
CH-Vertreter
Der CH-Vertreter ist ebenfalls eine lokale Ansprechperson fr den EDB und betroffene Personen in der Schweiz. Er ist auf Unternehmen mit auslndischem Sitz zugeschnitten, die unter das revDSG fallen.
Bei abgeschlossener DSGVO-Umsetzung: ggf. Bestellung eines CH-Vertreters (z.B. eine Gruppengesellschaft mit Niederlassung in der Schweiz)
Seite 4 von 19
Revidiertes DSG und DSGVO Umsetzung der datenschutzrechtlichen Compliance
Auch hier ist die Bestellungspflicht zu prfen. Eine Bestellung macht Anpassungen der DSE erforderlich, aber nicht unbedingt des Bearbeitungsverzeichnisses. Eine Bestellungspflicht besteht bei einem Sitz des Verantwortlichen im Ausland und unter folgenden Voraussetzungen: (i) Bearbeitung von Daten von Personen in der Schweiz; die Bearbeitung steht (ii) im Zusammenhang mit Angeboten an diese Personen oder der Beobachtung ihres Verhaltens; sie ist (iii) umfangreich und regelmssig und ist (iv) hochriskant fr die betroffenen Personen.
Der CH-Vertreter kann eine natrliche oder juristische Person sein. Es ist zu vermuten, dass die revVDSG weitere Regelungen in diesem Bereich vorsehen wird.
Dokumentation
Nach der DSGVO muss der Verantwortliche nachweisen knnen, dass und wie er die DSGVO einhlt (Stichwort Accountability). Ein Verstoss ist sanktionsbedroht. Das revDSG kennt keine solche Accountability-Pflicht, eine Dokumentation ist in einem bestimmten Umfang aber gleichwohl notwendig, besonders in Form sog. Bearbeitungsverzeichnisse.
Dokumentation im Allgemeinen
Sinnvoll und u.U. zwingend ist eine zentrale Erfassung datenschutzrelevanter Handlungen und Ereignisse.
Dazu zhlen etwa Bearbeitungsverzeichnisse, Richtlinien und weitere Dokumentation, die Prfung eines berechtigten Interesses (legitimate interest assessments, LIAs), DSFA und Folgehandlungen, Datenschutzverletzungen und Reaktionen, die Verweisung auf Sicherheitsmassnahmen (TOMs), Drittparteien und Contract Management, Betroffenenanfragen (alle/eskalierte), gruppeninterne Auftragsbearbeitungs-, Joint Controller- und Drittbekanntgabeverhltnisse, Datenbekanntgaben in Drittstaaten, ggf. mit Risikoeinschtzung (Transfer Impact Assessment, TIAs; siehe Ziff. 26), das Reporting und Empfehlungen des DPO/Datenschutzberaters, die Verweisung auf Drittparteien/Contract Management sowie Behrdenkontakte.
Diese Dokumentation kann in unterschiedlicher Weise gefhrt werden, so z.B. in einem Exceldokument, in einem Dokument ber Sharepoint, allenfalls auch in einem Bereich des Intranets, ferner ber OneTrust, Confluence etc. Dabei sollte die Dokumentation nutzerfreundlich sein und eine Kontrolle der Zugriffsberechtigungen ermglichen.
Das revDSG kennt keine eigentliche Accountability-Pflicht. Eine gewisse Dokumentation ist aber dennoch notwendig, als Teil der Governance, aber auch aus Beweisgrnden.
Seite 5 von 19
Revidiertes DSG und DSGVO Umsetzung der datenschutzrechtlichen Compliance
Regelwerke, Policies, Anleitungen
Erstmassnahme
Aus der Accountability-Pflicht, aber auch im Sinne einer Datensicherheitsmassnahme und als Teil der Verantwortung des Unternehmens und seiner Leitungsorgane sind bestimmte Vorgaben notwendig. Dabei sind die Umstnde massgebend und unntige Vorgaben zu vermeiden. Als Massnahmen kommen DatenschutzPolicies wie z.B. ein Code of Conduct oder eine Richtlinie in Frage, ggf. auch abgeleitete Policies, Leitfden, Merkbltter, Umsetzungshilfen etc.
Typische Beispiele sind Vorgaben im IT-Bereich, wie sie oft bereits bestehen und etwa die erlaubte Nutzung oder das Monitoring regeln, aber auch Videoberwachungen, der Einsatz von CloudDiensten, HR-Vorgaben wie BYOD; CRM- und Marketingtools und Betroffenenrechte.
Entsprechende Dokumente sind auf den Bedarf abzustimmen und nur zu entwerfen, wenn sie notwendig sind und gepflegt werden (siehe Ziff. 15). Schliesslich ist die Umsetzung, etwa ein internes Sign-Off oder Ausrollen, zu planen.
Bei abgeschlossener DSGVO-Umsetzung: Prfung und ggf. Anpassung bestehender Regelwerke
Abweichungen zu Regelwerken, die auf die DSGVO ausgerichtet sind, sind sehr wahrscheinlich. Erforderlich ist eine Prfung und ggf. eine Anpassung an die Schweiz bzw. an das revDSG.
