revDSG – Herausforderungen erkennen und umsetzen

Ein Bild von Papierschiffen, aus denen sich eines heraushebt

Ein Bild von Stiften, aus denen sich einer heraushebt, als Symbol für ein Ergebnis

Ein Bild von Luftballons, aus denen sich einer heraushebt

Bild eines Baums, als Symbol für Veränderung

Im Zuge der digitalen Transformation hat sich unsere Welt in den letzten Jahrzehnten grundlegend gewandelt und die Art und Weise, wie wir kommunizieren, Geschäfte tätigen und Informationen teilen, revolutioniert. Diese Entwicklung geht jedoch auch mit einer zunehmenden Bedeutung des Datenschutzes einher. Als Reaktion darauf hat der Bundesrat am 31. August 2022 beschlossen, dass das revidiertes Datenschutzgesetz (revDSG), begleitet von Ausführungsbestimmungen in einer Datenschutzverordnung (DSV) und neuen Verordnungen über Datenschutzzertifizierungen (VDSZ) am 1. September 2023 in Kraft treten wird. Das revDSG bringt eine Vielzahl von Veränderungen mit sich, auf die sich alle Organisationen und Unternehmen einstellen müssen, die mit Personendaten arbeiten. Die Zeit für die Anpassung ist knapp bemessen, da mit dem 31. August 2022 auch die Anpassungsfrist begonnen hat und die Umsetzung bis zum 1. September 2023 erforderlich ist.

Blicken wir etwas zurück: Am 25. Mai 2018 trat die Datenschutz-Grundverordnung (DSGVO) in der Europäischen Union in Kraft und markierte einen Meilenstein im Bereich des Datenschutzes. Für die Schweiz als Wirtschaftsstandort war es von zentraler Bedeutung, eine umfassende Überarbeitung des Datenschutzgesetzes vorzunehmen, um ihre Wettbewerbsfähigkeit zu erhalten und weiterhin als Drittstaat mit angemessenem Datenschutzniveau anerkannt zu werden. Diese Anerkennung bildet die Grundlage für einen reibungslosen grenzüberschreitenden Datenaustausch.

Die Überarbeitung des Datenschutzgesetzes bringt Veränderungen mit sich, die sich weitestgehend an der DSGVO der EU orientieren. Insbesondere kleine und mittlere Unternehmen (KMU) sowie andere Organisationen, die Personendaten aus der Schweiz verarbeiten, sind gefordert, ihre Geschäftsprozesse entsprechend anzupassen.

Sowohl KMU als auch grosse Unternehmen und andere Organisationen, die bereits unter der DSGVO agierten, sollten ihre Situation einer kritischen Prüfung unterziehen. Obwohl das revDSG verschiedene Ähnlichkeiten zur DSGVO aufweist, bestehen dennoch Unterschiede, die sorgfältig berücksichtigt und in die Geschäftsprozesse integriert werden müssen.

In beiden Fällen ist es von grosser Bedeutung, sich intensiver mit den Geschäftsprozessen auseinanderzusetzen, zu identifizieren, an welchen Stellen personenbezogene Daten verarbeitet werden, den spezifischen Handlungsbedarf für diese Prozesse zu ermitteln und die erforderlichen Massnahmen zu ergreifen, um eine erfolgreiche Umsetzung des revDSG zu gewährleisten. Eine proaktive Herangehensweise und eine effektive Anpassung an die neuen Anforderungen sind entscheidend, um den Datenschutzvorschriften gerecht zu werden und potenzielle Risiken zu minimieren.

Welche Unterschiede bringt das revDSG?

Das revDSG bringt einige Veränderungen mit sich, die teilweise stark an die DSGVO der EU erinnern. Aber es handelt sich keineswegs um eine «helvetisierte Kopie» der europäischen Regulation. Unternehmen, die also bereits unter der DSGVO agieren, sollten sich trotzdem mit dem revDSG befassen, die Unterschiede erkennen und die Anforderungen entsprechend umsetzen.

