Die Revision des Schweizer Datenschutzrechts - Auswirkungen auf den Schweizer E-Commerce - XBorder20 Lukas Bühlmann, Michael Reinle - MLL-News
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Die Revision des Schweizer Datenschutzrechts – Auswirkungen auf den Schweizer E-Commerce XBorder20 Lukas Bühlmann, Michael Reinle 26. August 2020
Agenda 1. Weshalb eine Revision? 2. Was ändert sich? 3. Wie wirken sich die Änderungen auf die Branche aus?
Stand der Revision?
4
Ablauf der Beratungen über das E-DSG
September 2017: Zurzeit:
Botschaft des Differenzbereinigung
Dezember 2016: Bundesrats Mitte – Ende 2019: Inkrafttreten
Vernehmlassung Beratungen der voraussichtlich
zum Vorentwurf für parlamentarischen 2021
eine Totalrevision Kommissionen und Räte
des DSG
Was ändert sich?
Neuerungen beim Anwendungsbereich und den allgemeinen Grundsätzen
7
Anwendungsbereich
Grundsatz: DSG gilt für die Bearbeitung von
Personendaten natürlicher Personen durch
(Art. 2 E-DSG):
Private Personen und
Bundesorgane
Extraterritoriale Wirkung (Art. 2a E-DSG): DSG
auf Sachverhalte anwendbar, die sich in der
Schweiz auswirken, auch wenn sie im
Ausland veranlasst werden
DSGVO: Kennt Extraterritorialität in Bezug auf
die Verhaltensbeobachtung und das Angebot
an betroffene Personen in der Union (Art. 3
DSGVO)
8
Grundprinzipien des DSG (Art. 5 E-DSG)
Treu und
Rechtmässig- Glauben
keit
Richtigkeit der Verhältnis-
Daten mässigkeit
Erkennbarkeit Zweckbindung
9
Einwilligung
E-DSG (Art. 5 Abs. 6 und 7) DSG (Art. 4 Abs. 5)
Ist die Einwilligung der betroffenen Person erforderlich, so ist Ist für die Bearbeitung von Personendaten die Einwilligung
diese Einwilligung nur gültig, wenn sie für eine oder der betroffenen Person erforderlich, so ist diese Einwilligung
mehrere bestimmte Bearbeitungen nach angemessener erst gültig, wenn sie nach angemessener Information
Information, freiwillig erteilt wird freiwillig erfolgt
Die Einwilligung muss ausdrücklich erfolgen für: Bei der Bearbeitung von besonders schützenswerten
a. die Bearbeitung von besonders schützenswerten Personendaten; Personendaten oder Persönlichkeitsprofilen muss die
b. ein Profiling mit hohem Risiko durch eine private Person; oder Einwilligung zudem ausdrücklich erfolgen
c. ein Profiling durch ein Bundesorgan
Ausdrückliche Einwilligung zwingend (Art. 5 Abs. 7 E-DSG):
Bearbeitung von besonders schützenswerten Personendaten;
Profiling mit hohem Risiko durch eine private Person; oder
ein Profiling durch ein Bundesorgan
Neu: Wording (inhaltliche Annäherung an DSGVO unklar) und ausdrückliche Einwilligung bei Profiling mit hohem
Risiko und bei Bearbeitung besonders schützenswerter Personendaten – ansonsten gemäss Botschaft keine
grundlegende materielle Änderung bei Einwilligung an sich vorgesehen
Wichtig: «Ist eine Einwilligung erforderlich» – Nach wie vor ist nicht für jede Datenbearbeitung eine Einwilligung
oder eine andere Rechtfertigung erforderlich
Aber: Unklar, ob Änderung bei Absatz 7 – in genannten Fällen immer ausdrückliche Einwilligung oder – wie
bestehend – nur, wenn Einwilligung erforderlich
10 Was ist ein Verantwortlicher, was ein Auftragsbearbeiter? Verantwortlich ist, wer allein oder zusammen mit anderen über den Zweck und die Mittel der Bearbeitung entscheidet (Art. 4 lit. i E-DSG) Auftragsbearbeiter ist, wer im Auftrag des Verantwortlichen Personendaten bearbeitet (Art. 4 lit. j E-DSG) Beispiel: Inhaber CRM-Datenbank vs. SaaS-Anbieter CRM-Anwendung Neu: Änderung der Terminologie (Einführung einer Definition des Auftragsbearbeiters und Verantwortlichen)
11
Was ist Profiling?
Definition (Art. 4 lit. f E-DSG): Profiling ist die
Bewertung bestimmter Merkmale einer Person auf
der Grundlage von automatisiert bearbeiteten
Personendaten, insbesondere um die
Arbeitsleistung, die wirtschaftlichen Verhältnisse,
die Gesundheit, das Verhalten, die Vorlieben, den
Aufenthaltsort oder die Mobilität zu analysieren
oder vorherzusagen
Beispiel: Bonitätsprüfungen, Erstellen von
Nutzerprofilen oder ggf. CRM-Analysen
Neu: Profiling statt Persönlichkeitsprofil –
Anpassung an internationale Regelungen –
Profiling ist ein Prozess, während
Persönlichkeitsprofil Ergebnis einer
Datenbearbeitung war
Umstritten: Umgang mit Profiling, das hohes Risiko
für die Persönlichkeit oder die Grundrechte der
betroffenen Person mit sich bringt ggf. nur mit
ausdrücklicher EinwilligungWichtigste weitere Änderungen
13 Übersicht Informationspflichten (Art. 17 f. E-DSG) Datenschutzberater/in (Art. 9 E-DSG) Verzeichnis über die Bearbeitungstätigkeiten (Art. 11 E-DSG) Bekanntgabe von Personendaten ins Ausland (Art. 13 ff. E-DSG) Auftragsbearbeitung (Art. 8 E-DSG) Konzernprivileg (Art. 18 Abs. 4, Art. 24 Abs. 2bis und Art. 27 Abs. 2 lit. b E- DSG) Durchführen von Datenschutz-Folgenabschätzungen (Art. 20 f. E-DSG) Meldung von Verletzungen der Datensicherheit (Art. 22 E-DSG) Privacy by Design und Privacy by Default (Art. 6 E-DSG) Bezeichnung eines Vertreters in der Schweiz (Art. 12a E-DSG) Rechte der betroffenen Personen (Art. 23 ff. E-DSG)
Ausgewählte neue Pflichten und Prozesse
15
Informationspflichten –
Beschaffung direkt (Art. 17 E-DSG)
Aktuelles DSG: Bei «normalen» Personendaten an
sich keine aktive Informationspflicht –
Transparenzgebot anwendbar
E-DSG: Verantwortlicher informiert betroffene Person
bei der Beschaffung mindestens über:
die Identität und die Kontaktdaten des
Verantwortlichen
den Bearbeitungszweck
Ggf. die Empfänger oder die Kategorien von
Empfängern, denen Personendaten
bekanntgegeben werden
Bei Auslandsbekanntgabe: den Staat oder das
internationale Organ und ggf. die Garantien
DSGVO: Katalog der Informationen ist ausführlicher
Neu: Ausführliche Regelung mit
Mindestinformationspflicht (Transparenz); strafbewehrt16 Informationspflichten – Beschaffung direkt (Art. 17 E-DSG) Umsetzung Keine konkreten Vorgaben Aber: Betroffene Person muss Möglichkeit zur Kenntnisnahme haben – nicht erforderlich ist effektive Kenntnisnahme Allgemeine Information in Datenschutzerklärung (auf Website) oder Allgemeinen Geschäftsbedingungen – leicht zugänglich, vollständig und genügend sichtbar Mehrstufige Information Ungenügend: Einfache Angabe einer Kontaktperson Praxis in EU als Benchmark
