Am 7. März 2025 hat der Bundesrat beschlossen, die Meldepflicht für Cyberangriffe auf Betreiberinnen und Betreiber kritischer Infrastrukturen per 1. April 2025 in Kraft zu setzen. Diese Massnahme dient der Stärkung der Cybersicherheit in der Schweiz und der Erhöhung der Resilienz essenzieller Dienste. Die Verordnung über die Cybersicherheit (CSV) enthält die erforderlichen Ausführungsbestimmungen und regelt insbesondere die Ausnahmen der Meldepflicht nach Art. 74c des Informationssicherheitsgesetzes (ISG).

Im heutigen Wirtschaftsumfeld setzen Unternehmen zunehmend auf Outsourcing, um die Effizienz zu steigern, Kosten zu senken und Zugang zu spezialisiertem Know-how zu erhalten. Insbesondere profitieren kleine und mittlere Unternehmen (KMU) von der Auslagerung bestimmter Prozesse, da sie sich auf ihre Kernkompetenzen konzentrieren können. Allerdings ist nicht jede Form des Outsour- cings aus datenschutzrechtlicher Sicht relevant. Entscheidend ist, ob Personendaten durch den ex- ternen Dienstleister bearbeitet werden.

Der „Digital Operational Resilience Act“ (DORA) der Europäischen Union (EU) ist eine neue Verordnung, die den wachsenden Cyberrisiken Rechnung tragen soll und so die Widerstandsfähigkeit und Sicherheit von Finanzdienstleistungen stärkt. Sie ist am 16. Januar 2023 in Kraft getreten und muss bis zum 17. Januar 2025 umgesetzt werden. Betroffen von der DORA sind Anbieter von Informations- und Kommunikationstechnologiedienstleistungen (IKT), die Unternehmen im Finanzsektor der EU betreuen. IKT-Anbieter in der Schweiz sind ebenfalls von der DORA betroffen.

Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) veröffentlichte am 23. Januar 2024 einen aktualisierten Leitfaden zu den technischen und organisatorischen Massnahmen des Datenschutzes (TOM) (Link). Die Zielgruppe des Leitfadens sind in erster Linie Personen, die für Informationssysteme zuständig sind und sich direkt mit der Verwaltung von Personendaten beschäftigen. Der EDÖB stellt Massnahmen vor, die als generelle Richtlinien zu verstehen und einzelfallbezogen auf das Projekt und die Organisation anzupassen sind. Dieser Newsletter trägt die wichtigsten Take-aways in Bezug auf private Verantwortliche aus dem Leitfaden zusammen.

Seit dem 1. September 2023 gelten in der Schweiz das revidierte Datenschutzgesetz (DSG) sowie die dazugehörige Datenschutzverordnung (DSV). In diesem Beitrag wird insbesondere der Frage nachge- gangen, wie bei Datenbearbeitungen von Personendaten im Konzern korrekt umzugehen ist. In Bezug auf die konzerninternen Datenbearbeitungen bzw. Datenübermittlungen zwischen einzelnen Tochter- gesellschaften innerhalb eines Konzerns ist die korrekte Qualifizierung dieser Zusammenarbeit von entscheidender Bedeutung, um die Compliance mit dem DSG zu gewährleisten. Denn es gilt im DSG (und auch in der DSGVO) kein sogenanntes datenschutzrechtliches Konzernprivileg. Das heisst, dass jeder Datenaustausch zwischen Gruppengesellschaften eines Konzerns gesondert betrachtet und auch entsprechend qualifiziert werden muss. Zentral ist dabei die Frage, in welcher Rolle die beteiligten Unternehmen beim jeweiligen Datenaustausch auftreten. Einerseits ist ein Auftragsbearbeitungsver- hältnis zwischen einem Auftragsbearbeiter und einem Verantwortlichen und andererseits eine Bear- beitung von gemeinsamen Verantwortlichen als sogenannte Joint-Controller möglich.

Ab dem 1. September 2023 gilt in der Schweiz das revidierte Daten- schutzgesetz (DSG). Um die Wirkung des DSG zu verstärken, enthält es mehrere Strafbestimmungen für verschiedene Verletzungen des DSG. Im Gegensatz zum alten Recht sind die neuen Sanktionen im neu geltenden DSG erheblich verschärft worden. Die strafbaren Tat- bestände sind in Art. 60–63 DSG festgehalten. Im anschliessenden Beitrag werden die vier strafbaren Tatbestände konkreter abgehan- delt, sowie welche finanziellen Konsequenzen die Nichteinhaltung des DSG für Private und Unternehmen zur Folge hat.