Zunächst werden die Begriffe «Verantwortliche» und «Auftragsbearbeiter» eingeführt. Der «Verantwortliche» ist die Instanz, die allein oder gemeinsam mit anderen über den Zweck und die Mittel der Datenverarbeitung entscheidet. «Auftragsbearbeiter» sind Personen, die im Auftrag des Verantwortlichen Personendaten, der Betroffenen verarbeiten. Es sind genau diese Rollen, die sich mit den Veränderungen, die das revDSG bringt, befassen müssen.

Das revDSG erweitert den Rahmen des Geltungsbereichs, die Pflichten der Verantwortlichen und Auftragsbearbeiter und auch die Betroffenenrechte.

In der Tabelle 1 und 2 sind die Hauptunterschiede zusammengefasst.

Unterschiede revDSG und DSG

	Altes DSG	revDSG
Anwendbarkeit	Anwendbar auf Personendaten natürlicher und juristischer Personen	Nur auf Personendaten natürlicher Personen anwendbar
Räumlicher Geltungsbereich	Internationale Datenbearbeiter waren nur begrenzt unterstellt Unterstellt wenn eine Niederlassung in der Schweiz vorhanden war	Alle Datenbearbeiter, die nicht für den persönlichen Gebrauch Personendaten natürlicher Personen bearbeiten und diese Auswirkungen in der Schweiz haben (Auswirkungsprinzip) Unabhängig vom Standort der Datenbearbeitung
Besonders schützenswerte Daten	Daten über die religiösen, weltanschaulichen, politischen oder gewerkschaftlichen Ansichten oder Tätigkeiten, die Gesundheit, die Intimsphäre, die Rassenzugehörigkeit, Massnahmen der sozialen Hilfe, administrative oder strafrechtliche Verfolgungen und Sanktionen	Daten über religiöse, weltanschauliche, politische oder gewerkschaftliche Ansichten oder Tätigkeiten, die Gesundheit, die Intimsphäre, die Zugehörigkeit zu einer Rasse oder Ethnie, genetische Daten, biometrische Daten, mit denen man eine natürliche Person eindeutig identifizieren kann, verwaltungs- und strafrechtliche Verfolgungen oder Sanktionen, Massnahmen der sozialen Hilfe; Genetische Daten und biometrische Daten wurden Datenset der besonders schützenswerten Daten hinzugefügt
EDÖB	Musste vorgängig beim Bundesverwaltungsgericht klage führen um rechtswidrige Datenbearbeitungen aufzuschieben, einzuschränken oder zu verbieten	Agiert nun selbstständiger Kann nun mittels einer Verfügung rechtswidrige Datenbearbeitungen aufschieben, einschränken oder verbieten
Informationspflicht	Informationspflicht gegenüber Betroffenen nur bei besonders schützenswerten Daten und Persönlichkeitsprofilen	Proaktive Informationspflicht gegenüber Betroffenen bei allen Erhebungen von Personendaten Informationspflicht gilt auch bei indirekter Beschaffung der Daten Bei der Beschaffung müssen die Informationen mitgeteilt werden, die notwendig sind, damit Betroffene ihre Rechte nach dem revDSG geltend machen kann: Identität und Kontaktdaten des Verantwortlichen, Bearbeitungszweck, gegebenenfalls die Empfängerinnen und Empfänger oder die Kategorien von Empfängerinnen und Empfängern, denen Personendaten bekanntgegeben werden Bekanntgabe der Daten ins Ausland, muss in Kenntnis gesetzt werden
Privacy by Design	Daten müssen durch technische und organisatorische Massnahmen geschützt sein	Idee aus der DSGVO um zu präzisieren Schon in der Planung eines Produktes oder einer Dienstleistung, müssen die Aspekte des Datenschutzes eingebaut werden «Datenschutz als Gestaltungsaspekt»