Erforderlich ist auch eine formale Inkraftsetzung durch die fr schweizerische Unternehmen zustndigen Organe bzw. Stellen.
Bearbeitungsverzeichnisse
Das Bearbeitungsverzeichnis ist ein Inventar, in dem die unterschiedlichen Datenbearbeitungen mit bestimmten Mindestangaben erfasst werden. Es ist sowohl nach der DSGVO als auch nach dem revDSG zwingend und fr Unternehmen oft auch eine Hilfe. Erfasst werden nicht Applikationen oder einzelne Personendaten, sondern die unterschiedlichen Zwecke der Bearbeitung und ihre wesentlichen Rahmenbedingungen.
Technische Umsetzung
Besonders bei grsseren Unternehmen oder vielfltigen Bearbeitungen ist es sinnvoll, auf eine nutzerfreundliche Umsetzung der Verzeichnisse zu achten. Zu bestimmen ist daher die technische Umsetzung der Bearbeitungsverzeichnisse und ihrer Erhebung (vgl. Ziff. 9).
Bei abgeschlossener DSGVO-Umsetzung: Verwendung der bestehenden Systeme
Seite 6 von 19
Revidiertes DSG und DSGVO Umsetzung der datenschutzrechtlichen Compliance
Inhalt, Gestaltung, Umfang
Bei der Ausgestaltung ist neben dem vorgeschriebenen Mindestinhalt auf Schnittstellen zu anderen Verzeichnissen zu achten, wie etwa das Applikationsverzeichnis oder diejenigen von Drittparteien. Bezglich Umfang ist zu entscheiden, ob der Mindestinhalt gengt oder weitere Punkte mitaufgenommen gehren wie bspw. eine Schwellenwertbeurteilung fr DSFA durch Risikofragen.
Die Ausgestaltung hngt schliesslich davon ab, ob ein Verantwortlicher oder ein Auftragsbearbeiter das Verzeichnis fhrt.
Bei abgeschlossener DSGVO-Umsetzung: Verwendung der bestehenden Vorlagen und Prozesse
Initiale Erstellung
Erstmassnahme
An dieser Stelle sind die erforderlichen Prozesse zu planen, also die Zustndigkeiten, die Verantwortlichkeit fr Inhalte, Vorgehen und Dokumentation, der Einbezug des DPO bzw. Datenschutzberaters, ferner die Validierung, zeitliche Vorgaben und die Dokumentierung des EU- oder CH-Vertreters mit Kopien.
Bei Bedarf sind auch Hilfestellungen vorzubereiten wie Schulungen, Muster typischer Verzeichnisse, schriftliche Anleitungen und Interviews.
Bei abgeschlossener DSGVO-Umsetzung: Initiale Erhebung entlang bestehender Prozesse, mit Anpassungen gemss Zustndigkeiten und Kapazitten in der Schweiz
Auch das revDSG kennt eine Pflicht zur Erhebung der Bearbeitungen in einem Verzeichnis. Die Verletzung ist nicht direkt sanktioniert, aber es drohen Beweisprobleme, eine faktische Beweislastumkehr bei Verstssen und eine strengere Prfung bei anderen Verstssen.
Der DSGVO-Standard erfllt auch die Anforderungen des revDSG. Zu beachten sind allerdings die Ausnahme der Erstellungspflicht fr KMU und ggf. weitere Regelungen in der revVDSG. Bundesorgane mssen Bearbeitungsverzeichnisse an den EDB melden.
Laufende Erstellung
Ebenso wichtig wie die initiale Erhebung der Verzeichnisse ist die laufende Erhebung neuer Bearbeitungsarten. Zu denken ist hier an die Prfung des Auslsers (neue Bearbeitungen, bestimmte nderungen bestehender Bearbeitungen) und die Planung der entsprechenden Prozesse (Zustndigkeiten, Verantwortlichkeit fr Inhalte, Vorgehen, Dokumentation, Einbezug des DPO bzw. Datenschutzberaters, Kopien an EU-/CH-Vertreter).
Darber hinaus sind wiederum Schnittstellen zu anderen Prozessen zu beachten bzw. solche Schnittstellen in diesen Prozessen zu verankern, bspw. die Projektgenehmigung oder Budgetierung.
Bei abgeschlossener DSGVO-Umsetzung: Verwendung der etablierten Prozesse
Auch hier ist die KMU-Ausnahme (siehe Ziff. 13) zu beachten, ebenso wie ggf. weitere Regelungen in der revVDSG.
Aufrechterhaltung
Bestehende Verzeichnisse sind grundstzlich jour zu halten. Dafr besteht keine konkrete Vorgabe, aber ein Prozess zur regelmssigen berprfung von Verzeichnissen (z.B. in bestimmten
Bei abgeschlossener DSGVO-Umsetzung: Verwendung der etablierten Prozesse
Seite 7 von 19
Revidiertes DSG und DSGVO Umsetzung der datenschutzrechtlichen Compliance
Intervallen oder nach einem bestimmten Muster, i.d.R. durch die business-seitig letztverantwortliche Stelle) ist sinnvoll, ebenso wie Stichproben, insbesondere bei heikleren Bearbeitungen.
