Die Umsetzung des revDSG bringt Neuerungen und auch Herausforderungen
Blicken wir etwas zurück: Am 25. Mai 2018 trat die Datenschutz-Grundverordnung (DSGVO) in der Europäischen Union in Kraft und markierte einen Meilenstein im Bereich des Datenschutzes. Für die Schweiz als Wirtschaftsstandort war es von zentraler Bedeutung, eine umfassende Überarbeitung des Datenschutzgesetzes vorzunehmen, um ihre Wettbewerbsfähigkeit zu erhalten und weiterhin als Drittstaat mit angemessenem Datenschutzniveau anerkannt zu werden. Diese Anerkennung bildet die Grundlage für einen reibungslosen grenzüberschreitenden Datenaustausch.
Die Überarbeitung des Datenschutzgesetzes bringt Veränderungen mit sich, die sich weitestgehend an der DSGVO der EU orientieren. Insbesondere kleine und mittlere Unternehmen (KMU) sowie andere Organisationen, die Personendaten aus der Schweiz verarbeiten, sind gefordert, ihre Geschäftsprozesse entsprechend anzupassen.
Sowohl KMU als auch grosse Unternehmen und andere Organisationen, die bereits unter der DSGVO agierten, sollten ihre Situation einer kritischen Prüfung unterziehen. Obwohl das revDSG verschiedene Ähnlichkeiten zur DSGVO aufweist, bestehen dennoch Unterschiede, die sorgfältig berücksichtigt und in die Geschäftsprozesse integriert werden müssen.
In beiden Fällen ist es von grosser Bedeutung, sich intensiver mit den Geschäftsprozessen auseinanderzusetzen, zu identifizieren, an welchen Stellen personenbezogene Daten verarbeitet werden, den spezifischen Handlungsbedarf für diese Prozesse zu ermitteln und die erforderlichen Massnahmen zu ergreifen, um eine erfolgreiche Umsetzung des revDSG zu gewährleisten. Eine proaktive Herangehensweise und eine effektive Anpassung an die neuen Anforderungen sind entscheidend, um den Datenschutzvorschriften gerecht zu werden und potenzielle Risiken zu minimieren.
Welche Unterschiede bringt das revDSG?
Das revDSG bringt einige Veränderungen mit sich, die teilweise stark an die DSGVO der EU erinnern. Aber es handelt sich keineswegs um eine «helvetisierte Kopie» der europäischen Regulation. Unternehmen, die also bereits unter der DSGVO agieren, sollten sich trotzdem mit dem revDSG befassen, die Unterschiede erkennen und die Anforderungen entsprechend umsetzen.
Zunächst werden die Begriffe «Verantwortliche» und «Auftragsbearbeiter» eingeführt. Der «Verantwortliche» ist die Instanz, die allein oder gemeinsam mit anderen über den Zweck und die Mittel der Datenverarbeitung entscheidet. «Auftragsbearbeiter» sind Personen, die im Auftrag des Verantwortlichen Personendaten, der Betroffenen verarbeiten. Es sind genau diese Rollen, die sich mit den Veränderungen, die das revDSG bringt, befassen müssen.
Das revDSG erweitert den Rahmen des Geltungsbereichs, die Pflichten der Verantwortlichen und Auftragsbearbeiter und auch die Betroffenenrechte.
In der Tabelle 1 und 2 sind die Hauptunterschiede zusammengefasst.
