Farbverlauf der 360excellence Akzentfarben, horizontal
Geschäfts­pro­zess­ori­en­tie­rung als Schlüs­sel zum Erfolg

Die Umset­zung des revDSG bringt Neue­run­gen und auch Herausforderungen

Im Zuge der digi­ta­len Trans­for­ma­ti­on hat sich unse­re Welt in den letz­ten Jahr­zehn­ten grund­le­gend gewan­delt und die Art und Wei­se, wie wir kom­mu­ni­zie­ren, Geschäf­te täti­gen und Infor­ma­tio­nen tei­len, revo­lu­tio­niert. Die­se Ent­wick­lung geht jedoch auch mit einer zuneh­men­den Bedeu­tung des Daten­schut­zes ein­her. Als Reak­ti­on dar­auf hat der Bun­des­rat am 31. August 2022 beschlos­sen, dass das revi­dier­tes Daten­schutz­ge­setz (revDSG), beglei­tet von Aus­füh­rungs­be­stim­mun­gen in einer Daten­schutz­ver­ord­nung (DSV) und neu­en Ver­ord­nun­gen über Daten­schutz­zer­ti­fi­zie­run­gen (VDSZ) am 1. Sep­tem­ber 2023 in Kraft tre­ten wird. Das revDSG bringt eine Viel­zahl von Ver­än­de­run­gen mit sich, auf die sich alle Orga­ni­sa­tio­nen und Unter­neh­men ein­stel­len müs­sen, die mit Per­so­nen­da­ten arbei­ten. Die Zeit für die Anpas­sung ist knapp bemes­sen, da mit dem 31. August 2022 auch die Anpas­sungs­frist begon­nen hat und die Umset­zung bis zum 1. Sep­tem­ber 2023 erfor­der­lich ist.

Bli­cken wir etwas zurück: Am 25. Mai 2018 trat die Daten­schutz-Grund­ver­ord­nung (DSGVO) in der Euro­päi­schen Uni­on in Kraft und mar­kier­te einen Mei­len­stein im Bereich des Daten­schut­zes. Für die Schweiz als Wirt­schafts­stand­ort war es von zen­tra­ler Bedeu­tung, eine umfas­sen­de Über­ar­bei­tung des Daten­schutz­ge­set­zes vor­zu­neh­men, um ihre Wett­be­werbs­fä­hig­keit zu erhal­ten und wei­ter­hin als Dritt­staat mit ange­mes­se­nem Daten­schutz­ni­veau aner­kannt zu wer­den. Die­se Aner­ken­nung bil­det die Grund­la­ge für einen rei­bungs­lo­sen grenz­über­schrei­ten­den Datenaustausch.

Die Über­ar­bei­tung des Daten­schutz­ge­set­zes bringt Ver­än­de­run­gen mit sich, die sich wei­test­ge­hend an der DSGVO der EU ori­en­tie­ren. Ins­be­son­de­re klei­ne und mitt­le­re Unter­neh­men (KMU) sowie ande­re Orga­ni­sa­tio­nen, die Per­so­nen­da­ten aus der Schweiz ver­ar­bei­ten, sind gefor­dert, ihre Geschäfts­pro­zes­se ent­spre­chend anzupassen.

Sowohl KMU als auch gros­se Unter­neh­men und ande­re Orga­ni­sa­tio­nen, die bereits unter der DSGVO agier­ten, soll­ten ihre Situa­ti­on einer kri­ti­schen Prü­fung unter­zie­hen. Obwohl das revDSG ver­schie­de­ne Ähn­lich­kei­ten zur DSGVO auf­weist, bestehen den­noch Unter­schie­de, die sorg­fäl­tig berück­sich­tigt und in die Geschäfts­pro­zes­se inte­griert wer­den müssen.

In bei­den Fäl­len ist es von gros­ser Bedeu­tung, sich inten­si­ver mit den Geschäfts­pro­zes­sen aus­ein­an­der­zu­set­zen, zu iden­ti­fi­zie­ren, an wel­chen Stel­len per­so­nen­be­zo­ge­ne Daten ver­ar­bei­tet wer­den, den spe­zi­fi­schen Hand­lungs­be­darf für die­se Pro­zes­se zu ermit­teln und die erfor­der­li­chen Mass­nah­men zu ergrei­fen, um eine erfolg­rei­che Umset­zung des revDSG zu gewähr­leis­ten. Eine pro­ak­ti­ve Her­an­ge­hens­wei­se und eine effek­ti­ve Anpas­sung an die neu­en Anfor­de­run­gen sind ent­schei­dend, um den Daten­schutz­vor­schrif­ten gerecht zu wer­den und poten­zi­el­le Risi­ken zu minimieren.

Wel­che Unter­schie­de bringt das revDSG?

Das revDSG bringt eini­ge Ver­än­de­run­gen mit sich, die teil­wei­se stark an die DSGVO der EU erin­nern. Aber es han­delt sich kei­nes­wegs um eine «hel­ve­ti­sier­te Kopie» der euro­päi­schen Regu­la­ti­on. Unter­neh­men, die also bereits unter der DSGVO agie­ren, soll­ten sich trotz­dem mit dem revDSG befas­sen, die Unter­schie­de erken­nen und die Anfor­de­run­gen ent­spre­chend umsetzen.

Zunächst wer­den die Begrif­fe «Ver­ant­wort­li­che» und «Auf­trags­be­ar­bei­ter» ein­ge­führt. Der «Ver­ant­wort­li­che» ist die Instanz, die allein oder gemein­sam mit ande­ren über den Zweck und die Mit­tel der Daten­ver­ar­bei­tung ent­schei­det. «Auf­trags­be­ar­bei­ter» sind Per­so­nen, die im Auf­trag des Ver­ant­wort­li­chen Per­so­nen­da­ten, der Betrof­fe­nen ver­ar­bei­ten. Es sind genau die­se Rol­len, die sich mit den Ver­än­de­run­gen, die das revDSG bringt, befas­sen müssen.

