Auf der To-do-Liste: Das Bearbeitungsverzeichnis

Das totalrevidierte Datenschutzgesetz (revDSG) und die Ausführungsbestimmungen in der neuen Datenschutzverordnung (DSV) treten am 1. September 2023 in Kraft. Die Revision des Datenschutzgesetzes bringt für Unternehmer und Unternehmerinnen einige Verpflichtungen mit sich.

Um die Umstellung des neuen Datenschutzgesetzes zu meistern, benötigst Du zuerst eine Übersicht über die Datenbearbeitungen in Deinem Unternehmen. Hierbei hilft das sog. Bearbeitungsverzeichnis.

Die wichtigsten Fragen rund um das Bearbeitungsverzeichnis und eine Vorlage findest Du in diesem Blog.

Was ist ein Bearbeitungsverzeichnis?

Vorweg muss geklärt werden, was gemäss Gesetz als «Bearbeitung» verstanden wird: Als «Bearbeiten» wird jeder Umgang mit Personendaten, unabhängig von den angewandten Mitteln und Verfahren, insbesondere das Beschaffen, Speichern, Aufbewahren, Verwenden, Verändern, Bekanntgeben, Archivieren, Löschen oder Vernichten von Daten verstanden.

Die umfassende Definition stellt ein Unternehmen vor grosse Hürden – im ganzen Unternehmen werden ständig Personendaten bearbeitet. Das Bearbeitungsverzeichnis bildet die Datenbearbeitungsvorgänge innerhalb eines Unternehmens ab. Es soll als «Cockpit» der Bearbeitungstätigkeiten eines Unternehmens dienen und dem Unternehmen eine Übersicht verschaffen. Das Unternehmen muss sich bewusst sein, welche Daten von welcher Abteilung oder welcher Person im Unternehmen bearbeitet werden.

Was ist Ziel und Zweck eines Bearbeitungsverzeichnisses?

Bearbeitungsverzeichnisse sollen zum einen dafür sorgen, dass Unternehmen überhaupt wissen, wie sie Personendaten bearbeiten. Anhand eines Bearbeitungsverzeichnisses kann das Unternehmen sämtliche Bearbeitungsvorgänge nachvollziehen und damit auch nachweisen, dass die datenschutzrechtlichen Vorgaben erfüllt werden. Es dient damit der Transparenz sowie der rechtlichen Absicherung des Unternehmens.

Wer ist verpflichtet, ein Bearbeitungsverzeichnis zu führen?

Sowohl Verantwortliche als auch Auftragsbearbeiter führen je ein Verzeichnis ihrer Bearbeitungstätigkeiten.

Doch das Bearbeitungsverzeichnis ist nicht immer Pflicht. Das revDSG sieht eine Ausnahme für Unternehmen vor, die weniger als 250 Angestellte beschäftigen und deren Datenbearbeitung ein geringes Risiko für Verletzungen der Persönlichkeit der betroffenen Personen mit sich bringt. Von einem geringen Risiko kann sicher in den Fällen nicht ausgegangen werden, in denen

  • das Unternehmen besonders schützenswerte Personendaten, wie z.B. Gesundheitsdaten, etc., in grossem Umfang bearbeitet;

  • und / oder ein Profiling mit hohem Risiko durchführt.

Was hat sich mit dem revDSG geändert?

Mit Inkraftsetzung des revDSG müssen nur noch Bundesorgane ihre Datensammlungen dem EDÖB melden. Private werden von der Meldepflicht befreit. Die Pflicht zur Führung eines Bearbeitungsverzeichnisses ersetzt die Meldepflicht von Datensammlungen für Private nach dem bisherigen Recht.

Was ist der Inhalt des Bearbeitungsverzeichnisses?

Das Bearbeitungsverzeichnis soll als Übersicht über sämtliche Bearbeitungstätigkeiten dienen. Das Gesetz sieht für den Verantwortlichen die folgenden Mindestvorgaben vor:

  • die Identität des Verantwortlichen;

  • den Bearbeitungszweck;

  • eine Beschreibung der Kategorien betroffener Personen und der Kategorien bearbeiteter Personendaten;

  • die Kategorien der Empfängerinnen und Empfänger der Personendaten;

  • wenn möglich die Aufbewahrungsdauer der Personendaten oder die Kriterien zur Festlegung dieser Dauer;

  • wenn möglich eine allgemeine Beschreibung der Massnahmen zur Gewährleistung der Datensicherheit (sog. technische und organisatorische Massnahmen [TOM's]);

  • falls die Daten ins Ausland bekanntgegeben werden, die Angabe des Staates sowie die Garantien.

Die Aufzählung macht deutlich, dass das Verzeichnis eine generelle Beschreibung der Bearbeitungstätigkeit ist, aus der sich Art und Umfang einer solchen ergibt. Das Verzeichnis ist kein Journal sämtlicher Datenbearbeitungen des Unternehmens, in dem protokollartig einzelne Handlungen aufgeführt werden.

Typische Beispiele einer Bearbeitungstätigkeit sind die Kundendaten- oder Mitgliederverwaltung, Finanzbuchhaltung, Personalmanagement, Marketing und Kommunikation, Newsletterversand, Onlineshop, Bewerbermanagement, Lohnzahlungen, Beschaffung und Webseitenanalyse.

In welcher Form muss das Bearbeitungsverzeichnis geführt werden?

Weder das Gesetz noch die Verordnung äussern sich explizit zur Form des Bearbeitungsverzeichnisses. Es kann auch in einem elektronischen Format geführt werden, z.B. als Excel- oder Word-Dokument. Du kannst Dich bspw. nach unserer Vorlage am Schluss dieses Blogs richten.

Wie oft muss das Bearbeitungsverzeichnis aktualisiert werden?

Das Bearbeitungsverzeichnis muss stets aktuell sein. Ist das Bearbeitungsverzeichnis einmal erstellt, muss ein interner Prozess gestaltet werden, in welchem definiert wird, wer in welchen Zeitabständen das Bearbeitungsverzeichnis aktualisiert.

Wer kann das Bearbeitungsverzeichnis einsehen?

Das Bearbeitungsverzeichnis ist ein internes Dokument. Allerdings kann die Aufsichtsbehörde, also der EDÖB, im Rahmen einer Untersuchung die Bearbeitungsvorgänge anhand des Verzeichnisses kontrollieren. Das Bearbeitungsverzeichnis soll der Aufsichtsbehörde einen kurzen Überblick über sämtliche Bearbeitungstätigkeiten im Unternehmen liefern und dient der Aufsichtsbehörde zum Nachweis, dass die datenschutzrechtlichen Vorschriften eingehalten wurden.

Welche Sanktionen drohen, wenn kein Bearbeitungsverzeichnis erstellt wird?

Es drohen keine unmittelbaren Sanktionen, wenn die Verzeichnispflicht verletzt wird. Allerdings hat der EDÖB die Möglichkeit, die Einhaltung von Pflichten nach dem revDSG zu verfügen und mit einer Strafandrohung zu verbinden. Wer einer solchen Verfügung vorsätzlich nicht Folge leistet, kann mit einer Busse von bis zu CHF 250'000.00 bestraft werden.

Abgrenzung Verzeichnis über Datensammlung (noch immer aktuell für kantonale Behörden) und Bearbeitungsreglement nach DSV

Das Bearbeitungsverzeichnis muss vom Verzeichnis über Datensammlung und vom Bearbeitungsreglement unterschieden werden:

Das revDSG gilt nur für die Bearbeitung von Personendaten natürlicher Personen durch private Personen und Bundesorgane. Für die Bearbeitung durch Kantone gelten die jeweiligen kantonalen Datenschutzgesetze. Kantonale Behörden sind verpflichtet, ihre Datensammlungen und die dazugehörigen Angaben in einem Verzeichnis der Aufsichtsstelle zu melden. Das Register der Datensammlungen der Aufsichtsstelle informiert darüber, welche Behörde welche Daten bearbeitet. Es enthält Angaben über die verantwortliche Behörde, Titel und Zweck der Datenbearbeitungen, Art und Umfang der Daten, regelmässige Bekanntgaben und Datenempfänger und die Aufbewahrungsfrist.

Sobald besonders schützenswerte Personendaten in grossem Umfang bearbeitet oder ein Profiling mit hohem Risiko durchgeführt wird, muss ein Unternehmen ein Reglement für automatisierte Bearbeitungen erstellen. Das Reglement muss insbesondere Angaben zur internen Organisation, zum Datenbearbeitungs- und Kontrollverfahren sowie zu den Massnahmen zur Gewährleistung der Datensicherheit enthalten.

Was sind die Vorteile eines Bearbeitungsverzeichnisses?

Allgemein sprechen die folgenden Gründe für ein Bearbeitungsverzeichnis:

  • Im Sinne einer «Cockpit»-Funktion verschafft das Verzeichnis einen umfassenden Überblick über sämtliche Bearbeitungstätigkeiten innerhalb des Unternehmens.

  • Das Bearbeitungsverzeichnis erleichtert die Kontrolle durch den EDÖB. Der EDÖB wird im Rahmen einer Untersuchung das Bearbeitungsverzeichnis prüfen, um sich einen Überblick zu verschaffen.

  • Das Bearbeitungsverzeichnis ist eine hilfreiche Informationsquelle für die Erarbeitung von Datenschutzerklärungen und die Beantwortung von Betroffenenrechten. Ein Unternehmen muss sich bewusst sein, welche Daten von welcher Abteilung oder welcher Person im Unternehmen bearbeitet werden, um z.B. Auskunft über die Bearbeitung der Personendaten einer betroffenen Person erteilen zu können.

Wo gibt es eine Vorlage?

Gerne stellen wir Dir hier eine Vorlage mit Erklärungen zur Verfügung.

Mehr Informationen zum Thema Datenschutz.

IT- und Technologierecht

Rechtsstreitigkeiten in der IT: Tipps für Unternehmen zur Risikominimierung

Arbeitsrecht

Die verschiedenen Arbeitszeitmodelle im Überblick

IT- und Technologierecht

KI-Dienste: Haftung, Verträge, Datenschutz und Co.

Datenschutz

1 Jahr neues Datenschutzgesetz

Datenschutz

Google Consent – Kommt die Pflicht zum Cookie-Banner?

Arbeitsrecht

Homeoffice IV

optional
optional
optional