Altes DSG | revDSG | |
---|---|---|
Anwendbarkeit |
|
|
Räumlicher Geltungsbereich |
|
|
Besonders schützenswerte Daten |
|
|
EDÖB |
|
|
Informationspflicht |
|
|
Privacy by Design |
|
|
Privacy by Default |
|
|
Profiling |
|
|
Verzeichnis der Bearbeitungstätigkeiten |
|
|
DSFA |
|
|
Meldepflicht |
|
|
Datenschutzberater |
|
|
Sanktionen |
|
|
Datenherausgabe |
|
|
Datenportabilität |
|
|
Auskunftsrecht |
|
|
Tabelle 1: Unterschiede zwischen dem alten DSG und dem revDSG
revDSG | DSGVO | |
---|---|---|
Verbotsprinzip |
|
|
Sanktionen |
|
|
Ernennung eines Datenschutzbeauftragten |
|
|
Besonders schützenswerte Daten |
|
|
Meldungen von Datenschutzverletzungen |
|
|
Profiling |
|
|
Auskunftsrecht |
|
|
Tabelle 2: Unterschiede zwischen dem revDSG und der EU-DSGVO
Prozessorientierung als Basis für eine erfolgreiche Umsetzung
Die Umsetzung der Veränderungen im Rahmen des revDSG kann angesichts der Frist bis zum 1. September 2023 zunächst überwältigend erscheinen.
Es ist wichtig, dass Unternehmen ihre eigenen Geschäftsprozesse analysieren und erkennen, an welchen Stellen personenbezogene Daten verarbeitet werden. Nur durch diese Erkenntnis kann der erforderliche Handlungsbedarf ermittelt und eine Anpassung an das revDSG vorgenommen werden.
Prozesslandkarten stellen wertvolle Instrumente dar, um komplexe Abläufe und Prozesse innerhalb eines Unternehmens zu visualisieren und zu dokumentieren. Sie ermöglichen die Identifizierung und Erfassung der operativen Prozesse und ihrer Abläufe, was bei der Implementierung des revDSG von grossem Nutzen sein kann.
Durch die anschliessende Prozessanalyse, wird klar an welchen Stellen welche Daten verarbeitet werden. Ein Abgleich mit dem aktuellen Datenschutzverhalten und dem revDSG zeigt die Stellen auf wo Handlungsbedarf besteht.
# | Prozess-Schritt | Relevaz bezüglich des Datenschutzes |
---|---|---|
1 | Marketing-Kampagne wird geplant und durchgeführt |
|
2 | Kunde wird akquiriert |
|
3 | Kunde wird beraten |
|
4 | Mandat vereinbaren |
|
5 | HR-Leistung durchführen |
|
6 | Beschaffung durchführen |
|
7 | Auftrag wird abgerechnet |
|
8 | Auftrag wird verbucht |
|
9 | Rechnungswesen wird geführt |
|
10 | Reporting wird durchgeführt |
|
11 | Dokumente werden archiviert |
|
Tabelle 3: Prozess-Analyse anhand der Prozesslandkarte (Quelle: Stefan Lenz)
«Die Basis jeder datenschutzrechtlichen Einschätzung ist der Überblick über die bearbeiteten Daten. Wenn ein Unternehmen nicht weiss welche Daten es zu welchen Zwecken bearbeitet, wird es schwierig, die gesetzlichen Anforderungen zu erfüllen.» (Quelle: netzwoche.ch)
Adrian Lobsiger, EDÖB
# | Prozess | Bearbeitungszweck | Betroffene Personen | Personendaten | Empfänger | Aufbewahrungsdauer | Datensicherheit | Empfängerland | Garantien |
---|---|---|---|---|---|---|---|---|---|
1 | Marketing-Kampagne planen/durchführen | Marktbearbeitung | Kunden, Interessenten | Adressdaten der Kunden | Interessenten, Kunden | 1 Jahr | Vorgaben aus Privacy by Design | Schweiz | - |
2 | Kunde akquirieren | Kundenbetreuung | Kunden, Interessenten | Adressdaten der Kunden, Bedürfnisse der Kunden | Interessenten, Kunden | 5 Jahre | Merkblatt Datenschutz, Beratungsprotokoll | Schweiz | - |
