Ihre Kontakte
Die neue Schweizer Datenschutzverordnung (DSV) enthält wichtige Detailvorschriften zum neuen Bundesdatenschutzgesetz (DSG). Die Verordnung, die der Bundesrat im August 2022 definitiv verabschiedet hatte, wird gemeinsam mit dem totalrevidierten DSG in Kraft treten. Unternehmen müssen deshalb die Vorgaben der Verordnung in die Finalisierung der Compliance-Projekte miteinbeziehen. Wir richten nachfolgend den Fokus auf die wichtigsten Vorschriften. Angesichts der Strafdrohung hervorzuheben ist der Katalog der Datensicherheitsmassnahmen, die Pflicht zur Vornahme einer Protokollierung von Datenbearbeitungen sowie die Pflicht zur Erstellung von Bearbeitungsreglementen. Entgegen einzelnen Stimmen sollte nicht darauf vertraut werden, dass Verstösse gegen diese Pflichten nicht sanktionierbar sind. Weiter legt die DSV fest, wer unter welchen Voraussetzungen ausnahmsweise kein Bearbeitungsverzeichnis zu erstellen hat, und listet auf, welche Länder über ein angemessenes Datenschutzniveau verfügen. Schliesslich sind auch zahlreiche Detail-Regelungen vorgesehen, welche die Modalitäten von Pflichten konkretisieren, wie z.B. die Identifikation vor der Auskunftserteilung, die Aufbewahrung von Dokumentationen zu Datenschutzfolgenabschätzungen oder dem Inhalt von Data-Breach-Meldungen.
Hintergrund: Entwurf schlägt hohe Wellen und wird zu Recht stark überarbeitet
Nachdem das Parlament die Totalrevision des Bundes-Datenschutzgesetzes (DSG) im Herbst 2020 verabschiedet hatte (s. z.B. MLL-News vom 19.10.2020), zog der Bundesrat im Juni 2021 nach und veröffentlichte einen Entwurf für die Ausführungsvorschriften zum DSG. Dieser Entwurf wurde zu Recht kritisiert (vgl. auch MLL-News vom 10.8.2021) und anschliessend stark überarbeitet. Das Ergebnis in Form der definitiven Fassung der Datenschutzverordnung (DSV) wurde Ende August 2022 veröffentlicht.
Erfreulicherweise wurden bei der Überarbeitung viele Mängel des Entwurfs beseitigt. Insbesondere wird der Auftragsbearbeiter nicht mehr in die Informationspflicht miteinbezogen und unklare, von der Terminologie und vom Rahmen des Gesetzes und der DSGVO abweichende Bestimmungen gestrichen (wie z.B. die detaillierte Regelung der Informationspflicht in Art. 13 ff.). Von den finalen Bestimmungen sind namentlich die Folgenden hervorzuheben:
Allgemeine Anforderungen an die Datensicherheit
Aufgrund der Sanktionsdrohung besonders bedeutsam sind die Regelungen zur Datensicherheit. Verletzungen der Mindestanforderungen an die Datensicherheit können strafrechtlich geahndet werden (Art. 61 lit. c nDSG). In der Verordnung definiert der Bundesrat, welches diese Mindestanforderungen sind (Art. 8 Abs. 3 nDSG). Wer deshalb in der Verordnung klare und einfach fassbare Massnahmen erwartet hat, wird enttäuscht. Der Bundesrat verzichtet darauf, «starre Mindestanforderungen» vorzugeben, welche gleichermassen für alle gelten. Er erachtet eine solche Regelung als nicht praktikabel und verfolgt stattdessen einen flexibleren, risikobasierten Ansatz, sodass für ein Spital andere Anforderungen bestehen als für eine Bäckerei.
Ferner gibt er zwei wichtige Leitlinien vor:
- keine absolute Sicherheit verlangt: Die Massnahmen können auch dann angemessen sein, wenn es zu einer (meldepflichtigen) Verletzung der Datensicherheit («Data Breach») kommt, namentlich «weil sich das hinzunehmende Restrisiko realisiert hat».
