Sind Sie bereit für das nDSG? Das müssen Sie wissen!

Das neue Datenschutzgesetz ist sehr umfangreich und betrifft nahezu alle Schweizer Unternehmen. Dementsprechend besteht jetzt Handlungsbedarf, um sich den neuen Regelungen rechtzeitig anzupassen. Notwendig sind sowohl Adaptierungen im technischen als auch im organisatorischen Bereich. Grundsätzlich gilt: Je mehr Daten ein Unternehmen bearbeitet bzw. je mehr dieser Daten besonders schützenswert sind (zum Beispiel im Zusammenhang mit Religion oder Gesundheit, usw.), desto höher sind die Anforderungen. Unternehmen müssen sicherstellen, dass angemessene technische und nicht-technische Kontrollen vorhanden sind, um eine Nichteinhaltung des nDSG zu vermeiden und dadurch auch vor Geldstrafen gefeit zu sein.

Die wichtigsten sechs Änderungen des nDSG sind:

1. Sanktionen
   Personen, die vorsätzlich gegen das neue Bundesgesetz über den Datenschutz verstossen, können mit einer Busse von bis zu 250'000 Franken bestraft werden.
2. Meldung von Datenschutzverletzungen
   Tritt eine Datenschutzverletzung ein, müssen die für die Datenverarbeitung Verantwortlichen dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) so rasch wie möglich eine erhöhte Gefährdung der Persönlichkeits- oder Grundrechte der betroffenen Personen melden. Erforderlichenfalls müssen sie auch die betroffenen Personen informieren.
3. Besonders schützenswerte Personendaten
   Die Liste der Daten, die unter die Kategorie der besonders schützenswerten Personendaten fallen, wurde erweitert. Neu dazu gehören genetische und biometrische Daten (z. B. Fingerabdrücke), die eine natürliche Person zweifelsfrei identifizieren.
4. Technische Gestaltung und datenschutzfreundliche Voreinstellungen
   Die für die Datenverarbeitung Verantwortlichen und diejenigen, die Daten verarbeiten, haben strengere, genauer definierte Sorgfaltspflichten. Nach dem Grundsatz "privacy by design" müssen sie bereits in der Planungsphase geeignete Massnahmen ergreifen, um das Risiko von Datenschutzverletzungen bei der Datenverarbeitung zu verringern. Ausserdem werden sie verpflichtet, durch geeignete Voreinstellungen sicherzustellen, dass erforderliche personenbezogene Daten standardmässig nur für den jeweiligen Zweck verarbeitet werden, was als "privacy by default" bezeichnet wird.
5. Datenschutz-Folgenabschätzung
   Datenverantwortliche und Datenverarbeiter werden verpflichtet, eine Datenschutz-Folgenabschätzung durchzuführen, wenn die geplante Datenverarbeitung ein erhöhtes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringt. Diese muss sich sowohl mit den Risiken als auch mit geeigneten Massnahmen befassen.
6. Verzeichnis der Datenverarbeitungstätigkeiten
   Verantwortliche und Auftragsverarbeiter müssen jeweils ein Verzeichnis ihrer Datenverarbeitungstätigkeiten führen. Eine ähnliche Verpflichtung besteht bereits in der Datenschutz-Grundverordnung. Der Bundesrat sieht jedoch Ausnahmen für Unternehmen vor, die weniger als 250 Personen beschäftigen und deren Datenverarbeitung ein geringes Risiko für Personenschäden mit sich bringt.

Aus IT-Sicht ist es sinnvoll, einen Prozess für die Entwicklung und laufende Aktualisierung eines solchen Verzeichnisses zu definieren. In einem solchen Prozess sollte idealerweise festgehalten werden, wie die Daten verarbeitet werden (manuell/automatisch), aus welchem Grund, welche Art von Daten verarbeitet werden (personenbezogene Daten, hochsensible personenbezogene Daten), wo die Verarbeitung stattfindet (d. h. in welchem Land) und an wen die Daten weitergegeben werden.