17
Informationspflichten – Beschaffung indirekt (Art. 17 E-DSG)
Verantwortlicher informiert betroffene Person bei der Beschaffung mindestens über:
die Identität und die Kontaktdaten des Verantwortlichen
die Kategorien der bearbeiteten Personendaten
den Bearbeitungszweck
ggf. Empfänger oder die Kategorien von Empfängern, denen Personendaten bekanntgegeben
werden
Bei Auslandsbekanntgabe: den Staat oder das internationale Organ und ggf. die Garantien
Zeitpunkt der Information: Innert eines Monats nach Beschaffung der Daten; gibt
der Verantwortliche Daten vor Ablauf dieser Frist bekannt, hat er im Zeitpunkt der
Bekanntgabe zu informieren
DSGVO: Katalog der Informationen ist ausführlicher; aber in E-DSG bei Empfängern ein
Wahlrecht (in EU, sofern bekannt, Angabe des Empfängers und nicht nur der Kategorie)
Neu: Ausführliche Regelung mit Mindestinformationspflicht (Transparenz); strafbewehrt18 Informationspflichten – Beschaffung indirekt (Art. 17 E-DSG) Umsetzung Betroffene Person hat die Möglichkeit der effektiven Kenntnisnahme Je nach Umständen allgemeine Information (z.B. Datenschutzerklärung auf Website) nicht ausreichend – aktive Information notwendig
19
Informationspflichten – Ausnahmen (Art. 18 E-DSG)
Die Informationspflicht entfällt, wenn (alternativ):
die betroffene Person bereits über die entsprechenden Informationen verfügt
die Bearbeitung gesetzlich vorgesehen ist
es sich beim Verantwortlichen um eine private Person handelt, die gesetzlich zur
Geheimhaltung verpflichtet ist -> Geheimhaltungspflicht geht der Informationspflicht vor
die auf Medien beschränkten Voraussetzungen erfüllt sind
Die Informationspflicht entfällt zudem, bei indirekter Beschaffung,
wenn (alternativ):
die Information nicht möglich ist
die Information einen unverhältnismässigen Aufwand erfordert
Einschränkung, Aufschiebung oder Verzicht auf Information in gewissen Konstellationen
DSGVO: ähnlich, aber Ausnahmen sind enger gefasst
Neu: Regelung von Ausnahmen zur Informationspflicht20 Informationspflicht bei automatisierter Einzelentscheidung (Art. 19 E-DSG) «über eine Entscheidung, die ausschliesslich auf einer automatisierten Bearbeitung, einschliesslich Profiling, beruht und die für sie mit einer Rechtsfolge verbunden ist oder sie erheblich beeinträchtigt.» Automatisiert: Inhaltliche Beurteilung des Sachverhalts, auf dem die Entscheidung beruht, erfolgt ohne Dazutun einer natürlichen Person und darüber hinaus wird auch der Entscheid, der auf der Basis dieser Sachverhaltsbeurteilung ergeht, nicht von einer natürlichen Person getroffen Rechtsfolge: Unmittelbare, rechtlich vorgesehene Konsequenzen für die betroffene Person (z.B. Vertragsschluss) Erhebliche Beeinträchtigung: Betroffene Person ist auf nachhaltige Weise z. B. in ihren wirtschaftlichen oder persönlichen Belangen eingeschränkt Konsequenzen: Betroffene Person kann verlangen, dass die Entscheidung von einer natürlichen Person überprüft wird Ausnahmen: Unmittelbarer Zusammenhang mit dem Abschluss oder der Abwicklung eines Vertrags zwischen dem Verantwortlichen und der betroffenen Person und ihrem Begehren wird stattgegeben; Einwilligung
21
Datenschutzberater/in
(Art. 9 E-DSG)
Terminologie: Datenschutzberater =
Datenschutzbeauftragter (DSGVO)
Benennung eines Datenschutzberaters
möglich, aber nicht zwingend
Vorteile der Benennung: Keine
Konsultation des EDÖB bei Datenschutz-
Folgenabschätzungen nötig – aber nur,
wenn der Datenschutzberater effektiv in
die Folgenabschätzung involviert war
Anforderungen an Datenschutzberater:
Fachliche und persönliche Unabhängigkeit
Weisungsungebundenheit
Erforderliche Fachkenntnisse22
Datenschutzberater/in (Art. 9 E-DSG)
Aufgaben des Datenschutzberaters:
Schulung und Beratung des Verantwortlichen in Fragen des Datenschutzes
Mitwirkung beim Vollzug der Datenschutzvorschriften
Pflichten des Verantwortlichen:
Meldung des Datenschutzberaters beim EDÖB
Veröffentlichung der Kontaktdaten des Datenschutzberaters
DSGVO: u.U. besteht eine Pflicht zur Benennung eines Datenschutzbeauftragten:
umfangreiche regelmässige und systematische Überwachung von betroffenen Personen
Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen
Verarbeitung besonderer Kategorien von Daten
kein Wahlrecht des Verantwortlichen
Neu: Legaldefinition der Anforderungen und Aufgaben sowie Melde- und
Veröffentlichungspflicht des freiwillig benannten Datenschutzberaters23
Verzeichnis über die
Datenbearbeitung (Art. 11 E-DSG)
Herzstück der datenschutzrechtlichen
Compliance
Neu: Pflicht zur Führung eines Verzeichnisses
über die Datenbearbeitungen mit Vorgaben zum
Mindestinhalt
Ist vom Verantwortlichen und in kondensierter
Form vom Auftragsbearbeiter zu führen
Bundesrat sieht Ausnahmen zur Führungspflicht
vor für:
Unternehmen mit weniger als 250
Mitarbeitenden
deren Datenbearbeitung nur ein geringes Risiko
von Verletzungen der Persönlichkeit der
betroffenen Personen mit sich bringen
Praxistipp: Führung mittels spezifischem Tool24
Auftragsbearbeitung (Art. 8 E-DSG)
Auftragsbearbeitung stützt sich auf einen Vertrag (oder ein
Gesetz)
Vertrag als zentrales Beweismittel
Auftragsbearbeiter ist zu verpflichten, Daten nur so zu
bearbeiten wie der Verantwortliche und die Datensicherheit zu
gewährleisten - Sorgfaltspflicht
Der Auftragsbearbeitung stehen keine gesetzlichen oder
vertraglichen Geheimhaltungspflichten entgegen
Beizug von Unter-Auftragsbearbeitern durch den
Auftragsbearbeiter nur mit vorgängiger Zustimmung des
Verantwortlichen
DSGVO: Weitergehende Mindestvorgaben an Vertragsinhalt
Neu: Regelung bzgl. Unter-Auftragsbearbeitern
Wichtig: Verletzung von Art. 8 Abs. 1 und 2 E-DSG sind
sanktionsbewehrt – Erhöht die Wichtigkeit dieser
Sorgfaltspflichten im Vergleich zum bestehenden Recht25
Durchführen von Datenschutz-
Folgenabschätzungen
(Art. 20 f. E-DSG)
Zweck: Vorgängige Beurteilung und ggf. bereits Reduktion von
