Im Nachgang zu meinem Webinar «Neues schweizerisches Datenschutzrecht für deutsche Verantwortliche» bei der Datenschutzpartner Academy tauchte die Frage auf, wann genau ein Verzeichnis der Bearbeitungstätigkeiten geführt werden muss.
Mit dem neuen Datenschutzrecht wird per 1. September 2023 das Verzeichnis von Verarbeitungstätigkeiten gemäss Art. 30 DSGVO in der Schweiz eingeführt.
Gemäss Art. 12 Abs. 1 nDSG müssen grundsätzlich alle «Verantwortlichen und Auftragsbearbeiter […] je ein Verzeichnis ihrer Bearbeitungstätigkeiten» führen.
Gemäss Art. 12 Abs. 5 nDSG bestimmt der Bundesrat allerdings Ausnahmen für kleine und mittlere Unternehmen (KMU):
«Der Bundesrat sieht Ausnahmen für Unternehmen vor, die weniger als 250 Mitarbeiterinnen und Mitarbeiter beschäftigen und deren Datenbearbeitung ein geringes Risiko von Verletzungen der Persönlichkeit der betroffenen Personen mit sich bringt.»
Mit Art. 24 DSV hat der Bundesrat bestimmt, dass «Unternehmen und andere privatrechtliche Organisationen, die am 1. Januar eines Jahres weniger als 250 Mitarbeiterinnen und Mitarbeiter beschäftigen, sowie natürliche Personen […] von der Pflicht befreit sind», ein Verzeichnis der Bearbeitungstätigkeiten zu führen, es sei denn:
- Es werden besonders schützenswerte Personendaten in grossem Umfang bearbeitet, oder
- es wird ein Profiling mit hohem Risiko durchgeführt.
Der Bundesrat geht demnach davon aus, dass ein geringes Risiko besteht, wenn keine dieser beiden Bearbeitungstätigkeiten durchgeführt werden.
Im Umkehrschluss könnte ein hohes Risiko überhaupt nur bestehen, wenn eine dieser beiden Bearbeitungstätigkeiten durchgeführt würde. Das widerspricht allerdings Art. 22 Abs. 2 nDSG betreffend Datenschutz-Folgenabschätzung, wonach sich ein hohes Risiko grundsätzlich bei jeder Bearbeitungstätigkeit ergeben kann, «insbesondere bei Verwendung neuer Technologien, aus der Art, dem Umfang, den Umständen und dem Zweck der Bearbeitung».
Das neue Datenschutzgesetz (nDSG) oder die Datenschutzverordnung (DSV) erklären nicht, was unter einer «umfangreichen Bearbeitung» zu verstehen ist. Mögliche Kriterien wären eine grosse Zahl von betroffenen Personen in der Schweiz oder ein grosser Bestand an Daten über Personen in der Schweiz.
Ein Profiling mit hohem Risiko ist gemäss Art. 5 lit. g nDSG ein «Profiling, das ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringt, indem es zu einer Verknüpfung von Daten führt, die eine Beurteilung wesentlicher Aspekte der Persönlichkeit einer natürlichen Person erlaubt».
Fedlex: Neues Datenschutzrecht in der Schweiz im Volltext
Bild: Microsoft Bing Image Creator.