Unternehmen sind gut beraten, die eigenen Prozesse und Massnahmen zu überprüfen und gegebenenfalls zu ändern. Dazu gehören zum Beispiel:

• Technische Massnahmen – sie stehen in direktem Zusammenhang mit einem Informationssystem. Sie umfassen zum Beispiel Aspekte der physischen Sicherheit (Zugangskontrollen) und der Hardware (Netzwerksicherheit), Aspekte der Arbeitsplatzsicherheit (Sperrbildschirm, Antivirenprogramme) oder der Zugangssicherheit (Zugangsverwaltung, Rollenmodell).
• Organisatorische Massnahmen – sie beziehen sich auf das Systemumfeld, d. h. insbesondere auf die Menschen, die es nutzen, und die Anforderungen, die an diese Menschen gerichtet sind: Schlüsselmassnahmen zur Sensibilisierung der Mitarbeitenden und interne Richtlinien. Diese sind von grosser Bedeutung, da der Mensch immer noch das Sicherheitsrisiko Nummer eins ist und sein Fehlverhalten rund 80 % der Datenschutzvorfälle auslöst.

Neben diesen spezifischen Massnahmen müssen auch geeignete technische und organisatorische Massnahmen festgelegt werden, um eine angemessene Datensicherheit zu gewährleisten. Regelmässige Risikobewertungen, die Definition von Risikobereitschaft und -toleranz sowie die Festlegung von Massnahmen und deren Verfolgung sind von zentraler Bedeutung. Die Verschlüsselung vertraulicher Datenfelder, die richtige Anwendung des Need-to-know-Prinzips durch den Einsatz geeigneter Identitäts- und Zugangskontrollen, die Sicherheitsüberwachung kritischer Ereignisse und vieles mehr tragen dazu bei, das Risiko der Nichteinhaltung des überarbeiteten DSG zu verringern. Ausserdem sind strenge Verträge, die eine ordnungsgemässe Verwaltung von Dritten, die mit personenbezogenen Daten umgehen, sicherstellen, ein absolutes Muss.

Spezialthemen beachten

Für einige Unternehmen ist es zudem wichtig, auch die Regelungen für bestimmte Spezialbereiche zu beachten. Dazu gehören:

1. Automatisiertes Profiling und Data Mining
   Die Rechtmässigkeit der automatisierten Profilerstellung und des Data Mining ist nach Schweizer Datenschutzrecht zweifelhaft, da solche Praktiken naturgemäss die Verwendung personenbezogener Daten für eine Reihe von Zwecken beinhalten, von denen einige bei der Erhebung der personenbezogenen Daten möglicherweise nicht offengelegt wurden. Daher können solche Praktiken eine unrechtmässige Verletzung der Privatsphäre darstellen, da sie gegen die Grundsätze der Transparenz, der Zweckbindung und der Verhältnismässigkeit verstossen, sofern sie nicht durch ein Gesetz, ein überwiegendes öffentliches oder privates Interesse oder eine Einwilligung gerechtfertigt sind.
2. Cloud Computing
   Cloud Computing wirft verschiedene Fragen des Datenschutzes auf. Insbesondere darf die Verarbeitung personenbezogener Daten nur dann an einen Cloud-Diensteanbieter übertragen werden, wenn die Übertragung auf einer Vereinbarung oder auf einem Gesetz beruht, wenn die personenbezogenen Daten vom Cloud-Diensteanbieter nur in der für den Auftraggeber zulässigen Weise verarbeitet werden und wenn der Übertragung keine gesetzliche oder vertragliche Geheimhaltungspflicht entgegensteht (Art. 9 Abs. 1 DSG). Zudem muss der Auftraggeber sicherstellen, dass der Cloud-Anbieter die Datensicherheit gewährleistet (Art. 9 Abs. 2 DSG). Der Auftraggeber muss insbesondere sicherstellen, dass der Cloud-Anbieter die Vertraulichkeit, Verfügbarkeit und Integrität der personenbezogenen Daten durch geeignete technische und organisatorische Massnahmen gegen unbefugte Verarbeitung wahrt (vgl. Art. 7 DSG und Art. 8 DSG). Wenn Cloud-Computing-Dienste mit der Weitergabe personenbezogener Daten ins Ausland verbunden sind, müssen ausserdem die besonderen Anforderungen an den grenzüberschreitenden Datenverkehr eingehalten werden (siehe Kapitel 2, Abschnitt 3). Schliesslich muss der Auftraggeber auch sicherstellen, dass die betroffenen Personen trotz der Nutzung eines Cloud-Anbieters ihr Auskunftsrecht (Art. 25 DSG) wahrnehmen und die Löschung oder Berichtigung von Daten gemäss Art. 32 DSG verlangen können.
3. Big Data
   Big Data bietet unzählige Chancen für die gesellschaftliche und wissenschaftliche Forschung sowie für die Wirtschaft. Gleichzeitig können sie die Persönlichkeitsrechte bedrohen, wenn die verarbeiteten Daten nicht oder nur unzureichend anonymisiert sind. Wenn bei der Verarbeitung von Big Data Daten verarbeitet werden, die nicht vollständig anonymisiert wurden (z. B. weil sie zu einem späteren Zeitpunkt durch die Zusammenführung verschiedener Daten "de-anonymisiert" werden können (Re-Identifizierung der betroffenen Person)), müssen das Recht auf Privatsphäre und der Schutz personenbezogener Daten gewährleistet sein.
4. Cookies
   Website-Betreiber müssen die Nutzer über die Verwendung von Cookies und deren Zweck informieren. Zudem müssen sie erklären, wie Cookies abgelehnt werden können (d. h. wie Cookies im Browser des Nutzers deaktiviert werden können). In der Schweiz gilt das Opt-out-Prinzip.
5. Bearbeitung von Mitarbeitenden-Daten im Allgemeinen
   Artikel 328b des Schweizerischen Obligationenrechts (OR) gilt ergänzend zum DSG für die Bearbeitung von Personendaten von Arbeitnehmern. Gemäss Artikel 328b OR darf der Arbeitgeber Personendaten eines Arbeitnehmers nur bearbeiten, soweit die Personendaten die Eignung des Arbeitnehmers für seinen Arbeitsplatz betreffen oder für die Erfüllung des Arbeitsvertrages erforderlich sind. Artikel 328b OR ist zwingend, und jede Abweichung von dieser Bestimmung zum Nachteil des Arbeitnehmers ist nichtig (Artikel 362 OR).

Internationale Datenübermittlung und Datenlokalisierung

Jede Bekanntgabe von Personendaten aus der Schweiz ins Ausland muss dem DSG entsprechen. Eine Datenbekanntgabe ins Ausland liegt vor, wenn Personendaten aus der Schweiz in ein Land ausserhalb der Schweiz übermittelt werden oder wenn auf in der Schweiz befindliche Personendaten von ausserhalb der Schweiz zugegriffen wird. Das DSG verbietet eine Bekanntgabe von Personendaten ins Ausland, wenn die Übermittlung die Persönlichkeitsrechte der betroffenen Personen ernsthaft gefährden könnte. Eine solche Gefahr kann insbesondere dann bestehen, wenn die Personendaten in ein Land weitergegeben werden, dessen Gesetzgebung keinen angemessenen Schutz der Personendaten gewährleistet.

Ursprünglich erschienen am 23.02.2021 im ISPIN-Blog. 

• Mehr über ISPIN
• Mehr über die CymbiQ Group

Seit Juli 2020 ist aspectra Mitglied der CymbiQ Group. Mit Anovis, aspectra, Koch IT und ISPIN vereint die Gruppe hochqualifizierte  IT-Sicherheitsanbieter aus dem europäischen Raum.