datenschutzrechtlichen Risiken einer neuen Datenbearbeitung
Vorgängig zur Aufnahme der Bearbeitungstätigkeit
Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung bei
hohen Risiken für die Persönlichkeit oder die Grundrechte der
betroffenen Person
Ähnliche Bearbeitungstätigkeiten können in einer Datenschutz-
Folgenabschätzung beurteilt werden
Nicht notwendig bei Vorliegen von vom EDÖB genehmigten
Zertifizierungen (Art. 12 E-DSG) oder Verhaltenskodizes (Art. 10 E-
DSG)
Ausgenommen auch Datenbearbeitungen durch Private, die zur
Erfüllung einer gesetzlichen Pflicht des Verantwortlichen erfolgen
DSGVO: Vergleichbare Regelung, aber höherer Detaillierungsgrad
Neu: Pflicht zur Durchführung von Datenschutz-Folgenabschätzungen26
Durchführen von Datenschutz-Folgenabschätzungen
(Art. 20 f. E-DSG)
Hohe Risiken:
bei der Verwendung neuer Technologien aus der Art, dem Umfang, den Umständen
und dem Zweck der Bearbeitung
Z.B: bei der umfangreichen Bearbeitung besonders schützenswerter Personendaten
(CRM) oder wenn systematisch umfangreiche öffentliche Bereiche überwacht werden
(Videoüberwachung).
Inhalt:
Beschreibung der geplanten Bearbeitung
Bewertung der Risiken für die Persönlichkeit oder die Grundrechte der betroffenen
Person
Massnahmen zum Schutz der Persönlichkeit und der Grundrechte
Ggf. Pflicht zur Konsultation des EDÖB (Art. 21 E-DSG)
DSGVO: Weiterführender Katalog an hohen Risiken und weitergehende inhaltliche
Anforderungen an Datenschutz-Folgenabschätzungen27
Bezeichnung eines Vertreters in der Schweiz (Art. 12a E-DSG)
Verantwortliche mit Sitz oder Wohnsitz im Ausland
Bezeichnung eines Vertreters in der Schweiz, sofern (kumulativ):
Personendaten von Personen in der Schweiz bearbeitet werden
die Bearbeitung im Zusammenhang mit in der Schweiz angebotenen Waren und Dienstleistungen
besteht oder das Verhalten dieser Personen beobachtet wird
die Bearbeitung umfangreich ist
die Bearbeitung regelmässig erfolgt
die Bearbeitung ein hohes Risiko für die Persönlichkeit der betroffenen Personen mit sich bringt
Beispiel: Betrieb eines grossen Webshops mit Kunden in der Schweiz, Kundenbearbeitung &
Marketing von ausserhalb der Schweiz (zalando.ch)
Vertreter als Anlaufstelle für Betroffene und den EDÖB
Veröffentlichung des Namens und der Adresse des Vertreters
DSGVO: Entsprechende Pflicht für Schweizer Verantwortliche gemäss Art. 27 DSGVO – sofern
Datenbearbeitungen im Anwendungsbereich der DSGVO
Neu: Pflicht zur Bezeichnung eines Vertreters in der Schweiz durch ausländische Verantwortliche28
Rechte der betroffenen Person - Überblick
Ausbau der Rechte der betroffenen Person
Zweck: Ermöglichung einer verstärkten Kontrolle durch die betroffenen
Personen
Rechte (Art. 23 E-DSG i.V.m. Art. 28 E-DSG):
Recht auf Auskunft
Recht auf Berichtigung
Recht auf Löschung/Vernichtung
Recht auf Einschränkung der Bearbeitung
Recht auf Datenherausgabe/-übertragung
Recht, bestimmte Bekanntgabe von Personendaten an Dritte zu untersagen
Recht auf Widerruf einer Einwilligung
Recht zum Eintrag eines Bestreitungsvermerks («Swiss Finish»)29
Recht auf Auskunft (Art. 23 E-DSG)
Betroffene Person kann die Informationen anfordern, die erforderlich sind, damit sie ihre
Rechte geltend machen kann und eine transparente Datenbearbeitung gewährleistet ist
Zwingend (mindestens) mitzuteilen ist der betroffenen Person:
die Identität und die Kontaktdaten des Verantwortlichen
die bearbeiteten Personendaten
der Bearbeitungszweck
die Aufbewahrungsdauer der Personendaten oder, falls dies nicht möglich ist, die Kriterien zur
Festlegung dieser Dauer
die verfügbaren Angaben über die Herkunft der Personendaten, soweit sie nicht bei der
betroffenen Person erhoben wurden
ggf. das Vorliegen einer automatisierten Einzelentscheidung sowie die Logik, auf der die
Entscheidung beruht
ggf. die Empfänger oder die Kategorien von Empfängern, denen Personendaten
bekanntgegeben werden sowie den Staat oder das internationale Organ und gegebenenfalls
die Garantien
Neu: Ausbau des Katalogs an zwingenden Informationen; strafbewehrt30
Rechte der betroffenen Person - Modalitäten
Auskunftserteilung in der Regel innert 30 Tagen (Art. 23 Abs. 7 E-DSG)
Regel: Kostenlosigkeit (Art. 23 Abs. 1 E-DSG)
Verweigerung, Einschränkung oder Aufschiebung (selten) möglich (Art. 24 E-
DSG):
Gesetz im formellen Sinn (z.B. Berufsgeheimnis)
überwiegende Interessen Dritter
Auskunftsgesuch offensichtlich unbegründet oder querulatorisch
Der Verantwortliche ist eine private Person, überwiegende Interessen des
Verantwortlichen erfordern die Verweigerung, Einschränkung oder Aufschiebung
und die Personendaten werden nicht an Dritte bekannt gegebenWeitere Änderungen
32 Befugnisse des EDÖB (Art. 44 ff. E-DSG) Ausbau der Kompetenzen und Befugnisse Verfügungsbefugnis nach Abschluss einer Untersuchung, die von Amtes wegen oder auf Anzeige hin eingeleitet wurde (Art. 44 E-DSG) Verbindlichkeit der Verfügung (nicht mehr blosse Empfehlungen) Weitgehende Mitwirkungspflichten des Verantwortlichen bei Untersuchung Kann unter bestimmten Voraussetzungen (insb. Gegenseitigkeit) mit ausl. Aufsichtsbehörden Informationen oder Personendaten austauschen DSGVO: Weitestgehend deckungsgleich, aber EDÖB hat keine Bussenkompetenz Neu: Verfügungsbefugnis des EDÖB; Nicht-Befolgung strafbewehrt
Rechtsbehelfe im DSG
34
Sanktionen (Art. 54 ff. E-DSG)
«Täter»: in erster Linie natürliche Personen:
Primär «Leitungspersonen»
BR: «Es besteht kein Grund zur Befürchtung, dass jede Angestellte (…), bestraft werden könnte. Die
Mehrheit der strafbaren Verhaltensweisen betreffen den Verantwortlichen. Handelt es sich dabei um
eine juristische Person, wird die Straftat gemäss Artikel 29 StGB der Vertreterin oder dem Vertreter
des Geschäftsorgans zugerechnet. Dies gilt insbesondere betreffend die Missachtung einer
Verfügung des Beauftragten: in diesem Fall macht sich diejenige Person strafbar, die innerhalb
des Unternehmens hätte dafür sorgen müssen, dass der Verfügung des Beauftragten Folge
geleistet werde.»