Transparenz, Information und Einwilligungen
Sowohl die DSGVO als auch das revDSG verlangen, dass der Verantwortliche alle betroffenen Personen ber die Beschaffung von Personendaten und bestimmte Rahmenbedingungen informiert. Weitere anwendbare Vorschriften in bestimmten Branchen knnen zustzliche Informationspflichten auslsen. Zudem bestehen Einwilligungserfordernisse, insbesondere nach der DSGVO, u.U. aber auch nach dem revDSG und in Verbindung mit Geheimnisschutzvorschriften, wenn Bekanntgaben geplant sind.
Erhebung bestehender Datenschutzerklrungen und Bearbeitungen
Als Ausgangspunkt ist ein Verstndnis der Bearbeitungsarten und der bestehenden Datenschutzinformationen erforderlich. Das verlangt zum einen die Erhebung von Bearbeitungen mit besonderen Informationspflichten (ggf. Profiling/Profiling mit hohem Risiko/automatisierte Einzelentscheidungen), zum anderen die Erhebung aller/der relevanten bestehenden DSE und -hinweise (auch z.B. in AGB).
Bei abgeschlossener DSGVO-Umsetzung: Prfung der Aktualitt der erhobenen Hinweise
Entsprechende Erhebungen sind auch nach dem revDSG notwendig.
Prfung der Anforderungen
Zu prfen ist weiter, wo Personendaten gezielt beschafft werden bzw. wo der Verantwortliche die Erhebung aktiv veranlasst diese Vorgnge lsen Informationspflichten aus.
In Bezug auf Einwilligungen ist je nach anwendbarem Recht zu prfen, ob ein Einwilligungserfordernis besteht oder eine Information gengt und ob darber hinaus spezialgesetzliche Informationspflichten und Einwilligungserfordernisse hinzukommen.
Ferner knnen, bei Geheimnissen, Entbindungserklrungen anfallen sowie zustzliche Einwilligungen, wenn es um die Bekanntgabe besonders schtzenswerter Personendaten geht.
Bei abgeschlossener DSGVO-Umsetzung: Erhebung der bewussten Beschaffung bei betroffenen Personen in der Schweiz und der schweizerischen Gesellschaft(en) auch im Ausland
Auch das revDSG kennt eine generelle Informationspflicht bei der Beschaffung von Personendaten. Die Verletzung ist strafbedroht. Ebenfalls kennt das revDSG ein allgemeines Datengeheimnis, das je nach Umstnden zu einem Einwilligungs- bzw. Befreiungserfordernis fhren kann.
Entwurf von DSE
Erstmassnahme
Zu entscheiden ist zunchst ber das Vorgehen, besonders dann, wenn mehrere ergnzende oder berschneidende Informationen
Bei abgeschlossener DSGVO-Umsetzung: Entwurf ergnzender und/oder Anpassung bestehender DSE (Anpassungsbedarf i.d.R. beschrnkt); Prfung des Anpassungsbedarfs von AGB bzw. Vertragsunterlagen
Seite 8 von 19
Revidiertes DSG und DSGVO Umsetzung der datenschutzrechtlichen Compliance
Umsetzungsplanung
in Frage kommen. Namentlich stellt sich die Ausgangsfrage, ob man gruppenweite Standard-DSE mit punktuellen Ergnzungen oder Abweichungen erstellen mchte oder individuelle DSE bevorzugt. Gesttzt darauf sind die DSE zu entwerfen oder bestehende anzupassen. Je nach dem sind auch besondere Hinweise bei Schnittstellen mit Nutzern erforderlich, etwa beim Online-Handel, bei Kontaktformularen oder Chatbots. Nicht nur die DSE, auch die brigen Dokumente wie Antrge, Informationsschreiben und AGB sollten laufend jour gehalten werden.
Ein Muster fr eine DSE nach der DSGVO und dem revDSG wird in Krze u.a. unter www.dsat.ch verfgbar sein.
Die gleichen Fragen stellen sich auch nach dem revDSG. Dabei sind aber Besonderheiten zu beachten. Immerhin verlangt das revDSG keinen expliziten Hinweis auf Profiling. Das gilt prinzipiell zwar auch bei einem hohen Risiko, doch ergibt sich hier i.d.R. eine Hinweispflicht aus dem Transparenzgrundsatz.
Anders als bei der DSGVO bestehen bei automatisierten Einzelentscheidungen Informationspflichten, aber keine Einwilligungserfordernisse. Eine berbindung der Informationspflicht auf Dritte, wie z.B. einen Kunden, ist mglich.
Bestimmte Anforderungen gehen ber die DSGVO hinaus (z.B. sind einzelne Empfngerstaaten/-regionen anzugeben). Zudem sind weitere Anpassungen von DSE auf Basis der DSGVO oft sinnvoll, etwa wenn es um Hinweise auf das anwendbare Recht, die Rechtsgrundlagen oder um Betroffenenrechte geht. Schliesslich sind weitere Regelungen in der revVDSG mglich.
