Zu den wichtigsten Neuerungen der DSG-Revision (revDSG) zählen vor allem strengere Sanktionen, eine ausgedehntere Informationspflicht aber auch Punkte wie das Anlegen eines Bearbeitungsverzeichnisses oder der Ausbau von Betroffenenrechten. Noch ist nicht festgelegt zu welchem Datum das neue Datenschutzgesetz in Kraft treten wird. Das nDSG, oder auch revDSG genannt, wird nun definitiv per September 2023 in Kraft treten. Die Einführung bedeutet auch für KMU viele Anpassungen. Erfahren Sie mehr zu Veränderungen und wie Sie sich auf diese vorbereiten können.
Das Wichtigste in Kürze
- Die Digitalisierung hat an Fahrt aufgenommen und Technologien entwickeln sich in einem rasanten Tempo. Darum soll das neue Datenschutzgesetz das Schutzniveau von Einzelpersonen erhöhen.
- Grundsätzlich geht es um die Verarbeitung von personenbezogenen Daten, also Daten, die Rückschlüsse auf eine Person ziehen lassen bzw. dazu beitragen können eine Person zu identifizieren. Hierbei ist es egal ob die Person indirekt identifiziert werden kann z.B. über mehrere spezielle Merkmale, die Auskunft über die wirtschaftliche, soziale oder physische Identität einer Person geben oder direkt über z.B. den Namen.
- Das neue Datenschutzgesetz zielt im Grundsatz darauf ab, dass diese Daten nicht missbraucht werden können und die Verarbeitung verhältnismässig bzw. angemessen dem Nutzen ist.
- Dementsprechend zieht das neue revDSG die Erhöhung der Rechte von Bürgerinnen und Bürgern mit sich. Zusätzlich werden neue Rechte eingeführt wie z.B. in Zusammenhang mit der Übertragbarkeit, Löschung und dem Zugang zu persönlichen Daten. Hieraus ergeben sich auch neue Bestimmungen für KMU.
- KMU müssen den Umgang mit Daten proaktiv regeln mittels geeigneter technischer Systeme und einer dazugehörigen Verfahrensdokumentation, welche den Umgang mit Daten beschreibt.
Wie können sich Schweizer KMU auf das neue Datenschutzgesetz vorbereiten?
Zwar tritt das Gesetz frühestens in der zweiten Hälfte des Jahres 2022 in Kraft. Jedoch empfiehlt es sich, dass Sie sich schon frühzeitig auf die Veränderungen vorbereiten. Denn den Aufwand, der sich aus den Gesetzesneuerungen ergibt, sollten Sie nicht unterschätzen. Aus diesem Grund ist es ratsam einen allumfassenden Ansatz als KMU zu verfolgen. Im folgenden Abschnitt verschaffen wir Ihnen einen Überblick wie Sie sich vorbereiten können.
Risiken richtig einschätzen
Gerade Unternehmen, die eine grosse Menge an Daten bzw. personenbezogenen Daten verarbeiten, haben ein grösseres Risiko gegen das neue Datenschutzgesetz zu verstossen. Personenbezogene Daten (ganz gleich, ob Kunden, Lieferanten oder Mitarbeitende) bzw. sensible Daten sollten aus diesem Grund in Datenbanken, IT-Systemen oder anderen Systemen erfasst und dargestellt werden. Um sich einen genauen Überblick zu verschaffen, können Sie sich folgende Fragen stellen:
- Bei welchen Prozessen werden Daten erfasst?
- Wer darf die Daten bearbeiten und einsehen?
- Wann bzw. wie werden Ihre Daten vernichtet?
- Verfügen Sie über adäquate technische Systeme?
- Nutzen Sie eine Art der Dokumentation, die Ihre Prozesse belegt?
So können Sie die Risiken für Ihr Unternehmen richtig einschätzen und eine Handlungsrichtung festlegen.
Schützen und Organisieren
Damit Sie gar nicht erst in die Situation einer Verletzung des Datenschutzgesetzes kommen, empfiehlt es sich Ihre IT-Sicherheit bzw. Data Governance zu verbessern. Mit Data Governance sind Prozesse, Kennzahlen, Rollen, Richtlinien und Standards gemeint, die zu einer effektiven Nutzung von Daten bzw. Informationen beitragen.
Hierbei geht es insbesondere um Verantwortlichkeiten und Prozesse, die für die Sicherheit und Qualität der Daten in einem Unternehmen relevant sind. Dokumenten-Management-Systeme (DMS) können hierbei einen entscheidenden Vorteil bringen, da sie viele der Punkte vereinen.
