Was bringt die Revision des Schweizer Datenschutzgesetzes mit sich, und wie hängt dies mit der DSGVO und der ePrivacy-Verordnung zusammen?

Das nDSG und sein regulatorisches Umfeld

«Freiheit und Selbstbestimmung in der digitalen Welt hängen ganz entscheidend davon ab, dass wir die Souveränität über unsere persönlichen Daten behalten»

Heiko Maas, 2015

Totalrevision des Schweizer Datenschutzgesetzes

Betroffen davon sind alle Schweizer Unternehmen, die personenbezogene Daten bearbeiten (das sind demnach alle)

z.B. von Kunden oder von Mitarbeitenden. Darunter fällt jeder Umgang mit Personendaten, insbesondere das Beschaffen, Speichern, Aufbewahren, Verwenden, Verändern, Bekanntgeben, Archivieren, Löschen oder Vernichten von Daten.

Sanktionen im nDSG

Im Gegensatz zum DSG definiert der Entwurf für den neuen Gesetzestext klare Sanktionen. So können Individuen, die das nDSG vorsätzlich verletzen, mit einem Bussgeld von bis zu CHF 250’000 bestraft werden

Besonders schützenswerte Personendaten

Datenschutz durch Technikgestaltung und Datenschutz durch

datenschutzfreundliche Voreinstellungen

Datenverarbeitern werden erhöhte Sorgfaltspflichten auferlegt,

die zudem genauer definiert sind. So müssen Datenverantwortliche und -verarbeiter bereits bei der Planung der Datenbearbeitung das Risiko einer Persönlichkeitsverletzung durch angemessene Massnahmen verringern. Zudem sind sie verpflichtet, durch Voreinstellungen zu gewährleisten, dass standardmässig nur diejenigen Personendaten bearbeitet werden, die für den jeweiligen Verwendungszweck erforderlich sind

Datenschutz-Folgenabschätzung

Datenverantwortliche oder -verarbeiter sind gemäss dem E-DSG verpflichtet, eine Datenschutz-Folgenabschätzung vorzunehmen, wenn die vorgesehene Datenbearbeitung zu einem erhöhten Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen führt. Dabei müssen sowohl Risiken als auch geeignete Massnahmen umschrieben werden

Meldung von Verletzungen des Datenschutzes

Datenverantwortliche haben dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) im Falle einer Datenschutzverletzung so rasch wie möglich Meldung zu erstatten, wenn ein grosses Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen besteht. Sofern erforderlich, sind auch die betroffenen Personen zu informieren

Unterschiede der EU Norm gegenüber dem nDSG

Herausforderungen bei der Implementierung des neuen Datenschutzgesetzes nDSG

Datenschutz wird in der Schweiz neu geschrieben werden

Management der persönlichen Daten und Bildung eines Verzeichnisses von Verarbeitungstätigkeiten

Verzeichnisse müssen aktuell gehalten werden, sodass Änderungen im System in den Verarbeitungsverzeichnissen reflektiert werden

Personendaten, die an Dritte transferiert werden, zu identifizieren und in der Taxonomie zu reflektieren

Datenschutz durch Technikgestaltung und Datenschutz durch datenschutzfreundliche Voreinstellungen

Datenschutz durch Technikgestaltung bezieht sich auf organisatorische und technische Massnahmen, die implementiert werden müssen, um den Grundsätzen der Regulierung zu entsprechen. Dabei ist es essenziell, die Rechte betroffener Personen vor Beginn und während der Bearbeitung personenbezogener Daten zu schützen


Spezifische Herausforderungen zur Compliance mit Anfragen zur Datenlöschung («Recht auf vergessen») und Ausbau der Löschungskapazitäten für Prinzipien der Speicherbegrenzung

Compliance mit Anfragen zur Datenlöschung.

Das Recht auf Löschen ist ein absolutes Recht. Unternehmen müssen aufzeigen, weshalb die Daten gesammelt und verarbeitet werden und was die rechtliche Grundlage dafür ist.