Privacy by Default	Daten müssen durch technische und organisatorische Massnahmen geschützt sein	Idee aus der DSGVO um zu präzisieren Verfolgt den Grundsatz der Datenminimierung: Ohne Eingreifen der Nutzer darf das Produkt oder die Dienstleistung nur die nötigen Daten verarbeiten «Datenschutz als Standard»
Profiling	Der Begriff Profiling existierte nicht im alten DSG Es gibt Persönlichkeitsprofile, die weniger breit gefächert sind wie das Profiling	Das revDSG führt den Begriff «Profiling» ein, der weiter gefasst ist als das Persönlichkeitsprofil im alten DSG. Profiling im revDSG bezieht sich auf jede Form der automatisierten Verarbeitung personenbezogener Daten, bei der diese Daten verwendet werden, um bestimmte Aspekte einer natürlichen Person zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftlicher Lage, Gesundheit, persönlicher Vorlieben, Verhalten, Aufenthaltsort oder Bewegungen der Person zu analysieren oder vorherzusagen Profiling mit hohem Risiko: Profiling, das ein erhebliches Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person darstellt, indem es eine Verknüpfung von Daten ermöglicht, die eine Bewertung wesentlicher Persönlichkeitsaspekte einer natürlichen Person ermöglicht Für ein Profiling mit hohem Risiko braucht es die Einwilligung der Betroffenen
Verzeichnis der Bearbeitungstätigkeiten	Es besteht die Pflicht zur Führung eines Registers der Datensammlungen	Organisationen mit mehr als 250 Mitarbeitenden oder Organisationen die generell viel besonders schützenswerte Daten bearbeiten müssen ein Verzeichnis der Bearbeitungstätigkeiten führen Register umfasst gewisse Mindestanforderungen /li>
DSFA		Bei einer Datenbearbeitung mit potenziell hohem Risiko für die Persönlichkeit oder Grundrechte Betroffenen, muss eine DSFA durchgeführt werden Risiken und die Datenschutz-Folgeabschätzungen und nötigen Massnahmen, um Risiko zu minimieren müssen festgehalten werden DSFA kann einem Datenschutzberater oder dem EDÖB vorgelegt werden
Meldepflicht	Bei Verletzungen des Datenschutzes gab es keine Meldepflicht beim EDÖB oder bei den Betroffenen	Meldepflicht beim EDÖB und den Betroffenen bei einer Datenschutzverletzung mit einem hohen Risiko für die Persönlichkeit oder Grundrechte der Betroffenen
Datenschutzberater		EDÖB und Bundesrat sprechen eine starke Empfehlung für einen Datenschutzberater aus Hilft der Organisation bei Unsicherheiten bzgl. Datenschutz
Sanktionen	Geldbussen bis CHF 10’000	Geldbussen bis CHF 250’000
Datenherausgabe		Von der DSGVO übernommen Bei Verhältnismässigkeit können Betroffene verlangen die Daten in einem gängigen elektronischen Format herauszugeben
Datenportabilität		Von der DSGVO übernommen Im Kontext der Verhältnismässigkeit können Betroffene verlangen die Daten einen anderen Verantwortlichen zu übertragen
Auskunftsrecht	Jede Person kann Auskunft darüber verlangen, ob Daten über sie bearbeitet werden Auskunft über Herkunft der Daten Auskunft über Zweck und Rechtmässigkeit der Bearbeitung	Auskunftsrecht wurde erweitert Auskunft über Identität und Kontaktdaten des Verantwortlichen, Aufbewahrungsdauer und Empfänger und Empfängerinnen der Personendaten Auskunft über das Vorliegen einer automatisierten Einzelentscheidung sowie der Logik, auf der die Entscheidung beruht

