Der Blog der Fidinam-Gruppe

Neues Datenschutzgesetz – Zeit zu handeln!

Geschrieben von Fidinam News | 21/05/24

Der 1. September und damit das Datum des Inkrafttretens des revidierten Datenschutzgesetzes in der Schweiz rückt immer näher. Da im Gesetz keine Übergangsfristen vorgesehen sind bleiben den Unternehmen jetzt noch knapp drei Monate Zeit für die Umsetzung der nötigen Massnahmen. Im heutigen Newsletter und im kommenden Webinar vom 26. Juni (dem dritten und letzten Webinar in unserer Datenschutzserie) fassen wir nochmals zusammen und zeigen auf, was jetzt zwingend gemacht werden muss.

Kurz und bündig: nDSG per 1. September 2023

In den Grundlagen-Webinaren zum nDSG im Oktober und November letzten Jahres haben wir umfassend die Neuerungen, die das neue Gesetz mit sich bringt, betrachtet und analysiert. Wir fassen daher an dieser Stelle das Gesagte nur noch kurz zusammen. Sollten Sie die Webinare aus 2022 verpasst haben, stellen wir Ihnen die Unterlagen, inklusive umfassender Analyse des nDSG und der DSGVO sowie konkreter Handlungsempfehlungen gerne auf Anfrage hin nachträglich zu.

Im Update-Webinar vom Februar 2023 wurde dann der konkrete Handlungsbedarf für ein durchschnittliches KMU beleuchtet und es wurden konkrete Umsetzungsbeispiele aufgezeigt. Auch diese Unterlagen stellen wir Ihnen bei Bedarf schnell und kostenlos zur Verfügung.

Mit dem näher rückenden Datum der Inkraftsetzung konzentriert sich der vorliegende Newsletter auf die Kernrisiken für KMU und wie diese pragmatisch abgesichert werden können.

Die wichtigsten Massnahmen für KMU

Die Vorgehensweise im Idealfall beginnt mit der Auseinandersetzung mit der Datenverarbeitung im Unternehmen. Wir wiederholen an dieser Stelle die detaillierten Hinweise aus dem letzten Newsletter und den Webinaren:

  1. Übersicht über die Verarbeitung von Personendaten im Unternehmen

Mit diesem Wissen ist es möglich, ein Data Mapping zu machen, um zu erkennen, wo und in welcher Rolle Daten im Unternehmen erhoben werden.

  1. Erarbeitung von Datenschutzerklärungen

Dies ist wohl der zentrale Ansatzpunkt für die meisten KMU. Mit einer umfassenden, sorgfältig erarbeiteten Datenschutzerklärung können die Rahmenbedingungen für eine rechtskonforme Datenerhebung und -bearbeitung geschaffen werden. Grundlage hierfür muss aber eine umfassende Übersicht der Datenbearbeitungen im Unternehmen sein, siehe Punkt 1.

  1. Übersicht über Datenbekanntgaben an Dritte

Auch in diesem Punkt haben viele KMU Handlungsbedarf. Überall dort, wo Daten an Dritte zur weiteren Bearbeitung übergeben werden, muss die Einführung einer Auftragsdatenverarbeitungsvereinbarung geprüft werden.

  1. Übersicht über internationale Datentransfers

Bei Datenbekanntgabe in andere Länder bedarf es weitergehender Schutzmassnahmen wie insbesondere dem Abschluss von Standardvertragsklauseln.

  1. Erstellung eines Bearbeitungsverzeichnisses

Dieser Punkt betrifft grundsätzlich grössere Unternehmen ab 250 Mitarbeitenden oder Unternehmen, die umfassend sensible Daten bearbeiten. In KMU, bei denen nicht sofort klar ist, ob ein Bearbeitungsverzeichnis erstellt werden muss, empfiehlt sich die Erarbeitung des Bearbeitungsverzeichnisses auf jeden Fall. Diese Arbeit kann Punkt 1, die Übersicht über die Verarbeitung von Personendaten im Unternehmen, massiv erleichtern.

  1. Überprüfung und Aktualisierung der technischen und organisatorischen Massnahmen TOM

Die Summe der im Betrieb ergriffenen technischen und organisatorischen Massnahmen stellen die praktische Umsetzung von Datenschutz im Unternehmen dar. Die TOM umfassen also diejenigen Massnahmen, die Sie als Unternehmen ergreifen, um Daten sicher zu erfassen, zu bearbeiten, aufzubewahren, weiterzugeben und zu vernichten.