3 | Kunde wird beraten | Kundenbetreuung | Kunden, Interessenten | Adressdaten der Kunden, Bedürfnisse der Kunden | Kunden | 5 Jahre | Merkblatt Datenschutz, Beratungsprotokoll | Schweiz | - |
4 | Mandat vereinbaren | Kundenbetreuung | Kunden | Adressdaten der Kunden, Anforderungen der Kunden | Kunden | 10 Jahre | Zugriffs-Beschränkung | Schweiz | - |
5 | HR-Leistung durchführen | Beratungsleistung für Kunden | Kunden | Personendaten, Kompetenzen, Gesundheitsdaten | Kunden | 10 Jahre | Zugriffs-Beschränkung mit 2 Faktor-Authentisierung | Schweiz | - |
6 | Beschaffung durchführen | Einkauf | Kunden | Adressdaten der Kunden | Kunden | 10 Jahre | Zugriffs-Beschränkung | Schweiz | - |
7 | Auftrag abrechnen | Leistungsabrechnung | Kunden | Leistung der Mitarbeitenden, Personendaten | Lieferanten | 10 Jahre | Zugriffsbschränkung | Schweiz | - |
8 | Auftrag verbuchen | Leistungsabrechnung | Kunden | Rechnung für Leistungen mit Leistungsrapport | Kunden | 10 Jahre | Zugriffs-Beschränkung | Schweiz | - |
9 | Rechnungswesen führen | Buchhaltung | Kunden | Rechnung für Leistungen, Zahlungen | - | 10 Jahre | Zugriffs-Beschränkung | Schweiz | - |
10 | Reporting durchführen | Internes Reporting | Kunden | Erträge / Umsätze mit Kundeninformationen | - | 5 Jahre | Zugriffs-Beschränkung mit 2‑Faktor-Authentisierung | Schweiz | - |
11 | Dokumente archivieren | Archivierung | Kunden | Auftragsdokumentation | - | 10 Jahre | Zugriffs-Beschränkung mit 2‑Faktor-Authentisierung | Schweiz | - |
Tabelle 4: Beispiel eines Verzeichnisses anhand der Prozess-Analyse (Quelle: Stefan Lenz)
Eine unverzichtbare Säule für den Datenschutz
In der heutigen digitalisierten Welt steigt das Risiko von Cyberbedrohungen kontinuierlich an. Unternehmen sind vermehrt von Angriffen wie Phishing, Ransomware, Spoofing und weiteren Bedrohungen betroffen. Diese Angriffe stellen ein erhebliches Risiko für Unternehmensdaten und insbesondere personenbezogene Daten dar. Es ist daher unerlässlich, sich intensiv mit technischen und organisatorischen Massnahmen im Bereich der Informationssicherheit auseinanderzusetzen.
Informationssicherheit ist entscheidend für den Datenschutz, da sie den Schutz personenbezogener Daten vor unbefugtem Zugriff, Verlust oder Missbrauch gewährleistet. Durch die Vertraulichkeit, Integrität und Verfügbarkeit der Daten wird das Vertrauen der Betroffenen gestärkt und gesetzliche Anforderungen erfüllt.
Vertraulichkeit: Zugriffsbeschränkungen, Verschlüsselung und sichere Kommunikationskanäle verhindern unbefugten Zugriff auf personenbezogene Daten.
Integrität: Massnahmen wie Datenvalidierung, Prüfmechanismen und revisionssichere Speicherung gewährleisten die Unversehrtheit und Unveränderlichkeit der Daten.
Verfügbarkeit: Eine geeignete Infrastruktur, Backupsysteme, Notfallpläne und Schutz vor Ausfällen stellen sicher, dass autorisierte Benutzer jederzeit auf die Daten zugreifen können.
Das ISO 27001 Rahmenwerk bietet Unternehmen einen bewährten Ansatz zur Implementierung eines umfassenden Informationssicherheitsmanagementsystems (ISMS) durch technische und organisatorische Massnahmen. Es definiert Anforderungen und Best Practices zur Identifizierung, Bewertung und Behandlung von Risiken.
