Neues Daten­schutz­gesetz: Schweiz erhöht IT-Sicherheit

Neues Datenschutzgesetz Schweiz-care4IT-3

Am 1. Januar 2023 tritt ein neues Datenschutz­gesetz schweizweit in Kraft. Die Revision verbessert nicht nur die Transparenz der Daten­verarbeitung, sondern sie sorgt auch für eine erhöhte IT-Sicherheit und einen besseren Schutz der persönlichen Daten. Unternehmen sind aufgefordert, ihre Datenschutz­richtlinien an die neuen Rahmen­bedingungen anzupassen.



Seit dem Inkrafttreten der neuen euro­päischen Daten­schutz­grund­verordnung (DSGVO) im Frühling 2018 hat auch die Schweiz ihre Daten­schutz­bestimmungen überarbeitet. Das neue Schweizer Daten­schutz­gesetz (revDSG) soll ab 1. Januar 2023 gelten und es bringt für Unternehmen einige Neuerungen mit sich. Das Datenschutzgesetz hat zwei Ziele: Es schreibt vor, welche Grundsätze bei der Bearbeitung von persönlichen Daten einzuhalten sind und es regelt die Rechte der Personen, deren Daten gesammelt werden. Ein frühzeitiges Überarbeiten der eigenen Daten­schutz­richtlinien sowie eine sorgfältige Dokumentation sind notwendig, um die Anforderungen an die Datensicherheit unter dem neuen Gesetz zu erfüllen. Auch KMU und Kleinstunternehmen müssen reagieren.

Grundsätze der Datensammlung

Das Datenschutzgesetz betrifft Bundesbehörden und private Unternehmen mit Rechtssitz in der Schweiz. Es berücksichtigt ausschliesslich Daten, bei denen sich der Bezug zu einer Person herstellen lässt. So fallen beispielsweise anonymisierte Daten nicht unter das Gesetz.

Anders als es in der Europäischen Union der Fall ist, sind Datensammlungen in der Schweiz grundsätzlich zulässig. Die Voraussetzungen sind, dass ein Unternehmen die Datensicherheit garantiert, die Bearbeitungsgrundsätze befolgt und die betroffene Person nicht widerspricht. Erst wenn eine dieser Bedingungen nicht gegeben ist, braucht das Unternehmen einen zusätzlichen Rechtfertigungsgrund.

Als Bearbeitungsgrundsätze versteht das revDSG die Rechtmässigkeit, die Verhältnismässigkeit, die Zweckbindung der Datenbearbeitung sowie die Datenrichtigkeit. Als Rechtfertigungsgrundsätze gelten die Einwilligung der Betroffenen oder ein überwiegendes privates oder öffentliches Interesse.

Erweiterte Selbstbestimmungsrechte der betroffenen Personen

Personen, deren Daten man bearbeitet, profitieren massgeblich vom neuen Datenschutzgesetz, denn sie erhalten mit dem neuen Gesetz deutlich mehr Rechte über ihre eigenen Daten. Dieser Rechtsanspruch äussert sich in den folgenden Bereichen besonders deutlich:

  • Auskunftsrecht: Betroffene Personen dürfen eine Auskunft darüber verlangen, welche Daten über sie bearbeitet werden. Dieses Recht ist im neuen Gesetz umfang­reicher als bisher geregelt und es lässt sich nur unter bestimmten Umständen umgehen.
  • Widerspruchsrecht: Sind Betroffene mit der Datenbearbeitung nicht einverstanden, so dürfen sie widersprechen und eine weitere Bearbeitung der Daten, oder die Weitergabe an Dritte verbieten.
  • Dank des Berichtigungsanspruchs und des Löschungs­anspruchs können Betroffene eine Korrektur der Daten oder gar die Löschung verlangen.

 

Umfangreiche Pflichten für Unternehmen

Auch die Pflichten für Unternehmen werden mit dem neuen Datenschutzgesetz deutlich ausgeweitet. Laut Gesetzgeber ist es das Ziel, insbesondere die Transparenz der Daten­verarbeitungen weiter zu verbessern:

  • Neu gilt bei der Beschaffung von Personendaten eine generelle Informations­pflicht für Unternehmen. Betroffene Personen sind beispielsweise über die Identität des Daten­verant­wortlichen (Unternehmen oder natürliche Person), über den Bearbeitungs­zweck, über Auftrags­bearbeiter (z.B. der eingesetzte Cloud-Anbieter, der die Daten verarbeitet und speichert) oder über einen allfälligen Export ins Ausland zu informieren. Ihrer Informations­pflicht können Unternehmen in der Regel durch entsprechende Einträge in der für die betroffenen Personen zugänglichen Datenschutz­erklärung auf der Unternehmens­website nachkommen.
  • Zusätzlich gilt neu auch eine Informations­pflicht bei auto­matisierten Einzel­entscheidungen. Wenn also Maschinen datenbasiert Entscheidungen treffen, sind die betroffenen Personen ebenfalls darüber in Kenntnis zu setzen. Ein Beispiel dafür ist die maschinelle Vor­selektion von Bewerbenden.
  • Eine allgemeine Schweigepflicht trifft sämtliche Arbeitnehmenden, welche mit Personendaten in Kontakt sind.
  • Unternehmen bzw. deren Daten­verantwortliche müssen neu ein Bearbeitungs­verzeichnis führen. Es wird empfohlen, sachlich zusammen­hängende Bearbeitungen zusammenzufassen wie etwa z.B. Personal­administration, Rekrutierung, Kunden­daten­verwaltung, Kunden­dienst, Onlineshop, News­letter, Produkt­entwicklung, Lieferanten­verwaltung, Finanz- und Rechnungswesen, Auswertung der Webseiten­nutzung, Video­überwachung, Gebäude­management, Finanz- und Rechnungswesen und E-Mail. Der Inhalt des Verzeichnisses ist in Artikel 12 des revDSG festgelegt. Eine besondere Form des Verzeichnisses ist nicht vorgeschrieben. Es kann als Excel- oder Worddatei oder in der Form einer dedizierten IT-Lösung geführt werden. Unternehmen mit weniger als 250 Mitarbeitenden sind von dieser Pflicht ausgenommen, sofern sie nicht umfangreich besonders schützenswerte Personendaten bearbeiten oder ein Profiling der Daten mit hohem Risiko vornehmen.

Mit der Zunahme der Pflichten für Unternehmen hat die Schweiz auch die potenziellen Straftatbestände im revDSG ausgeweitet. Eine Reihe wichtiger Bestimmungen des Datenschutz­gesetzes sind unter strafrechtlichen Schutz gestellt. Die Klagen richten sich in der Regel an eine natürliche Person, etwa an eine Führungsperson des Unternehmens und sehen Bussen bis zu CHF 250'000 vor.

Welche Themen rund um Datensicherheit sind betroffen?

Im Grundsatz fordert das revidierte Daten­schutz­gesetz Unternehmen dazu auf, alle erforderlichen und angemessenen Massnahmen zu ergreifen, um die Datensicherheit im eigenen Betrieb zu gewährleisten. In den folgenden vier Punkten offenbart sich dabei Handlungsbedarf:


1. Mindestanforderungen an die Datensicherheit

Die Mindestanforderungen an die Daten­sicherheit sind in einer Verordnung festgehalten und von jedem Unternehmen zwingend zu erfüllen. Der Bundesrat hat dazu sogenannte Schutzziele definiert, welche die IT-Sicherheit in Unternehmen verbessern sollen. Diese umfassen unter anderem Zugriffs- und Zugangs­kontrollen, Benutzer­kontrollen, Datenträger­kontrollen oder auch Speicherkontrollen.

Unter dem neuen Daten­schutz­gesetz liegt es in der Verantwortung der Unternehmen zu beurteilen, welche Massnahmen notwendig sind, um diese Forderungen zu erfüllen.

2. Export der Daten

Bereits heute ist der Export von Personendaten nur in Länder erlaubt, deren Gesetzgebung einen ausreichenden Datenschutz sicherstellt. Ist diese Bedingung nicht gegeben, so ist der Export durch zusätzliche Massnahmen zu sichern und vertraglich abzustützen. Anderenfalls ist vorgängig eine ausdrückliche Einwilligung der vom Datenexport betroffenen Personen notwendig.

Hat ein Unternehmen die notwendigen Schritte für einen sicheren Datenexport umgesetzt, so entfällt unter dem revidierten Schweizer Datenschutzgesetz die bisher geltende Meldepflicht an den Eid­genössischen Datenschutz- und Öffentlichkeits­beauftragten (EDÖB).

3. Datenschutz-Folgeabschätzungen

Plant ein KMU eine Datenverarbeitung, welche die Persönlichkeitsrechte oder die Grundrechte der betroffenen Person gefährden könnte, so muss das verantwortliche Unternehmen vorgängig eine sogenannte Datenschutz-Folgeabschätzung durchführen. Dabei analysieren sie potenziell negative Folgen und treffen die notwendigen Vorkehrungen, um das Risiko abzuschwächen oder zu unterbinden. Beim Aufbau einer umfassenden Kundendatenbank oder bei der automatisierten Datenbearbeitung kann eine solche Folgeabschätzung beispielsweise verlangt werden.

Bei der Datenschutz-Folgeabschätzung handelt es sich um eine Selbstbeurteilung. Im Zweifelsfall ist eine Konsultation des EDÖB möglich.

4. Verletzungen der Datensicherheit

Auch Verletzungen der Daten­sicherheit sind unter dem neuen Schweizer Daten­schutz­gesetz geregelt: Bei schwer­wiegenden Zwischenfällen ist das Unternehmen verpflichtet, den Vorfall so rasch wie möglich dem EDÖB zu melden. Zu solchen Hochrisiko-Vorfällen gehören etwa der Diebstahl von Passwörtern bei einem Hacker­angriff auf einen Online-Shop, die Entwendung von Kundendaten durch einen Bank­mitarbeiter oder der Verlust eines Notebooks oder Smartphones mit Zugang zu vertraulichen Daten.