Umgang mit unstrukturierten Daten

Die Thematik unstrukturierter Daten wird als Teil der nDSG-Thematik als zentral betrachtet. Folglich sind dafür analog die Regelungen der Datensubjektrechte, Übertragungen und strukturierten Datenprozesse anzuwenden

Management persönlicher Daten an Drittparteien

Personenbezogene Daten werden übertragen, wenn sie Dritten (einschliesslich konzerninterner Stellen) ausserhalb der Infrastruktur/des Systems/der Netzwerke zugänglich gemacht werden. Ausserdem braucht es im operativen Geschäftsmodell Prozesse sowie Kontrollen, um die Datenbearbeitung durch Drittanbieter und deren Verträge zu überprüfen und den Transfer von Personendaten zu überwachen.


Informations- und Cybersicherheit: Herausforderungen und Chancen

Es funktioniert nicht mehr darum, „ob“ sondern „wann„. Es müssen Schutzmechanismen der möglichst hohen Vermeidung und die Fähigkeit des Erkennens implementiert werden. Angriffe auf Infrastrukturen von Organisationen sind wöchentlich in den Schlagzeilen


Es entstehen beträchtliche finanzielle Schäden, die juristische Konsequenzen und einen anhaltenden Imageschaden nach sich ziehen. Nicht zuletzt wird der Betroffene selbst in Mitleidenschaft gezogen. Die Folgen eines Cyberangriffs schlagen somit hohe Wellen. Eine Organisation muss sich auf solche Vorfälle einstellen und vorbereiten


ePrivacy

Die ePrivacy, die das Recht des Schutzes auf Achtung des Privatlebens und der Kommunikation

Die gesamte elektronische Kommunikation erfordert ein hohes Mass an Vertraulichkeit

Das Anhören, Abhören, Scannen und Speichern von beispielsweise Textnachrichten, E-Mails oder Sprachanrufen ist ohne die Zustimmung des Benutzers nicht erlaubt

Die Vertraulichkeit des Online-Verhaltens und der Geräte der Nutzer muss gewährleistet sein

Für den Zugriff auf Informationen eines Benutzergeräts ist die Zustimmung des Nutzers erforderlich

Die Verarbeitung von Kommunikationsinhalten und Metadaten erfordert die Zustimmung der betroffenen Person

Der Datenschutz ist somit sowohl für den Inhalt der Kommunikation als auch für die Metadaten gewährleistet – zum Beispiel, wer angerufen wurde, Zeitpunkt, Ort und Dauer des Anrufs sowie alle besuchten Webseiten

Spam- und Direktmarketing-Kommunikation erfordern vorherige Zustimmung

Unabhängig von der verwendeten Technologie (z.B. Anrufautomaten, SMS oder E-Mail) müssen Benutzer ihre Zustimmung geben, bevor sie zu kommerziellen Zwecken kontaktiert werden

“Es besteht Handlungsbedarf”

Schweizer Unternehmen müssen zeitnah die nächsten Schritte bezüglich des nDSG in Angriff nehmen. Dabei gilt es, von taktischen temporären Lösungen wegzukommen und zu langfristigen strategischen Lösungen überzugehen

STEP 01

Mit Blick auf die ePrivacy-Richtlinien müssen Unternehmen ihren Stand analysieren und bei Bedarf ihre Prozesse an den Datenschutz im Internet und bei der elektronischen Kommunikation gemäss ePrivacy anpassen

STEP 02

Effiziente, agile und wirtschaftliche IT-Lösungen rücken in den Fokus, insbesondere im Bereich Datenmanagement, -archivierung und -klassifizierung sowie Ausweitung der Definition von kundenidentifizierenden Daten

STEP 03

Es benötigt bessere und innovative IT-Lösungen, gepaart mit einer effektiven Data Governance, damit unerwünschter Datenabfluss verhindern werden kann und Anomalien besser zu erkennen

Benötigen Sie Unterstützung beim Thema neues Datenschutzgesetz für die Schweiz? – Nehmen Sie jetzt Kontakt mit uns auf

IT-Consulting Ebikon hat sich auf Datenschutz und Datensicherheit spezialisiert

Benötigen Sie eine Datenschutz-Folgenabschätzung?
Zurück zu CajaBOX Home