Schaffen Sie interne Verfahren, die dazu beitragen Sie vor Datenverlusten,- lecks und Datenschutzverletzungen zu schützen. Zusätzlich ist dies hilfreich bei Anfragen von Einzelpersonen sowie um im Falle einer Verletzung richtig zu reagieren. Prinzipiell sollten Sie einen verantwortungsvollen Umgang mit Daten über den gesamten Lebenszyklus pflegen. Verpflichtend sind schon heute die folgenden Punkte für Unternehmen:
- Updates einspielen (regelmässig, schnell und überall)
- Zwei-Faktoren-Authentifizierung
- Backups (inkl. Offlinebackup)
- Bewusstsein (Awareness) bei Mitarbeitern und dem gesamten Unternehmen schaffen sowie Mitarbeiterschulungen
- Zugriff limitieren (Zugriff auf Daten und Systeme einschränken)
- Im Fall einer Datenschutzverletzung frühzeitig Experten kontaktieren
Der nachhaltige und sorgsame Umgang mit sensiblen Daten und insbesondere mit personenbezogen Daten wird zukünftig zu einem kritischen Erfolgsfaktor. Um dieses Ziel zu erreichen, können Sie sich zusätzlich an den zehn Grundprinzipien der Schweizer Wirtschaft in Bezug auf den Umgang mit personenbezogenen Daten orientieren.
Pflichten des Datenschutzgesetzes für Unternehmen
Was sind die wesentlichen neuen Pflichten, die auf ein Unternehmen mit dem Datenschutzgesetz zukommen werden? In diesem Abschnitt geben wir Ihnen einen kleinen Ausblick, welche Pflichten unter anderem mit dem neuen Datenschutzgesetz eingeführt werden.
Privacy-by-Design und -by-Default
Mit dem neuen revDSG Gesetz werden, wie in der EU-DSGVO, die genauen Grundsätze von Datenschutz durch Technik (Privacy by Design) und der Datenschutz durch datenschutzfreundliche Voreinstellungen (Privacy by Default) verankert. (Art. 7 revDSG)
Das bedeutet, dass Sie ab der Planung zur Verarbeitung von personenbezogenen Daten sowohl organisatorische wie auch angemessene technische Massnahmen gewährleisten müssen, durch die sichergestellt werden kann, dass in diesem System die Datenschutzgrundsätze umgesetzt werden können (Privacy by Design).
Zu den Datenschutzgrundsätzen zählen beispielsweise Nachvollziehbarkeit, Unveränderbarkeit, Unverlierbarkeit und Speicherbegrenzung von Daten. Mit einer modernen DMS-Lösung können diese technischen Voraussetzungen erfüllt werden.
Aber nicht nur die verwendeten Systeme spielen eine Rolle, sondern auch welche Voreinstellungen beispielsweise auf Ihrer Webseite getroffen wurden. So ist sicherzustellen, dass die Voreinstellungen so angepasst werden, dass diese die Verarbeitung von personenbezogenen Daten entsprechend des Verwendungszwecks auf das notwendige Mindestmass beschränken (Privacy-by-Default). Generell muss durch die Massnahmen die Vermeidung einer Verletzung der Datensicherheit ermöglicht werden.
Verzeichnis der Datenbearbeitungstätigkeit
Auch die Erstellung sowie Führung eines Verzeichnisses über die Bearbeitungstätigkeiten von Daten wird zukünftig eingeführt werden. Ausgenommen davon sind Unternehmen, die weniger als 250 Mitarbeiter beschäftigen. Dies gilt jedoch nur, wenn die Verarbeitung der Daten im Unternehmen ein geringes Risiko einer Verletzung der Persönlichkeit einer betroffenen Person birgt. (Präzisierung erfolgt in der Verordnung, Art. 12 revDSG).
Meldepflicht
Entsteht durch eine Datensicherheitsverletzung ein erhöhtes Risiko, dass Grund- oder Persönlichkeitsrechte einer Person verletzt werden könnten, muss dies umgehend gemeldet werden. Die Meldung sollte an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) erfolgen sowie an die betroffene Person (Art. 24 revDSG). Unter einer Verletzung der Sicherheit versteht man das unbeabsichtigte oder missbräuchliche Löschen oder Manipulieren sowie den unberechtigten Zugriff auf Personendaten.