Verletzung von Informations-, Auskunfts-,Mitwirkungs- und Sorgfaltspflichten
Verletzung der beruflichen Schweigepflicht (Art. 56 E-DSG) geheime Personendaten
Nur vorsätzliche Pflichtverletzungen können sanktioniert werden
Bussen bis CHF 250’000.-
EDÖB hat keine Bussenkompetenz (Privatkläger)
Verfolgungskompetenz bei kantonalen Behörden (Staatsanwaltschaft; Art. 59 E-DSG)35
Sanktionen (1)
Welche Pflichtverletzungen sind strafbewehrt?
Vorsätzlich falsche oder unvollständige Information (Art. 54 E-DSG):
an betroffene Personen aufgrund der Informationspflicht (Art. 17 E-DSG bzw. Art. 19 E-
DSG)
an betroffene Personen bei Geltendmachung derer Rechte (Art. 23 - 25 E-DSG)
an EDÖB (Art. 43 E-DSG)
Vorsätzliches Unterlassen (Art. 54 E-DSG):
der Informationspflicht (Art. 17 E-DSG bzw. Art. 19 E-DSG)
der Mindestinformation (Art. 17 Abs. 2 E-DSG)
Vorsätzliches Verletzen der Sorgfaltspflichten (Art. 55 E-DSG):
Bekanntgabe von Personendaten ins Ausland ohne Angemessenheitsentscheid des
Bundesrats oder anderer Garantien (und ohne Berufung auf eine Ausnahme nach Art. 14
E-DSG)
Beauftragung eines Auftragsbearbeiters ohne Grundlage (Art. 8 Abs. 1 und 2 E-DSG)
Nichteinhaltung der Mindestanforderungen an die Datensicherheit (Art. 7 Abs. 3 E-DSG)36
Sanktionen (2)
Welches Verhalten ist strafbewehrt?
Vorsätzliche Verletzung einer beruflichen Schweigepflicht (Art. 56 E-DSG)
Missachtung von Verfügungen des EDÖB (Art. 57 E-DSG)
Vorsatz als taugliche Einschränkung in der Praxis?
Schwierige Abgrenzung im Zusammenhang mit datenschutzrechtlichen Pflichten
Massgebliche Prägung der Praxis durch kant. Strafverfolgungsbehörden
(Wohl) kantonale Unterschiede in Auslegung
Zudem: Zivilrechtliche Klagen aus Persönlichkeitsverletzung weiterhin möglich
(Art. 28 E-DSG)Übergangsfristen
38
Übergangsfristen
(Art. 62 ff. E-DSG)
Für bestehende Bearbeitungen: Die Artikel 6
(Data Privacy by Design und Default), 20 und 21
(Datenschutz-Folgenabschätzung) sind nicht
anwendbar auf Bearbeitungen, die vor Inkrafttreten
dieses Gesetzes begonnen wurden, wenn der
Bearbeitungszweck unverändert bleibt und keine
neuen Daten beschafft werden. Ansonsten sofort
mit Inkrafttreten
Neue Bearbeitungen: Sofort mit Inkrafttreten
Laufende Verfahren: Dieses Gesetz gilt nicht für
Untersuchungen des Beauftragten, die im Zeitpunkt
des Inkrafttreten hängig sind; es ist ebenfalls nicht
anwendbar auf hängige Beschwerden gegen
erstinstanzliche Entscheide, die vor dem
Inkrafttreten ergangen sind. Diese Fälle unterstehen
dem bisherigen Recht
Daten von juristischen Personen: Für
Bundesorgane finden Vorschriften in anderen
Bundeserlassen, die sich auf Personendaten
beziehen, während fünf Jahren nach Inkrafttreten
dieses Gesetzes weiter Anwendung auf Daten
juristischer Personen
Zeitnahes handeln wichtig (vgl.
Projektdurchführung)Wie wirken sich die Änderungen
auf die Branche aus?Datenbearbeitungen in
einer typischen «Customer
Journey» im On- und
Offline RetailInformationspflichten
Grundsatz:
Umfassende, aktive
Informationspflicht über alle
Datenbearbeitungen
bei direkter und indirekter
Datenbeschaffung
(Art. 17 E-DSG)44
Datenerfassung & -bearbeitung im Retail vielfältig:
Online Offline
Beim Besuch einer Webseite Verkauf von Gutscheinen
Eröffnung Kundenkonto Annahme von Bestellungen
Email-Marketing Reparaturaufträge
Online-Kauf Kundenkonto
Warenkorb-History
Video-Überwachung
Social Media Monitoring
Vernetzte Kassensysteme
Profiling
Tracken von Smartphones im Shop
Server-Logfiles
Direktmarketing
Webanalyse-Tools
Informationen betreffend Datenbeschaffungen aus
Re-Targeting mittels Cookies Drittquellen
Social PlugIns
Datenbearbeitungen durch Dritte
Kontaktdaten (Auftragsdatenbearbeitung)
Hinweis auf Kreditwürdigkeitsprüfungen / Bonitätsprüfungen Transfer von Daten in Ausland
Informationen betreffend Datenbeschaffungen aus Drittquellen Etc.