Bei der Umsetzung bzw. dem Roll-Out neuer DSE stellen sich einige prozessuale Fragen, so z.B. die Abgrenzung zwischen Bestandesund Neukunden bzw. passiver und aktiver Datenbearbeitung. Verweisungen auf eine DSE im Internet sind i.d.R. zulssig. Das gilt auch bei einer Drucksache. Allenfalls sind hier aber bestimmte Mindestinformationen im verweisenden Dokument anzubringen.
Beim Roll-Out stellen sich weitere Fragen der Umsetzung in Frage kommen z.B. Hinweise beim Versand von Bestellbesttigungen oder Rechnungsbeilagen oder in E-Mail-Signaturen, aber auch eine berbindung von Informationspflichten betr. Dritte auf einen Kunden in AGB. Schliesslich ist insbesondere bei Zwecknderungen an die Nachinformation zu denken.
Bei abgeschlossener DSGVO-Umsetzung: Planung der Bereitstellung revidierter bzw. neuer DSE und ggf. AGB
Analoge Fragen stellen sich auch nach dem revDSG. Im Besonderen ist im Rahmen des bergangsrechts zu beachten, dass die Informationspflicht bei Bearbeitungen mit neuen Beschaffungen nach dem Inkrafttreten gilt das kann auch auf Bestandeskunden Anwendung finden. Eine Regelung in der revVDSG ist wahrscheinlich, womglich etwa betreffend die Art und Weise der Bereitstellung.
Seite 9 von 19
Revidiertes DSG und DSGVO Umsetzung der datenschutzrechtlichen Compliance
Datensicherheit
Die Datensicherheit ist ein Kernpunkt, der in der DSGVO und im revDSG inhaltlich aber wenig detailliert geregelt ist. Die Hauptvorgabe besteht darin, Sicherheitsrisiken zu erkennen und zu beurteilen und mit ihnen bewusst und verantwortungsvoll umzugehen. Inhaltliche Anforderungen ergeben sich vor allem aus anerkannten Standards, der Branchenblichkeit, ggf. aus besonderen Vorschriften in einzelnen Branchen und Ttigkeiten und aus den Erwartungen von Kunden und Partnern.
Datensicherheit
Erstmassnahme
Die Datensicherheit ist aus rechtlicher, aber auch aus Reputationssicht, entscheidend. Die DSGVO enthlt hier nur am Rande konkrete inhaltliche Vorgaben. Dennoch empfiehlt es sich, bestehende Applikationen und Prozesse auf Sicherheits- und verwandte Aspekte wie Privacy by Design oder Privacy by Default hin zu untersuchen, die Vollstndigkeit der entsprechenden Dokumentation zu prfen und in den Bearbeitungsverzeichnissen auf Sicherheitsmassnahmen hinzuweisen.
Bei abgeschlossener DSGVO-Umsetzung: Prfung auf abweichende/besondere regulatorische bzw. sektorrechtliche Vorgaben
Inhaltlich ergeben sich kaum Abweichungen zwischen der DSGVO und dem revDSG. Eine Regelung der Datensicherheit bzw. bestimmter Aspekte in der revVDSG ist aber mglich. Bei Verletzung droht ein Strafbarkeitsrisiko.
Datenschutz-Folgenabschtzungen
DSFA sind strukturierte Abklrungen von Risiken sowie des Umgangs mit diesen Risiken. Bei Bearbeitungen mit erhhten Risiken knnen sie verpflichtend sein und eine Meldepflicht an Behrden auslsen.
Bei ihrer Planung sind in erster Linie die typischen Bearbeitungen der Unternehmen zu bestimmen, die eine DSFA verlangen knnen, sowie allfllige Ausnahmen von der Durchfhrungspflicht. Mit Blick auf das bergangsrecht ist sodann eine zeitliche Abgrenzung bei laufenden Bearbeitungen vorzunehmen.
Um den entsprechenden Prozess vorzubereiten, muss man sich ber den Auslser der DSFA verstndigen, z.B. eine Information im Bearbeitungsverzeichnis, ferner die Rollen und Verantwortlichkeiten, den Einzug von DPO, IT und Business sowie den Abschluss und bei hohen Restrisiken die Meldung an Behrden. Hinsichtlich der Vorlagen kann es ggf. sinnvoll sein, unterschiedliche Muster fr einfache und komplexe Flle oder Mindest- und
Bei abgeschlossener DSGVO-Umsetzung: Prfung auf abweichende/besondere regulatorische Vorgaben
Inhaltlich enthlt das revDSG wenige Vorgaben und kaum Abweichungen von den Anforderungen der DSGVO. Eine Wiederholung von DSFA nach der DSGVO ist i.d.R. nicht erforderlich. Eine Ausnahme der Pflicht zur Durchfhrung einer DSFA gilt bei einer gesetzlichen Pflicht zur entsprechenden Bearbeitung (z.B. im KYC-Bereich).
Ebenso besteht bei hohen Restrisiken analog zur DSGVO eine Meldepflicht gegenber dem EDB, dies aber nur, wenn kein unabhngiger Datenschutzberater bestellt ist (vgl. Ziff. 6).
