Wie sich das neue Datenschutzgesetz auf Cloud-Lösungen auswirkt
Wie wirkt sich die Revision des Schweizer Datenschutzgesetzes (DSG) auf Anbieter und Anwender von Business Software aus? Wo sind die Fallstricke bezüglich Cloud-Nutzung? Und wie kann der Channel hier Unterstützung bieten? Die Antworten auf diese und weitere Fragen hat Andrea Tams, Head of Legal & DPO bei der Abacus Gruppe.
Wie wirkt sich die Revision des Schweizer Datenschutzgesetzes auf die Anbieter von Business Software aus?
Andrea Tams: Abacus möchte es den Kunden so einfach wie möglich machen, die an sie gestellten Anforderungen bezüglich Datenschutzgesetz zu erfüllen. Dies betrifft vor allem die neuen Anforderungen zu Privacy by Design und Privacy by Default. Das bedeutet, dass der Datenschutz bereits bei der Planung sowie den Voreinstellungen der Software berücksichtigt werden sollte. Dies zeigt sich bei der Abacus-Software zum Beispiel in Such- oder Löschfunktionen. Damit kann möglichen Auskunfts- oder Löschbegehren rasch und unkompliziert entsprochen werden.
Und welche Auswirkungen hat die Revision für die Anwender?
Das Schweizer Datenschutzrecht passt sich immer mehr der Datenschutz-Grundverordnung der EU an. Dies hat zur Folge, dass die Anwender vermehrt Informations- und Dokumentationspflichten erfüllen müssen. Ausserdem sind umfangreiche Betroffenenrechte zu beachten sowie – in bestimmten Fällen – ein Verzeichnis von Bearbeitungstätigkeiten zu erstellen, worin auch Datenbearbeitungen durch die Abacus-Software geführt werden sollten.
Wo sind die Fallstricke bezüglich Cloud-Nutzung?
Bei Cloud-Lösungen sind folgende drei Punkte von Bedeutung: die Datensicherheit, der Server-Standort und der Cloud-Anbieter per se. Um Fallstricke zu vermeiden, sollten daher folgende Fragen geklärt werden: Bietet die Cloud-Lösung die erforderliche Datensicherheit an, was unter anderem mittels Zertifizierungen ersichtlich werden kann? Wo befinden sich die Daten, respektive verlassen die Daten aufgrund des Server-Standorts die Schweiz? Sollte sich der Serverstandort im Ausland befinden, dann stellt sich die Frage, ob dieses Land über ein angemessenes Datenschutzniveau wie die Schweiz verfügt. Und könnte es allenfalls zu staatlichen Datenzugriffen kommen, weil es sich beispielsweise um einen US-Cloud-Anbieter oder dessen Tochtergesellschaft handelt?
Was ist zu unternehmen, um nach September 2023 keine bösen Überraschungen zu erleben?
Ein Unternehmen sollte sich bereits heute damit auseinandersetzen, wie es den neuen Anforderungen entsprechen kann. Wichtig ist dabei, Datenverarbeitungen zu analysieren und deren Rechtmässigkeit zu prüfen. Sofern im eigenen Unternehmen keine fachliche Kompetenz hierzu vorhanden ist, würde ich raten, externe Datenschutzexperten beizuziehen – schliesslich tritt das Gesetz per 1. September 2023 ohne Übergangsfristen in Kraft.
Wie kann der Channel hier Unterstützung bieten?
Auch der Channel muss sich mit den neuen Anforderungen auseinandersetzen und sich fragen, was dies für die Kunden bedeutet. Für uns als Abacus ist dabei klar: Auch wir unterstützen diesen Prozess, stellen dem Channel entsprechende Informationen zur Verfügung und stehen bei Anliegen beratend zur Seite.
Die Antworten der weiteren Teilnehmenden des Podiums:
- Markus Naef, Bexio: "Der Channel ist ein wertvoller Sparringspartner, wenn es darum geht, nDSG-konform aufzutreten."
- Roger Walter, Consultinform: "Wir alle sitzen im selben Boot – helfen wir uns gegenseitig; das macht uns gemeinsam stärker!"
- Sandra Witte, BSI: "Eine Software kann nicht automatisch die Einhaltung von Datenschutz gewährleisten."