Datenbearbeitungen durch Dritte (Auftragsdatenbearbeitung)
Transfer von Daten in Ausland
Etc.45
Anpassungsbedarf Datenschutzerklärung
Stärkung der Transparenz ist ein Kernziel des E-DSG
Bearbeitungsgrundsatz und explizite Pflichten
NEU: Busse bis zu CHF 250‘000.- (Art. 54 Abs. 1 E-DSG)
Datenschutzerklärung: Retailer muss vollständig über Datenbearbeitungen
informieren.
Online-Handel: Datenschutzerklärung auf jeder Sub-Site leicht auffindbar verlinken, zudem
unmittelbar überall dort, wo ein User-Verhalten eine zusätzliche Bearbeitung auslöst (bspw.
Eingabe von Daten)
Spezifische Information über die Weitergabe an Dritte
E-DSG lässt Wahl zwischen Information über Kategorien (bspw. Werbenetzwerke) oder
Empfänger (Werbenetzwerk A)46
Aktive Informationspflicht im
Online-Handel….
Datenschutzerklärung (DSE) als einseitige
Information gem. Art. 17 E-DSG
Informationen müssen gut sichtbar und
zugänglich sein, sobald personenbezogene
Daten erhoben werden
Unmittelbar bei Buttons zum Übermitteln von
Daten (z.B. «Weiter», «Bestellen», etc.)
Ständig angezeigter Teil der Website (z.B. sog.
Footer)
Good Practice: nicht weiter als 2 Klicks von jeder
Seite der Webseite
Übersichtliche Darstellung der Informationen
Verständliche Sprache
Nachträgliche Übermittlung der Daten ist
ungenügendBeispiele….
48
Aktive Informationspflicht
im stationären Handel….
Aktive Informationspflicht trifft
grundsätzlich auch den stationären
Handel!
Keine Ausnahmen…
Wie umsetzen (Beispiele)?
Anschlag am Eingang
Abgabe von Datenschutzerklärung auf
Verlangen
Zugänglichmachen per QR-Code an
zentralen Stellen (Eingang, Kassen,
Kundendienst)
Aufdruck auf Formularen
Verwenden von Pictogrammen (z.B.
Videoüberwachung)Bonitätsprüfung / Scoring
Konstellationen Konstellationen auf Seiten Shopbetreiber / Retailer (Beispiele) Anfrage an Kreditauskunftei bei Kauf auf Rechnung Weitergabe von Inkassodaten an Kreditauskunftei
Retailer / Shopbetreiber (1)
Informationspflicht / Transparenzgebot
Information betreffend Durchführung Bonitätsprüfung
Information in Datenschutzerklärung
Auskunftsrecht
Information über Herkunft der Daten von Kreditauskunftei (unter Angabe der Kreditauskunftei)
Automatisierte Einzelentscheidung?
Retailer / Shopbetreiber überprüft Bonitätsentscheid regelmässig nicht – automatisiert steht z.B. Kauf auf
Rechnung nicht zur Verfügung – aber: Gemäss Botschaft fallen reine Wenn-Dann-Entscheidungen nicht
darunter
Umstritten, ob Rechtsfolge bzw. primär erheblicher Nachteil – zumindest bei alternativen
Zahlungsmöglichkeiten oder anderen Einkaufsmöglichkeiten eher nicht
Zweckbindungsgebot
Bearbeitung von Informationen aus Bonitätsanfragen nur für BonitätsprüfungszweckeRetailer / Shopbetreiber (2) Verhältnismässigkeitsgrundsatz Nur Informationen, welche für Bonitätsprüfungszweck relevant, an Kreditauskunftei weitergeben, insbesondere auch keine besonders schützenswerten Daten Bei Anfragen idealerweise nur Ampelsystem Einwilligung Art. 27 Abs. 2 lit. c E-DSG – überwiegendes Interesse als Rechtfertigungsgrund, falls Voraussetzungen erfüllt
53
Bonitätsprüfung - Ausgangslage
Art. 27 E-DSG: Rechtfertigungsgrund des überwiegenden Interesse
Der Verantwortliche bearbeitet Personendaten zur Prüfung der Kreditwürdigkeit der betroffenen Person, wobei die
folgenden Voraussetzungen erfüllt sind:
Es handelt sich weder um Die Daten werden Dritten Die Daten sind nicht älter als Die betroffene Person ist
besonders schützenswerte nur bekanntgegeben, wenn fünf (vs. zehn) Jahre volljährig
Personendaten diese die Daten für den
noch um ein Profiling Abschluss oder die noch in der Differenz-
mit hohem Risiko Abwicklung eines Vertrags bereinigung
mit der betroffenen Person
benötigenCRM / Cloud Computing
55
CRM-Systeme & Datenschutz
Transparenz-Erfordernis & Informationspflicht (Art. 17 – 19 E-DSG)
Zweckbindung (Art. 5 E-DSG)
Entscheidend: Information über Zweck der Bearbeitung im Moment der Beschaffung
Zweckänderung oder –ausweitung bedarf neuer Einwilligung oder Rechtfertigung
CRM-Systeme / -Analyse bedingen weite Zweckbeschreibung:
Definition Use Cases bei Implementation CRM-System möglichst vorausschauend vornehmen
ABER: Prinzip Datensparsamkeit / Verhältnismässigkeit (Art. 5 E-DSG):
Datenbearbeitung darf nicht weitergehen, als erforderlich für Zweckerreichung
«so wenig Daten, wie notwendig» - keine Vorratsdatenspeicherung!56
Indirekte Beschaffung von Daten und Anreicherung im CRM-
System
Aktive Informationspflicht bei indirekter Beschaffung (Art. 17 E-DSG)
Mindestinformationen gemäss Art. 17 Abs. 2 – 4 E-DSG
Zusätzlich: Kategorien der bearbeiteten Personendaten
Innert 1 Monat nach Beschaffung der Daten, resp.
Spätestens bei Bekanntgabe der Daten
Wichtig:
Datenbeschaffungspunkte müssen klar definiert und frühzeitig bekannt sein
Umsetzung der Informationspflicht für jeden Beschaffungspunkt
Grundlagen der Information müssen im Detail und für alle Use Cases bekannt sein57
Einwilligung erforderlich?
EDÖB: Einwilligung notwendig bei Datenbeschaffung für CRM-Zwecke (auch
bereits im alten DSG)
Überwiegendes Interesse an CRM-Bearbeitung schwierig vorstellbar, zudem
Oft Anwendbarkeit EU-DSGVO, da CRM-Systeme nicht auf Datenbearbeitungen in der Schweiz
beschränkt
Thema Profiling….
