Adrian Fischbacher
Information
Themen: Datenschutz Abonnieren

Serie revDSG: Auftragsdatenbearbeitung

Information
Erstmals veröffentlicht 29 März 2022 von Adrian Fischbacher

English version below

Dieser Blogpost ist der fünfte unserer neuen Serie zum revidierten Schweizer Datenschutzgesetz.

Im revidierten Schweizer Datenschutzgesetz wird die Datenbearbeitung im Auftrag erstmals explizit geregelt (Art. 9 revDSG). Ein Auftragnehmer darf Personendaten nur so bearbeiten, wie dies der Auftraggeber auch dürfte. Der Auftragsdatenbearbeiter muss in der Lage sein, die Datensicherheit zu gewährleisten. Er darf die Datenbearbeitung nur mit vorgängiger Genehmigung des Auftraggebers an einen Subunternehmer übertragen.

Die Datenbearbeitung im Auftrag kommt im Alltag sehr häufig und in vielen verschiedenen Konstellationen vor. Sie liegt typischerweise vor, wenn Personendaten an einen externen Dienstleister übertragen werden. Beispiele von Auftragsdatenbearbeitungen sind:

  • Hosting: Ein Kunde (Auftraggeber) lässt seine Webseite von einem Webhoster (Auftragnehmer) betreiben. Die IP-Adressen der Besucher sind teilweise Personendaten, welche vom Hoster im Auftrag des Kunden bearbeitet werden.
  • Logistik: Ein Versandunternehmen (Auftragnehmer) übernimmt für einen Verkäufer (Auftraggeber) den Versand von Waren an die Endabnehmer. Die Adressdaten der Endabnehmer sind Personendaten, die vom Versandunternehmen im Auftrag des Verkäufers bearbeitet werden.
  • Buchhaltung: Ein Treuhandunternehmen (Auftragnehmer) erstellt für seinen Kunden (Auftraggeber) die Buchhaltung. Die Personalinformationen in der Lohnbuchhaltung sind Personendaten, die das Treuhandunternehmen im Auftrag des Kunden bearbeitet.
  • Call-Center: Ein Call-Center (Auftragnehmer) führt für seinen Kunden (Auftraggeber) Telefongespräche. Wenn in den Gesprächen Personendaten ausgetauscht werden, findet eine Datenbearbeitung im Auftrag des Kunden statt.
  • IT-Support: Ein IT-Unternehmen (Auftragnehmer) greift auf die Systeme seines Kunden (Auftraggeber) zu, um die Systeme zu warten. Sofern sich auf den Systemen Personendaten befinden, liegt eine Auftragsdatenbearbeitung durch den Support vor.

Um den Anforderungen der Datenschutzgesetzgebung gerecht zu werden, wird zwischen dem Auftraggeber und dem Auftragnehmer typischerweise ein Auftragsdatenbearbeitungsvertrag (ADV) abgeschlossen. Darin wird vertraglich sichergestellt, dass der Auftragnehmer seine Kompetenzen nicht überschreitet und die Daten nur so bearbeitet, wie der Auftraggeber dies selbst tun würde. Auftragsdatenbearbeitungsverträge sind damit ein wichtiges Instrument der Datenschutz-Compliance.

Wenn ein Schweizer Unternehmen der europäischen DSGVO unterliegt, so muss es bereits heute die Regelung von Art. 28 DSGVO zum Auftragsdatenbearbeitungsvertrag einhalten. Art. 28 DSGVO gibt vor, welche Regelungen ein ADV mindestens enthalten muss.

In unserer Blogserie zum revidierten Schweizer Datenschutzgesetz beleuchten wir im Wochenrhythmus die wichtigsten Punkte der Revision.


English version:

Series revDSG: Data processing by order

This blogpost is the fifth in our new series on the revised Swiss Data Protection Act.

In the revised Swiss Data Protection Act, data processing by order is explicitly regulated for the first time (Art. 9 revDSG). A contractor may only process personal data in the same way as the client would be permitted to do. The data processor must be able to guarantee data security. He may only transfer data processing to a subcontractor with the prior approval of the client.

Data processing by order occurs very frequently in everyday life and in many different constellations. It typically occurs when personal data is transferred to an external service provider. Examples of commissioned data processing are:

  • Hosting: a customer (client) has its website operated by a web hoster (contractor). The IP addresses of the visitors are partly personal data, which are processed by the hoster on behalf of the customer.
  • Logistics: A shipping company (contractor) handles the shipping of goods to end users on behalf of a seller (client). The address data of the end buyers is personal data that is processed by the shipping company on behalf of the seller.
  • Accounting: A fiduciary company (contractor) prepares accounting for its customer (client). Payroll personnel information is personal data processed by the fiduciary company on behalf of the client.
  • Call Center: A call center (contractor) makes telephone calls for its customer (client). If personal data is exchanged in the calls, data processing takes place on behalf of the customer.
  • IT support: An IT company (contractor) accesses the systems of its customer (client) in order to maintain the systems. If there is personal data on the systems, this is data processing on behalf of the support.