Es existieren aber auch andere Zertifikate, die wiederum andere Handlungsanweisungen vorgeben. Welches Zertifikat man beachten möchte hängt schlussendlich von den eigenen Unternehmenszielen ab.
Als Unternehmen ist es von Bedeutung zu klären, ob das ISO 27001 Zertifikat oder andere Zertifikate lediglich als Leitfaden für Handlungen dienen soll oder ob das Unternehmen das Zertifikat selbst erlangen möchte. Der Besitz des Zertifikats signalisiert nach aussen hin, dass eine unabhängige Prüfstelle die Informationssicherheit des Unternehmens überprüft und das ISMS als angemessen und wirksam befunden hat.
Insbesondere in Branchen wie der Finanzindustrie oder im Bereich der IT-Dienstleistungen spielt der Besitz des ISO 27001-Zertifikats eine wichtige Rolle, da es den Kunden ein vertrauenswürdiges Sicherheitsbild vermittelt.
Eine solide Informationssicherheitsstrategie gemäss diesen Zertifikaten gewährleistet die Compliance mit Datenschutzvorschriften und stärkt das Vertrauen der Betroffenen. Sie können ein wesentlicher Bestandteil eines umfassenden Datenschutzkonzepts sein.
Riskante Datenbearbeitungen erfordern ein proaktives Verhalten
Im Rahmen des revDSG ist es vorgesehen, dass bei einer Datenverarbeitung, die ein erhebliches Risiko für die Persönlichkeitsrechte oder Grundrechte der betroffenen Personen darstellen kann, eine vorherige Datenschutz-Folgenabschätzung (DSFA) durchgeführt wird. Das Hauptziel der DSFA besteht darin, die Risiken der Datenverarbeitung zu identifizieren und durch den Einsatz technischer und organisatorischer Massnahmen, einschliesslich der Informationssicherheit, zu minimieren. Die DSFA beinhaltet eine detaillierte Beschreibung der geplanten Datenverarbeitung, eine Bewertung der Risiken für die Persönlichkeitsrechte oder Grundrechte der Betroffenen sowie konkrete Massnahmen zur Risikominderung. Bei Unsicherheiten oder Fragen besteht die Möglichkeit, die DSFA dem Datenschutzbeauftragten oder der zuständigen Datenschutzbehörde vorzulegen, um weitere Unterstützung und Klärung zu erhalten. In der Abbildung 3 kann man sehen, nach welchen Fragen man eine DSFA gestalten könnte.
- Eine präzise Beschreibung der Art der Verletzung der Datensicherheit.
- Zeit und Dauer (soweit möglich) der Verletzung
- Angaben zur betroffenen Datenkategorie oder Art der betroffenen personenbezogenen Daten.
- Informationen zur Anzahl der betroffenen Personen oder eine Schätzung, falls die genaue Anzahl nicht bekannt ist.
- Eine Darstellung der möglichen Folgen oder Auswirkungen der Verletzung auf die betroffenen Personen.
- Angaben zur Ursache oder zum Ursprung der Verletzung, sofern bekannt.
- Informationen zu den ergriffenen oder geplanten Massnahmen zur Bewältigung der Verletzung und zur Minimierung der Risiken.
- Kontaktdaten einer verantwortlichen Person oder Stelle, die weitere Informationen oder Unterstützung bereitstellen kann
Planen, Umsetzen, Überprüfen, Handeln
Die Implementierung des revDSG kann zu Beginn erdrückend wirken. Es ist jedoch unumgänglich, sich mit der Thematik auseinanderzusetzen und die erforderlichen Massnahmen zu ergreifen. Der Prozess kann in vier Schritte unterteilt werden: «Plan, Do, Check, Act».