Eine Pflicht zur Durchfhrung von DSFA kennt das revDSG insbesondere bei einem Profiling mit hohem Risiko, bei der umfangreichen Bearbeitung besonders schtzenswerter Personendaten und bei der systematischen berwachung umfangreicher ffentlicher Bereiche. Daneben ist eine freiwillige DSFA wie auch nach der DSGVO oft sinnvoll (wobei die Freiwilligkeit zu dokumentieren ist).
Seite 10 von 19
Revidiertes DSG und DSGVO Umsetzung der datenschutzrechtlichen Compliance
optionale Inhalte anzulegen. Schliesslich ist auf eine sorgfltige Dokumentation zu achten.
Datensicherheitsverletzungen
Ein wesentlicher Punkt, den die DSGVO aber nicht sehr detailliert regelt, ist der Umgang mit Datensicherheitsverletzungen. Es besteht aber eine Pflicht zum angemessenen Umgang und u.U. zu einer Meldung an Behrden und Mitteilung an die betroffenen Personen. Es ist daher empfehlenswert, ein Verfahren zum Umgang mit Verletzungen (und ggf. weiteren Incidents) einzurichten oder anzupassen. Hier ist insbesondere an eine Mitteilungspflicht der Mitarbeiter zu denken, aber auch an eine Regelung der Zustndigkeiten, Verantwortlichkeiten, Kontaktpunkte und einer geordneten Eskalation, ferner einer Meldepflicht gegenber Behrden und betroffenen Personen. Die Verletzungen sind zu dokumentieren (vgl. Ziff. 9).
Auch nach dem revDSG muss mit Verletzungen kontrolliert umgegangen werden, und es kann eine Meldepflicht gegenber dem EDB bestehen (aber mit einer hheren Schwelle als nach der DSGVO) und u.U. auch gegenber den betroffenen Personen. Eine freiwillige Meldung beim EDB ist mglich, i.d.R. aber nicht empfohlen.
Drittparteien
Bei der Zusammenarbeit mit Drittparteien d.h. vor allem mit Lieferanten, Kunden und Partnern ergeben sich Vorgaben v.a. aus den Rollen der beteiligten Parteien. Die DSGVO und das revDSG definieren bestimmte Rollen und knpfen bestimmte Rechtsfolgen an diese Rollen. Auch Datensicherheitsaspekte sind hier besonders relevant, und Datenbekanntgaben an Dritte sind in Bearbeitungsverzeichnissen zu erfassen und in DSE wiederzugeben.
Bestehende Vertrge
Lieferanten
Ausgangspunkt ist die Prfung bestehender Vertrge insbesondere mit Lieferanten und Kunden und die Bestimmung der entsprechenden Rollen (Verantwortlicher, gemeinsam Verantwortlicher, Auftragsverarbeiter).
Bei abgeschlossener DSGVO-Umsetzung: ggf. Prfung weiterer Vertrge fr die Schweiz
Bei Lieferanten stellt sich v.a. die Frage, ob/wann sie als Auftragsbearbeiter ttig sind und ob/wie sie eine angemessene Datensicherheit gewhrleisten. Um die Lieferanten gehrig einzubinden, sind ggf. Anpassungen und Ergnzungen von Vertrgen erforderlich, z.B. bei Auftragsbearbeitungen ohne entsprechende Regelungen.
Bei abgeschlossener DSGVO-Umsetzung: Prfung und ggf. Anpassung von Lieferantenvertrgen nach den gleichen Standards
Inhaltlich verlangt das revDSG fr ADVs nicht mehr als die DSGVO (wobei fr regulierte Unternehmen zustzliche Anforderungen gelten knnen, z.B. fr Banken und Versicherer). Es sind die gleichen Massnahmen wie nach der DSGVO erforderlich. Dabei bestehen Strafrisiken des Verantwortlichen bei fehlenden oder unzureichenden ADVs.
Seite 11 von 19
Kunden
Revidiertes DSG und DSGVO Umsetzung der datenschutzrechtlichen Compliance
Bei heikleren Bearbeitungen ist eine Prfung der Lieferanten mit Zugang zu Personendaten (Vendor Assessment) zu definieren, whrend bei bestehenden Lieferanten u.U. ein Vendor (Re-)Assessment durchzufhren ist.
Ein Standard-ADV im Verhltnis zu Lieferanten (d.h. als Verantwortlicher) ist meistens notwendig. Unter Umstnden ist es sinnvoll, Lieferantenvertrge oder Vertragsklauseln zwischen unabhngig Verantwortlichen zu entwerfen.
Weitere Interaktionen mit Lieferanten aus datenschutzrechtlicher Sicht sind zu planen, wenn der Lieferant ein Verantwortlicher ist (z.B. Mitteilungen von Lschungen, Berichtigungen und Einschrnkungen der Verarbeitung). Empfnger bzw. Kategorien von Empfngern sind im Bearbeitungsverzeichnis und in der DSE zu nennen.