Allfällige Auftragsbearbeiter (z.B. Cloud-Anbieter), die mit dem Verarbeiten und Speichern von Daten betraut sind, trifft eine noch umfangreichere Meldepflicht. Sie müssen jede Missachtung der Datensicherheit ihrem Auftraggeber mitteilen.

Auch in diesen Fällen sind die Unternehmen selbst dafür ver­antwortlich, die Aus­wirkungen auf die Daten­sicherheit einzuschätzen und der Meldepflicht an den EDÖB nachzukommen.

Revidiertes Datenschutzgesetz Schweiz: 10 Empfehlungen für die Umsetzung in KMU

Um die Umstellung auf das neue Datenschutzgesetz problemlos und regelkonform zu meistern, empfehlen Rechtsexperten Unternehmen, folgende Massnahmen umzusetzen:

  1. Prüfung und Aktualisierung der bestehenden Datenschutzerklärungen.

  2. Frühzeitige Definition der organisatorischen Verantwortlichkeiten für den Datenschutz im Unternehmen und unternehmensinterne Information über die Schweigepflicht.

  3. Regeln der Prozesse rund um die Auskunfts-, Berichtigungs- und Löschungsbegehren von Betroffenen sowie der Umgang mit Wider­sprüchen.

  4. Die Prozesse zur Datenbearbeitung, zur Meldung von Verletzungen der Daten­sicherheit sowie zur Löschung und Archivierung von Daten sind auszuarbeiten und festzuhalten.

  5. Sind Drittpersonen mit der Bearbeitung der Daten beauftragt, so sind deren Rechte und Pflichten vertraglich abzusichern.

  6. Vorbereiten des Verarbeitungsverzeichnisses, sofern das Unternehmen ein solches zu erstellen hat.

  7. Findet ein Datenexport ins Ausland statt, so ist sicherzustellen, dass der Export in ein als sicher geltendes Land geht. Andernfalls sind die geforderten zusätzlichen Sicherheitsmassnahmen zu treffen.

  8. Der Ablauf der Datenschutz-Folge­abschätzungen ist zu klären, sofern die Datenbearbeitung Persön­lichkeits­rechte oder Grundrechte der betroffenen Personen verletzten könnte.

  9. KMU sollten die getroffenen Massnahmen für die Gewährleistung der Datensicherheit sorgfältig dokumentieren.

  10. Sämtliche Verantwortlichkeiten und definierten Prozesse sind ebenfalls in geeigneter Form und nachvollziehbar festzuhalten.


Dank IT-Experten auf das neue DSG vorbereitet

Bald tritt das revidierte Datenschutzgesetz schweizweit in Kraft und Unternehmen sind gefordert, ihre Governance-Richtlinien möglichst frühzeitig zu analysieren und gesetzeskonform anzupassen. Während KMU ihren Informations- und Dokumentationspflichten mit internen Prozessen und einer überarbeiteten Daten­schutz­richtlinie nachkommen können, ist es mit Blick auf die Daten- und IT-Sicherheit ratsam, sich von einem versierten IT-Dienstleister mit fundierter Fachkenntnis in Cyber Security unterstützen zu lassen.

Dank einem umfassenden Fachwissen kann ein ausgewiesener IT-Partner wichtige technische Massnahmen ergreifen, die für die Umsetzung des neuen Datenschutzgesetzes notwendig sind. Er unterstützt bei der Identifikation von Datentransfers in unsichere Drittländer und bei den Kontrollen von Datenträgern, Speichern, Benutzern, Zugriffen etc. Im besten Fall Ist der IT-Dienstleister in der Lage, die Datenspeicherung und -sicherung ausschliesslich über in der Schweiz platzierte Server zu gewährleisten – damit lassen sich zusätzliche vertragliche Absicherungen im Falle von Datenexporten in unsichere Drittländer vermeiden.

Ein sorgsamer IT-Dienstleister erstellt darüber hinaus eine nachvollziehbare und umfangreiche Dokumentation der im Sinne des revDSG getroffenen technischen Massnahmen sowie der zu Grunde liegenden Überlegungen. Dies ist insbesondere hinsichtlich der weitreichenden Selbstverantwortung sowie der drohenden strafrechtlichen Konsequenzen wichtig.

Neuer Call-to-Action

 

Titelbild: Unsplash

Themen: Cyber Security, Datensicherung
Autor: Philipp Hollerer | 23.02.2022 | 09:48
Philipp Hollerer
Besuchen Sie mich auf Social Media:
  • Blog-Beitrag teilen:
  • Share on Linkedin
  • Share on Twitter
  • Share on Facebook
  • Blog-Beitrag teilen:
  • Share on Linkedin
  • Share on Twitter
  • Share on Facebook

Jetzt IT-Blog für KMU als E-Mail abonnieren.