Einwilligung (Art. 5 Abs. 6 und 7 E-DSG)
Eine oder mehrere bestimmte Bearbeitungen
Informiert
Freiwillig
Evtl. ausdrückliche Einwilligung (Profiling)58
CRM & Auftragsdatenbearbeitung
CRM-Anwendungen / Drittsoftware
Hosting & Datenhaltung auf Drittservern
Cloud-Dienste
Datentransfer ins Ausland
Anbieter CRM-Dienste sind regelmässig
Auftragsbearbeiter
Informationspflicht
ADV-Vereinbarung notwendig (Art. 8 E-DSG)Checkliste CRM-System (E-DSG & EU-DSGVO)
60
Checkliste CRM-System (E-DSG & EU-DSGVO)
Wo befindet sich der Anbieter des CRM-Systems?
Wo werden die CRM-Daten gespeichert? Ist der Hosting-Provider das gleiche Unternehmen wie der
Anbieter der CRM-Anwendung?
Arbeitet der CRM-Systemanbieter mit Unterauftragnehmern zusammen? Wenn ja, wo sind diese
ansässig?
Wer hat (potenziell) Zugriff auf die Daten im CRM-System? Wo haben die betroffenen Personen ihren
Sitz/Arbeitsort?
Ist die Datensicherheit für die CRM-Anwendung (und für ein allfälliges externes Hosting von CRM-Daten)
ausreichend gewährleistet? Welche organisatorischen und technischen Massnahmen hat der Anbieter
getroffen, um die Datensicherheit zu gewährleisten? Verfügt der Anbieter über entsprechende Zertifikate?
Inwieweit erlaubt die Anwendung die Dokumentation von Zustimmungen? Inwieweit können z.B. die
Identität, der Zeitpunkt der Einwilligung (Zeitstempel), der Wortlaut der Einwilligung und allfällige
referenzierte Dokumente wie z.B. die Datenschutzerklärung zusammen gespeichert werden? Gibt es
Schnittstellen zu anderen Anwendungen oder Systemen, mit denen Einwilligungen dokumentiert werden?61
Checkliste CRM-System (E-DSG & EU-DSGVO)
Können mehrere Zustimmungen (z.B. für unterschiedliche Bearbeitungszwecke) separat im CRM-System
erfasst werden? Dies ist zwingend notwendig, damit allfällige Widerrufe der jeweiligen Zustimmungen auch
separat erfasst werden können.
Kann im CRM-System sichergestellt werden, dass Personendaten einer betroffenen Person (für bestimmte
Zwecke) nicht bearbeitet werden können, d.h. gesperrt werden, wenn die betroffene Person in die
Bearbeitung nicht eingewilligt hat?
Erlaubt das CRM-System granulare Löschungsregeln? Es gibt drei Arten der Datenlöschung: a) auf Antrag
der betroffenen Person, b) wenn die betroffenen Personendaten für die angegebenen
Verarbeitungszwecke nicht mehr benötigt werden, und c) wenn eine gesetzliche Aufbewahrungspflicht, die
länger (als b) dauern kann, abgelaufen ist. Granular bedeutet z.B., dass das CRM-System in der Lage sein
muss, die Löschung eines Benutzerkontos für den Webshop zu berücksichtigen, ohne z.B. die E-Mail-
Adresse für den Versand des Newsletters löschen zu müssen. Es ist gut möglich, dass die betroffene
Person den Newsletter weiterhin erhalten möchte.62
“You don’t have to see the
whole staircase. Just take the
first step.”
Martin Luther King Jr.Lukas Bühlmann, LL.M. Dr. Michael Reinle, LL.M. Partner, Zürich Partner, Zürich lukas.buehlmann@mll-legal.com michael.reinle@mll-legal.com www.mll-legal.com | www.mll-news.com www.mll-legal.com | www.mll-news.com Vielen Dank für Ihre Aufmerksamkeit Wir freuen uns auf Ihre Kontaktaufnahme 25.08.20
XBorder20 Datenschutzumsetzung in der Migros Matthias Glatthaar, Leiter Datenschutz & Digitalisierung 26. August 2020
Migros-Genossenschafts-Bund | Legal & Compliance 26.8.2020 | 65
Agenda
1 Die Migros im Überblick
2 Migros Datenschutzorganisation
3 Datenschutzumsetzung in der Migros
4 Erfolgsfaktoren einer Datenschutzumsetzung
Migros-Genossenschafts-Bund | Legal & Compliance 26.8.2020 |2Die Migros im Überblick Migros-Genossenschafts-Bund | Legal & Compliance 26.8.2020 | 67
Migros-Genossenschafts-Bund | Legal & Compliance 26.8.2020 | 68
Facts & Figures Migros-Gruppe
Die Migros ist einer der global grössten Retailer
106’000 2.24 Mio.
•Mitarbeiter 3 Mio. Genossenschafter
Haushalte machen
bei Cumulus mit
3 von 5 Nachhaltigste
Einkäufe mit
Cumulus-Karte
Detailhändlerin der Welt
(ISS-Oekom-Rating) 22.1%
Marktanteil
2.3 Mrd. Detailhandel
Online-Umsatz
(CHF) 28.7 Mrd. 39.
