Einleitung

Im September 2023 tritt das totalrevidierte Datenschutzgesetz (DSG) und dessen Ausführungsbestimmungen in der Datenschutzverordnung (DSV) in Kraft. Die verschärften Regeln sind umfangreich und gelten ohne Übergangfrist. Ohne systematisches Datenschutzmanagement ist es nahezu unmöglich, den neuen Vorschriften gerecht zu werden.

Lesen Sie weiter und erfahren Sie mehr zur Notwendigkeit des neuen Schweizer Datenschutzgesetzes, dessen zentralen Anforderungen und wie ein Unternehmen ein Datenschutzmanagement aufbauen kann.

Das neue Schweizer Datenschutzgesetz (DSG) kurz erklärt

Um die Personendaten der Schweizer Bevölkerung auch im digitalen Zeitalter zu schützen, war eine umfassende Erneuerung des Datenschutzgesetzes notwendig. Am 1. September 2023 tritt ein totalrevidiertes Datenschutzgesetz (revDSG) in Kraft. Das Gesetz ist ab diesem Datum für den Privatsektor und die Bundesbehörden verpflichtend.

Das neue Schweizer Datenschutzgesetz ist in vielen Aspekten stark inspiriert von der Datenschutz-Grundverordnung (DSGVO) der Europäischen Union. Im Gegensatz zur DSGVO ist für die Bearbeitung von Personendaten grundsätzlich weder eine Einwilligung noch die Angabe eines Rechtfertigungsgrundes erforderlich.

Darüber hinaus bleiben die grundlegenden Prinzipien und Regeln des Datenschutzgesetzes unverändert. Speziell hervorzuheben ist der in den Leitlinien betonte risikobasierte Ansatz, wonach Unternehmen die Risiken für die Privatsphäre frühzeitig erheben sollen. So sollen auch die Anforderungen des Datenschutzes bereits im Planungsstadium von digitalen Projekten berücksichtigt werden.

Alle in der Schweiz tätigen Unternehmen sind nach Einschätzung des Dachverbandes der Schweizer Wirtschaft Economiesuisse vom neuen Datenschutzgesetz betroffen. Folglich ist es ratsam, sich rechtzeitig mit dem neuen Gesetz auseinanderzusetzen.

Die zentralen Anforderungen des neuen Schweizer Datenschutzgesetzes

Das Datenschutzgesetz verpflichtet Unternehmen, personenbezogenen Daten zu schützen und Transparenz über deren Bearbeitung herzustellen. Das neue Gesetz sieht in diesem Zusammenhang eine Vielzahl an Anforderungen vor. Im nachfolgenden Abschnitt finden Sie die wichtigsten Anforderungen beschrieben.

Verzeichnis der Bearbeitungstätigkeiten

Laut dem neuen Schweizer Datenschutzgesetz werden Unternehmen verpflichtet, ein Verzeichnis der Bearbeitungstätigkeiten inklusive der vorgeschriebenen Angaben zu führen. Kleinere und mittlere Unternehmen sind davon ausgenommen, wenn das Risiko von Verletzung der Persönlichkeit betroffener Personen gering ist. Im Grunde ist das Verzeichnis der Bearbeitungstätigkeiten eine interne Übersicht, welche Personendaten wie, wofür und wo bearbeitet werden.

Unter Bearbeiten versteht der Gesetzgeber «jeder Umgang mit Personendaten, unabhängig von den angewandten Mitteln und Verfahren, insbesondere das Beschaffen, Speichern, Aufbewahren, Verwenden, Verändern, Bekanntgeben, Archivieren, Löschen oder Vernichten von Daten».

Datenschutz-Folgeabschätzung

Wenn die Bearbeitung von Personendaten ein hohes Risiko für die Persönlichkeit oder Grundrechte der betroffenen Person mit sich bringt, werden Unternehmen verpflichtet, eine Datenschutz-Folgeabschätzung durchzuführen und diese entsprechend zu dokumentieren.

Die Datenschutz-Folgeabschätzung sollte Informationen zur Darstellung des Vorhabens wie auch eine Einschätzung der negativen Folgen für die betroffene Person enthalten. Empfehlenswert ist zudem die Angabe der getroffenen Gegenmassnahmen.