Bei der Planung ist es ratsam, eine Prozesslandkarte zu erstellen, um einen umfassenden Überblick über die Datenbearbeitungstätigkeiten zu erhalten. Diese Übersicht ermöglicht nicht nur die Identifizierung der Verarbeitungstätigkeiten, sondern auch die Erkennung potenzieller Risiken.
Basierend auf dem reformierten Datenschutzgesetz (revDSG) und den Anforderungen der Informationssicherheit können Ziele sowie geeignete organisatorische und technische Massnahmen geplant werden, um diese Herausforderungen zu bewältigen.
Nachdem die Herausforderungen erkannt und die nächsten Schritte geplant wurden, erfolgt die Umsetzung. Dabei stellen sich Fragen wie:
- Existiert ein System für das Verzeichnis der Datenverarbeitungstätigkeiten?
- Wird ein System für Datenschutz-Folgenabschätzungen (DSFA) verwendet?
- Ist ein Verfahren zur Meldung von Datenschutzvorfällen beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) etabliert?
Dies sind nur einige der vielen Fragen, die während der Implementierung berücksichtigt werden müssen. Dabei sollten die Prioritäten und Ziele der Organisation berücksichtigt werden.
Die Etablierung einer Compliance-Kultur kann bei der Umsetzung ein entscheidender Faktor sein. Die Mitarbeiter müssen sich der Datenschutzbestimmungen und des revDSG bewusst sein. Durch die Schaffung dieses Bewusstseins auf organisatorischer Ebene wird die Motivation der Mitarbeiter gesteigert, die erforderlichen Massnahmen umzusetzen. Das Management trägt die Verantwortung dafür, dass sich die Mitarbeiter mit der Thematik auseinandersetzen, darüber sprechen und deren Bedeutung erkennen.
Durch regelmässige Datenschutz-Audits, die sowohl intern als auch extern durchgeführt werden können, können fortlaufende Standortbestimmungen erfolgen. Dadurch wird ermittelt, welche Massnahmen erfolgreich umgesetzt wurden und wo noch Handlungsbedarf besteht oder was möglicherweise noch ganz fehlt. In diesem Zusammenhang kann der Datenschutzbeauftragte oder die Datenschutzbeauftragte als erste Anlaufstelle fungieren, sofern vorhanden. Allgemein kann der Datenschutzbeauftragte, bzw. die Datenschutzbeauftragte bei Unsicherheiten konsultiert werden.
Nach Abschluss der Überprüfung können weitere Korrekturmassnahmen in Betracht gezogen werden, und der Prozess beginnt von vorne. Die Massnahmen werden geplant, umgesetzt, überprüft und gegebenenfalls korrigiert oder angepasst — im Einklang mit dem Prinzip «Plan, Do, Check, Act».
Zusammenfassung
Es bleibt nicht mehr viel Zeit bis zum 1. September 2023, daher ist es ratsam, jetzt wach zu werden und das revDSG proaktiv zu implementieren.
Das revDSG bringt teilweise erhebliche Veränderungen mit sich, die möglicherweise neue Strukturen erfordern. Es ist von grosser Bedeutung, dass Unternehmen ihre internen Geschäftsprozesse genau kennen und die Bearbeitung personenbezogener Daten innerhalb des Unternehmens identifizieren. Nur so können sie ihren Handlungsbedarf bestimmen und das revDSG ordnungsgemäss integrieren.
Der «Plan, Do, Check, Act-Zyklus» (PDCA) hilft dabei, die Komplexität in der Umsetzung von Anforderungen zu beherrschen und Prioritäten zu setzen. So können zielorientiert und mit einem nachvollziehbaren Verfahren die Anforderungen aus dem revDSG implementiert werden.
Es ist entscheidend, sich mit der Thematik auseinanderzusetzen, da ansonsten möglicherweise zum 1. September 2023 noch nicht die erforderliche Bereitschaft besteht. Dies könnte unter Umständen negative Folgen nach sich ziehen.
Stefan Lenz, Felix Vadakumchery