Folgeabschätzung
In bestimmten Fällen sind Sie verpflichtet eine Folgenabschätzung durchzuführen, die zum Schutz der Personendaten dient. Dies wird beispielsweise nötig, wenn durch eine Bearbeitung ein hohes Risiko für Grund– oder Persönlichkeitsrechte der betroffenen Person besteht. (Art. 22 revDSG)
Informationspflicht
Hierunter wird die angemessene Information betroffener Personen über die Beschaffung von Personendaten verstanden. Es muss eine transparente Datenbearbeitung gewährleistet sein und Sie sind im Falle eines Transfers ins Ausland verpflichtet zur Nennung des/der Staates/Staaten. (Art. 19 revDSG)
Bewusstsein entwickeln und Handlungsempfehlungen
Mit dem neuen Datenschutzgesetz kommen einige neue Verpflichtungen auf Unternehmen zu. Die zuvor genannten Punkte sind nur ein paar wenige Auszüge aus dem revDSG. Umso wichtiger ist, dass Sie ein Bewusstsein in Ihrem Unternehmen schaffen. Sensibilisieren und beziehen Sie alle Ebenen bzw. Abteilungen beim Datenschutz ein.
Denn die Verarbeitung von Daten beginnt schon beim Versand von E-Mails bis hin zur Personalverwaltung oder der Nutzung einer Kontaktdatenbank. Auch Geschäftsführer und Verwaltungsräte sollten sich mit der neuen Gesetzgebung auseinandersetzten, da Ihnen zukünftig schwerwiegende Sanktionen drohen.
Handlungsempfehlungen
Verschaffen Sie sich einen grundlegenden Überblick über bestehende technische und organisatorische Schutzmassnahmen und prüfen Sie, ob diese aktualisiert werden müssen. Erstellen Sie einen Incident Response Plan (Vorfalls-Plan), damit unnötige Verzögerungen vermieden werden.
In diesem Plan sollte festgelegt werden:
- Wer ist hauptverantwortlich?
- Welche Schritte zur Abklärung des Vorfalls müssen eingeleitet werden?
- Welche internen sowie externen Stellen sollen bei einem Vorfall einbezogen werden?
- Welche Kommunikationsmassnahmen werden festgelegt?
- Was sind die Grundsätze der internen und externen Kommunikation in Bezug auf Datenschutzverletzungen?
- Wann besteht eine Meldepflicht? Legen Sie hierzu die relevanten Entscheidungskriterien für oder gegen eine Meldung an das EDÖB fest.
- Was sind die Grundsätze der Nachbereitung und wo gibt es Optimierungspotenzial?
In diesem Zusammenhang bietet sich ein modernes digitales Ablagesystem im Sinne eines Dokumenten-Management-Systems (DMS) an. Mit einer solchen Lösung können Sie einfach nachvollziehen, wer wann auf welche Daten zugegriffen und diese verändert hat. Durch die Verfahrensdokumentation werden interne Prozesse im Umgang mit personenbezogenen Daten festgehalten. Dass bedeutet, es wird beschrieben, wer auf welche Daten wann zugegriffen hat und diese beispielsweise einsehen, bearbeiten und löschen darf.
Fazit
Handeln Sie schon jetzt vorausschauend und bleiben Sie so flexibel. Hierzu empfiehlt es sich in einem ersten Schritt eine Bestandsaufnahme der bisherigen Datenbearbeitung durchzuführen. So können Sie anschliessend einfacher feststellen, wo Ihr datenschutzrechtlicher Handlungsbedarf liegt.
Die Dokumentation von Prozessen und der Umgang mit Daten kann schon heute angepasst werden. Gerade Dokumenten-Management-Systeme helfen dabei agil auf Änderungen in Bezug auf Transparenz, Zugriffsberechtigung oder Datensicherheit zu reagieren. Durch die Versionierung und den automatisch erstellten Verlauf, wird jede Interaktion mit Daten protokolliert sowie gesetzeskonform digital archiviert. Auch die Informationsvernichtung kann man z.B. automatisiert anstossen, wenn es gesetzlich gefordert wird.
Wünschen Sie sich mehr Informationen zum Thema Datenschutz oder zur Optimierung Ihrer internen Prozesse? Gerne steht Ihnen unser kompetentes Team für ein individuelles Beratungsgespräch zur Verfügung.
- Datenschutzgesetz: Bereiten Sie sich jetzt vor! (mll-news.com)
- Neues Schweizer Datenschutzrecht: Wichtigste Regelungen der DSG-Revision im Überblick (kmu.admin.ch)
- Neues Datenschutzgesetz: KMU müssen sich anpassen (Economy Suisse)
- Grundbekenntnis der Schweizer Wirtschaft zu einem verantwortungsvollen Umgang mit Daten (Economy Suisse)
- Datenschutz: Eine Übersicht zum neuen Gesetzt (kmu.admin.ch)
- Für KMU ist es von Vorteil, sich auf das neue Datenschutzgesetzt vorzubereiten (datenrecht.ch)
- RevDSG (Revidierte Fassung mit Botschaft) (kmu.admin.ch)
- Das ist neu am revidierten Schweizer Datenschutzgesetz (Netzwoche)
- Das ist neu am revidierten Schweizer Datenschutzgesetzt (Swiss Cyber Security)