- EU-Komptabilität: In der EU tätige Unternehmen sollen davon ausgehen können, dass auch in der Schweiz die Mindestanforderungen erfüllt sind, wenn sie die Anforderungen der DSGVO einhalten.
Der Grad an Sicherheit, der eingehalten werden muss, damit die Strafnorm nicht verletzt wird, bestimmt sich nach den Kriterien der Verordnung. Hierzu gehören die Folgenden:
- der Schutzbedarf der Personendaten: z.B. besonders schützenswerte Daten? Einsatz vollautomatisierter Bearbeitung (z.B. künstliche Intelligenz)? Grosse Zahl von Daten oder Betroffenen? Zugriffsmöglichkeiten Dritter? Etc.
- das Risiko für die betroffenen Personen: insb. Wahrscheinlichkeit und Schwere einer Verletzung der Datensicherheit trotz ergriffener Massanahmen?
- der Stand der Technik: meint den technischen und wissenschaftlichen Kenntnisstand und bezieht sich auf bewährte und verfügbare Massnahmen, nicht unerforschte, in Entwicklung befindliche.
- die Implementierungskosten: meint nicht nur finanzielle Kosten, sondern auch personelle und zeitliche Ressourcen.
Es handelt sich dabei um die Kriterien, die auch in der DSGVO verankert sind (vgl. Art. 32 Abs. 1 DSGVO).
In die Beurteilung, welche Massnahmen zu ergreifen sind, sind auch die Schutzziele einzubeziehen. Gemäss der DSV sollen mit den Massnahmen folgende Schutzziele erreicht werden, d.h. die bearbeiteten Daten sollen ihrem Schutzbedarf entsprechend (Art. 2 DSV):
- nur Berechtigten zugänglich sein (Vertraulichkeit);
- verfügbar sein, wenn sie benötigt werden (Verfügbarkeit);
- nicht unberechtigt oder unbeabsichtigt verändert werden (Integrität);
- – nachvollziehbar bearbeitet werden (Nachvollziehbarkeit).
Die Verantwortlichen und Auftragsbearbeiter haben im Einzelfall zu prüfen, mit welchen konkreten Massnahmen sie diese Schutzziele erreichen. Der Bundesrat hält es für vorstellbar, dass nicht jedes Schutzziel in jedem Fall relevant ist. Ist ein Schutzziel in einem Fall nicht von Relevanz, so müssten der Verantwortliche und Auftragsbearbeiter aber in der Lage sein, zu begründen, weshalb es irrelevant ist.
Katalog von Kontrollmassnahmen als grobe Orientierungshilfe
Für die Praxis ergibt sich aus der vorstehenden Regelung keine hilfreiche Anleitung für die Beurteilung, welche konkreten Massnahmen zwingend sind. Aufschlussreicher ist demgegenüber die Liste von Kontrollmassnahmen in Artikel 3 der DSV. Diese wurde weitgehend aus der bisherigen Verordnung übernommen (vgl. Art. 9 VDSG) und deckt sich im Wesentlichen auch mit den in der Praxis verbreiteten und in anderen Rechtsvorschriften enthaltenen Katalogen (vgl. z.B. § 64 des deutschen BDSG). Nach Ansicht des Bundesrats wird mit der Liste «in didaktischer Weise» eine Reihe von Massnahmen aufgezeigt, mit denen die Schutz-Ziele erreicht werden können, wobei eine Massnahme auch zur Erreichung verschiedener Ziele beitragen kann.
