23.02.2022 / Kategorie: CISO, Governance, Risk & Compliance
Voraussichtlich am 1. September 2023 wird das neue Schweizer Datenschutzgesetz (nDSG) in Kraft treten. Da es keine Übergangsfristen vorsieht, ist es für Unternehmen jetzt höchste Zeit, alle nötigen Anpassungen durchzuführen, sollte dies noch nicht geschehen sein. Bei Verstössen drohen hohe Bussgelder bis zu 250.000 CHF.
https://www.bj.admin.ch/bj/de/home/staat/gesetzgebung/datenschutzstaerkung.html
Das neue Datenschutzgesetz ist sehr umfangreich und betrifft nahezu alle Schweizer Unternehmen. Dementsprechend besteht jetzt Handlungsbedarf, um sich den neuen Regelungen rechtzeitig anzupassen. Notwendig sind sowohl Adaptierungen im technischen als auch im organisatorischen Bereich. Grundsätzlich gilt: Je mehr Daten ein Unternehmen bearbeitet bzw. je mehr dieser Daten besonders schützenswert sind (zum Beispiel im Zusammenhang mit Religion oder Gesundheit, usw.), desto höher sind die Anforderungen. Unternehmen müssen sicherstellen, dass angemessene technische und nicht-technische Kontrollen vorhanden sind, um eine Nichteinhaltung des nDSG zu vermeiden und dadurch auch vor Geldstrafen gefeit zu sein.
Die wichtigsten sechs Änderungen des nDSG sind:
Aus IT-Sicht ist es sinnvoll, einen Prozess für die Entwicklung und laufende Aktualisierung eines solchen Verzeichnisses zu definieren. In einem solchen Prozess sollte idealerweise festgehalten werden, wie die Daten verarbeitet werden (manuell/automatisch), aus welchem Grund, welche Art von Daten verarbeitet werden (personenbezogene Daten, hochsensible personenbezogene Daten), wo die Verarbeitung stattfindet (d. h. in welchem Land) und an wen die Daten weitergegeben werden.
Unternehmen sind gut beraten, die eigenen Prozesse und Massnahmen zu überprüfen und gegebenenfalls zu ändern. Dazu gehören zum Beispiel:
Neben diesen spezifischen Massnahmen müssen auch geeignete technische und organisatorische Massnahmen festgelegt werden, um eine angemessene Datensicherheit zu gewährleisten. Regelmässige Risikobewertungen, die Definition von Risikobereitschaft und -toleranz sowie die Festlegung von Massnahmen und deren Verfolgung sind von zentraler Bedeutung. Die Verschlüsselung vertraulicher Datenfelder, die richtige Anwendung des Need-to-know-Prinzips durch den Einsatz geeigneter Identitäts- und Zugangskontrollen, die Sicherheitsüberwachung kritischer Ereignisse und vieles mehr tragen dazu bei, das Risiko der Nichteinhaltung des überarbeiteten DSG zu verringern. Ausserdem sind strenge Verträge, die eine ordnungsgemässe Verwaltung von Dritten, die mit personenbezogenen Daten umgehen, sicherstellen, ein absolutes Muss.
Für einige Unternehmen ist es zudem wichtig, auch die Regelungen für bestimmte Spezialbereiche zu beachten. Dazu gehören:
Jede Bekanntgabe von Personendaten aus der Schweiz ins Ausland muss dem DSG entsprechen. Eine Datenbekanntgabe ins Ausland liegt vor, wenn Personendaten aus der Schweiz in ein Land ausserhalb der Schweiz übermittelt werden oder wenn auf in der Schweiz befindliche Personendaten von ausserhalb der Schweiz zugegriffen wird. Das DSG verbietet eine Bekanntgabe von Personendaten ins Ausland, wenn die Übermittlung die Persönlichkeitsrechte der betroffenen Personen ernsthaft gefährden könnte. Eine solche Gefahr kann insbesondere dann bestehen, wenn die Personendaten in ein Land weitergegeben werden, dessen Gesetzgebung keinen angemessenen Schutz der Personendaten gewährleistet.
Die Regelungen des nDSG sind weitaus genauer als in diesem Text angeführt. Unternehmen, die Handlungsbedarf sehen, intern aber nicht über ausreichend Ressourcen oder Know-how dafür verfügen, sollten auf einen fachkundigen und erfahrenen Dienstleister wie ISPIN zurückgreifen. Die Experten von ISPIN unterstützen gerne bei der Planung und Realisierung von Änderungen.
Zudem bieten wir interessierten Unternehmen mit dem Tool unseres Partners OneTrust eine effiziente und kostengünstige Möglichkeit, das Verzeichnis der Verarbeitungstätigkeiten zu erstellen und automatisiert aktuell zu halten. Durch unsere Unterstützung bei der Einführung und Pflege des Tools erhalten Unternehmen die Option, ISPIN AG als Datenschutzberater nach Art. 10 DSG zu benennen. Dadurch sind Sie von der Konsultationspflicht beim EDÖB nach Art. 23 DSG befreit. Sie gewinnen dadurch Zeit. Denn diese Konsultation kann bis zu zwei Monate dauern und dadurch Ihre Projekte verzögern.
Wie sieht es in Ihrem Unternehmen aus – sind Sie bereit für das nDSG? Oder dürfen wir Ihnen helfen? Kontaktieren Sie uns. Wir stehen Ihnen gerne zur Verfügung. Kontaktieren Sie uns via cybersecurity[at]ispin.ch oder +41 44 838 3111.
Haben Sie Fragen zu unseren News, Events oder Blogartikeln? Nehmen Sie mit mir Kontakt auf.
Reiner Höfinger
Marketing & Communications