Das revDSG erwei­tert den Rah­men des Gel­tungs­be­reichs, die Pflich­ten der Ver­ant­wort­li­chen und Auf­trags­be­ar­bei­ter und auch die Betroffenenrechte.

In der Tabel­le 1 und 2 sind die Haupt­un­ter­schie­de zusammengefasst.

Unterschiede revDSG und DSG
Altes DSG revDSG
Anwend­bar­keit
  • Anwend­bar auf Per­so­nen­da­ten natür­li­cher und juris­ti­scher Personen
  • Nur auf Per­so­nen­da­ten natür­li­cher Per­so­nen anwendbar
Räum­li­cher Geltungsbereich
  • Inter­na­tio­na­le Daten­be­ar­bei­ter waren nur begrenzt unterstellt 
  • Unter­stellt wenn eine Nie­der­las­sung in der Schweiz vor­han­den war 
  • Alle Daten­be­ar­bei­ter, die nicht für den per­sön­li­chen Gebrauch Per­so­nen­da­ten natür­li­cher Per­so­nen bear­bei­ten und die­se Aus­wir­kun­gen in der Schweiz haben (Aus­wir­kungs­prin­zip)
  • Unab­hän­gig vom Stand­ort der Datenbearbeitung 
Beson­ders schüt­zens­wer­te Daten
  • Daten über die reli­giö­sen, welt­an­schau­li­chen, poli­ti­schen oder gewerk­schaft­li­chen Ansich­ten oder Tätig­kei­ten, die Gesund­heit, die Intim­sphä­re, die Ras­sen­zu­ge­hö­rig­keit, Mass­nah­men der sozia­len Hil­fe, admi­nis­tra­ti­ve oder straf­recht­li­che Ver­fol­gun­gen und Sanktionen 
  • Daten über reli­giö­se, welt­an­schau­li­che, poli­ti­sche oder gewerk­schaft­li­che Ansich­ten oder Tätig­kei­ten, die Gesund­heit, die Intim­sphä­re, die Zuge­hö­rig­keit zu einer Ras­se oder Eth­nie, gene­ti­sche Daten, bio­me­tri­sche Daten, mit denen man eine natür­li­che Per­son ein­deu­tig iden­ti­fi­zie­ren kann, ver­wal­tungs- und straf­recht­li­che Ver­fol­gun­gen oder Sank­tio­nen, Mass­nah­men der sozia­len Hilfe; 
  • Gene­ti­sche Daten und bio­me­tri­sche Daten wur­den Daten­set der beson­ders schüt­zens­wer­ten Daten hinzugefügt 
EDÖB
  • Muss­te vor­gän­gig beim Bun­des­ver­wal­tungs­ge­richt kla­ge füh­ren um rechts­wid­ri­ge Daten­be­ar­bei­tun­gen auf­zu­schie­ben, ein­zu­schrän­ken oder zu verbieten 
  • Agiert nun selbstständiger 
  • Kann nun mit­tels einer Ver­fü­gung rechts­wid­ri­ge Daten­be­ar­bei­tun­gen auf­schie­ben, ein­schrän­ken oder verbieten 
Infor­ma­ti­ons­pflicht
  • Infor­ma­ti­ons­pflicht gegen­über Betrof­fe­nen nur bei beson­ders schüt­zens­wer­ten Daten und Persönlichkeitsprofilen 
  • Pro­ak­ti­ve Infor­ma­ti­ons­pflicht gegen­über Betrof­fe­nen bei allen Erhe­bun­gen von Personendaten 
  • Infor­ma­ti­ons­pflicht gilt auch bei indi­rek­ter Beschaf­fung der Daten 
  • Bei der Beschaf­fung müs­sen die Infor­ma­tio­nen mit­ge­teilt wer­den, die not­wen­dig sind, damit Betrof­fe­ne ihre Rech­te nach dem revDSG gel­tend machen kann: Iden­ti­tät und Kon­takt­da­ten des Ver­ant­wort­li­chen, Bear­bei­tungs­zweck, gege­be­nen­falls die Emp­fän­ge­rin­nen und Emp­fän­ger oder die Kate­go­rien von Emp­fän­ge­rin­nen und Emp­fän­gern, denen Per­so­nen­da­ten bekannt­ge­ge­ben werden 
  • Bekannt­ga­be der Daten ins Aus­land, muss in Kennt­nis gesetzt werden 
Pri­va­cy by Design
  • Daten müs­sen durch tech­ni­sche und orga­ni­sa­to­ri­sche Mass­nah­men geschützt sein 
  • Idee aus der DSGVO um zu präzisieren 
  • Schon in der Pla­nung eines Pro­duk­tes oder einer Dienst­leis­tung, müs­sen die Aspek­te des Daten­schut­zes ein­ge­baut werden 
  • «Daten­schutz als Gestaltungsaspekt» 
Pri­va­cy by Default
  • Daten müs­sen durch tech­ni­sche und orga­ni­sa­to­ri­sche Mass­nah­men geschützt sein 
  • Idee aus der DSGVO um zu präzisieren 
  • Ver­folgt den Grund­satz der Daten­mi­ni­mie­rung: Ohne Ein­grei­fen der Nut­zer darf das Pro­dukt oder die Dienst­leis­tung nur die nöti­gen Daten verarbeiten 