Informationspflicht

Die Informationspflichten sind unter dem neuen Datenschutzgesetz umfassender als in den bisherigen. Unternehmen sind verpflichtet, Betroffene über jede Beschaffung von Personendaten zu informieren.

Meldepflicht

Wird eine Verletzung der Datensicherheit festgestellt, ist eine rasche Meldung an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) zu richten. Eine Verletzung der Datensicherheit liegt beispielsweise vor, wenn eine E-Mail mit sensitiven Daten, das nur an einen Kunden gerichtet sein sollte, fälschlicherweise an mehrere Kunden verschickt wird.

Sorgfaltspflicht

Das Datenschutzgesetz regelt im Rahmen der Sorgfaltspflicht, wie die Datenbearbeitung durch einen Auftragsbearbeiter (z. B. ein Cloud-Anbieter) zu handhaben ist. Personendaten, welche aufgrund einer vertraglichen Regelung oder durch die Gesetzgebung an einen Auftragsbearbeiter übertragen werden, sind nur erlaubt, wenn diese so bearbeitet werden, wie der Auftraggeber das selbst tun dürfte.

Bearbeitet der Auftragsbearbeiter die Daten in einem Zielland mit ungenügendem Datenschutzniveau, sind zusätzliche Garantien wie vertragliche Datenschutzklauseln oder ein individueller Auftragsbearbeitungsvertrag nötig.

Hohe persönliche Bussen

Eine Verletzung des Datenschutzrechtes kann neu mit einer Busse bis zu CHF 250’000 bestraft werden. Die Bussen richten sich an Privatpersonen und nicht an das Unternehmen selbst. Letzteres stellt ein grosser Unterschied zur DSGVO dar, die Unternehmen für Verstösse bestraft.

Die untenstehende Abbildung bildet die wichtigsten Anforderungen des neuen Schweizer Datenschutzgesetzes ab. Rechtsanwalt Kaj Seidl-Nussbaumer erklärt in diesem kostenlosen Webinar, die wichtigsten Datenschutzanforderungen und welche Datenflüsse zu beachten sind.

Grafik, welche die zentralen Anforderungen des Datenschutzgesetzes (revDSG) zeigt.

Zentrale Anforderungen des Datenschutzgesetzes (revDSG)

Datenschutzmanagement zur Einhaltung des DSGs

Zur Einhaltung der Anforderungen des Datenschutzgesetzes benötigen Unternehmen unter anderem ein Datenschutz-, Risiko- und Dokumentenmanagement.

Das Risikomanagement befasst sich in diesem Kontext mit der Identifizierung, Bewertung und Kontrolle von rechtlichen Risiken. Das Dokumentenmanagement beschäftigt sich hingegen mit der Ablage der erstellten Dokumente wie Datenschutzleitlinien oder Verträge.

Das Datenschutzmanagement kann als Oberbegriff für das Risiko- und Dokumentenmanagement verwendet werden. Es umfasst die Gesamtheit der dokumentierten und implementierten Regelungen, Prozesse und Massnahmen, die es ermöglichen, einen datenschutzkonformen Umgang mit Personendaten in Unternehmen zu steuern.

Informationstechnische Hilfsmittel für das Datenschutzmanagement

Um die obengenannten Managementdisziplinen auszuführen, ist es ratsam, passende Hilfsmittel einzusetzen. In diesem Zusammenhang haben Umfragen aus Deutschland gezeigt, dass jedes zweite Unternehmen eine Software-Lösung für das Datenschutzmanagement einsetzt. In der Schweiz ist der Einsatz solcher Lösungen hingegen noch deutlich weniger verbreitet (Strässler, 2022).

Spezialisierte Software-Lösungen erlauben es, Ressourcen und Kompetenzen einzusparen, sowie Doppelspurigkeit zu vermeiden. Somit können Unternehmen ein systematisches Datenschutzmanagement deutlich effizienter betreiben.

Die Rolle des Verzeichnisses der Bearbeitungstätigkeiten

Das Verzeichnis der Bearbeitungstätigkeiten hat das Potenzial zum Dreh- und Angelpunkt des internen Datenschutzmanagements zu werden. Es ist für viele Unternehmen nach dem revDSG nicht nur Pflicht, sondern es kann deutlich dazu beitragen, folgerichtige Entscheidungen für die Einhaltung des neuen Datenschutzgesetzes zu treffen.

Beispielsweise ermöglicht es eine zentrale Übersicht zur Datenerhebung und -bearbeitung von Personendaten. Insofern kann das Verzeichnis der Bearbeitungstätigkeiten auch als Herzstück des Datenschutzmanagements bezeichnet werden.

«Besonders vielversprechend ist das Best-Practice-Konzept, das Datenschutzmanagement bzw. das Verzeichnis der Bearbeitungstätigkeiten in bestehende Strukturen und Prozesse zu integrieren. Dabei bietet sich eine Integration mit den Bereichen Prozessmanagement, Unternehmensarchitektur, aber auch Information-Security oder Governance-, Risk- und Compliance-Management (GRC-Management) an.»

Das Verzeichnis kann sowohl mit einem dokumentenbasierten Ansatz wie beispielsweise mit Excel und PDF-Checklisten oder mit einer spezialisierten Software-Lösung geführt werden. Mit welchem Ansatz Unternehmen das Verzeichnis führen, steht ihnen frei.

Grafik zeigt, das Datenschutzmanagement und die Rolle des Verzeichnisses der Bearbeitungstätigkeiten nach dem revDSG

Datenschutzmanagement und das Verzeichnis der Bearbeitungstätigkeiten nach dem revDSG

Das nachfolgende Webinar zeigt, wie und welche Synergien sich durch die Integration des Datenschutzmanagements in das Geschäftsprozessmanagement realisieren lassen.

Welche Informationen müssen im Verzeichnis der Bearbeitungstätigkeiten geführt werden

Gemäss revDSG sind mindestens (Art. 12, revDSG) folgende Angaben zu pflegen:

  • Identität des Verantwortlichen
  • Bearbeitungszweck
  • Beschreibung der Kategorien betroffener Personen und Personendaten
  • Kategorie der Empfängerinnen und Empfänger

Wenn möglich, sollte gemäss revDSG das Verzeichnis auch folgende Angaben beinhalten:

  • Aufbewahrungsdauer und die Kriterien zur Festlegung dieser Dauer
  • Beschreibung der Massnahmen zur Gewährleistung der Datensicherheit
  • Im Falle einer Bekanntgabe der Daten ins Ausland: Angabe des Staates

Datenschutzmanagement über das Geschäftsprozessmanagement verwalten

Den Datenschutz mit bestehenden Bereichen, Strukturen und Applikationen zu verbinden hat viele Vorteile. Gerade die Steuerung des Datenschutzes mit dem verbreiteten Prozessmanagement, ist in vielen Fällen einträglich.

Mit der ADONIS GPM-Suite in Kombination mit der ADONIS Data Protection Extension lassen sich die zuvor beschriebenen Synergien realisieren. Dementsprechend kann das Datenschutzmanagement in das Prozessmanagement integriert werden. Welche Synergien sich ergeben, wird im nachfolgenden Abschnitt erläutert. Die Beschreibung basiert auf der GPM Suite ADONIS.

Vorhandene Informationen nutzen und ergänzen

Wenn ein Unternehmen über eine modellierte Prozessarchitektur in ADONIS verfügt, sind bereits viele Informationen vorhanden, die sich für das Führen eines Verzeichnisses der Bearbeitungstätigkeiten verwenden lassen. Beispielsweise lässt sich der Bearbeitungszweck, welcher eine gesetzlich vorgeschriebene Mindestangabe des Verzeichnisses ist, mittels einer Referenzierung des Geschäftsprozesses spezifizieren. Wenn nun der Hintergrund der Datenbearbeitung nachzuvollziehen ist, kann der Prozess im Detail betrachtet werden.

Das für den Bearbeitungszweck gültige Prinzip gilt auch für weitere Angaben wie IT-Anwendungen oder für die Kategorie betroffener Personen (vorhanden in Form von Rollen). Somit lassen sich bereits vorhandene Instanzen im GPM-Tool, wie Risiken, Massnahmen, Dokumente und Anwendungen wiederverwenden. Dadurch reduziert sich der Aufwand für das Anlegen von Informationen erheblich und erlaubt, verglichen mit einem dokumentenbasierten Ansatz, einen hohen Effizienzgrad, da u.a. Datenredundanzen vermieden werden.