Es handelt sich um die Folgenden:
- Zugriffskontrolle: Zugriff nur auf Personendaten, die zur Erfüllung der Aufgaben erforderlich sind;
- Zugriffskontrolle: Kein Zugang zu Räumlichkeiten oder mobilen Anlagen, wo Personendaten bearbeitet werden, durch Unberechtigte;
- Benutzerkontrolle: Keine Nutzung von Bearbeitungssystemen «mittels Einrichtungen zur Datenübertragung» durch Unbefugte;
- Datenträgerkontrolle: kein Lesen oder anderweitiges Bearbeiten von Datenträgern durch Unbefugte;
- Speicherkontrolle: kein Lesen oder anderweitiges Bearbeiten von Personendaten im Speicher durch Unbefugte;
- Transportkontrolle: kein Lesen oder anderweitiges Bearbeiten von Personendaten bei der Bekanntgabe oder dem Transport von Datenträgern;
- Massnahmen zur Wiederherstellung der Verfügbarkeit von Personendaten und des Zugangs zu ihnen bei einem Zwischenfall;
- Massnahmen zur Gewährleistung der Verfügbarkeit von automatisierten Datenbearbeitungssystemen, zur Meldung von Fehlfunktonen (Zuverlässigkeit) und zur Verhinderung von Beschädigungen im Falle von Fehlfunktionen (Datenintegrität);
- Massnahmen zur Aufrechterhaltung des Sicherheitsstands und zur Schliessung kritischer Lücken (Systemsicherheit);
- Eingabekontrolle: Sicherstellung der Überprüfbarkeit (Zeitpunkt und Person) von Eingaben/Änderungen von Personendaten;
- Bekanntgabekontrolle: Sicherstellung der Überprüfbarkeit/Identifizierbarkeit der Empfänger von Datenbekanntgaben mittels «Einrichtungen zur Datenübertragung»;
- Massnahmen zur raschen Erkennung und Minderung/Beseitigung der Folgen von «Data Breaches».
Auch diese Liste, welche in der bisherigen VDSG mit «besondere Massnahmen» betitelt war, ist relativ allgemein gehalten und für die Praxis teilweise schwer fassbar. Trotz dieser Kritik ist in Bezug auf Art. 3 DSV aber davon auszugehen, dass Gerichte die Anforderungen an die strafrechtliche Bestimmtheit bejahen werden. Entgegen einzelnen Stimmen sollten Entscheidungsträger nicht auf das Gegenteil vertrauen. Wer also keinerlei Massnahmen bspw. im Bereich der Zugriffskontrolle ergreift, dürfte gegen die Mindestanforderungen an die Datensicherheit verstossen und sich bei Vorsatz strafbar machen. Nicht geklärt ist ferner, ob neben den aufgelisteten Kontrollmassnahmen noch weitere Massnahmen erforderlich sein können, um eine hinreichende Sicherheit im Sinne von Art. 8 Abs. 1 nDSG (im Unterschied zu den Mindestanforderungen gemäss Art. 8 Abs. 3 nDSG) zu gewährleisten. Klar erscheint aber immerhin, dass das Nichtergreifen solcher nicht in Art. 3 aufgelisteter Massnahmen nicht strafrechtlich sanktioniert werden kann.
Protokollierungspflicht
Darüber hinaus hat der Bundesrat im Abschnitt «Datensicherheit» eine weitere Bestimmung aufgenommen, die im Wesentlichen bereits in der bisherigen Verordnung enthalten war (vgl. Art. 10 und Art. 20 VDSG). Nach dem neuen Artikel 4 DSV besteht in drei Fällen die Pflicht, Datenbearbeitungen zu protokollieren (Art. 4 DSV). Es geht also um eine Massnahme, die insbesondere der oben erwähnten Eingabekontrolle dient. Die Verordnung unterscheidet drei Konstellationen, die unabhängig von den Kriterien in Art. 2-3 DSV, zu einer Pflicht zur Protokollierung führen. Es handelt sich um die Folgenden (vgl. zu den Schlüsselbegriffen unten):
- Private: automatisierte Bearbeitung von besonders schützenswerter Personendaten in grossem Umfang oder Durchführung von Profiling mit hohem Risiko (s. auch die Ausnahme);
- Bundesorgane: automatisierten Bearbeitung von Personendaten;
- Allgemein-Zugänglichmachung von Personendaten.