  • «Daten­schutz als Standard» 
Pro­fil­ing
  • Der Begriff Pro­fil­ing exis­tier­te nicht im alten DSG 
  • Es gibt Per­sön­lich­keits­pro­fi­le, die weni­ger breit gefä­chert sind wie das Profiling 
  • Das revDSG führt den Begriff «Pro­fil­ing» ein, der wei­ter gefasst ist als das Per­sön­lich­keits­pro­fil im alten DSG. Pro­fil­ing im revDSG bezieht sich auf jede Form der auto­ma­ti­sier­ten Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten, bei der die­se Daten ver­wen­det wer­den, um bestimm­te Aspek­te einer natür­li­chen Per­son zu bewer­ten, ins­be­son­de­re um Aspek­te bezüg­lich Arbeits­leis­tung, wirt­schaft­li­cher Lage, Gesund­heit, per­sön­li­cher Vor­lie­ben, Ver­hal­ten, Auf­ent­halts­ort oder Bewe­gun­gen der Per­son zu ana­ly­sie­ren oder vorherzusagen 
  • Pro­fil­ing mit hohem Risi­ko: Pro­fil­ing, das ein erheb­li­ches Risi­ko für die Per­sön­lich­keit oder die Grund­rech­te der betrof­fe­nen Per­son dar­stellt, indem es eine Ver­knüp­fung von Daten ermög­licht, die eine Bewer­tung wesent­li­cher Per­sön­lich­keits­aspek­te einer natür­li­chen Per­son ermöglicht 
  • Für ein Pro­fil­ing mit hohem Risi­ko braucht es die Ein­wil­li­gung der Betroffenen 
Ver­zeich­nis der Bearbeitungstätigkeiten
  • Es besteht die Pflicht zur Füh­rung eines Regis­ters der Datensammlungen 
  • Orga­ni­sa­tio­nen mit mehr als 250 Mit­ar­bei­ten­den oder Orga­ni­sa­tio­nen die gene­rell viel beson­ders schüt­zens­wer­te Daten bear­bei­ten müs­sen ein Ver­zeich­nis der Bear­bei­tungs­tä­tig­kei­ten führen 
  • Regis­ter umfasst gewis­se Min­dest­an­for­de­run­gen /li>
DSFA
  • Bei einer Daten­be­ar­bei­tung mit poten­zi­ell hohem Risi­ko für die Per­sön­lich­keit oder Grund­rech­te Betrof­fe­nen, muss eine DSFA durch­ge­führt werden 
  • Risi­ken und die Daten­schutz-Fol­ge­ab­schät­zun­gen und nöti­gen Mass­nah­men, um Risi­ko zu mini­mie­ren müs­sen fest­ge­hal­ten werden 
  • DSFA kann einem Daten­schutz­be­ra­ter oder dem EDÖB vor­ge­legt werden 
Mel­de­pflicht
  • Bei Ver­let­zun­gen des Daten­schut­zes gab es kei­ne Mel­de­pflicht beim EDÖB oder bei den Betroffenen 
  • Mel­de­pflicht beim EDÖB und den Betrof­fe­nen bei einer Daten­schutz­ver­let­zung mit einem hohen Risi­ko für die Per­sön­lich­keit oder Grund­rech­te der Betroffenen 
Daten­schutz­be­ra­ter
  • EDÖB und Bun­des­rat spre­chen eine star­ke Emp­feh­lung für einen Daten­schutz­be­ra­ter aus 
  • Hilft der Orga­ni­sa­ti­on bei Unsi­cher­hei­ten bzgl. Datenschutz 
Sank­tio­nen
  • Geld­bus­sen bis CHF 10’000
  • Geld­bus­sen bis CHF 250’000
Daten­her­aus­ga­be
  • Von der DSGVO übernommen 
  • Bei Ver­hält­nis­mäs­sig­keit kön­nen Betrof­fe­ne ver­lan­gen die Daten in einem gän­gi­gen elek­tro­ni­schen For­mat herauszugeben 
Daten­por­ta­bi­li­tät
  • Von der DSGVO übernommen 
  • Im Kon­text der Ver­hält­nis­mäs­sig­keit kön­nen Betrof­fe­ne ver­lan­gen die Daten einen ande­ren Ver­ant­wort­li­chen zu übertragen 
Aus­kunfts­recht
  • Jede Per­son kann Aus­kunft dar­über ver­lan­gen, ob Daten über sie bear­bei­tet werden 
  • Aus­kunft über Her­kunft der Daten 
  • Aus­kunft über Zweck und Recht­mäs­sig­keit der Bearbeitung 
  • Aus­kunfts­recht wur­de erweitert 
  • Aus­kunft über Iden­ti­tät und Kon­takt­da­ten des Ver­ant­wort­li­chen, Auf­be­wah­rungs­dau­er und Emp­fän­ger und Emp­fän­ge­rin­nen der Personendaten 
  • Aus­kunft über das Vor­lie­gen einer auto­ma­ti­sier­ten Ein­zel­ent­schei­dung sowie der Logik, auf der die Ent­schei­dung beruht 