  1. Implementierung interner Prozesse für neue DSG-Anforderungen

Das aktualisierte Datenschutzgesetz bringt in einzelnen Bereichen neue Anforderungen mit sich. Unternehmen müssen interne Prozesse definieren zur Erfüllung neuer Datenschutzrechtlicher Pflichten, wie:

  • Data security incident Prozess für die Meldung von Datenschutzverletzungen
  • Prozess für die Durchführung von Datenschutz-Folgeabschätzungen
  • Prozess für die Bearbeitung von Ansprüchen von betroffenen Personen (z.B. Auskunftsbegehren)
  • Prozess für die Archivierung und Löschung von Daten
  • Bestimmung einer internen Ansprechperson für Datenschutzthemen

Bei der unternehmensinternen Ansprechperson für Datenschutzthemen muss es sich um eine Person handeln, die datenschutzrechtlich geschult ist.

Drei zentrale Punkte

Unternehmen, die Datenschutz bereits heute verantwortungsvoll umsetzen stehen im Zusammenhang mit dem revidierten Datenschutzgesetz insbesondere drei wichtige Pendenzen an, die überprüft, aktualisiert oder umgesetzt werden müssen. Es handelt sich hierbei um die Datenschutzerklärung(en), um die Datenbekanntgabe an Dritte (inkl. Auslandsdatenbekanntgabe) und um die technischen und organisatorischen Massnahmen. Dies soll nicht bedeuten, dass die restlichen Punkte nicht beachtet werden müssen, die drei Punkte stehen aber sicher im Zentrum der neuen Anforderungen.

  1. Die Datenschutzerklärung

Die Informationspflichten von Datenverantwortlichen werden durch das neue Datenschutzgesetz deutlich erweitert. Betroffene Personen müssen über die Datenbearbeitung informiert werden, auch in Fällen wo die Daten nicht direkt bei der betroffenen Person erhoben werden. Betroffene können unter anderem Kunden, Webseitenbesucher, App-Nutzer, Lieferanten oder auch die eigenen Mitarbeiter sein.

Die Information muss nicht mit einem Pop-up-Fenster aufgedrängt werden, sondern es genügt, wenn die betroffenen Personen die Möglichkeit haben, sich zu informieren. Dafür verlinkt man die Datenschutzerklärung in der Fusszeile der Website, sodass sie mit einem Klick oder Tap zugänglich ist. Die Seite kann auch einen Titel wie «Datenschutzinformation» oder schlicht «Datenschutz» tragen. Auf Englisch ist die Bezeichnung als «Privacy Policy» üblich. Die Datenschutzerklärung sollte in den Sprachen der Website veröffentlicht werden.

Die Datenschutzerklärung auf Ihrer Website muss insbesondere folgende Angaben enthalten (Art. 19 Abs. 2 ff. nDSG):

  • Wer ist für die Website verantwortlich und wie kann der Kontakt erfolgen?
  • Für welchen Zweck oder für welche Zwecke werden die Personendaten bearbeitet?
  • Wer sind allfällige Empfänger:innen der bearbeiteten Personendaten?
  • Wie wird ein allfälliger Daten-Export abgesichert?
  • Welche Rechte haben die betroffenen Personen im Zusammenhang mit dem Datenschutz?

Es empfiehlt sich, die Datenschutzerklärung möglichst generisch und weit zu fassen, um sämtliche möglichen Datenbearbeitungen heute und in naher Zukunft damit abdecken zu können.

  1. Datenbekanntgabe an Dritte (inkl. Bekanntgabe ins Ausland)

Wer Dritte in die Bearbeitung von Personendaten einbezieht, muss sich vergewissern, dass dieser in der Lage ist, den Datenschutz so zu gewährleisten, wie wenn er selbst Datenverantwortlicher wäre. Diese Verpflichtung wird mit sogenannten Auftragsdatenbearbeitungsverträgen sichergestellt. Datenverantwortliche (sprich Controller) sind in der Pflicht, Dritte die Daten für ihn bearbeiten, vertraglich auf angemessenen Datenschutz zu verpflichten. Das neue schweizerische Gesetz liefert keine ausführlichen Anforderungen an den Inhalt eines solchen Vertrages, weshalb sich eine pragmatische Anlehnung an die europäische Gesetzgebung anbietet. Auf die inhaltlichen Anforderungen sind wir im ersten Webinar zur Thematik detailliert eingegangen. Zusammenfassend muss die Vereinbarung enthalten:

  • Art und Zweck der Verarbeitung
  • Art der personenbezogenen Daten
  • Kreis betroffener Personen
  • Umfang der Weisungsbefugnisse
  • Pflichten und Rechte des Verantwortlichen
  • Pflichten des Auftragsverarbeiters: 
    • Verarbeitung nach dokumentierter Weisung;
    • Wahrung der Vertraulichkeit bzw. Verschwiegenheit;
    • Rechtmässige Hinzuziehung von Subunternehmen
    • Unterstützung des Verantwortlichen bei der Beantwortung von Anträgen betroffener Personen
    • Unterstützung des Verantwortlichen bei der Einhaltung von dessen Pflichten
    • Ergreifung geeigneter Massnahmen für die Sicherheit der Verarbeitung («technische und organisatorische Massnahmen»)
    • Benachrichtigung des Verantwortlichen bei einer Verletzung des Schutzes personenbezogener Daten
    • Löschung oder Rückgabe nach Beendigung des Auftrags

Im Hinblick auf den Datenexport in ein anderes Land bringt das nDSG keine wesentlichen Neuerungen. Datenexport ist also nach wie vor problemlos möglich in Länder, die einen angemessenen Datenschutz sicherstellen können. Allerdings ist diese Liste kurz. Der Datenexport in Länder ohne angemessenen Schutz muss nach wie vor durch vertragliche Garantien abgesichert werden. Dies gilt auch für konzerninternen Datenaustausch. Die vertragliche Absicherung des Datenexports geschieht durch die Verwendung der Standardvertragsklauseln, welche vom Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten geprüft wurden.

  1. Technische und organisatorische Massnahmen (TOM)

Die TOM die Massnahmen, die Sie als Unternehmen ergreifen, um Daten sicher zu erfassen, zu bearbeiten, aufzubewahren, weiterzugeben und zu vernichten. Es müssen in diesem Zusammenhang alle Massnahmen ergriffen werden, deren Umsetzungsaufwand in einem angemessenen Verhältnis zum Schutzzweck stehen. Selbstredend handelt es sich hier nicht um eine einmalig zu erledigende Aufgabe, sondern um ein lebendiges Konstrukt, das den sich ständig ändernden Prozessen und Rahmenbedingungen angepasst werden muss.

Die technischen und organisatorischen Massnahmen lassen sich in folgende fünf Themenbereiche gliedern:

  • Sicherstellung der Vertraulichkeit von Daten
  • Sicherstellung der Integrität von Daten
  • Sicherstellung der Verfügbarkeit und Belastbarkeit der Datensysteme
  • Sicherstellung rechtskonformer Datenbearbeitung durch Dritte
  • Sicherstellung regelmässiger Prüfung, Evaluierung und Verbesserung

Innerhalb dieser Themenbereiche können – je nach Umfang und Sensitivität der bearbeiteten Daten – verschiedenste Einzelmassnahmen zur Sicherstellung von Datenschutz und Datensicherheit getroffen werden. Angefangen bei der Zutritts- und Zugriffkontrolle, über Themen wie Backup-Pläne bis hin zu Pseudonymisierung und Datenlöschung sind verschiedenste Massnahmen möglich.

Fazit

Langsam aber sicher wird die Zeit zur Vorbereitung auf das neue Datenschutzgesetz knapp. Unternehmen, die noch keine Übersicht über ihre Datenbearbeitungen haben, können den Handlungsbedarf noch gar nicht richtig einschätzen. Höchste Zeit also, sich mit der Thematik auseinander zu setzen und wo nötig Hilfestellung anzufordern. Das Gesetz sieht keine Übergangsfristen vor und die Auftragsbücher der Berater füllen sich schnell. Fragen Sie uns an, wir unterstützen Sie gerne!

Drittes und letztes Webinar findet am 26. Juni 2023 um 14.00 Uhr. Dominic Müller wird erneut souverän durch die Thematik führen.

Anmelden geht ganz einfach über folgenden Link:

ANMELDEN