Was ist DSAT?
[Sie finden die folgenden Erläuterungen auch im Formular “Inhaltsübersicht, Anleitung und Glossar” unter Downloads.]
DSAT besteht aus einem Satz von Formularen, der eine strukturierte Selbstbeurteilung der Datenschutz-Compliance eines Unternehmens erlaubt, d.h. die Überprüfung, inwieweit die Bestimmungen des Datenschutzes sowohl unter dem revidierten DSG als auch der DSGVO eingehalten sind. Es wurde mit folgenden Zielen entwickelt:
- 80:20 Regel: Das Tool deckt nicht alle Fälle und Aspekte ab, aber die breite Masse der Datenbearbeitungen in einem Unternehmen lassen sich damit erfassen und beurteilen, ebenso die grundsätzlichen Strukturen.
- Prinzip Selbstdeklaration: Das Tool arbeitet nach dem Prinzip der Steuererklärung, d.h. die für eine Datenbearbeitung verantwortlichen Personen (Business Owner) nehmen eine Selbstdeklaration vor, für deren Richtigkeit und Vollständigkeit sie verantwortlich sind. Sie entscheiden dabei, wie weit sie dabei gehen wollen, müssen dafür aber auch geradestehen. Eine Datenbearbeitung lässt sich beispielsweise in 15–30 Minuten beurteilen, aber es können ebenso mehrere Stunden darin investiert werden. In der Praxis hat sich ein Schnitt von zwei Stunden pro Datenbearbeitung als Mittelwert herauskristallisiert. Wer das Formular durcharbeitet, wird aber ohnehin für den Datenschutz sensibilisiert.
- Auch ohne Expertenwissen: Die Formulare enthalten zwar viel Know-how, doch wer sie ausfüllt, muss zwar seine Datenbearbeitungen und sein Unternehmen gut kennen, braucht aber kein eigenes Datenschutzwissen. Er muss die auf seinen Fall zutreffenden Aussagen ankreuzen, die so formuliert wurden, dass sie auch ohne juristisches Wissen beantwortet werden können. Das Tool sagt ihm dann, ob die Bearbeitung datenschutzkonform ist. Experten brauchen nach der 80:20 Regel nur in unklaren oder besonderen Fällen beigezogen zu werden. In der Praxis hat sich allerdings gezeigt, dass es am effizientesten und effektivsten ist, wenn die Formulare von einem Fachmann begleitet ausgefüllt werden.
- Risikobasierte Entscheide: In der Praxis kann das Datenschutzrecht nicht vollständig eingehalten werden. Wesentlich ist daher, dass ein Unternehmen sich der Datenschutzregeln bewusst ist und in vernünftigem Rahmen versucht, sich daran zu halten. Das Tool trägt dem Rechnung, indem es auf die in der Praxis wesentlichen Anforderungen fokussiert, bewusst gewisse Unschärfen in Kauf nimmt, wo Ausführlichkeit in der Praxis nicht sinnvoll ist, und es den verantwortlichen Personen damit erlaubt, risikobasierte Entscheide zu treffen. Sie können so Aspekte, die nicht allen Vorgaben genau entsprechen, aber keine relevanten Risiken bergen, akzeptieren. Unternehmen werden so nicht gezwungen, grundsätzlich konforme Datenbearbeitung wegen wenig relevanten Ausnahmen als nicht rechtmässig einzustufen.
- Massnahmen festlegen: Mit dem Tool können nicht nur Lücken im Datenschutz ermitelt werden. Es hilft auch, Massnahmen zu definieren, mit denen diese Lücken geschlossen werden können. Auch bietet das Tool die üblichen Handlungsmassnahmen vorgefertigt an. Es braucht nur angekreuzt und komplettiert zu werden.
- Auto-Dokumentation: Der DSAT liefert dem Unternehmen nicht nur Antworten, es dokumentiert zugleich die Datenschutzkonformität und erforderlichen Massnahmen. Damit kommt das Unternehmen ohne Zusatzaufwand auch seiner Rechenschaftspflicht (Prinzip der Accountability) nach.
Für wen ist das Tool gedacht?
DSAT ist in erster Linie für Schweizer Unternehmen gedacht. Die Unternehmensgrösse spielt an sich keine Rolle, d.h. es kann sowohl von einem KMU als auch im Grosskonzern eingesetzt werden. Inhaltlich deckt es sowohl die Anforderungen des revidierten DSG (derzeit im Stand des Entwurfs des Bundesrats) und der DSGVO (ohne nationale Sonderregelungen der einzelnen EU-Mitgliedsstaaten) ab. Ein Schweizer Konzern mit Niederlassungen im Ausland kann die Formulare aber ohne Weiteres auch für seine ausländischen Niederlassungen in der EU bzw. im EWR oder ausserhalb einsetzen.