Tabel­le 1: Unter­schie­de zwi­schen dem alten DSG und dem revDSG

Unterschiede revDSG und DSGVO
revDSG DSGVO
Ver­bots­prin­zip
  • Geht dem Grund­satz nach, dass Daten­be­ar­bei­tun­gen grund­sätz­lich erlaubt sind 
  • Daten­be­ar­bei­tun­gen sind nur erlaubt wenn spe­zi­fi­sche Recht­fer­ti­gungs­grün­de vorliegen 
Sank­tio­nen
  • Bus­sen rich­ten sich pri­mär gegen natür­li­che Personen 
  • Des­we­gen ist die Ober­gren­ze einer Geld­bus­se bei CHF 250’000 festgelegt 
  • Daten­schutz­be­hör­de EDÖB hat kei­ne Sanktionskompetenzen 
  • Bus­sen wer­den gegen Unter­neh­men ausgesprochen 
  • Ober­gren­ze einer Geld­bus­se liegt bei CHF 20’000’000 oder 4% des glo­ba­len Jah­res­um­sat­zes; je nach­dem was höher ist 
  • Sank­tio­nen wer­den durch die Daten­schutz­be­hör­den ausgesprochen 
Ernen­nung eines Datenschutzbeauftragten
  • Wird aus­drück­lich empfohlen 
  • Unter gewis­sen Umstän­den kann man ver­pflich­tet wer­den einen DSB zu ernennen 
Beson­ders schüt­zens­wer­te Daten
  • Umfasst mehr Typen von Daten 
  • Daten über admi­nis­tra­ti­ve oder straf­recht­li­che Ver­fol­gung, Sank­tio­nen und Mass­nah­men der sozia­len Hil­fe sind beson­ders schützenswert 
  • Umfasst «nur» Daten über ras­sis­ti­sche oder eth­ni­sche Her­kunft, poli­ti­sche Mei­nun­gen, reli­giö­se oder welt­an­schau­li­che Über­zeu­gun­gen, Gewerk­schafts­zu­ge­hö­rig­keit, gene­ti­sche sowie bio­me­tri­sche Daten, Daten zur Gesund­heit und zum Sexu­al­le­ben oder zur sexu­el­len Orientierung 
Mel­dun­gen von Datenschutzverletzungen
  • Müs­sen schnellst­mög­lich dem EDÖB mit­ge­teilt werden 
  • Müs­sen der EU-Auf­sichts­be­hör­de inner­halb von 72 Stun­den gemel­det werden 
Pro­fil­ing
  • Ein­wil­li­gung der Betrof­fe­nen ist bei «Pro­fil­ing mit hohem Risi­ko» erforderlich 
  • Ein­wil­li­gung der Betrof­fe­nen ist notwendig 
Aus­kunfts­recht
  • Kos­ten­freie schrift­li­che Aus­kunft inner­halb von 30 Tagen mit defi­nier­ten Mindestinhalt 
  • Kos­ten­lo­se und detail­lier­te Aus­kunfts­pflicht auf Verlangen 

Tabel­le 2: Unter­schie­de zwi­schen dem revDSG und der EU-DSGVO

Pro­zess­ori­en­tie­rung als Basis für eine erfolg­rei­che Umsetzung

Die Umset­zung der Ver­än­de­run­gen im Rah­men des revDSG kann ange­sichts der Frist bis zum 1. Sep­tem­ber 2023 zunächst über­wäl­ti­gend erscheinen.

Es ist wich­tig, dass Unter­neh­men ihre eige­nen Geschäfts­pro­zes­se ana­ly­sie­ren und erken­nen, an wel­chen Stel­len per­so­nen­be­zo­ge­ne Daten ver­ar­bei­tet wer­den. Nur durch die­se Erkennt­nis kann der erfor­der­li­che Hand­lungs­be­darf ermit­telt und eine Anpas­sung an das revDSG vor­ge­nom­men werden.

Pro­zess­land­kar­ten stel­len wert­vol­le Instru­men­te dar, um kom­ple­xe Abläu­fe und Pro­zes­se inner­halb eines Unter­neh­mens zu visua­li­sie­ren und zu doku­men­tie­ren. Sie ermög­li­chen die Iden­ti­fi­zie­rung und Erfas­sung der ope­ra­ti­ven Pro­zes­se und ihrer Abläu­fe, was bei der Imple­men­tie­rung des revDSG von gros­sem Nut­zen sein kann.

Durch die anschlies­sen­de Pro­zess­ana­ly­se, wird klar an wel­chen Stel­len wel­che Daten ver­ar­bei­tet wer­den. Ein Abgleich mit dem aktu­el­len Daten­schutz­ver­hal­ten und dem revDSG zeigt die Stel­len auf wo Hand­lungs­be­darf besteht.

Prozesslandkarte

Abbil­dung 1: Bei­spiel einer Pro­zess­land­kar­te eines typi­schen Dienst­leis­tungs­un­ter­neh­mens (Quel­le: Ste­fan Lenz)

# Pro­zess-Schritt Rele­vaz bezüg­lich des Datenschutzes
1 Mar­ke­ting-Kam­pa­gne wird geplant und durchgeführt
  • News­let­ter-Ver­sand an Kunden
  • Pri­va­cy by Design ist zu berück­sich­ti­gen, der News­let­ter bie­tet eine Abmelde-Funktion
2 Kun­de wird akquiriert
  • Kun­de wird im Gespräch über die Nut­zung eines CRM-Sys­tems informiert
  • Im CRM-Sys­tem wer­den Infor­ma­tio­nen zum Kun­den gesammelt
3 Kun­de wird beraten
  • Anfor­de­run­gen des Kun­den wer­den im CRM-Sys­tem gespei­chert und für Bera­tung sowie Mar­ke­ting genutzt
4 Man­dat vereinbaren
  • Ver­trag kommt zustan­de, Abschluss wird im CRM-Sys­tem vermerkt
5 HR-Leis­tung durchführen
  • Daten wer­den vom CRM zur ERP-Lösung übertragen
  • Daten der Per­so­nen für Poten­zi­al-Ana­ly­sen wer­den erfasst, Beur­tei­lun­gen durchgeführt
6 Beschaf­fung durchführen
  • Abwick­lung des Auf­trags erfor­dert die Beschaf­fung einer zusätz­li­chen Software-Lizenz
7 Auf­trag wird abgerechnet
  • Leis­tun­gen und Mate­ri­al für Auf­trag des Kun­den wer­den abgerechnet
8 Auf­trag wird verbucht
  • Auf­wän­de und Erträ­ge wer­den ver­bucht, offe­ner Pos­ten bei Debi­to­ren ist angelegt
9 Rech­nungs­we­sen wird geführt
  • Leis­tun­gen und Mate­ri­al für Auf­trag des Kun­den wer­den abgerechnet
  • Haupt- und Neben­bü­cher wer­den geführt und abgestimmt
10 Report­ing wird durchgeführt
  • Infor­ma­tio­nen zum Kun­den und zum Auf­trag wer­den intern publiziert
11 Doku­men­te wer­den archiviert
  • Doku­men­te der durch­ge­führ­ten Poten­zi­al-Ana­ly­sen wer­den archiviert