In order to meet the requirements of data protection legislation, a data processing agreement (DPA) is typically concluded between the client and the contractor. This contractually ensures that the contractor does not exceed its competencies and only processes the data in the same way as the client would do itself. Commissioned data processing contracts are therefore an important instrument for data protection compliance.

If a Swiss company is subject to the European GDPR, it must already comply with the provision of Art. 28 GDPR on data processing agreements. Art. 28 GDPR specifies which regulations a DPA must contain as a minimum.

In our blog series on the revised Swiss Data Protection Act, we highlight the most important points of the revision in a weekly rhythm.

Adrian Fischbacher
Information
Themen: Datenschutz Abonnieren

Serie revDSG: Verzeichnis der Datenbearbeitungen

Information
Erstmals veröffentlicht 25 März 2022 von Adrian Fischbacher

English version below

Dieser Blogpost ist der vierte unserer neuen Serie zum revidierten Schweizer Datenschutzgesetz.

Das revidierte Schweizer Datenschutzgesetz verpflichtet zur Erstellung eines Verzeichnisses der Bearbeitungstätigkeiten. Es handelt sich dabei um eine Liste, in welchem ein Unternehmen alle Prozesse auflistet, in welchen Personendaten bearbeitet werden.

Art. 12 revDSG gibt vor, welche Angaben das Verzeichnis enthalten muss. Konkret sollte für jeden Prozess die folgenden Angaben ermittelt werden:

  • Wer ist für die Bearbeitung verantwortlich?
  • Wer ist der Auftragsdatenbearbeiter?
  • Zu welchem Zweck werden die Daten bearbeitet?
  • Welche Kategorien von Personen sind betroffen?
  • Welche Kategorien von Daten sind betroffen?
  • An welche Kategorien von Empfängern werden Daten übertragen?
  • Wie lange werden die Daten aufbewahrt?
  • Mit welchen Massnahmen wird die Datensicherheit gewährleistet?
  • In welche Länder werden Daten übertragen? Welche Garantien zur Sicherstellung des Datenschutzes bestehen beim Transfer in diese Länder?

Nach der Revision muss das Verzeichnis von Unternehmen mit mehr als 250 Mitarbeitern zwingend geführt werden. Kleinere Unternehmen oder Privatpersonen müssen nur dann ein Verzeichnis führen, wenn sie umfangreich besonders schützenswerte Personendaten bearbeiten oder ein Profiling mit hohem Risiko durchführen (Art. 26 revVDSG). Diese Regelung entstammt dem Entwurf der Verordnung zum revDSG und könnte bis zum Inkrafttreten des Gesetzes allenfalls noch verändert werden.

Unternehmen die der europäischen DSGVO unterliegen, müssen aufgrund der Regelung in Art. 30 DSGVO bereits heute ein solches Verzeichnis führen.

In unserer Blogserie zum revidierten Schweizer Datenschutzgesetz beleuchten wir im Wochenrhythmus die wichtigsten Punkte der Revision.


English version:

Series revDSG: Directory of data processing operations

This blogpost is the fourth in our new series on the revised Swiss Data Protection Act.

The revised Swiss Data Protection Act requires the creation of a register of processing activities. This is a list in which a company lists all processes in which personal data are processed.

Art. 12 revDSG specifies what information the directory must contain. Specifically, the following information should be identified for each process:

  • Who is responsible for the processing?
  • Who is the commissioned data processor?
  • For what purpose is the data processed?
  • What categories of individuals are affected?
  • What categories of data are affected?
  • To which categories of recipients is data transferred?
  • How long will the data be stored?
  • What measures are taken to ensure data security?
  • To which countries is data transferred? What guarantees are in place to ensure data protection when transferring to these countries?

After the revision, it will be mandatory for companies with more than 250 employees to maintain the directory. Smaller companies or private individuals only have to keep a directory if they extensively process particularly sensitive personal data or carry out high-risk profiling (Art. 26 revVDSG). This regulation originates from the draft of the ordinance to the revDSG and could still be changed until the law enters into force.

Companies that are subject to the European GDPR must already maintain such a directory today due to the regulation in Art. 30 GDPR.

In our blog series on the revised Swiss Data Protection Act, we highlight the most important points of the revision in a weekly rhythm.