Zum Umfang der Protokollierung: In den ersten beiden Fällen muss das Speichern, Verändern, Lesen, Bekanntgeben, Löschen und Vernichten der Daten protokolliert werden. Im dritten Fall ist demgegenüber die Protokollierung des Lesens oder Bekanntgeben der Daten nicht verlangt. Die Protokollierung muss Aufschluss geben über die Identität der Person, die die Bearbeitung vorgenommen hat, die Art, das Datum und die Uhrzeit der Bearbeitung sowie gegebenenfalls die Identität der Empfängerin oder des Empfängers der Daten.
Die Protokolle («Logfiles») sind während mindestens einem Jahr getrennt vom Bearbeitungssystem aufzubewahren. Die Regelung sieht zudem Beschränkungen vor, wonach die Protokolle (verkürzt ausgedrückt) nur zu «Kontrollzwecken» verwendet (vgl. hierzu auch Art. 25 Abs. 2 der Richtlinie 2016/680) und von dafür zuständigen Personen eingesehen werden dürfen. Diese Übersteuerung der gesetzlichen Bearbeitungsgrundsätze im Rahmen der (untergeordneten) Verordnung geht zumindest in Bezug auf Private zu weit und es bleibt zu hoffen, dass bald eine gerichtliche Klarstellung erfolgt.
Auch wenn die Protokollierung in der Praxis bereits weit verbreitet ist, sollte die Bedeutung der Regelung nicht unterschätzt werden. Denn vielfach dürften noch nicht alle verlangten Aspekte umgesetzt sein. So sollte namentlich beim Einbezug Dritter geprüft werden, ob zusätzliche Massnahmen angezeigt sind, wobei zumindest die Auftragsbearbeiter ebenfalls ausdrücklich in die Pflicht genommen werden.
Darüber hinaus drohen bei Verstössen auch hier Strafsanktionen. Einzelne Autoren vertreten zwar auch hier die Auffassung, strafrechtliche Sanktionen seien ausgeschlossen. Die Argumentation ist jedoch nicht überzeugend, wird doch ausgeblendet, dass die Protokollierung zumindest auch der Datensicherheit dient. Der Bundesrat bezeichnet die Protokollierung jedenfalls explizit als sanktionierbare Mindestanforderung der Datensicherheit. Es ist deshalb auch hier zumindest in Bezug auf den Kern der Vorschrift von der strafrechtlichen Sanktionierbarkeit auszugehen.
Bearbeitungsreglement
Ebenfalls aus dem bisherigen Recht übernommen wurde die Pflicht zur Erstellung eines Bearbeitungsreglements. Diese gilt weiterhin sowohl für Bundesorgane (Art. 6) als auch für private Personen (Art. 5), aber neu explizit auch für die Auftragsbearbeiter, die separate Reglemente zu erstellen haben. Ein Reglement ist zu erstellen, wenn automatisiert Daten bearbeitet werden und eine der aufgelisteten Fallkonstellationen vorliegt, in welchen gemäss Bundesrat ein erhöhtes Risiko vorliegt.
Bei Privaten sind es die folgenden zwei Konstellationen, auf die auch bei der Protokollierungspflicht (und beim Verarbeitungsverzeichnis, s. unten) abgestellt wird:
- Bearbeitung besonders schützenswerter Personendaten in grossem Umfang oder
- Durchführung eines Profilings mit hohem Risiko
Bei Bundesorganen sind es mehr Fallkonstellationen und die Schwelle ist rascher überschritten, d.h. z.B. bereits bei der Bearbeitung besonders schützenswerter Daten (unabhängig vom grossen Umfang) oder der Durchführung eines «gewöhnlichen» Profilings. Ferner greift die Pflicht bspw. auch im Falle der Verknüpfung von Datenbeständen oder dem gemeinsamen Betrieb von Informatiksystem mit anderen Bundesorganen.