Tabel­le 3: Pro­zess-Ana­ly­se anhand der Pro­zess­land­kar­te (Quel­le: Ste­fan Lenz)

EDÖB Adrian Lobsiger

«Die Basis jeder daten­schutz­recht­li­chen Ein­schät­zung ist der Über­blick über die bear­bei­te­ten Daten. Wenn ein Unter­neh­men nicht weiss wel­che Daten es zu wel­chen Zwe­cken bear­bei­tet, wird es schwie­rig, die gesetz­li­chen Anfor­de­run­gen zu erfül­len.» (Quel­le: netzwoche.ch)

Adri­an Lob­si­ger, EDÖB

Pro­zess­land­kar­ten und Pro­zess­ana­ly­sen sind bei der Erstel­lung des Daten­be­ar­bei­tungs­ver­zeich­nis­ses, das mit dem revDSG ein­ge­führt wird, hilfreich.Durch das Ver­ständ­nis der ope­ra­ti­ven Pro­zes­se kön­nen alle rele­van­ten Tätig­kei­ten, bei denen Per­so­nen­da­ten ver­ar­bei­tet wer­den, erfasst und mit den Min­dest­an­ga­ben ergänzt wer­den. Die­se umfas­sen die Iden­ti­tät des Ver­ant­wort­li­chen, den Bear­bei­tungs­zweck, betrof­fe­ne Per­so­nen­ka­te­go­rien, Daten­ka­te­go­rien, Emp­fän­ger, Auf­be­wah­rungs­dau­er der Daten, all­ge­mei­ne Daten­si­cher­heits­mass­nah­men und Anga­ben zu län­der­über­grei­fen­der Daten­über­mitt­lung sowie Daten­schutz­ga­ran­tien bei einer Über­füh­rung der Daten ins Aus­land. Die Kon­takt­da­ten des Ver­ant­wort­li­chen kön­nen ein­ma­lig erwähnt wer­den und müs­sen nicht für jede Daten­be­ar­bei­tung noch­mals auf­ge­führt wer­den. Tabel­le 4 zeigt ein Bei­spiel für solch ein Ver­zeich­nis auf.
# Pro­zess Bear­bei­tungs­zweck Betrof­fe­ne Personen Per­so­nen­da­ten Emp­fän­ger Auf­be­wah­rungs­dau­er Daten­si­cher­heit Emp­fän­ger­land Garan­tien
1 Mar­ke­ting-Kam­pa­gne planen/durchführen Markt­be­ar­bei­tung Kun­den, Interessenten Adress­da­ten der Kunden Inter­es­sen­ten, Kunden 1 Jahr Vor­ga­ben aus Pri­va­cy by Design Schweiz -
2 Kun­de akquirieren Kun­den­be­treu­ung Kun­den, Interessenten Adress­da­ten der Kun­den, Bedürf­nis­se der Kunden Inter­es­sen­ten, Kunden 5 Jah­re Merk­blatt Daten­schutz, Beratungsprotokoll Schweiz -
3 Kun­de wird beraten Kun­den­be­treu­ung Kun­den, Interessenten Adress­da­ten der Kun­den, Bedürf­nis­se der Kunden Kun­den 5 Jah­re Merk­blatt Daten­schutz, Beratungsprotokoll Schweiz -
4 Man­dat vereinbaren Kun­den­be­treu­ung Kun­den Adress­da­ten der Kun­den, Anfor­de­run­gen der Kunden Kun­den 10 Jah­re Zugriffs-Beschrän­kung Schweiz -
5 HR-Leis­tung durchführen Bera­tungs­leis­tung für Kunden Kun­den Per­so­nen­da­ten, Kom­pe­ten­zen, Gesundheitsdaten Kun­den 10 Jah­re Zugriffs-Beschrän­kung mit 2 Faktor-Authentisierung Schweiz -
6 Beschaf­fung durchführen Ein­kauf Kun­den Adress­da­ten der Kunden Kun­den 10 Jah­re Zugriffs-Beschrän­kung Schweiz -
7 Auf­trag abrechnen Leis­tungs­ab­rech­nung Kun­den Leis­tung der Mit­ar­bei­ten­den, Personendaten Lie­fe­ran­ten 10 Jah­re Zugriffsbschrän­kung Schweiz -
8 Auf­trag verbuchen Leis­tungs­ab­rech­nung Kun­den Rech­nung für Leis­tun­gen mit Leistungsrapport Kun­den 10 Jah­re Zugriffs-Beschrän­kung Schweiz -
9 Rech­nungs­we­sen führen Buch­hal­tung Kun­den Rech­nung für Leis­tun­gen, Zahlungen - 10 Jah­re Zugriffs-Beschrän­kung Schweiz -
10 Report­ing durchführen Inter­nes Reporting Kun­den Erträ­ge / Umsät­ze mit Kundeninformationen - 5 Jah­re Zugriffs-Beschrän­kung mit 2‑Fak­tor-Authen­ti­sie­rung Schweiz -
11 Doku­men­te archivieren Archi­vie­rung Kun­den Auf­trags­do­ku­men­ta­ti­on - 10 Jah­re Zugriffs-Beschrän­kung mit 2‑Fak­tor-Authen­ti­sie­rung Schweiz -

Tabel­le 4: Bei­spiel eines Ver­zeich­nis­ses anhand der Pro­zess-Ana­ly­se (Quel­le: Ste­fan Lenz)

Eine unver­zicht­ba­re Säu­le für den Datenschutz

In der heu­ti­gen digi­ta­li­sier­ten Welt steigt das Risi­ko von Cyber­be­dro­hun­gen kon­ti­nu­ier­lich an. Unter­neh­men sind ver­mehrt von Angrif­fen wie Phis­hing, Ran­som­wa­re, Spoo­fing und wei­te­ren Bedro­hun­gen betrof­fen. Die­se Angrif­fe stel­len ein erheb­li­ches Risi­ko für Unter­neh­mens­da­ten und ins­be­son­de­re per­so­nen­be­zo­ge­ne Daten dar. Es ist daher uner­läss­lich, sich inten­siv mit tech­ni­schen und orga­ni­sa­to­ri­schen Mass­nah­men im Bereich der Infor­ma­ti­ons­si­cher­heit auseinanderzusetzen.

Infor­ma­ti­ons­si­cher­heit ist ent­schei­dend für den Daten­schutz, da sie den Schutz per­so­nen­be­zo­ge­ner Daten vor unbe­fug­tem Zugriff, Ver­lust oder Miss­brauch gewähr­leis­tet. Durch die Ver­trau­lich­keit, Inte­gri­tät und Ver­füg­bar­keit der Daten wird das Ver­trau­en der Betrof­fe­nen gestärkt und gesetz­li­che Anfor­de­run­gen erfüllt.

Ver­trau­lich­keit: Zugriffs­be­schrän­kun­gen, Ver­schlüs­se­lung und siche­re Kom­mu­ni­ka­ti­ons­ka­nä­le ver­hin­dern unbe­fug­ten Zugriff auf per­so­nen­be­zo­ge­ne Daten.

Inte­gri­tät: Mass­nah­men wie Daten­va­li­die­rung, Prüf­me­cha­nis­men und revi­si­ons­si­che­re Spei­che­rung gewähr­leis­ten die Unver­sehrt­heit und Unver­än­der­lich­keit der Daten.

Ver­füg­bar­keit: Eine geeig­ne­te Infra­struk­tur, Back­up­sys­te­me, Not­fall­plä­ne und Schutz vor Aus­fäl­len stel­len sicher, dass auto­ri­sier­te Benut­zer jeder­zeit auf die Daten zugrei­fen können.

Das ISO 27001 Rah­men­werk bie­tet Unter­neh­men einen bewähr­ten Ansatz zur Imple­men­tie­rung eines umfas­sen­den Infor­ma­ti­ons­si­cher­heits­ma­nage­ment­sys­tems (ISMS) durch tech­ni­sche und orga­ni­sa­to­ri­sche Mass­nah­men. Es defi­niert Anfor­de­run­gen und Best Prac­ti­ces zur Iden­ti­fi­zie­rung, Bewer­tung und Behand­lung von Risiken.

Es exis­tie­ren aber auch ande­re Zer­ti­fi­ka­te, die wie­der­um ande­re Hand­lungs­an­wei­sun­gen vor­ge­ben. Wel­ches Zer­ti­fi­kat man beach­ten möch­te hängt schluss­end­lich von den eige­nen Unter­neh­mens­zie­len ab.

Als Unter­neh­men ist es von Bedeu­tung zu klä­ren, ob das ISO 27001 Zer­ti­fi­kat oder ande­re Zer­ti­fi­ka­te ledig­lich als Leit­fa­den für Hand­lun­gen die­nen soll oder ob das Unter­neh­men das Zer­ti­fi­kat selbst erlan­gen möch­te. Der Besitz des Zer­ti­fi­kats signa­li­siert nach aus­sen hin, dass eine unab­hän­gi­ge Prüf­stel­le die Infor­ma­ti­ons­si­cher­heit des Unter­neh­mens über­prüft und das ISMS als ange­mes­sen und wirk­sam befun­den hat.

Ins­be­son­de­re in Bran­chen wie der Finanz­in­dus­trie oder im Bereich der IT-Dienst­leis­tun­gen spielt der Besitz des ISO 27001-Zer­ti­fi­kats eine wich­ti­ge Rol­le, da es den Kun­den ein ver­trau­ens­wür­di­ges Sicher­heits­bild vermittelt.

Eine soli­de Infor­ma­ti­ons­si­cher­heits­stra­te­gie gemäss die­sen Zer­ti­fi­ka­ten gewähr­leis­tet die Com­pli­ance mit Daten­schutz­vor­schrif­ten und stärkt das Ver­trau­en der Betrof­fe­nen. Sie kön­nen ein wesent­li­cher Bestand­teil eines umfas­sen­den Daten­schutz­kon­zepts sein.

