Sind Sie bereit für das revidierte Schweizer Datenschutzgesetz (revDSG)?
Das revidierte Datenschutzgesetz (revDSG) tritt am 1. September 2023 in Kraft. Mit der Revision wird das DSG den veränderten technologischen und gesellschaftlichen Verhältnissen angepasst.
Stärkung des Datenschutzes
Mit dem revidierten Datenschutzgesetz wird insbesondere die Transparenz von Datenbearbeitungen verbessert und die Selbstbestimmung der betroffenen Personen über ihre Daten gestärkt. Das revDSG trägt somit der technischen Entwicklung und den Anforderungen der EU-Datenschutz-Grundverordnung (DSGVO) Rechnung.
Welche Datensätze sind betroffen?
Das revDSG regelt zukünftig ausschliesslich den Datenschutz von natürlichen Personen und nicht mehr die Daten von juristischen Personen (z. B. GmbH, AG, Vereine). Im Mittelpunkt stehen hierbei persönlich identifizierbare Informationen (PII), anhand derer die Identität einzelner Personen abgeleitet werden kann. Die Liste der besonders schützenswerten Personendaten wird um Daten über die Ethnie, genetische und biometrische Daten, die eine natürliche Person eindeutig identifizieren, erweitert.
Das Gesetz unterscheidet zwischen Profiling und Profiling mit hohem Risiko. Unter Profiling von Personendaten versteht man die automatisierte Bearbeitung von Daten zur Bewertung von bestimmten persönlichen Aspekten einer natürlichen Person. Profiling mit hohem Risiko liegt dann vor, wenn Personendaten automatisiert bearbeitet werden und eine Verknüpfung von Daten die Beurteilung wesentlicher Aspekte der Persönlichkeit erlaubt. Bei Profiling mit hohem Risiko muss immer eine ausdrückliche Einwilligung erfolgen.
Welche Grundsätze der Datensicherheit treffen zu?
Zunächst hat der verantwortliche Datenbearbeiter sicherzustellen, dass die Bearbeitung der Personendaten rechtmässig ist. Das Wissen und der Überblick über die Gesamtheit der Datensätze im Unternehmen ist unabdingbar. Das revDSG verlangt daher ein Verzeichnis sämtlicher Datenbearbeitungen («Verzeichnis der Datenbearbeitungen») von Unternehmen. Mithin ist dies die Voraussetzung für einen effektiven Datenschutz.
Weiterhin gilt, dass der Verantwortliche die Datenbearbeitung ab der Planung so gestalten muss, dass die Datenschutzvorschriften und insbesondere die Bearbeitungsgrundsätze eingehalten werden (Privacy by Design). Des Weiteren müssen die Voreinstellungen so getroffen sein, dass die Bearbeitung von Personendaten auf das für den Verwendungszweck notwendige Mindestmass beschränkt ist, soweit die betroffene Person nicht etwas anderes bestimmt (Privacy by Default).
Werden die Datensätze nicht mehr benötigt, sind diese zu vernichten oder zu anonymisieren.
Hohe Strafen im Falle einer Verletzung des Datenschutzes
Neu im revDSG ist, dass natürliche Personen bei vorsätzlicher Verletzung der Informations- und Auskunfts- sowie der Sorgfaltspflichten mit einer Busse bis 250 000 Franken bestraft werden können!
Wie datenzentrierter Datenschutz helfen kann
Die Datenschutzanforderungen des revidierten DSG wurden hier nur angerissen, aber es wird deutlich, dass eine Menge Arbeit auf die betroffenen Unternehmen zukommt. Um Personendaten zu schützen, muss man wissen, welche Daten vorliegen und wo diese zu finden sind. Danach ist festzulegen, wie die Daten am besten zu schützen sind.
Eine effektive Massnahme, um Personendaten zu schützen, ist die Tokenisierung. Hierbei werden Daten (z. B. Kreditkartennummern) durch einen Token ersetzt. Dieser Token hat das gleiche Format wie der ursprüngliche Datensatz und kann ohne Weiteres von Anwendungen, etwa zur Datenanalyse, verwendet werden. Diese Verfahrensweise ermöglicht es Unternehmen, den Anforderungen von Datenschutzgesetzen gerecht zu werden und sich vor Datenmissbrauch im Falle eines Angriffs zu schützen.
Rechtzeitig agieren und auf kompetente Unterstützung setzen
Auch wenn das revDSG erst im Jahr 2023 in Kraft treten wird, sind alle Bearbeitenden von Personendaten angehalten, die Regelungen bereits heute umzusetzen. Bis zum Inkrafttreten des revDSG ist Unternehmen zu empfehlen, dass sie zunächst eine Bestandsaufnahme ihrer Datenbearbeitungen (Personendaten) durchführen, um anschliessend im Rahmen einer Gap-Analyse den datenschutzrechtlichen Handlungsbedarf festzustellen. Diesen zu eruieren und umzusetzen, ist eine grosse Herausforderung. Oft fehlt es an qualifiziertem Personal und entsprechenden Ressourcen. In Zusammenarbeit mit comforte bietet DataStore kompetente Beratung und Unterstützung bei der Planung und Realisierung von Datenschutzprojekten.
Weiterführende Informationen zu comfortes Datenschutzlösungen finden Sie hier (PDF).
Zum Autor:
Thorsten Daniels,
Senior Vice President
comforte AG
+49 (0) 175 8798136
t.daniels@comforte.com
Kontakt:
Peter Mätzler
Senior Business Development Manager
DataStore AG
Pfadackerstrasse 6
8957 Spreitenbach
Tel. 056 419 71 94
peter.maetzler@datastore.ch
www.datastore.ch
Sysob geht mit seinem Channel in den Bergen wandern
OpenAI lanciert Tool zur Erkennung von DALL-E-generierten Bildern
Aus aktuellem Anlass: Eine Ode an den Heuschnupfen
Boll distribuiert Cyolo in der DACH-Region
Wie das Storage-Geschäft derzeit von KI und Co. profitiert
Mit Managed EDR die Cyberabwehr in die Hände von Security-Experten geben
AWS kündigt allgemeine Verfügbarkeit von Amazon Q an
Ganzheitliche IT-Security – mit G DATA CyberDefense
Angreifer umgehen VPN und lesen Datenverkehr aus
