Die neue Schweizer Datenschutzverordnung in der Praxis
Pragmatismus und Nachhaltigkeit bei Datensicherheit und Datenschutz. Inder Schweiz ist seit dem 01. Sept. 2023 ein neues Datenschutzgesetz (Datenschutzverordnung DSV) für Unternehmen in Kraft. Auch dieses Gesetz greift zwar erst, wenn etwas passiert ist, aber die Auswirkungen im Eintrittsfall sind nicht zu unterschätzen. Man sollte sich also besser ernsthaft darauf vorbereiten, bevor man sich mit Datenschutzverletzungen konfrontiert sieht.
Die Verordnung betrifft ausschliesslich Personendaten, denn diese werden vom Gesetz als besonders sensibel und schützenswert beurteilt. Dabei handelt es sich beispielsweise um Informationen wie Namen, Anschriften, Familienstand, Alter, Auto-KZ, Eigentumsverhältnisse, Gehalt etc. Die Verordnung gilt aber auch für Gewohnheiten oder Verhaltensweisen und betrifft sowohl Mitarbeiter als auch Lieferanten- und Kundendaten.
Sofortige Umsetzung, pragmatische Anpassung oder Abwarten?
Man kann selbstverständlich am grossen Rad drehen, sich gleich einen oder mehrere Datenschutz-Berater oder Auditoren einfliegen lassen, die Gefahren als existenziell erklären und alle Mitarbeiter inklusive Management in Angst und Schrecken versetzen oder man macht gar nichts und wartet einmal ab.
Als Ziel sollte immer das Erreichen einer hohen nachhaltigen Schutzwirkung gelten. Das ist sicher bei kleineren KMU’s etwas leichter zu erreichen als bei grösseren. Auch haben unterschiedliche Branchen oft auch sehr unterschiedliche Risiko potentiale.
In jedem Fall wird ein pragmatisches und effizientes Vorgehen empfohlen. Als Erstes sollte immer eine Risikoanalyse der Systeme und Abläufe Klarheit schaffen um diese dann nur soviel wie nötig anzupassen, immer im Bewusstsein, dass unwirksame Massnahmen zu schmerzhaften Konsequenzen führen können.
Was soll durch den Datenschutz sichergestellt werden?
Mit dem Datenschutz soll sichergestellt werden, dass keine Personendaten in falsche Hände geraten oder Schlüsse zum Verhalten von Personen abgeleitet werden können. Dieser Schutz gilt ab der ersten Registrierung von Personendaten oder personenbezogene Informationen und bleibt auch dann bestehen, wenn Mitarbeiter nicht mehr im Unternehmen tätig sind oder keine Geschäftsbeziehungen mehr zu entsprechenden Lieferanten oder Kunden bestehen.
Beim Erfassen, Ändern, Übertragen oder Speichern von personenspezifischen Stamm-oder Bewegungsdaten muss sichergestellt sein, dass der Zugriff des Benutzers auf diese Daten durch smarte Berechtigungskonzepte auf ein Minimum beschränkt wird. Der Benutzer soll ausschliesslich auf Daten zugreifen dürfen, die direkt mit seinen Aufgaben zu tun haben. Berechtigungen müssen dabei laufend optimiert und dokumentiert werden.
Wie können personenbezogene Daten möglichst sicher geschützt werden?
Da man nicht umhin kommt, personenrelevante Daten einmal zu erfassen, sei es für Mitarbeiterin der Personalabteilung, für Personen als Lieferanten in der Beschaffung oder in Kundenaufträgen, sollten diese Daten idealerweise nebst der selektiven Berechtigung nach Möglichkeit verschlüsselt werden. Sämtliche Bewegungsdaten zu Personen sollten idealerweise bereits «by-design» anonymisiert werden, indem Namen in Bewegungsdaten beispielsweise durch Referenznummern ersetzt werden.