Soweit Lieferanten Zugang zu Personendaten haben, aber nicht als Auftragsbearbeiter ttig sind, ist eine Befreiung von Daten-/Berufsgeheimnissen zu prfen. Soweit beide als gemeinsam Verantwortliche zusammenarbeiten, stellt das revDSG ebenfalls nicht hhere Anforderungen auf als die DSGVO.
Empfnger bzw. Kategorien von Empfngern sind im Bearbeitungsverzeichnis und in der DSE zu nennen.
Erstmassnahme
Kundenseitig fragt sich v.a., wann das Unternehmen als Auftragsbearbeiter des Kunden ttig wird. Wichtig ist hier zudem besonders wenn das Unternehmen IT-Leistungen erbringt eine Dokumentation der angemessenen Datensicherheit. So wird das Unternehmen oft einen Standard-ADV in seiner Ttigkeit als Auftragsverarbeiter bentigen.
Unter Umstnden ist ausserdem eine Standard-Vereinbarung zwischen gemeinsam Verantwortlichen sinnvoll, doch kann sie meist auch ad hoc geschlossen werden. Auch Standard-Vertragsbestimmungen mit anderen unabhngig Verantwortlichen knnen sinnvoll sein.
Weitere Interaktionen mit Kunden aus datenschutzrechtlicher Sicht sind zu planen, wenn das Unternehmen ein Verantwortlicher ist (z.B. Mitteilungen von Lschungen, Berichtigungen und Einschrnkungen der Verarbeitung).
Bei abgeschlossener DSGVO-Umsetzung: Prfung und ggf. Anpassung von Kundenvertrgen nach den gleichen Standards
Wie erwhnt verlangt das revDSG nicht mehr fr ADVs als die DSGVO. Auch die Anforderungen an Vereinbarungen zwischen gemeinsam Verantwortlichen sind nicht hher, sogar im Gegenteil. Im brigen sind Empfnger bzw. Kategorien von Empfngern im Bearbeitungsverzeichnis und in der DSE zu nennen.
Seite 12 von 19
Revidiertes DSG und DSGVO Umsetzung der datenschutzrechtlichen Compliance
Grenzberschreitende bermittlungen
Die bermittlung von Personendaten ist nach der DSGVO beschrnkt, d.h. unter Umstnden nur mit besonderen Schutzmassnahmen, erlaubt. Diese Beschrnkungen betreffen etwa Bekanntgaben in die USA, nach Indien und in andere Staaten ausserhalb des EWR (sog. Drittstaaten).
Zu erheben sind bestehende grenzberschreitende bermittlungen innerhalb (vgl. Ziff. 27) und ausserhalb des Konzerns. Dabei gilt es jeweils die Angemessenheit des Schutzniveaus im Empfngerstaat zu prfen (d.h. ob das Schutzniveau von der EU-Kommission als angemessen anerkannt wurde). Des Weiteren sind bei bermittlungen in Drittstaaten Datenbermittlungsvertrge zu prfen (z.B. die Standardvertragsklauseln der EU). Die Europische Kommission hat am 12. November 2020 revidierte Standardklauseln im Entwurf verffentlicht. Bevor diese in Kraft treten, sind Vertrge, welche die Klauseln enthalten, anzupassen.
Bei abgeschlossener DSGVO-Umsetzung: Anpassung von Standardvertragsklauseln an die Schweiz i.d.R. nicht zwingend, aber u.U. Meldung an den EDB erforderlich
Inhaltlich decken sich die Anforderungen des revDSG mit jenen der DSGVO. Es bestehen namentlich Strafrechtsrisiken bei unzulssiger Auslandsbermittlung. Zustzlich zu beachten sind Geheimnisschutzvorschriften, bspw. nach Art. 273 StGB und nach sektorrechtlichen Vorgaben.
Seit der Europische Gerichtshof (EuGH) im Schrems II-Urteil den Privacy Shield aufgehoben hat und bei Verwendung der Standardvertragsklauseln eine Risikoeinschtzung verlangt, knnen weitere Massnahmen erforderlich sein. Dazu gehren ggf. die Prfung bestehender Vertrge mit Empfngern in Drittstaaten, die Durchfhrung einer Beurteilung der sich aus der Bekanntgabe ergebenden besonderen Risiken (Transfer Impact Assessment, TIAs), ggf. ein Wechsel des Privacy Shield auf Standardklauseln und u.U. auch eine Ergnzung der Standardklauseln. Soweit Bearbeitungsverzeichnisse und DSE auf den Privacy Shield Bezug nehmen, sind auch hier Anpassungen ntig.
Inhaltlich verlangt das revDSG auch hier nicht mehr als die DSGVO. Der EDB verlangt aber ebenfalls eine Risikobeurteilung und ggf. eine Ergnzung der Standardvertragsklauseln.
Seite 13 von 19
Revidiertes DSG und DSGVO Umsetzung der datenschutzrechtlichen Compliance
Konzerninterne Datenflsse
Im Grundsatz gelten im Datenverkehr innerhalb eines Konzerns die gleichen Regeln wie bei der Zusammenarbeit mit Dritten und grenzberschreitenden Datenbermittlungen an Aussenstehende. Meist werden hier aber besondere, auf das Konzernverhltnis angepasste Regelungen getroffen.