Wie weiter unten erläutert, fehlt die nötige Klarheit bei einigen Schlüsselbegriffen. Aufgrund der damit verbundenen Unsicherheit dürfte die Bestimmung in der Praxis eine grössere Tragweite haben als man auf den ersten Blick annehmen könnte. Dies gilt umso mehr, als bei einem Verstoss grundsätzlich ebenfalls strafrechtliche Sanktionen drohen, wird die Regelung doch vom Bundesrat ebenfalls ausdrücklich als Mindestanforderung der Datensicherheit bezeichnet. Dies erscheint fragwürdig und es gibt gute Argumente, um die Sanktionierbarkeit zu verneinen, weil der Bundesrat hier den Rahmen seiner Ermächtigung im nDSG überschritten haben dürfte.
Wer sich nicht darauf verlassen möchte, wird deshalb ein Bearbeitungsreglement erstellen müssen, wenn nicht ausgeschlossen werden kann, dass keine der erwähnten Fallkonstellationen vorliegt. Der regelmässig zu aktualisierende Inhalt des Reglements ist in der Verordnung ebenfalls festgelegt und ist für Bundesorgane und Private identisch. Verlangt sind «insbesondere» Angaben zu folgenden drei Punkten, die im Wesentlichen in der unverändert (nicht restlos klaren Form) aus der geltenden Verordnung übernommen wurden:
- interne Organisation: meint neben den verantwortlichen Organisationseinheiten offenbar auch die «Umschreibung der Architektur und der Funktionsweise der Systeme».
- Datenbearbeitungs- und Kontrollverfahren: meint z.B. Verfahren zum Speichern, Bekanntgeben, Löschen etc, aber offenbar auch Massnahmen zur Datenminimierung und das Verfahren zur Ausübung des Auskunftsrechts und der weiteren Betroffenenrechte; ferner auch Verfahren zur Kontrolle der Zugriffe.
- Massnahmen zur Gewährleistung der Datensicherheit: meint die Massnahmen, mit welchen den Schutzzielen (z.B. Vertraulichkeit etc.) Rechnung getragen wird, aber offenbar auch die «wichtigsten Grundkonfiguration der Informatikmittel» («ohne bis in die technischen Details» gehen zu müssen).
Nicht explizit erwähnt wird, was der «Bezugspunkt» des Reglements ist. Es ist aber davon auszugehen, dass dies, wie bis anhin «die Datensammlung», neu der Bearbeitungskomplex ist, in welchem die betreffende Fallkonstellation vorliegt, also bspw. der Tätigkeitsbereich, in welchem «besonders schützenswerter Personendaten in grossem Umfang» bearbeitet werden, also nicht zwingend das gesamte Unternehmen mit all seinen Datenbearbeitungen.
Ausnahme von der Pflicht zur Führung eines Verzeichnisses der Bearbeitungstätigkeiten
Mit Spannung erwartet wurde auch die Konkretisierung der Pflicht zur Führung eines Verzeichnisses der Bearbeitungstätigkeiten. Zur administrativen Entlastung der Verantwortlichen verpflichtet Art. 12 Abs. 5 nDSG den Bundesrat, für Unternehmen mit weniger als 250 Mitarbeitenden eine Ausnahme von dieser Pflicht vorzusehen. Bereits im Gesetz wird jedoch einschränkend festgelegt, dass die Ausnahme nur greifen darf, wenn die Bearbeitungen des Unternehmens ein geringes Risiko von Verletzungen der Persönlichkeit mit sich bringen.
Nach der Regelung in der Verordnung müssen Verantwortliche oder Auftragsbearbeiter im Grundsatz kein Verzeichnis führen, wenn sie:
- ein Unternehmen oder andere privatrechtliche Organisation sind (wie z.B. Vereine und Stiftungen) und am 1. Januar eines Jahres weniger als 250 Mitarbeitende haben, oder
- eine natürliche Person sind.
