Sie sind gefragt
Für Sie als Datenschutzberater ist klar: Sind Personendaten im Spiel, muss so manches bedacht werden, gerade an Vorgaben aus dem Bundesgesetz über den Datenschutz (DSG). Das gilt besonders, wenn Datenbearbeitungen ausserhalb des Unternehmens stattfinden sollen, etwa bei einem Dienstleister oder in der Cloud. Relevant sind immer die folgenden Aspekte:
- Grundsätze der Bearbeitung (Art. 6 DSG).
- Sicherheit der Bearbeitung (Art. 8 DSG)
- Betroffenenrechte (Art. 25 ff. DSG)
- vertragliche Regelung der Datenbearbeitung (z. B. nach Art. 9 DSG)
- angemessenes Datenschutzniveau bei Drittlandsbezug (Artt. 14 bis 18 DSG)
Es gibt keine Automatismen
Soll eine bereits bestehende Bearbeitung bzw. die der Bearbeitung zugrunde liegende Technik an einen Dienstleister oder zu einem Anbieter in die Cloud ausgelagert werden, heisst das nicht, dass unter Datenschutzaspekten alles in Butter ist.
Gerade wenn man meint, dass doch alles schon einmal geprüft wurde und im grünen Bereich wäre, müssen Sie die Hand heben. Machen Sie klar, dass eine zulässige Bearbeitung vor Ort im Unternehmen zwar datenschutzrechtlich in Ordnung sein kann.
Dieselbe Bearbeitung kann jedoch ganz anderen Anforderungen unterliegen, wenn sie durch einen Dienstleister ausgeführt oder in die Cloud verlagert wird. Zudem muss vieles neu bewertet werden, etwa die möglichen Risiken.
Damit Sie keinen wichtigen Aspekt übersehen, können Sie für Ihre Besprechung die folgende Checkliste verwenden:
