Security: Fit für das neue Datenschutzgesetz?

Datenschutz

Wir haben das «WIE» für dein «WAS»

Per 01.09.2023 tritt das neue Datenschutzgesetz (nDSG) in Kraft. Ziel des neuen Datenschutzgesetzes ist die Harmonisierung des DSG mit dem europäischen Datenschutzrecht. Denn die Schweiz soll weiter als Drittstaat mit einem angemessenen Datenschutzniveau anerkannt und es soll auch weiterhin eine unkomplizierte Datenübermittlung zwischen der Schweiz und der EU ermöglicht bleiben. Zudem geht es um die Anpassung des DSGs an das sich stark veränderte gesellschaftliche und technologische Umfeld (von sozialen Netzwerken bis hin zur Cloud).

Dabei wurden die Regeln zur Bearbeitung von Personendaten verschärft. Ein besonders hohes Risiko besteht für Unternehmen, die grosse Mengen personenbezogener Daten oder besonders schützenswerte Daten verarbeiten. Dies gilt ebenfalls für Unternehmen, die einen Online-Shop betreiben, Profiling durchführen oder Personendaten international (über die EU hinaus) übermitteln. Wir haben eine Übersicht mit den wichtigsten für dich erstellt.

Was ist neu?

Geltungsbereich

Ähnlich wie die DSGVO der EU, schützt das Schweizer nDSG neu nur noch die Daten natürlicher Personen, statt wie bisher auch juristischer Personen. Neu werden aber auch genetische und biometrische Daten als besonders schützenswert eingestuft. Dies ist z.B. dann relevant, wenn Kundendaten in einem CRM oder ähnlichem Kundensystem erfasst und verarbeitet werden.

Verantwortung

Neu ist auch, dass nicht nur das Unternehmen selbst, sondern auch die Verantwortlichen (Eigentümer und Mitarbeitende) Ziel eines Strafverfahrens werden können. Neben möglichen Sanktionen durch den eidgenössischen Datenschutzbeauftragten (EDÖB) sind Bussen bis zu einer Höhe von 250’000 CHF und sogar Strafverfahren möglich. Dabei ist wichtig zu wissen, dass die Strafandrohung jeden Mitarbeitenden trifft, der vorsätzlich gegen das Gesetz verstösst. D.h. die Bussen werden nicht gegen das Unternehmen, sondern gegen einen Mitarbeitenden ausgesprochen.
Wenn ein Unternehmen keine Massnahmen gemäss dem neuen Gesetz trifft, handelt es vorsätzlich oder nimmt mindestens eine Gesetzesverletzung in Kauf (Eventualvorsatz) und kann gebüsst oder bestraft werden.

Transparenz

Unternehmen haben umfassendere Informationspflichten als je zuvor und müssen Betroffene nun angemessen über jede Datenbeschaffung informieren. Dies betrifft nicht wie bis anhin nur besonders schützenswerte Daten, sondern alle Daten. Die Informationspflicht tritt auch in Kraft, wenn die Daten nicht direkt bei der betroffenen Person selbst erhoben werden.
Dabei sind die Identität und Kontaktdaten des für die Datenverarbeitung Verantwortlichen, der Verarbeitungszweck, der Empfänger oder Kategorien von Empfängern und bei Datenexport ins Ausland das Empfängerland, mitzuteilen. Dabei ist das nDSG sogar noch strenger als die DSGVO.
Geben Sie an, in welchen Länder Personendaten bekannt gegeben werden und stellen Sie sicher, dass dies nur in denjenigen Ländern erfolgt, die einen angemessenen Schutz gewährleisten können. Dies gilt auch für die Speicherung auf ausländischen Systemen (sprich Cloud).
Public-Cloud Lösungen wie Microsoft Azure erlauben Ihnen, zu bestimmen, an welchen Orten Ihre Daten gespeichert und genutzt werden dürfen. Dabei werden die Daten sowohl bei der Übertragung (in Motion) als auch im gespeicherten Zustand (at Rest) verschlüsselt.

Bearbeitungstätigkeiten

Unternehmen müssen nachweisen können, wer die Daten verarbeitet hat und müssen deswegen ein Verzeichnis der Verarbeitungstätigkeiten führen. Im Gegenzug ist ein Verzeichnis der Datensammlungen nicht erforderlich.
Die Verknüpfung des Verzeichnisses der Verarbeitungstätigkeiten mit dem Verzeichnis der Datensammlungen wird aber empfohlen, da dieselbe Anwendung oder Datenbank häufig für mehrere Datenverarbeitungsaktivitäten verwendet wird.
Gemäss der E-VDSG sind Unternehmen mit weniger als 250 Mitarbeitenden, deren Datenbearbeitung ein geringes Risiko von Verletzungen der Persönlichkeit der betroffenen Personen mit sich bringt, von der Führung eines Bearbeitungsverzeichnisses befreit.

Folgeabschätzung

Unternehmen sind neu verpflichtet, eine sogenannte Datenschutz-Folgeabschätzung durchzuführen, wenn die Datenverarbeitung ein hohes Risiko für die Persönlichkeit oder Grundrechte der betroffenen Person birgt. Das Ziel ist es, durch eine Vorkalkulation der möglicherweise entstehenden Risiken sowie auch Massnahmen zur Reduzierung dieser, zusammenhängende Gefahren auf ein Minimum zu reduzieren. Dies muss dokumentiert werden.