In Bezug auf die Ausnahme von diesem Grundsatz schafft die DSV aber nur beschränkt mehr Klarheit (Art. 24 DSV). Denn sie stellt, wie die Regelung zur Protokollierungspflicht und zum Bearbeitungsreglement, auf Schlüsselbegriffe ab, die in der Praxis schwer fassbar sind. So gilt die Ausnahme in den folgenden zwei Fällen nicht:
- Bearbeitung besonders schützenswerter Personendaten in grossem Umfang oder
- Durchführung eines Profilings mit hohem Risiko
In diesen beiden Fällen gilt somit auch für «kleinere» Unternehmen eine Pflicht zur Führung des Verzeichnisses. Im erläuternden Bericht wird aber festgehalten, dass das Verzeichnis dann nur für diese «riskanten» Bearbeitungen geführt werden muss. Ob dies den Vorstellungen des Gesetzgebers entspricht, kann durchaus bezweifelt werden. Gleiches gilt für die Sinnhaftigkeit dieser Regelung. Diese hängt jedoch auch davon ab, welche Anforderungen an die «Granularität» des Verzeichnisses gestellt werden, also in welchem Detaillierungsgrad einzelne Verarbeitungstätigkeiten aufgelistet werden müssen. So könnte es – je nach Ansicht – sein, dass ein solches «Dokument» eines kleinen Unternehmens lediglich einen Eintrag bzw. eine Zeile aufweist und insofern auch kaum von einem «Verzeichnis» gesprochen werden kann. Denkbar erschiene aber bspw., das «Verzeichnis» mit dem Bearbeitungsreglement zu verknüpfen.
Bedeutung der Schlüsselbegriffe («automatisiert», «grosser Umfang», «Profiling mit hohem Risiko»)
Die drei geschilderten Regelungen zur Protokollierung, zum Bearbeitungsreglement und zum Bearbeitungsverzeichnis stellen alle auf identische Schlüsselbegriffe ab: Diese sind jedoch in besonderem Masse auslegungsbedürftig, selbst wenn wie für das «Profiling mit hohem Risiko» im nDSG eine Legaldefinition besteht (vgl. Art. 5 lit. g nDSG).
- So ist bereits der Profiling-Begriff umstritten und die Diskussion noch nicht abgeschlossen. Auch wenn ein Profiling – entgegen einzelnen Stimmen – nicht in jeglichen Alltagshandlungen gesehen kann, ist der Begriff gleichwohl sehr weit und auch ein hohes Risiko kann relativ rasch vorliegen (vgl. dazu z.B. den Aufsatz von Lukas Bühlmann und Michael Schüepp, insb. Rz. 2 und 133 ff.).
- Ungeklärt ist auch das Verständnis von «automatisierter Bearbeitung». Es wird hier zwar analog zum Profiling davon auszugehen sein, dass alle Bearbeitungen gemeint sind, die «mit Hilfe von computergestützten Techniken erfolgen». Mangels anderslautender Anhaltspunkte ist aber – entgegen einzelnen Stellungnahmen – davon auszugehen, dass nicht nur vollumfänglich automatisierte Bearbeitungen gemeint sind (vgl. dazu z.B. den Aufsatz von Lukas Bühlmann und Michael Schüepp, Rz. 77 ff.).
- Ein Schlüsselbegriff ist auch die Bearbeitung in «grossem Umfang» (in Bezug auf besonders schützenswerte Daten im Sinne von Art. 5 lit. c nDSG). Dieser ist gleichzusetzen mit dem Begriff «umfangreich» in der gesetzlichen Regelung zur Datenschutzfolgenabschätzung (Art. 22 Abs. 2 lit. nDSG). Gemeint ist damit gemäss erläuterndem Bericht eine «grosse Menge von Daten oder eine grosse Zahl von Personen», die von der Bearbeitung betroffen sind. Trotz dieser Umschreibung bleibt der Begriff ebenfalls schwer fassbar.