Datenschutzgrundlagen

Abbil­dung 2: Rol­le der Infor­ma­ti­ons­si­cher­heit in Bezug auf Datenschutz

Ris­kan­te Daten­be­ar­bei­tun­gen erfor­dern ein pro­ak­ti­ves Verhalten

Im Rah­men des revDSG ist es vor­ge­se­hen, dass bei einer Daten­ver­ar­bei­tung, die ein erheb­li­ches Risi­ko für die Per­sön­lich­keits­rech­te oder Grund­rech­te der betrof­fe­nen Per­so­nen dar­stel­len kann, eine vor­he­ri­ge Daten­schutz-Fol­gen­ab­schät­zung (DSFA) durch­ge­führt wird. Das Haupt­ziel der DSFA besteht dar­in, die Risi­ken der Daten­ver­ar­bei­tung zu iden­ti­fi­zie­ren und durch den Ein­satz tech­ni­scher und orga­ni­sa­to­ri­scher Mass­nah­men, ein­schliess­lich der Infor­ma­ti­ons­si­cher­heit, zu mini­mie­ren. Die DSFA beinhal­tet eine detail­lier­te Beschrei­bung der geplan­ten Daten­ver­ar­bei­tung, eine Bewer­tung der Risi­ken für die Per­sön­lich­keits­rech­te oder Grund­rech­te der Betrof­fe­nen sowie kon­kre­te Mass­nah­men zur Risi­ko­min­de­rung. Bei Unsi­cher­hei­ten oder Fra­gen besteht die Mög­lich­keit, die DSFA dem Daten­schutz­be­auf­trag­ten oder der zustän­di­gen Daten­schutz­be­hör­de vor­zu­le­gen, um wei­te­re Unter­stüt­zung und Klä­rung zu erhal­ten. In der Abbil­dung 3 kann man sehen, nach wel­chen Fra­gen man eine DSFA gestal­ten könnte.

Datenschutzfolgenabschätzung gestalten

Abbil­dung 3: Gestal­tungs­kri­te­ri­en einer DSFA

Im Fal­le einer Ver­let­zung der Daten­si­cher­heit, die poten­zi­ell hohe Risi­ken für die Per­sön­lich­keit oder Grund­rech­te der Betrof­fe­nen dar­stellt, ist es gemäss dem revDSG erfor­der­lich, die Ver­let­zung unver­züg­lich beim EDÖB zu mel­den. Zusätz­lich besteht eine Pflicht zur Benach­rich­ti­gung der betrof­fe­nen Per­so­nen durch die Verantwortlichen.Die Mel­dung kann ent­we­der direkt über das Mel­de­for­mu­lar des EDÖB (databreach.edoeb.admin.ch) erfol­gen oder alter­na­tiv die Min­dest­an­for­de­run­gen erfüllen:
  • Eine prä­zi­se Beschrei­bung der Art der Ver­let­zung der Datensicherheit.
  • Zeit und Dau­er (soweit mög­lich) der Verletzung
  • Anga­ben zur betrof­fe­nen Daten­ka­te­go­rie oder Art der betrof­fe­nen per­so­nen­be­zo­ge­nen Daten.
  • Infor­ma­tio­nen zur Anzahl der betrof­fe­nen Per­so­nen oder eine Schät­zung, falls die genaue Anzahl nicht bekannt ist.
  • Eine Dar­stel­lung der mög­li­chen Fol­gen oder Aus­wir­kun­gen der Ver­let­zung auf die betrof­fe­nen Personen.
  • Anga­ben zur Ursa­che oder zum Ursprung der Ver­let­zung, sofern bekannt.
  • Infor­ma­tio­nen zu den ergrif­fe­nen oder geplan­ten Mass­nah­men zur Bewäl­ti­gung der Ver­let­zung und zur Mini­mie­rung der Risiken.
  • Kon­takt­da­ten einer ver­ant­wort­li­chen Per­son oder Stel­le, die wei­te­re Infor­ma­tio­nen oder Unter­stüt­zung bereit­stel­len kann

Pla­nen, Umset­zen, Über­prü­fen, Handeln 

Die Imple­men­tie­rung des revDSG kann zu Beginn erdrü­ckend wir­ken. Es ist jedoch unum­gäng­lich, sich mit der The­ma­tik aus­ein­an­der­zu­set­zen und die erfor­der­li­chen Mass­nah­men zu ergrei­fen. Der Pro­zess kann in vier Schrit­te unter­teilt wer­den: «Plan, Do, Check, Act».

Bei der Pla­nung ist es rat­sam, eine Pro­zess­land­kar­te zu erstel­len, um einen umfas­sen­den Über­blick über die Daten­be­ar­bei­tungs­tä­tig­kei­ten zu erhal­ten. Die­se Über­sicht ermög­licht nicht nur die Iden­ti­fi­zie­rung der Ver­ar­bei­tungs­tä­tig­kei­ten, son­dern auch die Erken­nung poten­zi­el­ler Risiken.

Basie­rend auf dem refor­mier­ten Daten­schutz­ge­setz (revDSG) und den Anfor­de­run­gen der Infor­ma­ti­ons­si­cher­heit kön­nen Zie­le sowie geeig­ne­te orga­ni­sa­to­ri­sche und tech­ni­sche Mass­nah­men geplant wer­den, um die­se Her­aus­for­de­run­gen zu bewältigen.

Nach­dem die Her­aus­for­de­run­gen erkannt und die nächs­ten Schrit­te geplant wur­den, erfolgt die Umset­zung. Dabei stel­len sich Fra­gen wie:

  • Exis­tiert ein Sys­tem für das Ver­zeich­nis der Datenverarbeitungstätigkeiten?
  • Wird ein Sys­tem für Daten­schutz-Fol­gen­ab­schät­zun­gen (DSFA) verwendet?
  • Ist ein Ver­fah­ren zur Mel­dung von Daten­schutz­vor­fäl­len beim Eid­ge­nös­si­schen Daten­schutz- und Öffent­lich­keits­be­auf­trag­ten (EDÖB) etabliert?