Regelung konzerninterner Datenflsse (Rollen und grenzberschreitende bermittlungen)
Konzerninterne Datenflsse werden i.d.R. besonders geregelt, auf Einzelfallbasis oder in Form einer Rahmenvereinbarung. Nebst der Erhebung konzerninterner Datenflsse ist hier an die Prfung und ggf. den Abschluss oder die Ergnzung eines Rahmenvertrags (IGDTA bzw. IDPA) zu denken, wobei die erfassten Datenflsse und -bearbeitungen i.d.R. zentral erfasst werden mssen (vgl. Ziff. 9).
Alternativ knnen bestehende Vertrge z.B. durch interne ADV, Vereinbarungen zwischen gemeinsam Verantwortlichen und/oder Standardvertragsklauseln bei grenzberschreitenden bermittlungen ergnzt werden. Auch konzerninterne Empfnger sind in Bearbeitungsverzeichnissen und DSE zu erfassen (bspw. als eine Kategorie von Empfngern).
Bei abgeschlossener DSGVO-Umsetzung: Prfung bestehender konzerninterner Grundlagen; i.d.R. nur punktuelle Anpassungen erforderlich
Soweit ein Rahmenvertrag nach den Vorgaben der DSGVO besteht, sind i.d.R. nur wenige Anpassungen an das revDSG erforderlich. Bei unzulssiger Auslandsbermittlung bestehen Strafrechtsrisiken. Besonders zu prfen sind u.U. ferner Daten-/Berufsgeheimnisvorschriften.
Auch nach dem revDSG sind konzerninterne Empfnger als eine Kategorie in Bearbeitungsverzeichnissen und DSE zu erfassen anders als nach der DSGVO aber unter Angabe der Empfngerstaaten.
Betroffenenrechte
Betroffene Personen haben bestimmte Rechte (z.B. ein Auskunfts- und ein Berichtigungsrecht). Die Einhaltung der Betroffenenrechte ist rechtlich, aber auch aus Reputationsgrnden, besonders wichtig.
Umgang mit Betroffenenrechten
Fr den Umgang mit Betroffenenrechten bestehen relativ detaillierte Vorgaben. In einem ersten Schritt sind die entsprechenden Prozesse zu planen. Neben der Festlegung von Gegenstand und Umfang je nach Hufigkeit sind dabei insb. die Betroffenen zu identifizieren, interne Zustndigkeiten festzulegen, die Zulssigkeit der Rechte und deren Ausnahmen abzuklren, und zu bestimmen, wie die erforderlichen Informationen zu erheben, zusammenzustellen
Bei abgeschlossener DSGVO-Umsetzung: Anpassung bestehender Prozesse und Musterdokumente
Beim Gegenstand und dem Umgang mit Anfragen von Betroffenen bestehen teilweise deutliche Abweichungen gegenber der DSGVO (z.B. betr. Ablauf und Ausnahmen). Bei bestimmten Verletzungen bestehen Strafrechtsrisiken. Auch sind einschlgige Regelungen in der revVDSG wahrscheinlich (z.B. betreffend Fristen, Ausnahmen und Kosten bei Betroffenenbegehren).
Seite 14 von 19
Revidiertes DSG und DSGVO Umsetzung der datenschutzrechtlichen Compliance
Korrespondenz
und bei Auskunftsbegehren mitzuteilen sind. Die Hinweise in DSE sind mit diesen Prozessen abzugleichen, etwa betreffend Kommunikationskanle, Identifikation und Zustndigkeiten. Schliesslich ist die technische Umsetzung zu bedenken und insbesondere die Fhigkeit zu Auskunft, Lschung (siehe Ziff. 30 f.) und Datenportabilitt.
Bei hufigeren Anfragen ist zu prfen, ob Musterkorrespondenz erstellt soll.
Bei abgeschlossener DSGVO-Umsetzung: Prfung und ggf. Anpassung von Musterkorrespondenz
Bestimmte Abweichungen von der DSGVO ergeben sich auch bei der Reaktion auf Betroffenenanfragen.
Aufbewahrung und Lschung
Ein Kernpunkt bei der datenschutzrechtlichen Compliance ist die Lschung oder Anonymisierung von Personendaten, die nicht mehr bentigt werden (d.h. nachdem der Zweck der Bearbeitung erreicht wurde). Die kontrollierte Lschung nach bestimmten Ereignissen oder Fristen stellt in erster Linie Anforderungen an die IT.
Lschfhigkeit Lschkonzept
Entscheidend ist die technische Fhigkeit zu definierter Aufbewahrung und gesteuerter Lschung; ggf. ist dies als eigenes Teilprojekt auszugestalten.
Inhaltlich verlangt das revDSG in diesem Bereich nicht mehr als die DSGVO.
Erforderlich ist als Grundlage einer (teil-technischen) Lsung eine Regelung der Aufbewahrungsfristen und -arten je nach Kategorie oder Klassifizierung von Daten und der Lschungen bzw. Anonymisierungen (Retention Policy).