Umsatz (CHF) Platz der weltweit
grössten Retailer
122 Mio.
Kulturelles Engagement
(Basis: Umsatz) (CHF)
Quellen: Geschäftsbericht Migros-Genossenschafts-Bund 2019; Deloitte: Global Powers of Retailing 2020
Migros-Genossenschafts-Bund | Legal & Compliance 26.8.2020 |3Hoch diversifizierte Unternehmensgruppe
Ausgewählte
Genossenschaftlicher Detailhandel
Gesundheit
Geschäftsbereiche Klubschulen und Freizeitanlagen
Fachmärkte
Cumulus
Handel
10 regionale Migros-Genossenschaften
Eigenindustrien
Migros-Genossenschafts-Bund
Reisen
Kultur
Ventures
Finanzdienstleistungen
Migros-Genossenschafts-Bund | Legal & Compliance 26.8.2020 | 70Datenschutz-Relevanz für Gruppenunternehmen
Grosse Unterschiede beim Europabezug und der Sensitivität der Datenbearbeitungsprozesse
Sensitivitäts-
Faktor*
EU-Bezug
* Endkundenbezug, Sensibilität der bearbeiteten Daten, Anzahl betroffener Personen, Kritikalität der Bearbeitungszwecke
Migros-Genossenschafts-Bund | Legal & Compliance 26.8.2020 | 71Migros im Spotlight der Medien
Über den Umgang mit Daten durch die Migros wird regelmässig in den Medien berichtet
Migros-Genossenschafts-Bund | Legal & Compliance 26.8.2020 | 72Migros Datenschutzorganisation Migros-Genossenschafts-Bund | Legal & Compliance 26.8.2020 | 73
Herausforderungen für Datenschutz-Compliance
Struktur der Migros führt zu spezifischen Compliance-Herausforderungen
Hohe Dezentrale Komplexe Unterschiedlicher Unterschiedliche Hohes öffentliches
Diversifikation Organisation Systemlandschaft Europabezug Reifegrade Interesse
Migros-Genossenschafts-Bund | Legal & Compliance 26.8.2020 | 74Datenschutzorganisation auf Gruppenebene
Jedes Gruppenunternehmen bestellt einen Datenschutzkoordinator
Regionale Datenschutzkoordinatoren der Genossenschaften
Genossenschaften • zentraler Kontakt für Datenschutz
• interne Ansprechperson für Datenschutzfragen
• koordiniert die Umsetzungsmassnahmen
• bewirtschaftet die lokalen Datenschutzprozesse
Migros-
Genossenschafts- Legal & Compliance Migros Gruppe
Bund • gruppenweite datenschutzrechtliche Vorgaben
• Musterdokumente, Vorlagen und Hilfsmittel
• Beratung zu Einzelfragen und Projekten
• Überprüfung von Umsetzungsmassnahmen
• bewirtschaftet die Datenschutzprozesse im MGB
Gruppen-
Unternehmen
Datenschutzkoordinatoren der Gruppenunternehmen
• zentraler Kontakt für Datenschutz
• interne Ansprechperson für Datenschutzfragen
• koordiniert die Umsetzungsmassnahmen
• bewirtschaftet die lokalen Datenschutzprozesse
Migros-Genossenschafts-Bund | Legal & Compliance 26.8.2020 | 75Datenschutzorganisation im Migros-Genossenschafts-Bund
Dezentrale Datenschutzorganisation sichert die Einbeziehung des Business
Gesetzgeber
DSGVO / DSG
Aufsichtsbehörden
Strategie Verwaltung/
Verhaltenskodex Generaldirektion
2)
[Governance-Gremium]
Compliance
Management
System
Legal & Compliance
DS-Richtlinien
und -Merkblätter
Datenschutzbeauftragter Datenschutzkoordinatorin
DS-Arbeits-
anweisungen
1)
Datenschutz-Board
DSK in Direktionen
1) Datenschutz-Board setzt sich aus DPO und MGB DS-Organisation
DSK-MGB und den Datenschutz-
koordinatoren der Direktionen mit hoher
Datenschutz-Relevanz zusammen MGB-Mitarbeiter
2) Interdisziplinäres Gremium zur
Steuerung der Daten-Governance
Migros-Genossenschafts-Bund | Legal & Compliance 26.8.2020 | 76Datenschutzumsetzung in der Migros Migros-Genossenschafts-Bund | Legal & Compliance 26.8.2020 | 77
Regulierungslandschaft
Aktuelle Datenschutz-Regulierungslandschaft wird durch das neue DSG erweitert
ePrivacy Verordnung DSGVO
Regelt elektronische Kommunikation Umfassende Datenschutzregulierung
(Tracking, E-Mail-Marketing etc.) Wirkung über das Gebiet der EU/
Opt-in für Cookies und andere EWR hinaus
Tracking-Technologien Busse für Unternehmen bis
Inkrafttreten aktuell offen CHF 20 Mio. oder 4% Jahresumsatz
In Kraft seit 25.5.2018
ePrivacy-
Verordnung DSGVO
DSG DSG
Revision Schweizer Datenschutzgesetz
Angleichung an DSGVO
Busse für verantwortliche Personen bis
CHF 250’000 + Strafregistereintrag
Derzeit Differenzbereinigung in den Räten:
Inkrafttreten Mitte 2021/Anfang 2022?
Migros-Genossenschafts-Bund | Legal & Compliance 26.8.2020 | 78Neues Schweizer Datenschutzgesetz
Angleichung ans EU-Recht mit wenigen, aber relevanten Abweichungen
ANGLEICHUNG PERSÖNLICHE «SWISS FINISH»
AN EU-RECHT HAFTUNG
Übernahme der wesentlichen Busse für private Personen Einzelne Abweichungen zur
Institute, Konzepte und bis zu CHF 250’000 mit DSGVO – meist Erleichterungen,
Anforderungen der DSGVO Strafregistereintrag teils aber auch Verschärfungen
(evt. Profiling)
Schlussabstimmung Inkrafttreten Übergangsfrist
ca. Herbst / Winter 2020 Mitte 2021 / Anfang 2022 Ggf. für einzelne Teilbereiche
Migros-Genossenschafts-Bund | Legal & Compliance 26.8.2020 | 79Vergleich DSGVO / DSG (2020)
Viele Übereinstimmungen, einzelne Abweichungen im Detail
Konzeptionelle Übereinstimmung
Datenschutz- Data Mapping
Folgenabschätzung*
Informations- Data
pflicht Breach
Datenschutz-
beauftragter
Bearbeitungsgrundsätze
Betroffenenrechte
Auslandsübermittlungen
Auftragsbearbeitungen
Datensicherheit
Verschärfung Erleichterung
Konzeptionelle Unterschiede
Profiling*
Rechtsgrundlage
für Bearbeitung
Sanktionen/
Strafbestimmungen
* Stand: Beschluss des SR vom 2.6.2020; Änderungen möglich (noch nicht final beraten)
Migros-Genossenschafts-Bund | Legal & Compliance 26.8.2020 | 80Datenschutz-Reifegrad der Migros-Unternehmen
Unterschiedliche Ausgangspunkte für Migros-Unternehmen in der DSG-Umsetzung
Optimierung
Volle Integration von Datenschutz
in Prozesse, Kultur und Vision;
Operationalisierung Stärkung des Kundenvertrauens
Anlauf Datenschutzorganisation durch Transparenz und
Initialisierung und Regelprozesse; Verfeinerung Kontrollmöglichkeiten
Aktualisierung von Dokumentationen; und Automatisierung von
Mapping von Datenbearbeitungen; Prozessen; Schliessen von Lücken
Design von Prozessen; Etablierung
Datenschutzorganisation
Ausgangspunkt für Unternehmen
mit vorheriger DSGVO-Umsetzung
Ausgangspunkt für Unternehmen
ohne vorherige DSGVO-Umsetzung
Migros-Genossenschafts-Bund | Legal & Compliance 26.8.2020 | 81Umsetzungsaufwand
Umsetzungsaufwand hängt wesentlich von vorheriger DSGVO-Umsetzung ab
Tiefer Umsetzungsaufwand für DSG-Anforderungen
Ja
Anwendbarerklärung Datenschutz-Richtlinie
Bestellung Datenschutzberater (optional)
Anpassung Datenschutzerklärung (insb. Empfängerstaaten)
Review/Anpassung Datenschutzprozesse
(insb. Data Breach und Betroffenenrechte)
DSGVO
umgesetzt?