Seit dem 1. September 2023 gilt in der Schweiz das revidierte Datenschutzgesetz (revDSG). Trotz vieler inhaltlicher Gemeinsamkeiten mit der Europäischen Datenschutz-Grundverordnung (DSGVO) und der sogenannten Cookie-Richtlinie sieht das revDSG keine Notwendigkeit eines Rechtfertigungsgrunds für die Datenbearbeitung vor, solange diese nicht die Persönlichkeitsrechte der betroffenen Person verletzen. Eine Persönlichkeitsverletzung liegt dann vor, wenn die Grundsätze der Datenbearbeitung und -sicherheit gemäss Art. 6–8 revDSG nicht eingehalten werden, wenn die Datenbearbeitung entgegen dem ausdrücklichen Willen der betroffenen Personen stattfindet oder wenn besonders schützenswerte Personendaten an Dritte bekannt gegeben werden. Eine Einwilligung kann auch als Grundlage für die Datenbekanntgabe in einen Staat ohne angemessenen Datenschutz dienen. Zu erwähnen ist schliesslich, dass gültige Einwilligungen unter der DSGVO auch im Anwendungsbereich des revDSG gültig sind. Im umgekehrten Fall muss das nicht unbedingt auch so sein.

Für kleinere und mittlere Unternehmen stellt sich im Rahmen der Umsetzungsarbeiten für das neue Datenschutzgesetz die Frage, ob sie die Rolle des Datenschutzberaters neu schaffen wollen. Auch wenn es im neuen Datenschutzgesetz freiwillig ist, so ist es in vielen Fällen sinnvoll, diese Rolle zu- mindest in Teilen einzuführen. Die Erfahrung mit dieser Rolle im Anwendungsbereich der Europäi- schen Datenschutz-Grundverordnung zeigt, dass die Compliance durch einen internen Datenschutz- berater massgeblich verbessert wird.

Für kleine und mittlere Unternehmen ist es von sehr grosser Bedeutung, zur Unterstützung ihrer internen betrieblichen Abläufe, zur Bereitstellung ihrer Dienstleistungen oder Produkte oder für das Marketing auf externe Service-Provider zugreifen zu können. Nun befinden sich aber viele solcher Dienstleister im Ausland. Sind Personendaten bei der Inanspruchnahme einer solchen Dienstleistung betroffen, so sind die datenschutzrechtlichen Regeln zur sogenannten Auftragsbearbeitung und zum Transfer von Personendaten ins Ausland zu beachten. Dieser Beitrag soll eine praxisnahe Hilfestel- lung für solche Situationen sein.

Der vorliegende Beitrag ist an Personen gerichtet, die sich mit der Prüfung der datenschutzrechtlichen Compliance von Unternehmen, insbesondere im Zuge von M&A-Transaktionen, befassen. Dem Leser soll ein Leitfaden an die Hand gegeben werden, mit dem die aus Sicht der Autoren wichtigsten Punkte systematisch abgefragt und geprüft werden können. Die Prüfpunkte sind nach Themenkreisen gegliedert und mit Red Flags ergänzt, wie sie nach Erfahrung der Autoren bei datenschutzrechtlichen Due Diligence-Prüfungen häufig identifiziert werden. Grundsätzlich richtet sich dieser Leitfaden nach dem Standard der EU-Datenschutz- Grundverordnung (DSGVO). Wo sinnvoll wird auch auf das geltende und künftige Schweizer Recht (DSG und revDSG) Bezug genommen, insbesondere bei den Ausführungen zur grenzüberschreitenden Datenübermitt- lung. Zu beachten ist, dass das geltende DSG einen geringeren Datenschutzstandard als die DSGVO aufweist, aber im Gegensatz zur DSGVO auch die Personendaten von juristischen Personen schützt. Mit der Revision des DSG wird ein dem der DSGVO gleichwertiger Schutzstandard eingeführt, aber gleichzeitig auf den Schutz von Personendaten juristischer Personen verzichtet.

Die Datenschutz-Grundverordnung (DS-GVO) bietet den Verantwortlichen die Möglichkeit, eine Datenverarbeitung mit der Verfolgung von eigenen (berechtigten) Interessen (wozu auch Drittinteressen zählen) zu rechtfertigen, sofern diese Interessen diejenigen der betroffenen Per- sonen überwiegen.

Seitdem die damalige Artikel-29-Datenschutz- gruppe das berechtigte Interesse als nicht bloss die ultima ratio dargestellt hatte1, erscheint die- ser Rechtfertigungsgrund eine praxisfreundliche und einfache Möglichkeit, eine Datenverarbei- tung einer grossen Anzahl von Datensubjekten zu rechtfertigen ohne jeweils eine Einwilligung im Einzelfall einholen zu müssen. Allerdings birgt dieser Rechtfertigungsgrund seine Tücken. Zum einen handelt es bei den berechtigten Interes- sen um einen unbestimmten und somit ausle- gungsbedürftigen Rechtsbegriff, welcher von den Aufsichtsbehörden unterschiedlich interpre- tiert werden kann. Zum anderen sind u.U. zu unterschiedlichen Zeitpunkten zwei Interessen- abwägungen durchzuführen, welche auch eine mögliche Quelle zur anderen Beurteilung der Aufsichtsbehörden darstellen.

Nachfolgend soll ein Überblick über diesen Rechtfertigungsgrund der berechtigten Interes- sen gegeben und anhand von praxisorientierten Beispielen versucht werden diesen Begriff etwas fassbarer zu machen.