Adrian Fischbacher
Information
Themen: Datenschutz Abonnieren

Serie revDSG: Informationspflichten

Information
Erstmals veröffentlicht 14 März 2022 von Adrian Fischbacher

Dieser Blogpost ist der dritte unserer neuen Serie zum revidierten Schweizer Datenschutzgesetz.

Das revidierte Schweizer Datenschutzgesetz enthält als Kernelement den Ausbau der Informationspflichten gegenüber den Betroffenen. Wer Personendaten bearbeitet, muss die betroffenen Personen darüber informieren. Die Information ist künftig bei allen Personendaten zwingend; bisher war dies bloss bei besonders schützenswerten Personendaten und Persönlichkeitsprofilen der Fall.

Mit der Informationspflicht wird ein zentrales Anliegen des Datenschutzrechts verwirklicht: Das Datenschutzrecht hat nicht zum Ziel, Datenbearbeitungen per se zu verhindern. Vielmehr ist die Datenbearbeitung grundsätzlich erlaubt, solange die Betroffenen davon wissen und notfalls widersprechen oder ihre Rechte geltend machen können. Mit einer transparenten Information lassen sich daher viele datenschutzrechtliche Probleme und Ängste vermeiden.

Typischerweise erfolgt die Information in einer Datenschutzerklärung. Folgende Punkte müssen gemäss Art. 19 revDSG offengelegt werden:

  • Identität und Kontaktdaten des Verantwortlichen
  • Bearbeitungszweck
  • Empfänger der Daten, falls diese an Dritte übermittelt werden
  • Kategorien der Daten, falls die Daten nicht direkt bei der betroffenen Person beschafft werden
  • Länder, in welche die Daten übermittelt werden und ggf. zusätzliche Garantien, falls das Datenschutzniveau in diesem Land nicht ausreichend ist

Auf unserer Seite zum ICT-Recht stellen wir Ihnen eine Muster-Datenschutzerklärung zum Download bereit.

In unserer Blogserie zum revidierten Schweizer Datenschutzgesetz beleuchten wir im Wochenrhythmus die wichtigsten Punkte der Revision.

 


English version:

Series revDSG: Information requirements

This blogpost is the third in our new series on the revised Swiss Data Protection Act.

The revised Swiss Data Protection Act contains as a core element the expansion of the information obligations towards the data subjects. Anyone who processes personal data must inform the persons that are affected. With the revised act, the information will be mandatory for all personal data; previously, this was only the case for personal data requiring special protection and personality profiles.

The obligation to provide information implements a central concern of data protection law: data protection law does not aim to prevent data processing altogether. Rather, data processing is generally permitted as long as the data subjects know about it and can object or assert their rights if necessary. Transparent information can therefore avoid many data protection problems and fears.

Typically, the information is provided in a privacy policy. The following points must be disclosed according to article 19 revDSG:

  • Identity and contact details of the data controller
  • Purpose of processing
  • Recipients of the data, if the data is transferred to third parties
  • Categories of data, if the data is not obtained directly from the data subject
  • Countries to which the data is transferred and, if applicable, additional guarantees if the level of data protection in that country is insufficient

On our page on ICT law, we provide a sample privacy policy for download [in German].

In our blog series on the revised Swiss Data Protection Act, we highlight the most important points of the revision in a weekly rhythm.

Adrian Fischbacher
Information
Themen: Datenschutz Abonnieren

Revidiertes Schweizer Datenschutzgesetz tritt voraussichtlich per 1. September 2023 in Kraft

Information
Erstmals veröffentlicht 03 März 2022 von Adrian Fischbacher

English version below

Vor Kurzem haben wir an dieser Stelle die Roadmap bis zum Inkrafttreten des revidierten Schweizer Datenschutzgesetzes beleuchtet (siehe den Blogpost vom 16. Februar 2022). Bis heute war nicht festgelegt, an welchem Datum das revidierte Gesetz in Kraft gesetzt wird. Nun hat die Bundesverwaltung den 1. September 2023 genannt, wobei der Bundesrat dies noch bestätigen muss. Dies ist später als erwartet, bisher ging man vom 1. Januar 2023 aus. Damit verbleibt den Schweizer Unternehmen noch ein Zeitraum von rund 1.5 Jahren, um sich auf die Neuerungen vorzubereiten. Wir empfehlen, diese Vorbereitung so bald wie möglich anzugehen.


English version:

We recently highlighted the roadmap to the entry into force of the revised Swiss Data Protection Act here (see the blog post dated February 16, 2022). Until today, it had not been determined on which date the revised law would enter into force. Now, the federal administration has mentioned September 1, 2023, although the Federal Council has yet to confirm this. This is later than expected, previously it was assumed that the date would be January 1, 2023. This leaves Swiss companies a period of around 1.5 years to prepare for the changes. We recommend to start this preparation as soon as possible.