Profiling

Mit Profiling ist die automatische Verarbeitung von Daten zur Bewertung bestimmter persönlicher Aspekte einer Person, wie die wirtschaftliche Lage, Gesundheit, Interessen, Verhalten, Aufenthaltsort usw. gemeint. Damit sind also Kundendaten gemeint, mit denen man sich ein genaues Bild über die Person, den Menschen hinter den Daten, machen kann.
Wenn eindeutige Wesenszüge einer Person abzulesen sind, handelt es sich um ein sogenanntes «Profiling mit hohem Risiko» und solche Kundendaten dürfen nur mit einer ausdrücklichen Einwilligung gesammelt werden. Wenn kein «Profiling mit hohem Risiko» vorliegt, gibt es keine Verpflichtung zur Einholung einer Einwilligung.

Meldepflicht

Falls eine Verletzung der Datensicherheit vorliegt, muss dies dem EDÖB (Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter) so rasch als möglich gemeldet werden. Unter Verletzungen der Datensicherheit wird das unbeabsichtigte oder widerrechtliche Verlieren, Löschen, Vernichten, Verändern oder zugänglich machen durch Unbefugte von Personendaten verstanden.
In der Regel ist auch die betroffene Person zu informieren, wenn dies zu ihrem Schutz notwendig ist (falls ihre Persönlichkeits- oder Grundrechte in Gefahr sind) oder der EDÖB dies verlangt. Es wird empfohlen, einen internen Datenschutzbeauftragten zu ernennen, dessen Kontaktinformationen müssen veröffentlicht werden.

Privacy-by-Design und Privacy-by-Default

Diese Grundsätze verpflichten das Unternehmen, die Datenverarbeitung bereits bei der Planung und Gestaltung von Anwendungen zu berücksichtigen. Damit ist beispielsweise gemeint, durch Voreinstellungen sicherzustellen, dass ohne Einwilligung der Betroffenen keine weitere Datenverarbeitung durchgeführt werden kann.
Mit Privacy-by-Default ist gemeint, dass die tatsächlich verarbeiteten Personendaten mit dem Verwendungszweck in eindeutigem Einklang stehen müssen. Eine Nutzung zusätzlicher «vermeidbarer» Angaben erfordert die Inkenntnissetzung inklusive vorheriger Zustimmung der Person.
Privacy-by-Design umfasst eine Reihe spezifischer Bearbeitungsgrundsätze, die bereits bei der Erfassung von Daten umgesetzt sein müssen. Eine genaue interne Planung datenschutzrechtlicher Voreinstellungen ist entscheidend.

Datensicherheit und Datenschutz

Im nDSG wird der Datenschutz als Teil des Grundsatzes von Privacy-by-Design verstanden:

  • Art. 7 Abs. 1: «Der Verantwortliche ist verpflichtet, die Datenbearbeitung technisch und organisatorisch so auszugestalten, dass die Datenschutzvorschriften eingehalten werden, insbesondere die Grundsätze nach Artikel 6. Er berücksichtigt dies ab der Planung.»
  • «Artikel [8] verpflichtet sowohl den Verantwortlichen als auch den Auftragsbearbeiter dazu, für ihre Systeme eine geeignete Sicherheitsarchitektur vorzusehen und sie z.B. gegen Schadsoftware oder Datenverlust zu schützen. Artikel 7 Absatz 1 zielt hingegen darauf ab, mit technischen Mitteln die Einhaltung von Datenschutzvorschriften sicherzustellen, z.B. dass die Datenbearbeitung verhältnismässig bleibt.»

Dabei wird also die Datensicherheit bewusst vom allgemeinen Datenschutz unterschieden. Aus Sicht Datensicherheit werden folgende Massnahmen empfohlen:

  • Durchführen einer Netzwerkschwachstellenanalyse
  • Implementation von Viren- und Malwareschutz
  • Implementation von Endpoint-Sicherheistlösungen
  • Durchführen von Security-Awareness im Unternehmen
  • Erstellen eines klaren Rollen- und Berechtigungskonzept für Zugriffsrechte von Benutzern und Gruppen
  • Sicherstellen, dass Daten durch Verschlüsselung, die dem Stand der Technik entspricht, geschützt werden
  • Erstellen eines Notfallplans (Incident Response Plan), bei dem klar definiert wird, wie man im Falle von Datensicherheitspannen, Hackerangriffen, Trojanern und Verschlüsselungsmalware vorgeht
  • Sicherstellen, dass Backup Prozesse implementiert sind und dass auch das Recovery (Wiederherstellung der Daten) funktioniert
  • Sicherstellung der Verschlüsselung der Daten (sowohl «at Rest» als auch «in Motion»)

Durch den konsequenten Einsatz von Microsoft Lösungen können die technischen Voraussetzungen des nDSG sichergestellt werden. Dies geht weit über die geografische Auswahl des Datacenters oder der Verschlüsselung hinaus. Mit Intune können Ihre Endpoints (Laptops und Desktops) verwaltet werden und mit Microsoft 365 können personenbezogene Daten automatisch identifiziert werden. Im Compliance Manager sind alle Konfigurationen ersichtlich und Compliance Reports können jederzeit gezogen werden. Mit Microsoft Purview können Daten klassifiziert und gemäss dieser Klassifizierung gesteuert werden. Durch den Einsatz von DLP (Data Loss Prevention) können Daten, die persönliche Informationen enthalten, erkannt und vor einer ungewollten oder unangemessenen Freigabe (z.B. über E-Mail) blockiert werden. Durch den Einsatz sogenannter Data Retention Labels und Policies kann eine Informationsgovernance erstellt werden. Zudem können durch den Einsatz von Microsoft 365 Kundendaten geschützt werden, wenn du verschlüsselte E-Mails zwischen Mitarbeitenden und Personen ausserhalb deiner Organisation sendest und empfängst.