Die fehlende Fassbarkeit der Schlüsselbegriffe in der Praxis erhöht die Tragweite der Regelungen zusätzlich. Denn auch Unternehmen, die kein Risiko eingehen möchten, werden im Zweifelsfalle die Pflichten erfüllen müssen.
Bekanntgabe von Personendaten ins Ausland
Ebenfalls bedeutsam ist die (immer noch kontroverse) Regelung zur Bekanntgabe ins Ausland, die in der DSV konkretisiert wird. Gemäss dem nDSG ist neu der Bundesrat zuständig für die Festlegung, ob Staaten über ein angemessenes Datenschutzniveau verfügen. In Art. 8 DSV werden die Kriterien festgelegt, an welche sich der Bundesrat bei der Entscheidung zu halten hat.
Für die Praxis bedeutsamer ist aber der Anhang 1 der DSV, in welchem die Staaten aufgelistet werden, welche über ein angemessenes Datenschutzniveau verfügen. Der Anhang wird periodisch angepasst. Änderungen sollen aber keine Auswirkungen auf die bereits erfolgten Datenbekanntgaben haben.
Schliesslich enthält der Vorentwurf auch zahlreiche Vorschriften zu den einzelnen Garantien (wie z.B. Standarddatenschutzklauseln), die für die zulässige Bekanntgabe von Personendaten in Länder ohne angemessenes Datenschutzniveau implementiert werden müssen. An der unbefriedigenden Rechtslage, insbesondere für den Einsatz von Diensten von Anbietern mit Bezug zu den USA, vermögen diese allerdings nichts zu ändern (vgl. dazu z.B. MLL-News vom 5.7.2022).
Vielzahl weiterer Detail-Regelungen
Neben den dargestellten Vorgaben enthält die DSV eine Vielzahl weiterer Regelungen, die es bei der Datenschutz-Compliance zu beachten gilt. So werden insbesondere Modalitäten gewisser Pflichten spezifiziert und dabei auch Aufbewahrungspflichten auferlegt (z.B. betreffend Dokumentation von Datenschutzfolgenabschätzungen und Data Breaches (mind. 2 Jahre)). Einige Aspekte waren bereits (unbestrittener) Gehalt der Vorschriften auf Gesetzesebene und insofern nicht zwingend (wie z.B. in Art. 7 DSV: die Art wie die Genehmigung für Subunternehmer durch Auftragsbearbeiter erteilt werden kann: allgemein oder spezifisch)). Soweit sie bloss die entsprechenden, konkreteren Vorschriften der DSGVO übernehmen, sind sie durchaus als Klarstellung willkommen (s. z.B. auch den Inhalt der Meldung bei Data Breaches, in Art. 15 DSV). Bemerkenswert ist auch der der Versuch, dem Recht auf Datenportabilität mehr Konturen zu verleihen, indem der Umfang des Anspruchs und die technischen Anforderungen an die Umsetzungen konkretisiert werden (Art. 20 und 21 DSV).
Nur beschränkt Klarheit bringt die DSV in der praktisch wichtigen Frage, inwieweit für die Beantwortung von Auskunftsbegehren ein Identitätsnachweis verlangt werden kann (vgl. aktuell Art. 1 Abs. 1 VDSG). Die DSV sieht zwar vor, dass der Verantwortliche Massnahmen zur Identifizierung treffen muss und die betroffenen Personen zur Mitwirkung verpflichtet sind, verlangt aber zugleich, dass die Massnahmen «angemessen» sein müssen. Dies macht deutlich, dass die pauschale Einforderung einer Ausweiskopie generell für jedes Auskunftsbegehren nicht verlangt ist und daher unverhältnismässig sein dürfte. Im Ergebnis nähert sich die Rechtslage damit derjenigen unter der DSGVO an (vgl. dazu z.B. MLL-News vom 10.2.2020).
Weitere Informationen: