Worum es geht

Was ist DSAT?

[Sie find­en die fol­gen­den Erläuterun­gen auch im For­mu­lar “Inhalt­süber­sicht, Anleitung und Glos­sar” unter Down­loads.]

DSAT beste­ht aus einem Satz von For­mu­la­ren, der eine struk­turi­erte Selb­st­beurteilung der Daten­schutz-Com­pli­ance eines Unternehmens erlaubt, d.h. die Über­prü­fung, inwieweit die Bes­tim­mungen des Daten­schutzes sowohl unter dem rev­i­dierten DSG als auch der DSGVO einge­hal­ten sind. Es wurde mit fol­gen­den Zie­len entwick­elt:

  • 80:20 Regel: Das Tool deckt nicht alle Fälle und Aspek­te ab, aber die bre­ite Masse der Daten­bear­beitun­gen in einem Unternehmen lassen sich damit erfassen und beurteilen, eben­so die grund­sät­zlichen Struk­turen.
  • Prinzip Selb­st­dekla­ra­tion: Das Tool arbeit­et nach dem Prinzip der Steuer­erk­lärung, d.h. die für eine Daten­bear­beitung ver­ant­wortlichen Per­so­n­en (Busi­ness Own­er) nehmen eine Selb­st­dekla­ra­tion vor, für deren Richtigkeit und Voll­ständigkeit sie ver­ant­wortlich sind. Sie entschei­den dabei, wie weit sie dabei gehen wollen, müssen dafür aber auch ger­adeste­hen. Eine Daten­bear­beitung lässt sich beispiel­sweise in 15–30 Minuten beurteilen, aber es kön­nen eben­so mehrere Stun­den darin investiert wer­den. In der Prax­is hat sich ein Schnitt von zwei Stun­den pro Daten­bear­beitung als Mit­tel­w­ert her­auskristallisiert. Wer das For­mu­lar dur­char­beit­et, wird aber ohne­hin für den Daten­schutz sen­si­bil­isiert.
  • Auch ohne Experten­wis­sen: Die For­mu­la­re enthal­ten zwar viel Know-how, doch wer sie aus­füllt, muss zwar seine Daten­bear­beitun­gen und sein Unternehmen gut ken­nen, braucht aber kein eigenes Daten­schutzwis­sen. Er muss die auf seinen Fall zutr­e­f­fend­en Aus­sagen ankreuzen, die so for­muliert wur­den, dass sie auch ohne juris­tis­ches Wis­sen beant­wortet wer­den kön­nen. Das Tool sagt ihm dann, ob die Bear­beitung daten­schutzkon­form ist. Experten brauchen nach der 80:20 Regel nur in unklaren oder beson­deren Fällen beige­zo­gen zu wer­den. In der Prax­is hat sich allerd­ings gezeigt, dass es am effizien­testen und effek­tivsten ist, wenn die For­mu­la­re von einem Fach­mann begleit­et aus­ge­füllt wer­den.
  • Risikobasierte Entschei­de: In der Prax­is kann das Daten­schutzrecht nicht voll­ständig einge­hal­ten wer­den. Wesentlich ist daher, dass ein Unternehmen sich der Daten­schutzregeln bewusst ist und in vernün­ftigem Rah­men ver­sucht, sich daran zu hal­ten. Das Tool trägt dem Rech­nung, indem es auf die in der Prax­is wesentlichen Anforderun­gen fokussiert, bewusst gewisse Unschär­fen in Kauf nimmt, wo Aus­führlichkeit in der Prax­is nicht sin­nvoll ist, und es den ver­ant­wortlichen Per­so­n­en damit erlaubt, risikobasierte Entschei­de zu tre­f­fen. Sie kön­nen so Aspek­te, die nicht allen Vor­gaben genau entsprechen, aber keine rel­e­van­ten Risiken bergen, akzep­tieren. Unternehmen wer­den so nicht gezwun­gen, grund­sät­zlich kon­forme Daten­bear­beitung wegen wenig rel­e­van­ten Aus­nah­men als nicht recht­mäs­sig einzustufen.
  • Mass­nah­men fes­tle­gen: Mit dem Tool kön­nen nicht nur Lück­en im Daten­schutz ermitelt wer­den. Es hil­ft auch, Mass­nah­men zu definieren, mit denen diese Lück­en geschlossen wer­den kön­nen. Auch bietet das Tool die üblichen Hand­lungs­mass­nah­men vorge­fer­tigt an. Es braucht nur angekreuzt und kom­plet­tiert zu wer­den.
  • Auto-Doku­men­ta­tion: Der DSAT liefert dem Unternehmen nicht nur Antworten, es doku­men­tiert zugle­ich die Daten­schutzkon­for­mität und erforder­lichen Mass­nah­men. Damit kommt das Unternehmen ohne Zusatza­ufwand auch sein­er Rechen­schaft­spflicht (Prinzip der Account­abil­i­ty) nach.

Für wen ist das Tool gedacht?

DSAT ist in erster Lin­ie für Schweiz­er Unternehmen gedacht. Die Unternehmensgrösse spielt an sich keine Rolle, d.h. es kann sowohl von einem KMU als auch im Grosskonz­ern einge­set­zt wer­den. Inhaltlich deckt es sowohl die Anforderun­gen des rev­i­dierten DSG (derzeit im Stand des Entwurfs des Bun­desrats) und der DSGVO (ohne nationale Son­der­regelun­gen der einzel­nen EU-Mit­gliedsstaat­en) ab. Ein Schweiz­er Konz­ern mit Nieder­las­sun­gen im Aus­land kann die For­mu­la­re aber ohne Weit­eres auch für seine aus­ländis­chen Nieder­las­sun­gen in der EU bzw. im EWR oder ausser­halb ein­set­zen.

Für jede Unternehmen­sein­heit (d.h. juris­tis­che Per­son) ist die Beurteilung geson­dert vorzunehmen, da wed­er das DSG noch die DSGVO eine Konz­ern­be­tra­ch­tung ken­nt. Ver­ant­wortlich daher ist jew­eils das einzelne Unternehmen, auch bei konz­ern­weit­en Daten­bear­beitun­gen, und zwar unab­hängig davon, ob es als daten­schutzrechtlich Ver­ant­wortlich­er („Con­troller“) oder als Auf­tragsver­ar­beit­er („Proces­sor“) han­delt; dafür sind jew­eils eigene For­mu­la­re vorge­se­hen. Soweit das Tool bei Unternehmen mit Sitz bzw. Nieder­las­sun­gen in der EU zum Ein­satz kommt, sind für diese Aktiv­itäten auf dem Gebi­et der EU (bzw. des EWR) die nationalen Son­der­regelun­gen zur DSGVO zu beacht­en. Ins­beson­dere für die Bear­beitung von Dat­en von Mitar­beit­ern ken­nen einige EU-Mit­gliedsstaat­en abwe­ichende Regelun­gen. Auch die Vorschriften für betriebliche Daten­schutzbeauf­tragte sind in bes­timmten Staat­en (wie z.B. Deutsch­land) schär­fer als in der DSGVO.

Warum kostet das Tool nichts?

In DSAT steckt zwar gross­es Know-how, doch ist es mir als Autor ein Anliegen, dass der Daten­schutz in der Schweiz kosten­ef­fizient und vor allem vernün­ftig betrieben wer­den kann. Ich habe daher seit je her mein Know-how bre­it geteilt und es hat mir nicht geschadet. Ich set­ze das Tool auch in mein­er eige­nen Arbeit ein, damit ich mich bei unseren Klien­ten auf die wesentlichen Punk­te und Prob­leme konzen­tri­eren kann. Davon gibt es ohne­hin genug, und sie sind viel span­nen­der. Indem ich das Tool für bre­ite Kreise zugänglich mache, erhoffe ich mir auch entsprechen­des Feed­back, um das Tool laufend zu verbessern. Aus diesem Grund arbeite ich auch mit anderen Fach­spezial­is­ten zusam­men, die es eben­falls für sich benutzen. DSAT ent­stand übri­gens durch Zufall im Rah­men eines Man­dats, in welchem sich ein nicht genan­ntes Unternehmen aus der Finanzbranche dafür entsch­ied, die “Gap-Fit-Analyse” bei ein­er Vielzahl von Bear­beitun­gen auf der Basis ein­er Selb­st­dekla­ra­tion vorzunehmen.

Wofür ist das Tool nicht geeignet?

Das Tool ist nicht geeignet für die Beurteilung von daten­schutzrechtlich kom­plex­en Daten­bear­beitun­gen und Kon­stel­la­tio­nen (nicht zu ver­wech­seln mit daten­schutzrechtlich heiklen Daten­bear­beitun­gen) sowie Fra­gen in unklaren Sit­u­a­tio­nen und Grenzbere­ichen. Die vorge­fer­tigten Antworten und Fre­i­t­extfelder in den For­mu­la­ren bieten zwar einen gewis­sen Spiel­raum, die Kom­plex­ität ein­er Daten­bear­beitung abzu­bilden. Unter Umstän­den hil­ft es auch, eine Daten­bear­beitung in mehrere Teile aufzuteilen und jeden Teil geson­dert zu beurteilen (die For­mu­la­re erlauben dies). Doch die For­mu­la­re wollen und kön­nen nicht jeden Fall abdeck­en, son­dern sind nach der 80:20 Regel auf Stan­dard­si­t­u­a­tio­nen aus­gerichtet. Es wird in manchen Betrieben Daten­bear­beitun­gen geben, die indi­vidu­ell durch einen Experten beurteilt wer­den müssen, sei es, weil sie zu kom­plex sind, sei es, weil sie zu viele Risiken für betrof­fene Per­so­n­en oder das Unternehmen bergen. Das Tool kann jedoch auch in diesen Fällen wertvolle Hin­weise auf die Prob­lem­bere­iche liefern. Müssen die im Betrieb ver­ant­wortlichen Stellen es dur­char­beit­en, führt es im Übri­gen auch zu ein­er Sen­si­bil­isierung dieser Stellen und fördert damit das Ver­ständ­nis für den Daten­schutz.

Sparen wir Zeit mit dem Tool?

Ja, aber nur auf den zweit­en Blick. Auch das Prinzip Selb­st­dekla­ra­tion erfordert, dass sich jemand – die für die Daten­bear­beitung ver­ant­wortliche Per­son – mit den Anforderun­gen des Daten­schutzes auseinan­der­set­zt, mehr oder weniger inten­siv. Diese Per­son kann das jedoch tun, wenn sie Zeit hat; sie muss sich nicht, wie das üblich ist, von einem Daten­schutzex­perten befra­gen lassen, der dann die Beurteilung vorn­immt. Der Vor­gang wird dadurch effizien­ter, auch wenn es im Rah­men ein­er Selb­st­dekla­ra­tion etliche Fälle geben wird, in welchen eine Sit­u­a­tion unklar ist und daher ein Experte beige­zo­gen wer­den muss. Hinzu kommt, dass in einem Unternehmen sel­ten eine Per­son über alle erforder­lichen Infor­ma­tio­nen über eine bes­timmte Daten­bear­beitung ver­fügt, um alle Fra­gen im Tool beant­worten zu kön­nen. Sie wird sich somit ihrer­seits mit anderen Per­so­n­en im Betrieb absprechen müssen.

Manche Fragebögen sind enorm lang! Wie lange brauchen wir dafür?

Das stimmt, aber der Ein­druck täuscht. Der Frage­bo­gen ist nicht lang, weil er so viele Fra­gen hat, son­dern weil die typ­is­chen Antworten bere­its aufge­führt sind. Die Länge der Frage­bö­gen macht auch deut­lich, wie kom­plex die Materie ist, obwohl ver­sucht wurde, die Dinge zu vere­in­fachen, wo dies mit gutem Gewis­sen möglich ist. Dafür kön­nen die Aus­sagen durch Kreuzchen ein­fach aus­gewählt wer­den, was eine rasche Beant­wor­tung ermöglicht. Die Erfahrung zeigt, dass den Frage­bo­gen (ins­beson­dere For­mu­lar E.1, das Kern­stück) schnell aus­füllen kann, wer ihn mit seinen Stan­dar­d­ant­worten ken­nt (in 15–30 Minuten pro Daten­bear­beitung im Falle von For­mu­lar E.1). Das set­zt natür­lich voraus, dass diese Per­son auch die jew­eilige Daten­bear­beitung in der nöti­gen Tiefe ken­nt. Let­zteres ist in der Prax­is das Haupt­prob­lem. Die Erfahrung hat auch gezeigt, dass die meis­ten Leute mit den Stan­dar­d­ant­worten in den For­mu­la­ren ohne Daten­schutzwis­sen gut zurechtkom­men (allerd­ings wer­den die For­mu­la­re dies­bezüglich laufend aktu­al­isiert und Feed­backs sind willkom­men). Damit die Frage­bö­gen möglichst rasch beant­wortet wer­den kön­nen, sind die wichtig­sten Antworten auf den län­geren Frage­bö­gen vor­angestellt, so dass sie “kurz und bündig” beant­wortet wer­den kön­nen. Nur wer sich nicht sich­er ist oder wem die Antworten nicht geeignet erscheinen, muss in die Detail­beant­wor­tung ein­steigen. Wer zum ersten Mal mit dem Frage­bo­gen arbeit­et, sollte sich daher ins­beson­dere für das For­mu­lar E.1 zwei bis drei Stun­den Zeit nehmen, um ihn zu ver­ste­hen. Hier kann sich auch ein erstes gemein­sames Aus­füllen mit einem Experten lohnen, im Sinne eines Work­shops.