Für jede Unternehmenseinheit (d.h. juristische Person) ist die Beurteilung gesondert vorzunehmen, da weder das DSG noch die DSGVO eine Konzernbetrachtung kennt. Verantwortlich daher ist jeweils das einzelne Unternehmen, auch bei konzernweiten Datenbearbeitungen, und zwar unabhängig davon, ob es als datenschutzrechtlich Verantwortlicher („Controller“) oder als Auftragsverarbeiter („Processor“) handelt; dafür sind jeweils eigene Formulare vorgesehen. Soweit das Tool bei Unternehmen mit Sitz bzw. Niederlassungen in der EU zum Einsatz kommt, sind für diese Aktivitäten auf dem Gebiet der EU (bzw. des EWR) die nationalen Sonderregelungen zur DSGVO zu beachten. Insbesondere für die Bearbeitung von Daten von Mitarbeitern kennen einige EU-Mitgliedsstaaten abweichende Regelungen. Auch die Vorschriften für betriebliche Datenschutzbeauftragte sind in bestimmten Staaten (wie z.B. Deutschland) schärfer als in der DSGVO.
Warum kostet das Tool nichts?
In DSAT steckt zwar grosses Know-how, doch ist es mir als Autor ein Anliegen, dass der Datenschutz in der Schweiz kosteneffizient und vor allem vernünftig betrieben werden kann. Ich habe daher seit je her mein Know-how breit geteilt und es hat mir nicht geschadet. Ich setze das Tool auch in meiner eigenen Arbeit ein, damit ich mich bei unseren Klienten auf die wesentlichen Punkte und Probleme konzentrieren kann. Davon gibt es ohnehin genug, und sie sind viel spannender. Indem ich das Tool für breite Kreise zugänglich mache, erhoffe ich mir auch entsprechendes Feedback, um das Tool laufend zu verbessern. Aus diesem Grund arbeite ich auch mit anderen Fachspezialisten zusammen, die es ebenfalls für sich benutzen. DSAT entstand übrigens durch Zufall im Rahmen eines Mandats, in welchem sich ein nicht genanntes Unternehmen aus der Finanzbranche dafür entschied, die “Gap-Fit-Analyse” bei einer Vielzahl von Bearbeitungen auf der Basis einer Selbstdeklaration vorzunehmen.
Wofür ist das Tool nicht geeignet?
Das Tool ist nicht geeignet für die Beurteilung von datenschutzrechtlich komplexen Datenbearbeitungen und Konstellationen (nicht zu verwechseln mit datenschutzrechtlich heiklen Datenbearbeitungen) sowie Fragen in unklaren Situationen und Grenzbereichen. Die vorgefertigten Antworten und Freitextfelder in den Formularen bieten zwar einen gewissen Spielraum, die Komplexität einer Datenbearbeitung abzubilden. Unter Umständen hilft es auch, eine Datenbearbeitung in mehrere Teile aufzuteilen und jeden Teil gesondert zu beurteilen (die Formulare erlauben dies). Doch die Formulare wollen und können nicht jeden Fall abdecken, sondern sind nach der 80:20 Regel auf Standardsituationen ausgerichtet. Es wird in manchen Betrieben Datenbearbeitungen geben, die individuell durch einen Experten beurteilt werden müssen, sei es, weil sie zu komplex sind, sei es, weil sie zu viele Risiken für betroffene Personen oder das Unternehmen bergen. Das Tool kann jedoch auch in diesen Fällen wertvolle Hinweise auf die Problembereiche liefern. Müssen die im Betrieb verantwortlichen Stellen es durcharbeiten, führt es im Übrigen auch zu einer Sensibilisierung dieser Stellen und fördert damit das Verständnis für den Datenschutz.
Sparen wir Zeit mit dem Tool?
Ja, aber nur auf den zweiten Blick. Auch das Prinzip Selbstdeklaration erfordert, dass sich jemand – die für die Datenbearbeitung verantwortliche Person – mit den Anforderungen des Datenschutzes auseinandersetzt, mehr oder weniger intensiv. Diese Person kann das jedoch tun, wenn sie Zeit hat; sie muss sich nicht, wie das üblich ist, von einem Datenschutzexperten befragen lassen, der dann die Beurteilung vornimmt. Der Vorgang wird dadurch effizienter, auch wenn es im Rahmen einer Selbstdeklaration etliche Fälle geben wird, in welchen eine Situation unklar ist und daher ein Experte beigezogen werden muss. Hinzu kommt, dass in einem Unternehmen selten eine Person über alle erforderlichen Informationen über eine bestimmte Datenbearbeitung verfügt, um alle Fragen im Tool beantworten zu können. Sie wird sich somit ihrerseits mit anderen Personen im Betrieb absprechen müssen.
Manche Fragebögen sind enorm lang! Wie lange brauchen wir dafür?