Benutzer, die Zugriff auf Personendaten haben, müssen über Handlungsvorschriften den korrekten Umgang mit diesen Daten schriftlich bestätigen. Das kann in einer unterschriebenen Stellenbeschreibung oder im Arbeitsvertrag erfolgen.
Wie werden personenbezogene Datennachhaltig geschützt?
Der technische Datenschutz kann meistens durch funktionale Ergänzungen oder bei modernen Systemen «By Design» in den Anwendungsprogrammen z.B. durchautomatisierte Löschung und weitere Funktionen erfolgen. Weitaus kritischer ist die Sicherstellung des Datenschutzes durch den Benutzer selbst. Hier sind nebst Zugriffsbeschränkungen auch Verhaltensweisen und laufende Schulungen und Tests unerlässlich.
Was ist bei der Archivierung von Personendaten zu beachten?
Das Gesetz schreibt vor, dass Personendaten, die nicht mehr gebraucht werden, umgehend gelöscht werden müssen. Diese Forderung steht oft mit der Aufbewahrungspflicht von Daten im Widerspruch. Hier muss sichergestellt werden, dass die Archivierung von Personendaten getrennt von Dokumenten mit entsprechend kritischen Inhalten erfolgt. Die Archivierung beider Datenkategorien sollte verschlüsselt erfolgen. Leider ist diese Trennung heute nur in wenigen IT-Lösungen möglich. Die Archivierung muss daher oft vorab über eine gezielte Aufteilung der Daten erfolgen.
Welche Risiken müssen besonders im Fokus bleiben?
Menschliche Fehler sind trotz Schulung die hauptsächlichsten Ursachen für die Verletzung von Datenschutzbestimmungen. Kann jedoch nachgewiesen werden, dass Mitarbeiter regelmässig geschult worden sind, ist daraus mindestens keine grobe Fahrlässigkeit abzuleiten. Je nachhaltiger die Weiterbildung erfolgt, desto geringer ist das Risiko einer Schuld.
IT-Systemen verfügen heute oft noch nicht über Funktionen zur Sicherung des Datenschutzes wie beispielsweise automatische Verschlüsselung von Personendaten, Auto-Protokollierung der Abfrage von Personendaten oder Substituierung von Daten durch Referenzzahlen. Umso wichtiger sind hier nachweisbare Benutzerschulungen.
Ein gravierenderes Risikobesteht, wenn IT-Systeme gehackt werden, was leider immer häufiger geschieht. Wenn dadurch personenrelevante Daten gestohlen und publiziert werden oder an Dritte zum Nutzen verkauft werden, kann oft der Verantwortliche des Unternehmens und/oder der verursachende Mitarbeiter haftbar gemacht werden. Hier muss nachgewiesen werden können, dass ausreichende Massnahmen zum Schutz von Personendaten realisiert wurden.
Schlussfolgerung
Verfügt ein Unternehmen über sauber gepflegte Datenstrukturen und Datenbestände, so kann mit einem geringen Aufwand auch der Datenschutz sichergestellt werden. Dazu sind ein paar Analysen sowie technische und organisatorische Massnahmen vorzusehen und umzusetzen und glaubhaft zu dokumentieren.
Sind Daten in unterschiedlichen Systemen in unterschiedlichen Stamm- und Bewegungsdaten-Strukturen vorhanden, empfehlen wir umfangreichere Analysen, die auch Anpassungen von IT-Systemen und Anwendungen mit einschliessen können.
Die Verordnung zum Datenschutz scheint uns alle nicht so direkt zu betreffen. Doch sollte einmal ein solcher Vorfall eingeklagt werden, bei dem personenrelevante Daten an die Öffentlichkeit gelangen, kann diese Verordnung zu sehr schmerzlichen Konsequenzen im Bereich des Strafrechts führen. Es ist also besser, sich rechtzeitig und nachhaltig dem Thema zu widmen – ohne Hektik, aber nachhaltig.
Link zur Datenschutzverordnung und Begleitdokumentendes Bundes:
Neues Datenschutzrecht ab 1. September 2023 (admin.ch)