Tabelle 1: Unterschiede zwischen dem alten DSG und dem revDSG

Unterschiede revDSG und DSGVO

	revDSG	DSGVO
Verbotsprinzip	Geht dem Grundsatz nach, dass Datenbearbeitungen grundsätzlich erlaubt sind	Datenbearbeitungen sind nur erlaubt wenn spezifische Rechtfertigungsgründe vorliegen
Sanktionen	Bussen richten sich primär gegen natürliche Personen Deswegen ist die Obergrenze einer Geldbusse bei CHF 250’000 festgelegt Datenschutzbehörde EDÖB hat keine Sanktionskompetenzen	Bussen werden gegen Unternehmen ausgesprochen Obergrenze einer Geldbusse liegt bei CHF 20’000’000 oder 4% des globalen Jahresumsatzes; je nachdem was höher ist Sanktionen werden durch die Datenschutzbehörden ausgesprochen
Ernennung eines Datenschutzbeauftragten	Wird ausdrücklich empfohlen	Unter gewissen Umständen kann man verpflichtet werden einen DSB zu ernennen
Besonders schützenswerte Daten	Umfasst mehr Typen von Daten Daten über administrative oder strafrechtliche Verfolgung, Sanktionen und Massnahmen der sozialen Hilfe sind besonders schützenswert	Umfasst «nur» Daten über rassistische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, genetische sowie biometrische Daten, Daten zur Gesundheit und zum Sexualleben oder zur sexuellen Orientierung
Meldungen von Datenschutzverletzungen	Müssen schnellstmöglich dem EDÖB mitgeteilt werden	Müssen der EU-Aufsichtsbehörde innerhalb von 72 Stunden gemeldet werden
Profiling	Einwilligung der Betroffenen ist bei «Profiling mit hohem Risiko» erforderlich	Einwilligung der Betroffenen ist notwendig
Auskunftsrecht	Kostenfreie schriftliche Auskunft innerhalb von 30 Tagen mit definierten Mindestinhalt	Kostenlose und detaillierte Auskunftspflicht auf Verlangen

Tabelle 2: Unterschiede zwischen dem revDSG und der EU-DSGVO

Prozessorientierung als Basis für eine erfolgreiche Umsetzung

Die Umsetzung der Veränderungen im Rahmen des revDSG kann angesichts der Frist bis zum 1. September 2023 zunächst überwältigend erscheinen.

Es ist wichtig, dass Unternehmen ihre eigenen Geschäftsprozesse analysieren und erkennen, an welchen Stellen personenbezogene Daten verarbeitet werden. Nur durch diese Erkenntnis kann der erforderliche Handlungsbedarf ermittelt und eine Anpassung an das revDSG vorgenommen werden.

Prozesslandkarten stellen wertvolle Instrumente dar, um komplexe Abläufe und Prozesse innerhalb eines Unternehmens zu visualisieren und zu dokumentieren. Sie ermöglichen die Identifizierung und Erfassung der operativen Prozesse und ihrer Abläufe, was bei der Implementierung des revDSG von grossem Nutzen sein kann.

Durch die anschliessende Prozessanalyse, wird klar an welchen Stellen welche Daten verarbeitet werden. Ein Abgleich mit dem aktuellen Datenschutzverhalten und dem revDSG zeigt die Stellen auf wo Handlungsbedarf besteht.

Abbildung 1: Beispiel einer Prozesslandkarte eines typischen Dienstleistungsunternehmens (Quelle: Stefan Lenz)

#	Prozess-Schritt	Relevaz bezüglich des Datenschutzes
1	Marketing-Kampagne wird geplant und durchgeführt	Newsletter-Versand an Kunden Privacy by Design ist zu berücksichtigen, der Newsletter bietet eine Abmelde-Funktion
2	Kunde wird akquiriert	Kunde wird im Gespräch über die Nutzung eines CRM-Systems informiert Im CRM-System werden Informationen zum Kunden gesammelt
3	Kunde wird beraten	Anforderungen des Kunden werden im CRM-System gespeichert und für Beratung sowie Marketing genutzt
4	Mandat vereinbaren	Vertrag kommt zustande, Abschluss wird im CRM-System vermerkt
5	HR-Leistung durchführen	Daten werden vom CRM zur ERP-Lösung übertragen Daten der Personen für Potenzial-Analysen werden erfasst, Beurteilungen durchgeführt
6	Beschaffung durchführen	Abwicklung des Auftrags erfordert die Beschaffung einer zusätzlichen Software-Lizenz
7	Auftrag wird abgerechnet	Leistungen und Material für Auftrag des Kunden werden abgerechnet
8	Auftrag wird verbucht	Aufwände und Erträge werden verbucht, offener Posten bei Debitoren ist angelegt
9	Rechnungswesen wird geführt	Leistungen und Material für Auftrag des Kunden werden abgerechnet Haupt- und Nebenbücher werden geführt und abgestimmt
10	Reporting wird durchgeführt	Informationen zum Kunden und zum Auftrag werden intern publiziert
11	Dokumente werden archiviert	Dokumente der durchgeführten Potenzial-Analysen werden archiviert

