28. Januar ist «Data Privacy Day» - Haben Sie die Kontrolle über Ihre Daten?

/ Kategorie: CISO
Erstellt von Rolf Jahn

114 Millionen Euro Bussgelder wurden seit Einführung der EU-Datenschutzgrundverordnung (DSGVO) 2018 verhängt. Im Juli 2019 fasste British Airways die mit 204‘600‘000 Euro bisher höchste Strafe aus. In der Schweiz waren bereits 2019 mehr als eine Million Personen von einem Angriff aus dem Internet betroffen. Tendenz: stark steigend. Identitätsdiebstahl und -missbrauch bleiben auch in nächster Zukunft ganz oben auf der Agenda von Cyberkriminellen, schliesslich ist es ein äusserst einträgliches Geschäft. Grund genug also, den Schutz von Daten, insbesondere persönlicher Daten, im Unternehmen als auch privat sehr ernst zu nehmen.

Data Privacy Day

Personenbezogene Daten werden permanent verarbeitet – am Arbeitsplatz, von Behörden, im Gesundheitswesen, beim Onlinekauf, auf Reisen oder beim Surfen im Internet. Sorgfalt und Vorsicht sind geboten. Denn mit der zunehmenden Digitalisierung steigen auch die Anforderungen an den Schutz dieser Daten. Damit das nicht in Vergessenheit gerät, hat der Europarat 2006 den Europäischen Datenschutztag ins Leben gerufen. Er erinnert an das Übereinkommen des Europarates «zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten». In der Schweiz hat das Thema 2021 besondere Bedeutung: 2020 wurde die Revision des Schweizer Datenschutzrechts nach vierjährigem Gesetzgebungsprozess vom Parlament verabschiedet. Die Inkraftsetzung durch den Bundesrat steht bevor, das genaue Datum ist jedoch noch nicht kommuniziert.

Das revidierte Schweizer Datenschutzrecht

Das neue Schweizer Datenschutzgesetz (DSG) basiert zwar weiterhin auf einer eigenen Grundkonzeption, enthält aber Angleichungen an die EU-Datenschutzgrundverordnung (DSGVO). Neu sind etwa die deutlich strengeren Strafen, erweiterte Informationspflichten, die Pflicht zur Erstellung eines Bearbeitungsverzeichnisses und der Ausbau der Rechte der betroffenen Person.

Die Datenschutzgesetzgebung bezweckt den Schutz der Persönlichkeit und der Grundrechte von Personen, über die Daten bearbeitet werden. Sie regelt die Bearbeitung von Daten natürlicher und juristischer Personen durch private Personen und Bundesorgane.

Der Datenschutz baut auf folgenden Begriffen auf:

  • Personendaten sind alle Angaben, die sich auf bestimmbare Personen beziehen. Natürliche oder juristische Personen, d. h. Individuen und Unternehmen, über die Daten bearbeitet werden, werden als betroffene Personen bezeichnet.
  • Jeder Umgang mit Personendaten, unabhängig von den angewendeten Mitteln und Verfahren, insbesondere das Beschaffen, Aufbewahren, Verwenden, Umarbeiten, Bekanntgeben, Archivieren oder Vernichten von Daten stellt eine Datenbearbeitung im Sinne des DSG dar.

Die 5 Prinzipien

Unser Datenschutzgesetz richtet sich im Wesentlichen nach den folgenden Prinzipien aus:

  1. Verhältnismässigkeit sieht vor, dass nur Daten beschafft und bearbeitet werden, die geeignet und erforderlich sind, um ein legitimes Ziel zu erreichen. Bei der Bearbeitung der Daten haben verfolgtes Ziel und eingesetzte Mittel in einem vernünftigen Verhältnis zueinander zu stehen und die Rechte der betroffenen Personen sollen möglichst gewahrt werden.
     
  2. Rechtmässigkeit bedeutet, dass jede Bearbeitung von Personendaten unsere Rechtsordnung einzuhalten hat. Beschaffung von Daten ist rechtswidrig, wenn gegen gesetzliche Bestimmungen (Strafgesetzbuch, etc.) verstossen wird.
  3. Treu und Glauben resp. Transparenz heisst bspw., dass betroffene Personen wissen, welche Daten beschafft werden und zu welchem Zweck. Heimliche Datenbeschaffung verstösst gegen diesen Grundsatz.
     
  4. Zweckbindung postuliert, dass Datenbearbeitungen nur zu dem bei der Beschaffung angegebenen Zweck vorgenommen werden dürfen.
     
  5. Datensicherheit bedeutet, dass Personendaten mittels geeigneter organisatorischer und technischer Massnahmen vor rechtswidriger Bearbeitung geschützt werden müssen.

Datenschutz im Unternehmen

Daten sind das Herzstück digitaler Geschäftsprozesse und damit das wichtigste Asset moderner Unternehmen. Der Schutz dieser Daten bringt komplexe Herausforderungen mit sich und erfordert, vor allem wenn es um den Schutz der Privatsphäre geht, ein Höchstmass an Sensibilität. Mit Berufung auf das Datenschutzgesetz können betroffene Personen bei Unternehmen konkret Auskunft verlangen. Der Eingang eines solchen Schreibens liegt absolut im Bereich der realen Möglichkeiten.

Sind Sie vorbereitet, wenn ein Auskunftsbegehren in Ihrer Firma eingeht (Beispiel):

Betroffene Personen haben umfassende Rechte. Dazu gehören der Erhalt von Auskünften über alle zur Person in einer Datensammlung vorhandenen Daten, Informationen zum Zweck der Bearbeitung und ggf. der Rechtsgrundlagen sowie der Kategorien der bearbeiteten Daten, Personen und Stellen, an die Daten übermittelt werden.