Bei abgeschlossener DSGVO-Umsetzung: Ergnzung bestehender Retention Policies; ggf. Planung systemseitiger Anpassungen
Seite 15 von 19
Revidiertes DSG und DSGVO Umsetzung der datenschutzrechtlichen Compliance
Schulungen
Weder die DSGVO noch das revDSG verlangen explizit Schulungen. Sie sind aber oft faktisch notwendig bzw. hilfreich, knnen haftungsreduzierend wirken und sind u.U. als Teil der Governance und der Accountability auch rechtlich zwingend.
Gegenstand Umsetzung
Schulungsmassnahmen sind insbesondere hinsichtlich ihrer Adressaten (z.B. alle Mitarbeiter, bestimmte Mitarbeiter, bestimmte Bereiche des Unternehmens usw.), ihres Inhalts, ihrer Hufigkeit und der Erfolgsmessung zu planen.
Schulungsmaterial kann eingekauft oder vom Unternehmen selbst erstellt bzw. angepasst werden.
Bei abgeschlossener DSGVO-Umsetzung: ggf. Anpassung bestehenden Schulungsmaterials
Seite 16 von 19
Abkrzungen ADV DPO DSE DSFA DSG DSGVO EU EuGH EWR revDSG revVDSG
Auftragsdatenverarbeitungsvereinbarung zwischen Verantwortlichem und Auftragsverarbeiter Datenschutzbeauftragter (DPO, Data Protection Officer) i.S.d. DSGVO Datenschutzerklrung(en) Datenschutz-Folgenabschtzung(en) Datenschutzgesetz der Schweiz. Dazu gehrt auch eine Verordnung (VDSG) EU-Datenschutz-Grundverordnung (Verordnung (EU) 2016/679) Europische Union Gerichtshof der Europischen Union Europischer Wirtschaftsraum (neben der EU auch Liechtenstein, Norwegen und Island) revidiertes DSG der Schweiz revidierte Verordnung zum (revidierten) DSG (ein Entwurf wird auf Mitte 2021 erwartet)
Revidiertes DSG und DSGVO Umsetzung der datenschutzrechtlichen Compliance
Seite 17 von 19
Walder Wyss AG Rechtsanwlte
Telefon +41 44 498 98 98 [email protected]
www.walderwyss.com Zrich, Genf, Basel, Bern, Lausanne, Lugano
Kontakte
Jrg Schneider Dr. iur., Rechtsanwalt Partner Telefon direkt: +41 58 658 55 71 [email protected]
Unser Datenschutz-Team
Bernadette Bucheli MLaw, Rechtsanwltin, CIPP/E, CIPM Associate Telefon direkt: +41 58 658 58 23 [email protected]
Lena Gtzinger Rechtsanwltin (Rechtsanwaltskammer Frankfurt a.M.) Associate Telefon direkt: +41 58 658 56 63 [email protected]
Hugh Reeves MLaw, LL.M., Rechtsanwalt Senior Associate Telefon direkt: +41 58 658 52 73 [email protected]
David Vasella Dr. iur., Rechtsanwalt, CIPP/E, CIPM Partner Telefon direkt: +41 58 658 52 87 [email protected]
Marco Galli lic. oec. HSG, Rechtsanwalt Managing Associate Telefon direkt: +41 58 658 44 11 [email protected]
Michael Isler Dr. iur., Rechtsanwalt Partner Telefon direkt: +41 58 658 55 15 [email protected]
Mark A. Reutter Dr. iur., LL.M., Rechtsanwalt Partner Telefon direkt: +41 58 658 55 42 [email protected]
Revidiertes DSG und DSGVO Umsetzung der datenschutzrechtlichen Compliance
Caroline Gaul LL.M., Rechtsanwltin (Rechtsanwaltskammer Frankfurt a.M.) Senior Associate Telefon direkt: +41 58 658 51 35 [email protected] Oliver M. Kunz lic. iur., LL.M., Rechtsanwalt Partner Telefon direkt: +41 58 658 56 41 [email protected] Florian C. Roth MLaw, Rechtsanwalt Associate Telefon direkt: +41 58 658 55 79 [email protected]
Seite 18 von 19
Christine Schweikard LL.M. (KCL), Matrise en droit (Paris II), Rechtsanwltin (Rechtsanwaltskammer Mnchen), Associate Telefon direkt: +41 58 658 58 33 [email protected]
Monique Sturny Dr. iur., LL.M., Rechtsanwltin Managing Associate Telefon direkt: +41 58 658 56 56 [email protected]
Monja Sieber MLaw, Rechtsanwltin Associate Telefon direkt: +41 58 658 29 16 [email protected]
Martin Zobl Dr. iur., LL.M., Rechtsanwalt Managing Associate Telefon direkt: +41 58 658 55 35 [email protected]
Revidiertes DSG und DSGVO Umsetzung der datenschutzrechtlichen Compliance
Michael Schmassmann M.A HSG in Law, Rechtsanwalt Associate Telefon direkt: +41 58 658 52 59 [email protected]
Seite 19 von 19