Adrian Fischbacher
Information
Themen: Daten Abonnieren

EU: Entwurf für ein künftiges Datengesetz publiziert

Information
Erstmals veröffentlicht 24 Februar 2022 von Adrian Fischbacher

English version below

Am 23. Februar 2022 hat die Europäische Kommission den ersten Entwurf für ein künftiges Datengesetz vorgestellt. Mit diesem Gesetz soll die europäische Datenstrategie umgesetzt werden, welche klare Regeln für den Zugang zu Daten und die Weiterverwendung von Daten fordert.

Aktuell wird der Zugang und die Weitergabe von Daten kaum reguliert, solange es sich nicht um Personendaten handelt. Im Zuge der fortschreitenden Digitalisierung stellt sich immer häufiger die Frage, wer das Recht hat, auf bestimmte Daten zuzugreifen. Die Thematik ist beispielsweise bei der Reparatur und Weiterentwicklung von Geräten relevant: Früher konnte ein mechanisches Gerät geöffnet und analysiert werden, um anschliessend eine Reparatur oder Modifikation vorzunehmen. Heute erfassen Geräte zwar immer mehr Daten, allerdings schotten die Hersteller ihre Produkte meist so ab, dass nur sie selbst auf diese Daten zugreifen können. Die Europäische Kommission plant, mit dem Datengesetz neue Rechte zu schaffen. So müssten neue Geräte darauf ausgerichtet sein, dass der Benutzer direkt auf die Nutzungsdaten zugreifen kann (Art. 3). Ist dies nicht möglich, so darf der Nutzer die Daten beim Hersteller herausverlangen (Art. 4) und an Dritte weitergeben (Art. 5). Ein Nutzer könnte somit Zugriff auf die Gerätedaten verlangen, um selbst oder mit Hilfe eines Dritten eine Reparatur oder ggf. Modifikation des Geräts durchzuführen.

Der Gesetzesentwurf führt damit Überlegungen fort, die seit einigen Jahren durch die «Right to repair»-Bewegung sowohl in Europa als auch in den USA propagiert werden. Die Konsumenten geben sich nicht mehr damit zufrieden, von den Herstellern aus ihren Geräten (deren Eigentümer sie sind) ausgesperrt zu werden. Ein wichtiger Punkt ist dabei auch die Vermeidung von Elektroschrott durch Produkte, die nicht repariert werden können. Bisherige Meilensteine in diesem Bereich sind beispielsweise die EU Gruppenfreistellungsverordnung Nr. 461/2010 (Reparatur von Fahrzeugen durch freie Werkstätten) oder die Richtlinie 2009/125/EG (Ökodesign-Richtlinie).

Für Unternehmen wäre eine EU-Datengesetzgebung – wenn sie denn in dieser Form eingeführt wird – ein zusätzlicher Baustein, der in der IP-Strategie berücksichtigt werden sollte. Eine ausgewogene IP-Strategie sollte die Bereiche Patente, Urheberrechte, Designs, Marken, Datenschutz und (künftig) Datenrechte abdecken.

 


English version:

On February 23, 2022, the European Commission presented the first draft of a future Data Act. This law is intended to implement the European Data Strategy, which calls for clear rules on access to data and the further use of data.

Currently, access to and reuse of data is hardly regulated as long as it is not personal data. As digitization progresses, the question of who has the right to access certain data arises more and more frequently. The issue is relevant, for example, in the repair and further development of devices: In the past, a mechanical device could be opened and analyzed in order to subsequently carry out a repair or modification. Today, devices are collecting more and more data, but manufacturers usually seal off their products so that only they can access this data. With the Data Act, the European Commission plans to create new rights. For example, new devices would have to be designed to allow the user direct access to usage data (Art. 3). If this is not possible, the user could request the data from the manufacturer (Art. 4) and would be allowed to pass it on to third parties (Art. 5). A user could thus demand access to the device data in order to repair or, if necessary, modify the device himself or with the help of a third party.

The draft law thus continues considerations that have been propagated for some years by the "right to repair" movement both in Europe and in the USA. Consumers no longer accept to be locked out of their devices (that they own) by the manufacturers. An important point here is also the avoidance of electronic waste caused by products that cannot be repaired. Previous milestones in this field include EU Block Exemption Regulation No. 461/2010 (repair of vehicles by independent repair shops) or Directive 2009/125/EC (Ecodesign Directive).

For companies, EU data legislation – if introduced in this form – would be a topic that should be addressed in the IP strategy. A balanced IP strategy should cover patents, copyrights, designs, trademarks, data protection and (future) data rights.