Grafik, die die wichtigen Kategorien für das Verzeichnis der Bearbeitungstätigkeiten in ADONIS zeigt

Wichtige Kategorien für das Verzeichnis der Bearbeitungstätigkeiten in ADONIS

Ein zentraler Ort für den Datenschutz nach dem revDSG

Weiter ist das Verzeichnis der Bearbeitungstätigkeiten und die Datenschutz-Folgeabschätzung an einem zentralen Ort zugänglich, was die Pflege, Qualitätskontrolle und Übersicht vereinfacht. Unter anderem ist die hohe Übersicht auf Dashboards zurückzuführen, die beispielsweise Auskunft über alle Bearbeitungstätigkeiten geben, für die ein bestimmter Benutzer verantwortlich ist.

Grafik, welche die tabellarische Auflistung des Verzeichnisses der Bearbeitungstätigkeiten in ADONIS zeigt

Tabellarische Auflistung des Verzeichnisses der Bearbeitungstätigkeiten in ADONIS

Wenn zu Analysezwecken Auswertungen erforderlich sind, gibt es auf datenschutzspezifische Fragestellungen vordefinierte Auswertungskonfigurationen. Auf Knopfdruck lässt sich unter anderem auswerten, welche Anwendungen welche Daten im Kontext des Verzeichnisses der Bearbeitungstätigkeiten bearbeiten. Auch individuelle Auswertungen und Suchabfragen lassen sich konfigurieren. Zusätzlich bietet das Modul die Option bei Auswertungen Eigenschaften von Dokumentationen wie die Angabe, ob es sich um besonders schützenswerte Daten handelt, farblich hervorzuheben.

Das Modul bietet ferner einen konfigurierbaren Freigabe-Workflow an. Dies ermöglicht, dass mehrere Prüfer ein Verzeichnis der Bearbeitungstätigkeiten begutachten, bevor es den Status freigegeben erhält.

Zusammenfassung und nächste Schritte

Alle am Schweizer Markt tätigen Unternehmen sind vom neuen Schweizer Datenschutzgesetz betroffen. Unternehmen sollten daher beginnen, sich mit diesem Thema zu befassen.

Die Möglichkeit, das Datenschutzmanagement in bestehende Strukturen, Prozesse oder Applikationen zu integrieren, sollte zwingend geprüft werden. Durch eine Integration können bestehende Informationen genutzt, Knowhow und personelle Ressourcen eingespart, sowie Redundanzen vermieden werden.

Eine erfolgreiche Praktik ist, das Datenschutzmanagement mit dem Geschäftsprozess- oder dem Unternehmensarchitektur-Management, aber auch mit Governance-, Risk- und Compliance-Management zu verknüpfen.

Wenn Sie Fragen zum Datenschutzmanagement mit ADONIS oder ADOIT haben oder eine individuelle Tool-Demo wünschen, kontaktieren Sie gerne unsere Expertinnen und Experten über einen Klick auf den untenstehenden Link. Wir melden uns so schnell wie möglich bei Ihnen!

Das Schweizer Datenschutzgesetz – Die halbe Miete haben Sie schon!?

Prozess- und Unternehmensarchitekturmanagement als “Schützenhilfe” des Datenschutzes

KOSTENLOSES WEBINAR ANSEHEN

Das neue Schweizerische Datenschutzgesetz und wie Sie Ihr Unternehmen vorbereiten können

Das Schweizer Datenschutzrecht wird rundum revidiert. Was bedeutet das für Unternehmen die in der Schweiz wirtschaften?

KOSTENLOSES WEBINAR ANSEHEN

Holen Sie sich das branchenerprobte
Prozessmanagement-Tool.

Erhalten Sie wöchentliche Updates.

Verpassen Sie nie wieder die neuesten Inhalte.

"*" erforderliche Felder

Senden Sie mir die neuesten Informationen über ...
Nutzungsbedingungen*
Dieses Feld dient zur Validierung und sollte nicht verändert werden.