Hoher Umsetzungsaufwand für DSG-Anforderungen
Gap-Analyse (Vergleich Ist-/Soll-Zustand)
Implementierung prioritäre Umsetzungsmassnahmen
Nein Empfohlen: Umsetzungsprojekt mit dedizierter Projektleitung
Etablierung Datenschutz-Regelorganisation
Migros-Genossenschafts-Bund | Legal & Compliance 26.8.2020 | 82Umsetzungsmassnahmen
Acht Massnahmen stehen im Vordergrund
Datenschutz- Data Mapping DSFA Datenschutz- Web Betroffenen- Data Breach Auftragsdaten-
organisation erklärung Compliance rechte bearbeiter
Bestimmung Inventarisierung von Datenschutz- Überprüfung und Implementierung von Implementierung bzw. Prozess zur Auftragsbearbeitungs-
Datenschutzkoordinator Personendaten- Folgenabschätzungen Aktualisierung Cookie Bannern/ Anpassung von Erkennung und verträge bei
und Etablierung interne bearbeitungs- für risikoreiche Datenschutz- Cookie Control Prozessen für Meldung von Auslagerung
Datenschutzorganisation prozessen Bearbeitungen hinweise Centers Betroffenenrechte Datenschutz- Datenbearbeitung
verletzungen
Migros-Genossenschafts-Bund | Legal & Compliance 26.8.2020 | 83Erfolgsfaktoren einer Datenschutzumsetzung Migros-Genossenschafts-Bund | Legal & Compliance 26.8.2020 | 84
Erfolgsfaktoren einer Datenschutz-Umsetzung
Für den Erfolg einer Datenschutz-Umsetzung sind eine Vielzahl von Faktoren entscheidend
Corporate Buy-in gewinnen Für den Regelbetrieb planen
Buy-in auf allen Organisations- und Überführung neuer Prozesse in den
Funktionsstufen durch Sensibilisierung Regelbetrieb und Übergabe an
und Awareness-Massnahmen Linienorganisation frühzeitig planen
Grundlagen schaffen mit Data Mapping In bestehende Prozesse einbetten
Orientierung an Geschäftsprozessen, Datenschutzprozesse wo immer möglich und
Systemen oder Datenflüssen. sinnvoll in bestehende Prozesse integrieren
Top-down und Bottom-up vorgehen.
Risikoentscheide nicht scheuen Systementscheid frühzeitig treffen
Kernanliegen des Datenschutzes im Blick Nutzung bestehender Systeme vs.
behalten und Risikoentscheide treffen (und Implementierung eines dedizierten
dokumentieren) Privacy Management Tools
26.8.2020 | 85
Migros-Genossenschafts-Bund | Legal & CompliancePrivacy Tech
Stark wachsender Markt mit grossem Angebot
Quellen:
IAPP, 2018 Privacy Tech Vendor Report V.2.4e
IAPP, 2020 Privacy Tech Vendor Report V4.1
Migros-Genossenschafts-Bund | Legal & Compliance 26.8.2020 | 86Last but not least: Schulen, schulen, schulen
Beispiel: Datenschutz E-Learning
«Etwas vom Besten,
«wirklich verständlich und
was ich im Bereich
sehr unterhaltsam»
E-Learning gesehen habe»
«Witzig und informativ. Die «Attraktiv dargestellt und
Spiele sind gut gemacht.» aufgebaut. Gratulation!»
«sehr erfrischendes «Auch der letzte Lernmuffel kann
E-Learning» so aus der Ecke gelockt werden.»
«Die Quiz finde ich super und
«sehr vorbildlich und spielerisch. Fallstricke sind
auch kurzweilig» gut eingebaut und regen zum
Nachdenken an.»
Migros-Genossenschafts-Bund | Legal & Compliance 26.8.2020 | 87Anhang Migros-Genossenschafts-Bund | Legal & Compliance 26.8.2020 | 88
Neues Schweizer Datenschutzgesetz
Wo stehen wir?
ZIEL
Mitte 2021 / Anfang 2022
Inkrafttreten
Herbst / Winter 2020
Schlussabstimmung
Herbst 2020
Entscheid EU über
Angemessenheit Schweizer
Datenschutzniveau
Januar – September 2020
>Link<
Entwurf Differenzbereinigung
DSG
in den Räten
Oktober 2019
Unterzeichnung Datenschutz-
konvention 108 des Europarats
September / Dezember 2019
Annahme der Revision im
Nationalrat und Ständerat
(Differenzen) 15. September 2017
Bundesratsentwurf für ein
totalrevidiertes Datenschutzgesetz
Migros-Genossenschafts-Bund | Legal & Compliance 26.8.2020 | 89Vergleich DSGVO / DSG (2020)
DSGVO DSG (2020)
Schutzbereich nur natürliche Personen nur natürliche Personen
Rechtsgrundlage für notwendig
notwendig
Bearbeitung (aber nicht immer)
Differenzen
Ja – bei jeder
Ja – bei jeder
Informationspflicht Beschaffung von Personendaten
Beschaffung von Personendaten
(inkl. Angabe Empfängerstaaten)
Zweckbindung Ja Ja
Differenzen
Ja – bei
Datenschutz- Ja – bei Datenbearbeitungen
Datenbearbeitungen mit hohem Risiko
Folgenabschätzung mit hohem Risiko
(strenger bei Profiling)
Migros-Genossenschafts-Bund | Legal & Compliance 26.8.2020 | 90Vergleich DSGVO / DSG (2020)
DSGVO DSG (2020)
Datenschutz- Pflicht zur Bestellung
Freiwillige Bestellung
beauftragter (unter bestimmten Voraussetzungen)
Vertreter in der EU/
Ja Ja
in der Schweiz
Verzeichnis der Ja
Ja
Bearbeitungstätigkeiten (sofern mehr als 250 Mitarbeitende)
Meldepflicht bei Ja
Ja
Data Breaches (erst bei hohem Risiko)
Mindestanforderungen Ja – dem Risiko angemessenes Ja – dem Risiko angemessenes
Datensicherheit Schutzniveau Schutzniveau
Migros-Genossenschafts-Bund | Legal & Compliance 26.8.2020 | 91Vergleich DSGVO / DSG (2020)
DSGVO DSG (2020)
Vertrag für Ja
Ja
Auftragsbearbeitung (vorgegebene Mindestinhalte)
Auslands- Angemessenes Schutzniveau oder Angemessenes Schutzniveau oder
übermittlungen geeignete Garantien geeignete Garantien
Rechte der
Ja Ja
betroffenen Person
Differenzen
Folgenabschätzung falls Rechtswirkungen Einwilligung und Folgenabschätzung falls
Profiling
oder erhebliche Beeinträchtigungen umfassendes Bild der Persönlichkeit
Busse des Unternehmens Busse der verantwortlichen natürlichen
Sanktionen
(bis EUR 20 Mio. / 4% Umsatz) Person (bis CHF 250’000)
Migros-Genossenschafts-Bund | Legal & Compliance 26.8.2020 | 92Sie können auch lesen