Schon fast alltägliche Problemstellungen für Legal, Compliance und Risk Officer

Die Behandlung von Auskunftsbegehren ist längst in das Pflichtenheft der Datenschutzbeauftragten von Schweizer Unternehmungen integriert. Voraussetzung ist allerdings das Vorhandensein einer entsprechenden Fach-Organisation (Datenschutzteam). Diese muss strikte Formvorschriften und Fristvorgaben einhalten. Denn Zuwiderhandlungen können schmerzhaft sanktioniert werden.

Sanktionen bei einer Übertretung der CH-DSG oder EU-DSGVO stellen je nach Grösse und Aufstellung einer Unternehmung nicht unbeträchtliche Compliance-Risiken dar: Natürliche Personen können bei vorsätzlicher Verletzung der Informations-, Auskunfts- sowie Sorgfaltspflichten neu mit Bussen bis zu CHF 250'000 bestraft werden. Im Gegensatz dazu beträgt die Busse bei Nichteinhaltung der EU-DSGVO bis zu 20 Millionen Euro oder – falls höher – 4 Prozent des weltweiten Jahresumsatzes.

Neue Herausforderungen lösen die Pflichtübungen für das betriebliche Datenschutzteam ab

Spätestens dann, wenn die Standard-Datenschutz-Prozesse im Unternehmen initial etabliert sind, gilt es für die Verantwortlichen, die von der fortschreitenden Digitalisierung getriebenen, zukünftigen Data Privacy Challenges schleunigst zu identifizieren und in den Griff zu bekommen. Wir finden diese im Unternehmensalltag massenhaft, vielfach im Zusammenhang mit dem geplanten Einsatz neuer Technologien.

Ein klassisches Beispiel ist Outsourcing, z. B. in die Cloud:
Beim durch Vertrag oder Gesetz begründeten Auftragsbearbeitungsverhältnis hat der Prozessor die Daten gleich zu bearbeiten wie der Verantwortliche. Auftraggeber müssen sicherstellen, dass der Auftragsbearbeiter in der Lage ist, die Datensicherheit zu gewährleisten.

  • Bestehen mit den Vertragspartnern DSG-konforme Prozessorenverträge? Wird deren Einhaltung überwacht?

Für die Übertragung an einen Unterauftragnehmer ist die vorgängige Genehmigung des Verantwortlichen nötig. Dies ist insbesondere bei Prozessverkettungen von Bedeutung.

  • Sind die diesbezüglichen Auflagen bekannt und eingehalten? Ist dies sichergestellt und belegbar?

Insbesondere bei der Nutzung von Cloud-Diensten stellt sich frühzeitig die Frage unterschiedlicher Jurisdiktionen:

  • Werden die Daten in der Schweiz gespeichert? Oder sind neben dem CH-DSG noch andere Gesetzgebungen (bspw. EU-DSGVO etc.) zu beachten? Werden unter Umständen Daten in den USA (unsicheres Land gem. EDöB) bearbeitet?

Diese Aufzählung umfasst nur einige wenige Situationen, die aufzeigen, wo überall Datenschutz-Challenges versteckt sein können. In der Praxis gibt es deutlich mehr. Und diese sind zudem spürbar multidisziplinärer ausgeprägt als die präzise Beantwortung von Auskunftsbegehren.

Empfehlung ISPIN: Systematisches Vorgehen & Awareness kombinieren

Die zukunftsgerichtete Steuerung evolutionierender Prozesse erfordert nicht nur die Kenntnis der Zuständigkeiten und Prozesse im eigenen Unternehmen, sondern auch ein hohes Mass an komplementärem Know-how aller beteiligten Fachdisziplinen (Compliance, Cyber Security, ICT, Legal, HR etc.).

Wenn eine potenziell datenschutzrelevante Sachlage vorliegt, sollte immer zuerst eine fundierte Analyse aus der Datenschutz-Perspektive vorgenommen werden. Wir empfehlen, insbesondere die Legal & Contractual Compliance (werden Gesetze und eingegangene Verträge eingehalten?) in einer frühen Phase zu erfassen und zu bewerten, da diese aus Unternehmenssicht in ihrer Auswirkung vielfach der reinen Data Privacy Compliance vorgelagert sind.

Ergänzend dazu sollten Mitarbeitende aufgabengerecht auf die Datenschutzthematik mit Awareness-Trainings sensibilisiert werden. Damit wird sichergestellt, dass sie sich nicht einer persönlichen Strafbarkeit aussetzen oder dem Unternehmen nicht Sanktionen auferlegt werden bzw. es einen Reputationsschaden erleidet.

Zusammen. Sicher.

Datenschutz-Compliance ist kein einmaliger Zustand, sondern eine Daueraufgabe, welche durch einen kontinuierlichen Verbesserungsprozess und Interessenabwägungen stetig auf einem qualitativ hohen Stand gehalten werden muss. ISPIN kann Sie durch erfahrene Spezialisten bei der Analyse spezifischer Problemstellungen und der Umsetzung zielgerichteter Massnahmen aktiv unterstützen.
Wir unterstützen Sie gerne. Kontaktieren Sie uns via marketing[at]ispin.ch oder +41 44 838 3111.

Haben Sie Fragen zu unseren News, Events oder Blogartikeln? Nehmen Sie mit mir Kontakt auf.

Reiner Höfinger

Marketing & Communications

Kontakt

ContactKontaktNewsletterGo to top