An wen können wir uns mit unseren Fragen wenden?

Wen­den Sie sich an den Experten Ihres Ver­trauens. Das kann die interne Daten­schutzstelle sein, wenn Sie eine solche haben, oder ein extern­er Daten­schutzber­ater oder Anwalt, der mit der Materie ver­traut ist. Sie müssen nicht zu uns kom­men. Wir empfehlen unseren Klien­ten, ab ein­er gewis­sen Unternehmensgrösse min­destens eine Per­son mit soli­dem Daten­schutz-Know-how intern aufzubauen. Das muss kein Jurist sein, sollte aber jemand sein, der Freude am The­ma und ein gewiss­es Flair für Unternehmen­sor­gan­i­sa­tion, Gov­er­nance und Com­pli­ance hat, denn die meis­ten Her­aus­forderun­gen stellen sich in diesem Bere­ich, nicht bei den rein rechtlichen Fra­gen. Für let­ztere kann bei Bedarf immer noch ein extern­er Berater beige­zo­gen wer­den. Soll­ten Sie beim Umgang mit den For­mu­la­ren Fra­gen haben, zum Beispiel, wie eine bes­timmte Sit­u­a­tion im For­mu­lar abzu­bilden ist oder was eine bes­timmte Aus­sage bedeutet, und haben Sie nie­man­den, den Sie fra­gen kön­nen, so kön­nen Sie sich gerne auch an mich und mein Team wen­den. Allerd­ings behal­ten wir uns vor, entsprechende Leis­tun­gen in Rech­nung zu stellen (darauf wer­den wir Sie aber vorgängig hin­weisen). Für Feed­backs und Verbesserungsvorschläge sind wir dankbar.

Wie wird das Tool weiterentwickelt?

Das Tool wurde let­ztlich aus der Not geboren, erfreut sich aber einiger Beliebtheit. Es ist ein Anfang, und es soll im Laufe der Zeit weit­er­en­twick­elt wer­den, basierend auf den Erfahrun­gen der Prax­is und der Recht­sen­twick­lung. Zum Zeit­punkt der Lancierung existieren auch noch nicht alle For­mu­la­re. Die Weit­er­en­twick­lung ist die Auf­gabe des Autors von DSAT und ein­er kleinen Fachredak­tion, in die bei Bedarf auch andere, externe Experten einge­bun­den wer­den. Wie sich das Tool entwick­elt, wird sich zeigen. Dies wird von der Akzep­tanz im Markt abhän­gen. In ein­er ersten Phase wird es daher darum gehen, mit Feed­backs divers­er Unternehmen die Prax­is­tauglichkeit und fach­liche Basis zu verbessern.

Wo bekomme ich das Tool und vor allem Updates?

Für das Tool wurde eine eigene Web­site ein­gerichtet (www.dsat.ch). Auf dieser Web­site sind die aktuell­sten Fas­sun­gen der diversen For­mu­la­re abruf­bar. Sie kön­nen sich mit ein­er E‑Mail-Adresse ein­tra­gen lassen, um jew­eils über die neusten Anpas­sun­gen informiert zu wer­den. Die Unter­la­gen sind unter ein­er freien Lizenz ver­füg­bar, d.h. jed­er kann sich die For­mu­la­re für seinen Gebrauch entsprechend den Lizenzbe­din­gun­gen herun­ter­laden und nutzen. Über die Web­sites kön­nen auch Anre­gun­gen und Wün­sche für Anpas­sun­gen, Ergänzun­gen, etc. kom­mu­niziert wer­den. Neue Ver­sio­nen sind dem Autor bzw. der Fachredak­tion vor­be­hal­ten.

Sind Anpassungen für das eigene Unternehmen möglich?

Unternehmensspez­i­fis­che Anpas­sun­gen sind derzeit nicht vorge­se­hen, aber nach indi­vidu­eller Absprache möglich, sofern das Unternehmen ein­willigt, dass die Anpas­sun­gen in den “Stan­dard” frei über­nom­men wer­den. Denkbar ist auch, dass darauf spezial­isierte Unternehmen eine elek­tro­n­is­che, automa­tisierte Vari­ante des Tools anbi­eten (d.h. in Form ein­er Web-App­lika­tion, App oder son­sti­gen Soft­ware-Lösung). Da dies nicht der Kom­pe­tenzbere­ich des Autors ist, sollen sich darum andere küm­mern. Auch hier kann der Inhalt von DSAT kosten­los zur Ver­fü­gung gestellt wer­den, wenn gewisse Voraus­set­zun­gen erfüllt sind. Hierzu ist der Autor zu kon­tak­tieren.