infoguard-blog-dsg-2020

«Wer nicht mit der Zeit geht, geht mit der Zeit» – oder die Ablösung des Bundesgesetzes über den Datenschutz (DSG)

Datenschutz ist Persönlichkeitsschutz. Unsere Persönlichkeits- und Grundrechte im digitalen Raum wurden bis heute durch ein Gesetz sowie eine entsprechende Verordnung aus dem Jahr 1992 geschützt. Wir erinnern uns: 1992 war drei Jahre vor dem ersten Online-Verkauf (Echo Bay, heute eBay) und ganze fünf Jahre vor dem Launch von Google. Beide betreffen also genau diejenigen Bereiche, in denen der Persönlichkeitsschutz auch heute noch eine Herausforderung darstellt. Dass das Bundesgesetz und die dazugehörende Verordnung unserer aktuellen digitalen Zeit nicht mehr gerecht werden, ist selbstredend. Die nächste Generation, welche den heutigen Herausforderungen Rechnung tragen will, ist bereits in den Startlöchern in Form des aktuellen Entwurfs des neuen Bundesgesetzes über den Datenschutz E-DSG. Dieser Entwurf ist aktuell in der Differenzbereinigung und wird im Parlament in der aktuellen Herbstsession 2020 behandelt. Welche Neuerungen und Herausforderungen der Entwurf des neuen Gesetzes mit sich bringt, erfahren Sie in diesem Artikel.

Im Mai 2018 wurde die neue Datenschutzgrundverordnung (DSGVO/GDPR) der Europäischen Union eingeführt. Die Frage, ob die DSGVO nun für Schweizer Unternehmen gilt, führte damals zu grossen Unsicherheiten. Da sich das neue Datenschutzgesetz (DSG) stark an der DSGVO orientiert, sind Unternehmen, welche die Regulatorien der DSGVO bereits umsetzen, bestens vorbereitet. Viele Prozesse, Richtlinien, Vorgaben sowie Vorlagen sind somit bereits vorhanden und werden genutzt. Anpassungen im Hinblick auf die neuen Vorgaben des Schweizerischen Datenschutzes werden marginal ausfallen – vorausgesetzt, die Hausaufgaben bezüglich DSGVO wurden gemacht. Dennoch müssen interne wie auch externe Datenschutzerklärungen mit dem neuen Gesetz abgeglichen werden oder vorhandene Prozesse entsprechend angepasst resp. ergänzt.

Unternehmen, welche sich bis anhin ausschliesslich (oder mehrheitlich) an die Schweizerische Gesetzgebung halten mussten, werden mit dem neuen Bundesgesetz vor einige Herausforderungen gestellt. Insbesondere wird ein beträchtlicher Aufwand an Ressourcen und Fachwissen benötigt.

Erstellen von Verzeichnissen der Bearbeitungstätigkeiten

Das neue Datenschutzgesetz schreibt unter anderem vor, dass Unternehmen ab 250 Mitarbeitenden Verzeichnisse über die Datenbearbeitung von personenbezogenen Daten führen müssen. Dies gilt sowohl für den Datenverantwortlichen (engl. Controller, bekannt aus der DSGVO) wie auch für den Datenverarbeiter (engl. Processor, DSGVO).

Damit dies umgesetzt werden kann, müssen die Geschäftsprozesse analysiert und die verarbeiteten Daten aufgenommen sowie anschliessend aktiv verwaltet werden. Die Herausforderungen, die sich dabei stellen, sind vielfältig: von der Identifizierung der personenbezogenen Daten, deren Kategorisierung bzw. Klassifizierung über die sich wiederholende Aktualisierung der Verzeichnisse bis hin zur Identifikation von Personendaten, die an Dritte transferiert werden. Dies gelingt mit Hilfe von Datenschutzexperten einfacher und effizienter.

Meldung bei Datenpannen / Data Breach Notification

Diese Verzeichnisse bzw. dieses Verzeichnis der Bearbeitungstätigkeiten bildet mitunter auch die Grundlage, um bei allfälligen Datenverlusten und/oder Offenlegungen innerhalb der geforderten Frist sowohl den Behörden wie auch den Betroffenen Auskunft geben zu können. Die diesbezüglichen Anforderungen aus dem neuen DSG – den Datenschutz- sowie Öffentlichkeitsbeauftragten EDÖB und bei hohem Risiko auch die Betroffenen «so rasch als möglich» zu informieren – erfordern einen entsprechend implementierten Prozess mit klar definierten Verantwortlichkeiten und bereitgestellten Vorgaben sowie Richtlinien.