Dies sind nur eini­ge der vie­len Fra­gen, die wäh­rend der Imple­men­tie­rung berück­sich­tigt wer­den müs­sen. Dabei soll­ten die Prio­ri­tä­ten und Zie­le der Orga­ni­sa­ti­on berück­sich­tigt werden.

Die Eta­blie­rung einer Com­pli­ance-Kul­tur kann bei der Umset­zung ein ent­schei­den­der Fak­tor sein. Die Mit­ar­bei­ter müs­sen sich der Daten­schutz­be­stim­mun­gen und des revDSG bewusst sein. Durch die Schaf­fung die­ses Bewusst­seins auf orga­ni­sa­to­ri­scher Ebe­ne wird die Moti­va­ti­on der Mit­ar­bei­ter gestei­gert, die erfor­der­li­chen Mass­nah­men umzu­set­zen. Das Manage­ment trägt die Ver­ant­wor­tung dafür, dass sich die Mit­ar­bei­ter mit der The­ma­tik aus­ein­an­der­set­zen, dar­über spre­chen und deren Bedeu­tung erkennen.

Durch regel­mäs­si­ge Daten­schutz-Audits, die sowohl intern als auch extern durch­ge­führt wer­den kön­nen, kön­nen fort­lau­fen­de Stand­ort­be­stim­mun­gen erfol­gen. Dadurch wird ermit­telt, wel­che Mass­nah­men erfolg­reich umge­setzt wur­den und wo noch Hand­lungs­be­darf besteht oder was mög­li­cher­wei­se noch ganz fehlt. In die­sem Zusam­men­hang kann der Daten­schutz­be­auf­trag­te oder die Daten­schutz­be­auf­trag­te als ers­te Anlauf­stel­le fun­gie­ren, sofern vor­han­den. All­ge­mein kann der Daten­schutz­be­auf­trag­te, bzw. die Daten­schutz­be­auf­trag­te bei Unsi­cher­hei­ten kon­sul­tiert werden.

Nach Abschluss der Über­prü­fung kön­nen wei­te­re Kor­rek­tur­mass­nah­men in Betracht gezo­gen wer­den, und der Pro­zess beginnt von vor­ne. Die Mass­nah­men wer­den geplant, umge­setzt, über­prüft und gege­be­nen­falls kor­ri­giert oder ange­passt — im Ein­klang mit dem Prin­zip «Plan, Do, Check, Act».

Zusam­men­fas­sung

Es bleibt nicht mehr viel Zeit bis zum 1. Sep­tem­ber 2023, daher ist es rat­sam, jetzt wach zu wer­den und das revDSG pro­ak­tiv zu implementieren.

Das revDSG bringt teil­wei­se erheb­li­che Ver­än­de­run­gen mit sich, die mög­li­cher­wei­se neue Struk­tu­ren erfor­dern. Es ist von gros­ser Bedeu­tung, dass Unter­neh­men ihre inter­nen Geschäfts­pro­zes­se genau ken­nen und die Bear­bei­tung per­so­nen­be­zo­ge­ner Daten inner­halb des Unter­neh­mens iden­ti­fi­zie­ren. Nur so kön­nen sie ihren Hand­lungs­be­darf bestim­men und das revDSG ord­nungs­ge­mäss integrieren.

Der «Plan, Do, Check, Act-Zyklus» (PDCA) hilft dabei, die Kom­ple­xi­tät in der Umset­zung von Anfor­de­run­gen zu beherr­schen und Prio­ri­tä­ten zu set­zen. So kön­nen ziel­ori­en­tiert und mit einem nach­voll­zieh­ba­ren Ver­fah­ren die Anfor­de­run­gen aus dem revDSG imple­men­tiert werden.

Es ist ent­schei­dend, sich mit der The­ma­tik aus­ein­an­der­zu­set­zen, da ansons­ten mög­li­cher­wei­se zum 1. Sep­tem­ber 2023 noch nicht die erfor­der­li­che Bereit­schaft besteht. Dies könn­te unter Umstän­den nega­ti­ve Fol­gen nach sich ziehen.

Portrait von Stefan Lenz
Portrait von Felix Vadakumchery
Der 1. Sep­tem­ber 2023 stellt das Ende der Frist zur Umset­zung des revi­dier­ten Daten­schutz­ge­set­zes (revDSG) dar. Ins­be­son­de­re für KMUs ste­hen umfang­rei­che Ver­än­de­run­gen bevor. Um eine erfolg­rei­che Imple­men­tie­rung von Anfor­de­run­gen aus dem revDSG zu gewähr­leis­ten, ist es von wich­tig, sich mit den Geschäfts­pro­zes­sen aus­ein­an­der­zu­set­zen und den Hand­lungs­be­darf zu erken­nen. Obwohl die Ein­füh­rung des revDSG als gros­se Her­aus­for­de­rung erschei­nen mag, kann sie nach einer Ana­ly­se und der Defi­ni­ti­on von Prio­ri­tä­ten in Etap­pen durch­ge­führt wer­den. Eine soli­de Pla­nung bil­det dabei die Basis. Fehlt jedoch eine ange­mes­se­ne Pla­nung und Infor­ma­ti­ons­grund­la­ge, kön­nen bei der Imple­men­tie­rung Feh­ler auf­tre­ten, die nun unter dem revDSG schwer­wie­gen­de Kon­se­quen­zen nach sich zie­hen kön­nen. Wir emp­feh­len, sich jetzt mit der The­ma­tik aus­ein­an­der­set­zen und ent­spre­chen­de Grund­kom­pe­tenz zu erlan­gen, um bezüg­lich Bear­bei­tung von Per­so­nen­da­ten ver­läss­lich agie­ren zu können.

Ste­fan Lenz, Felix Vadakumchery