Tabelle 3: Prozess-Analyse anhand der Prozesslandkarte (Quelle: Stefan Lenz)

«Die Basis jeder datenschutzrechtlichen Einschätzung ist der Überblick über die bearbeiteten Daten. Wenn ein Unternehmen nicht weiss welche Daten es zu welchen Zwecken bearbeitet, wird es schwierig, die gesetzlichen Anforderungen zu erfüllen.» (Quelle: netzwoche.ch)

Adrian Lobsiger, EDÖB

Prozesslandkarten und Prozessanalysen sind bei der Erstellung des Datenbearbeitungsverzeichnisses, das mit dem revDSG eingeführt wird, hilfreich.Durch das Verständnis der operativen Prozesse können alle relevanten Tätigkeiten, bei denen Personendaten verarbeitet werden, erfasst und mit den Mindestangaben ergänzt werden. Diese umfassen die Identität des Verantwortlichen, den Bearbeitungszweck, betroffene Personenkategorien, Datenkategorien, Empfänger, Aufbewahrungsdauer der Daten, allgemeine Datensicherheitsmassnahmen und Angaben zu länderübergreifender Datenübermittlung sowie Datenschutzgarantien bei einer Überführung der Daten ins Ausland. Die Kontaktdaten des Verantwortlichen können einmalig erwähnt werden und müssen nicht für jede Datenbearbeitung nochmals aufgeführt werden. Tabelle 4 zeigt ein Beispiel für solch ein Verzeichnis auf.

#	Prozess	Bearbeitungszweck	Betroffene Personen	Personendaten	Empfänger	Aufbewahrungsdauer	Datensicherheit	Empfängerland	Garantien
1	Marketing-Kampagne planen/durchführen	Marktbearbeitung	Kunden, Interessenten	Adressdaten der Kunden	Interessenten, Kunden	1 Jahr	Vorgaben aus Privacy by Design	Schweiz	-
2	Kunde akquirieren	Kundenbetreuung	Kunden, Interessenten	Adressdaten der Kunden, Bedürfnisse der Kunden	Interessenten, Kunden	5 Jahre	Merkblatt Datenschutz, Beratungsprotokoll	Schweiz	-
3	Kunde wird beraten	Kundenbetreuung	Kunden, Interessenten	Adressdaten der Kunden, Bedürfnisse der Kunden	Kunden	5 Jahre	Merkblatt Datenschutz, Beratungsprotokoll	Schweiz	-
4	Mandat vereinbaren	Kundenbetreuung	Kunden	Adressdaten der Kunden, Anforderungen der Kunden	Kunden	10 Jahre	Zugriffs-Beschränkung	Schweiz	-
5	HR-Leistung durchführen	Beratungsleistung für Kunden	Kunden	Personendaten, Kompetenzen, Gesundheitsdaten	Kunden	10 Jahre	Zugriffs-Beschränkung mit 2 Faktor-Authentisierung	Schweiz	-
6	Beschaffung durchführen	Einkauf	Kunden	Adressdaten der Kunden	Kunden	10 Jahre	Zugriffs-Beschränkung	Schweiz	-
7	Auftrag abrechnen	Leistungsabrechnung	Kunden	Leistung der Mitarbeitenden, Personendaten	Lieferanten	10 Jahre	Zugriffsbschränkung	Schweiz	-
8	Auftrag verbuchen	Leistungsabrechnung	Kunden	Rechnung für Leistungen mit Leistungsrapport	Kunden	10 Jahre	Zugriffs-Beschränkung	Schweiz	-
9	Rechnungswesen führen	Buchhaltung	Kunden	Rechnung für Leistungen, Zahlungen	-	10 Jahre	Zugriffs-Beschränkung	Schweiz	-
10	Reporting durchführen	Internes Reporting	Kunden	Erträge / Umsätze mit Kundeninformationen	-	5 Jahre	Zugriffs-Beschränkung mit 2‑Faktor-Authentisierung	Schweiz	-
11	Dokumente archivieren	Archivierung	Kunden	Auftragsdokumentation	-	10 Jahre	Zugriffs-Beschränkung mit 2‑Faktor-Authentisierung	Schweiz	-

Tabelle 4: Beispiel eines Verzeichnisses anhand der Prozess-Analyse (Quelle: Stefan Lenz)

Eine unverzichtbare Säule für den Datenschutz

In der heutigen digitalisierten Welt steigt das Risiko von Cyberbedrohungen kontinuierlich an. Unternehmen sind vermehrt von Angriffen wie Phishing, Ransomware, Spoofing und weiteren Bedrohungen betroffen. Diese Angriffe stellen ein erhebliches Risiko für Unternehmensdaten und insbesondere personenbezogene Daten dar. Es ist daher unerlässlich, sich intensiv mit technischen und organisatorischen Massnahmen im Bereich der Informationssicherheit auseinanderzusetzen.

Informationssicherheit ist entscheidend für den Datenschutz, da sie den Schutz personenbezogener Daten vor unbefugtem Zugriff, Verlust oder Missbrauch gewährleistet. Durch die Vertraulichkeit, Integrität und Verfügbarkeit der Daten wird das Vertrauen der Betroffenen gestärkt und gesetzliche Anforderungen erfüllt.

Vertraulichkeit: Zugriffsbeschränkungen, Verschlüsselung und sichere Kommunikationskanäle verhindern unbefugten Zugriff auf personenbezogene Daten.

Integrität: Massnahmen wie Datenvalidierung, Prüfmechanismen und revisionssichere Speicherung gewährleisten die Unversehrtheit und Unveränderlichkeit der Daten.

Verfügbarkeit: Eine geeignete Infrastruktur, Backupsysteme, Notfallpläne und Schutz vor Ausfällen stellen sicher, dass autorisierte Benutzer jederzeit auf die Daten zugreifen können.

Das ISO 27001 Rahmenwerk bietet Unternehmen einen bewährten Ansatz zur Implementierung eines umfassenden Informationssicherheitsmanagementsystems (ISMS) durch technische und organisatorische Massnahmen. Es definiert Anforderungen und Best Practices zur Identifizierung, Bewertung und Behandlung von Risiken.

Es existieren aber auch andere Zertifikate, die wiederum andere Handlungsanweisungen vorgeben. Welches Zertifikat man beachten möchte hängt schlussendlich von den eigenen Unternehmenszielen ab.

Als Unternehmen ist es von Bedeutung zu klären, ob das ISO 27001 Zertifikat oder andere Zertifikate lediglich als Leitfaden für Handlungen dienen soll oder ob das Unternehmen das Zertifikat selbst erlangen möchte. Der Besitz des Zertifikats signalisiert nach aussen hin, dass eine unabhängige Prüfstelle die Informationssicherheit des Unternehmens überprüft und das ISMS als angemessen und wirksam befunden hat.

Insbesondere in Branchen wie der Finanzindustrie oder im Bereich der IT-Dienstleistungen spielt der Besitz des ISO 27001-Zertifikats eine wichtige Rolle, da es den Kunden ein vertrauenswürdiges Sicherheitsbild vermittelt.

Eine solide Informationssicherheitsstrategie gemäss diesen Zertifikaten gewährleistet die Compliance mit Datenschutzvorschriften und stärkt das Vertrauen der Betroffenen. Sie können ein wesentlicher Bestandteil eines umfassenden Datenschutzkonzepts sein.

Abbildung 2: Rolle der Informationssicherheit in Bezug auf Datenschutz

Riskante Datenbearbeitungen erfordern ein proaktives Verhalten

Im Rahmen des revDSG ist es vorgesehen, dass bei einer Datenverarbeitung, die ein erhebliches Risiko für die Persönlichkeitsrechte oder Grundrechte der betroffenen Personen darstellen kann, eine vorherige Datenschutz-Folgenabschätzung (DSFA) durchgeführt wird. Das Hauptziel der DSFA besteht darin, die Risiken der Datenverarbeitung zu identifizieren und durch den Einsatz technischer und organisatorischer Massnahmen, einschliesslich der Informationssicherheit, zu minimieren. Die DSFA beinhaltet eine detaillierte Beschreibung der geplanten Datenverarbeitung, eine Bewertung der Risiken für die Persönlichkeitsrechte oder Grundrechte der Betroffenen sowie konkrete Massnahmen zur Risikominderung. Bei Unsicherheiten oder Fragen besteht die Möglichkeit, die DSFA dem Datenschutzbeauftragten oder der zuständigen Datenschutzbehörde vorzulegen, um weitere Unterstützung und Klärung zu erhalten. In der Abbildung 3 kann man sehen, nach welchen Fragen man eine DSFA gestalten könnte.

Abbildung 3: Gestaltungskriterien einer DSFA

Im Falle einer Verletzung der Datensicherheit, die potenziell hohe Risiken für die Persönlichkeit oder Grundrechte der Betroffenen darstellt, ist es gemäss dem revDSG erforderlich, die Verletzung unverzüglich beim EDÖB zu melden. Zusätzlich besteht eine Pflicht zur Benachrichtigung der betroffenen Personen durch die Verantwortlichen.Die Meldung kann entweder direkt über das Meldeformular des EDÖB (databreach.edoeb.admin.ch) erfolgen oder alternativ die Mindestanforderungen erfüllen:

Eine präzise Beschreibung der Art der Verletzung der Datensicherheit.
Zeit und Dauer (soweit möglich) der Verletzung
Angaben zur betroffenen Datenkategorie oder Art der betroffenen personenbezogenen Daten.
Informationen zur Anzahl der betroffenen Personen oder eine Schätzung, falls die genaue Anzahl nicht bekannt ist.
Eine Darstellung der möglichen Folgen oder Auswirkungen der Verletzung auf die betroffenen Personen.
Angaben zur Ursache oder zum Ursprung der Verletzung, sofern bekannt.
Informationen zu den ergriffenen oder geplanten Massnahmen zur Bewältigung der Verletzung und zur Minimierung der Risiken.
Kontaktdaten einer verantwortlichen Person oder Stelle, die weitere Informationen oder Unterstützung bereitstellen kann

Planen, Umsetzen, Überprüfen, Handeln

Die Implementierung des revDSG kann zu Beginn erdrückend wirken. Es ist jedoch unumgänglich, sich mit der Thematik auseinanderzusetzen und die erforderlichen Massnahmen zu ergreifen. Der Prozess kann in vier Schritte unterteilt werden: «Plan, Do, Check, Act».

Bei der Planung ist es ratsam, eine Prozesslandkarte zu erstellen, um einen umfassenden Überblick über die Datenbearbeitungstätigkeiten zu erhalten. Diese Übersicht ermöglicht nicht nur die Identifizierung der Verarbeitungstätigkeiten, sondern auch die Erkennung potenzieller Risiken.

Basierend auf dem reformierten Datenschutzgesetz (revDSG) und den Anforderungen der Informationssicherheit können Ziele sowie geeignete organisatorische und technische Massnahmen geplant werden, um diese Herausforderungen zu bewältigen.

Nachdem die Herausforderungen erkannt und die nächsten Schritte geplant wurden, erfolgt die Umsetzung. Dabei stellen sich Fragen wie:

Existiert ein System für das Verzeichnis der Datenverarbeitungstätigkeiten?
Wird ein System für Datenschutz-Folgenabschätzungen (DSFA) verwendet?
Ist ein Verfahren zur Meldung von Datenschutzvorfällen beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) etabliert?

Dies sind nur einige der vielen Fragen, die während der Implementierung berücksichtigt werden müssen. Dabei sollten die Prioritäten und Ziele der Organisation berücksichtigt werden.

Die Etablierung einer Compliance-Kultur kann bei der Umsetzung ein entscheidender Faktor sein. Die Mitarbeiter müssen sich der Datenschutzbestimmungen und des revDSG bewusst sein. Durch die Schaffung dieses Bewusstseins auf organisatorischer Ebene wird die Motivation der Mitarbeiter gesteigert, die erforderlichen Massnahmen umzusetzen. Das Management trägt die Verantwortung dafür, dass sich die Mitarbeiter mit der Thematik auseinandersetzen, darüber sprechen und deren Bedeutung erkennen.

Durch regelmässige Datenschutz-Audits, die sowohl intern als auch extern durchgeführt werden können, können fortlaufende Standortbestimmungen erfolgen. Dadurch wird ermittelt, welche Massnahmen erfolgreich umgesetzt wurden und wo noch Handlungsbedarf besteht oder was möglicherweise noch ganz fehlt. In diesem Zusammenhang kann der Datenschutzbeauftragte oder die Datenschutzbeauftragte als erste Anlaufstelle fungieren, sofern vorhanden. Allgemein kann der Datenschutzbeauftragte, bzw. die Datenschutzbeauftragte bei Unsicherheiten konsultiert werden.

Nach Abschluss der Überprüfung können weitere Korrekturmassnahmen in Betracht gezogen werden, und der Prozess beginnt von vorne. Die Massnahmen werden geplant, umgesetzt, überprüft und gegebenenfalls korrigiert oder angepasst — im Einklang mit dem Prinzip «Plan, Do, Check, Act».

Zusammenfassung

Es bleibt nicht mehr viel Zeit bis zum 1. September 2023, daher ist es ratsam, jetzt wach zu werden und das revDSG proaktiv zu implementieren.

Das revDSG bringt teilweise erhebliche Veränderungen mit sich, die möglicherweise neue Strukturen erfordern. Es ist von grosser Bedeutung, dass Unternehmen ihre internen Geschäftsprozesse genau kennen und die Bearbeitung personenbezogener Daten innerhalb des Unternehmens identifizieren. Nur so können sie ihren Handlungsbedarf bestimmen und das revDSG ordnungsgemäss integrieren.

Der «Plan, Do, Check, Act-Zyklus» (PDCA) hilft dabei, die Komplexität in der Umsetzung von Anforderungen zu beherrschen und Prioritäten zu setzen. So können zielorientiert und mit einem nachvollziehbaren Verfahren die Anforderungen aus dem revDSG implementiert werden.

Es ist entscheidend, sich mit der Thematik auseinanderzusetzen, da ansonsten möglicherweise zum 1. September 2023 noch nicht die erforderliche Bereitschaft besteht. Dies könnte unter Umständen negative Folgen nach sich ziehen.

Die Umsetzung des revDSG bringt Neuerungen und auch Herausforderungen

Welche Unterschiede bringt das revDSG?

Prozessorientierung als Basis für eine erfolgreiche Umsetzung

Eine unverzichtbare Säule für den Datenschutz

Riskante Datenbearbeitungen erfordern ein proaktives Verhalten

Planen, Umsetzen, Überprüfen, Handeln

Zusammenfassung

Kategorien

Neueste Beiträge

Die Umset­zung des revDSG bringt Neue­run­gen und auch Herausforderungen

Wel­che Unter­schie­de bringt das revDSG?

Pro­zess­ori­en­tie­rung als Basis für eine erfolg­rei­che Umsetzung

Eine unver­zicht­ba­re Säu­le für den Datenschutz

Ris­kan­te Daten­be­ar­bei­tun­gen erfor­dern ein pro­ak­ti­ves Verhalten

Pla­nen, Umset­zen, Über­prü­fen, Handeln

Zusam­men­fas­sung

Kate­go­rien

Neu­es­te Beiträge

Die Umsetzung des revDSG bringt Neuerungen und auch Herausforderungen

Welche Unterschiede bringt das revDSG?

Prozessorientierung als Basis für eine erfolgreiche Umsetzung

Eine unverzichtbare Säule für den Datenschutz

Riskante Datenbearbeitungen erfordern ein proaktives Verhalten

Planen, Umsetzen, Überprüfen, Handeln

Zusammenfassung

Kategorien

Neueste Beiträge