Das stimmt, aber der Eindruck täuscht. Der Fragebogen ist nicht lang, weil er so viele Fragen hat, sondern weil die typischen Antworten bereits aufgeführt sind. Die Länge der Fragebögen macht auch deutlich, wie komplex die Materie ist, obwohl versucht wurde, die Dinge zu vereinfachen, wo dies mit gutem Gewissen möglich ist. Dafür können die Aussagen durch Kreuzchen einfach ausgewählt werden, was eine rasche Beantwortung ermöglicht. Die Erfahrung zeigt, dass den Fragebogen (insbesondere Formular E.1, das Kernstück) schnell ausfüllen kann, wer ihn mit seinen Standardantworten kennt (in 15–30 Minuten pro Datenbearbeitung im Falle von Formular E.1). Das setzt natürlich voraus, dass diese Person auch die jeweilige Datenbearbeitung in der nötigen Tiefe kennt. Letzteres ist in der Praxis das Hauptproblem. Die Erfahrung hat auch gezeigt, dass die meisten Leute mit den Standardantworten in den Formularen ohne Datenschutzwissen gut zurechtkommen (allerdings werden die Formulare diesbezüglich laufend aktualisiert und Feedbacks sind willkommen). Damit die Fragebögen möglichst rasch beantwortet werden können, sind die wichtigsten Antworten auf den längeren Fragebögen vorangestellt, so dass sie “kurz und bündig” beantwortet werden können. Nur wer sich nicht sicher ist oder wem die Antworten nicht geeignet erscheinen, muss in die Detailbeantwortung einsteigen. Wer zum ersten Mal mit dem Fragebogen arbeitet, sollte sich daher insbesondere für das Formular E.1 zwei bis drei Stunden Zeit nehmen, um ihn zu verstehen. Hier kann sich auch ein erstes gemeinsames Ausfüllen mit einem Experten lohnen, im Sinne eines Workshops.
An wen können wir uns mit unseren Fragen wenden?
Wenden Sie sich an den Experten Ihres Vertrauens. Das kann die interne Datenschutzstelle sein, wenn Sie eine solche haben, oder ein externer Datenschutzberater oder Anwalt, der mit der Materie vertraut ist. Sie müssen nicht zu uns kommen. Wir empfehlen unseren Klienten, ab einer gewissen Unternehmensgrösse mindestens eine Person mit solidem Datenschutz-Know-how intern aufzubauen. Das muss kein Jurist sein, sollte aber jemand sein, der Freude am Thema und ein gewisses Flair für Unternehmensorganisation, Governance und Compliance hat, denn die meisten Herausforderungen stellen sich in diesem Bereich, nicht bei den rein rechtlichen Fragen. Für letztere kann bei Bedarf immer noch ein externer Berater beigezogen werden. Sollten Sie beim Umgang mit den Formularen Fragen haben, zum Beispiel, wie eine bestimmte Situation im Formular abzubilden ist oder was eine bestimmte Aussage bedeutet, und haben Sie niemanden, den Sie fragen können, so können Sie sich gerne auch an mich und mein Team wenden. Allerdings behalten wir uns vor, entsprechende Leistungen in Rechnung zu stellen (darauf werden wir Sie aber vorgängig hinweisen). Für Feedbacks und Verbesserungsvorschläge sind wir dankbar.
Wie wird das Tool weiterentwickelt?
Das Tool wurde letztlich aus der Not geboren, erfreut sich aber einiger Beliebtheit. Es ist ein Anfang, und es soll im Laufe der Zeit weiterentwickelt werden, basierend auf den Erfahrungen der Praxis und der Rechtsentwicklung. Zum Zeitpunkt der Lancierung existieren auch noch nicht alle Formulare. Die Weiterentwicklung ist die Aufgabe des Autors von DSAT und einer kleinen Fachredaktion, in die bei Bedarf auch andere, externe Experten eingebunden werden. Wie sich das Tool entwickelt, wird sich zeigen. Dies wird von der Akzeptanz im Markt abhängen. In einer ersten Phase wird es daher darum gehen, mit Feedbacks diverser Unternehmen die Praxistauglichkeit und fachliche Basis zu verbessern.
Wo bekomme ich das Tool und vor allem Updates?
Für das Tool wurde eine eigene Website eingerichtet (www.dsat.ch). Auf dieser Website sind die aktuellsten Fassungen der diversen Formulare abrufbar. Sie können sich mit einer E‑Mail-Adresse eintragen lassen, um jeweils über die neusten Anpassungen informiert zu werden. Die Unterlagen sind unter einer freien Lizenz verfügbar, d.h. jeder kann sich die Formulare für seinen Gebrauch entsprechend den Lizenzbedingungen herunterladen und nutzen. Über die Websites können auch Anregungen und Wünsche für Anpassungen, Ergänzungen, etc. kommuniziert werden. Neue Versionen sind dem Autor bzw. der Fachredaktion vorbehalten.
Sind Anpassungen für das eigene Unternehmen möglich?
Unternehmensspezifische Anpassungen sind derzeit nicht vorgesehen, aber nach individueller Absprache möglich, sofern das Unternehmen einwilligt, dass die Anpassungen in den “Standard” frei übernommen werden. Denkbar ist auch, dass darauf spezialisierte Unternehmen eine elektronische, automatisierte Variante des Tools anbieten (d.h. in Form einer Web-Applikation, App oder sonstigen Software-Lösung). Da dies nicht der Kompetenzbereich des Autors ist, sollen sich darum andere kümmern. Auch hier kann der Inhalt von DSAT kostenlos zur Verfügung gestellt werden, wenn gewisse Voraussetzungen erfüllt sind. Hierzu ist der Autor zu kontaktieren.