Neuerungen gegenüber dem bestehenden Datenschutzgesetz

Doch was ändert sich nun für Unternehmen konkret? Nachstehend ein Auszug aus den wichtigsten Neuerungen bzw. Änderungen im Entwurf des Datenschutzgesetzes, welche einen direkten Einfluss auf die Geschäftsprozesse und Abläufe haben können:

  • Erstellung und Verwaltung eines Verzeichnisses mit den Verarbeitungstätigkeiten.
  • Erweiterte Informationspflichten gegenüber den Betroffenen über die Bearbeitung ihrer personenbezogenen Daten.
  • Die Pflicht, den Betroffenen die Datenportabilität bzw. -löschung zu ermöglichen.
  • Bei Datenpannen oder Verlusten muss die Behörde (EDÖB) informiert werden, allenfalls auch alle von der Datenpanne betroffenen Personen.
  • Bei Datenverarbeitungen mit hohem Risiko für den Persönlichkeitsschutz oder in Bezug auf die Grundrechte der Betroffenen, muss eine Datenschutzfolgeabschätzung durchgeführt werden.
Sie sehen: Die Analyse der Geschäftsprozesse und das Wissen, wo welche Daten bearbeitet werden, ist die Grundlage für den Erfolg bei der Umsetzung der Rechtskonformität zum neuen Datenschutzgesetz.

Vorbereitung ist die halbe Miete – besonders beim Thema Datenschutz

Auch wenn die Beratung zum neuen Datenschutzgesetz gerade erst in der Differenzbereinigung ist und mit einer Einführung vor Mitte 2021 wohl kaum gerechnet werden darf, sollte der Aufwand, die nötigen Arbeiten zu planen und umzusetzen, nicht unterschätzt werden. Erfahrungsgemäss dauert eine Umsetzung der genannten Massnahmen ein bis zwei Jahre – also gerade noch rechtzeitig, damit Unternehmen bis dahin parat sind. Wenn Sie selber gerade am Anfang stehen, ist nachfolgende Vorgehensweise hilfreich.

  • Überlegen Sie als erstes, welche personenbezogenen Daten in Ihrem Unternehmen in welchen Geschäftsprozessen verarbeitet werden. Prüfen Sie die Verarbeitungszwecke dieser Daten und auch die Rechtmässigkeit der Erhebung. Unter Umständen liegt die Einwilligung der Betroffenen bereits vor oder es besteht eine gesetzliche Grundlage, um die personenbezogenen Daten zu verarbeiten.
  • Überprüfen Sie ausserdem, wohin bzw. an wen Sie diese Daten senden. Werden personenbezogene Daten an Dritte oder auch ins Ausland transferiert (EU/USA oder Drittstaaten), gelten einerseits gesetzliche Einschränkungen, andererseits müssen Verträge mit sogenannten Auftragsbearbeitern erstellt und verwaltet werden.
  • Führen Sie diese Informationen zusammen, so dass Sie ein Inventar über die Systeme und Prozesse erhalten, welche personenbezogene Daten verarbeiten.
  • Prüfen sie nun die gesetzlichen Anforderungen des neuen Datenschutzgesetzes für die Verarbeitungstätigkeiten mittels einer GAP-Analyse. Stellen sie den Handlungsbedarf fest und definieren Sie entsprechende Massnahmen.

Wie bereits erwähnt, müssen Sie bei Datenschutzvorfällen so rasch als möglich informieren. Stellen Sie fest, welche Prozesse und Vorkehrungen in Ihrem Unternehmen bei Datenschutzvorfällen getroffen wurden. Ist eine zuständige Person für den Datenschutz ernannt und auch bekannt? oOer benötigen Sie einen Datenschutzbeauftragten (DPO, Data Privacy Officer)?

Ready für das neue Datenschutzgesetz?

Datenschutz ist ein komplexes Thema. Digitalisierung und die zunehmende Bedrohung durch Cyberattacken machen dies nicht leichter. Viele Unternehmen sind daher gut beraten, sich projektbezogen oder als Mandat externe Experten beizuziehen, denn gerade die Erfahrung und das umfassende Know-how sind bei Themen wie der Umsetzung des neuen Datenschutzgesetzes unerlässlich. Wie sieht es in Ihrem Unternehmen aus?

Unsere Experten begleiten Sie von der Planung bis zur Umsetzung aller notwendigen Schritte – beispielsweise der Analyse Ihrer Datenbestände oder bei komplexen Datenschutzfolgeabschätzungen. Ausserdem bieten wir Ihnen die Möglichkeit, einen «Datenschutzbeauftragen-(DPO)-as-a-Service» in Anspruch zu nehmen, welcher Sie in allen datenschutzrelevanten Fragestellungen unterstützen und beraten kann.

Gehen Sie mit der Zeit und vertrauen Sie auf unser Fachwissen und unsere Erfahrung. Kontaktieren Sie uns – wir werden Sie gerne über unsere Dienstleistungen rund um Datenschutz und Compliance beraten.

DPO-as-a-Service – jetzt Kontakt aufnehmen!

<< >>

Data Governance

Daniel Däppen
Über den Autor / Daniel Däppen

InfoGuard AG - Daniel Däppen, Senior Cyber Security Consultant

Weitere Artikel von Daniel Däppen


Ähnliche Artikel
ISO/IEC 27701 – Datenschutzaspekte integriert im ISMS
ISO/IEC 27701 – Datenschutzaspekte integriert im ISMS

Bei der Einführung der europäischen Datenschutzgrundverordnung (DSGVO) im Mai 2018, herrschte auch [...]

Spannende Artikel, aktuelle News sowie Tipps & Tricks von unseren Experten rund um Cyber Security & Defence.

Blog Updates abonnieren
Social Media
infoguard-cyber-security-ratgeber-2