Untersuchung von Datenschutzverstössen durch den EDÖB
Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) hat am Dienstag, 18. Juli 2023, ein Merkblatt (hier) betreffend Untersuchung von Datenschutzverstössen veröffentlicht (Kurzmeldung EDÖB).
Gemäss Art. 49 nDSG ist der EDÖB berechtigt eine Untersuchung durchzuführen, wenn genügend Anzeichen bestehen, dass ein Unternehmen (oder Bundesorgan) mit einer Datenbearbeitung gegen die Datenschutzvorschriften verstossen könnte.
Das nun veröffentlichte Merkblatt gibt einen ersten Einblick, wie der EDÖB gedenkt eine solche Untersuchung durchzuführen. Er wird zuerst eine informelle Abklärung durchführen und bereits in diesem Punkt versuchen, die Sache zu erledigen, indem die fehlenden bzw. ungenügenden Datenschutzmassnahmen freiwillig vom Unternehmen umgesetzt werden. Gelingt dies nicht, wird er eine Untersuchung eröffnen (formelles Verwaltungsverfahren nach dem Bundesgesetz über das Verwaltungsverfahren VwVG). Die Unternehmen trifft dabei eine Auskunfts- und Editionspflicht. Kommt das Unternehmen dieser Pflicht nicht nach, so kann der EDÖB den Zugang zu Räumlichkeiten oder Anlagen oder Zeugeneinvernahmen anordnen (vgl. Art. 50 nDSG).
Bei einer Verletzung der Datenschutzvorschriften durch die Datenbearbeitung kann der EDÖB nach der Untersuchung verfügen, dass die Bearbeitung ganz oder teilweise angepasst, unterbrochen oder abgebrochen wird und die Personendaten ganz oder teilweise gelöscht oder vernichtet werden (vgl. Art. 51 nDSG). Bei einem Transfer von Personendaten in unsichere Drittstaaten (z.B. Indien, China, USA – vgl. aber zu den USA hier) kann er die Bekanntgabe aufschieben oder untersagen. Dies könnte enorme Auswirkungen auf die Geschäftstätigkeit eines Unternehmens haben, da allenfalls z.B. eine CRM-Cloud-Nutzung oder ein Hosting im Ausland untersagt werden könnte. Ebenfalls kann er ein Unternehmen verpflichten eine Datenschutz-Folgenabschätzung durchzuführen oder einer betroffenen Person die beantragte Auskunft vollständig zu erteilen. Werden während der Untersuchung die entsprechenden Massnahmen ergriffen, wird er bloss eine Verwarnung aussprechen. Daher sind in einem Fall der Fälle so schnell wie möglich die angezeigten Massnahmen umzusetzen.
Gemäss dem Merkblatt ist der EDÖB bestrebt, seine Untersuchungskompetenzen über das gesetzlich geforderte Minimum hinaus auszuschöpfen, indem er auch dann zu Untersuchungen schreiten wird, wenn er zu solchen befugt, aber nicht verpflichtet ist. Ob er die notwendigen Ressourcen dafür aufwenden kann, ist zum heutigen Zeitpunkt fraglich.
Damit Ihr Unternehmen die notwendigen Datenschutzvorschriften einhalten kann, sind in den nächsten Wochen bis zum Inkrafttreten des neuen Datenschutzgesetzes am 1. September 2023 anhand eines pragmatischen Aktionsplans gewisse Sofort-Massnahmen unternehmensintern umzusetzen. Wir unterstützen Sie jederzeit gerne mit unserem erprobten KMU-Datenschutz-Projekt.
(28.07.2023/Benjamin Hundius)
Haben Sie Fragen zur aktuellen datenschutz-rechtlichen Situation?
Möchten Sie Ihr Unternehmen fit machen für das revidierte Datenschutzgesetz?
Dann zögern Sie nicht, mit uns in Kontakt zu treten.
Ihre Spezialisten: