Neues Schweizer Datenschutzgesetz (DSG): Wo besteht Handlungsbedarf?

Neues Schweizer Datenschutzgesetz (DSG): Wo besteht Handlungsbedarf?

Das Parlament hat am 25. September 2020 des revidierten Schweizer Datenschutzgesetzes (DSG) angenommen. Nach dem Ablauf der Referendumsfrist wird der Bundesrat über dessen Inkrafttreten bestimmen, voraussichtlich Anfang/Mitte 2022. Da im Gesetz keine Übergangsfristen vorgesehen sind, gilt es nun mit den Umsetzungsarbeiten zu beginnen.

Das revidierte DSG und die DSGVO
DSGVODas revidierte DSG wurde in vielen Passagen von der europäischen Datenschutz-Grundverordnung (DSGVO) inspiriert. Es ist aber keine "verschweizerte" Kopie derselben, sondern geht in den enthaltenen Regelungen teilweise eigene Wege. Unternehmen, die bereits DSGVO-konform sind, haben allerdings eine gute Grundlage, um konform zum revidierten DSG zu werden. Sie kommen aber nicht um eine Zusatzprüfung und einige Nacharbeiten herum.

Als Beispiel für die Abweichung kann die ausdrückliche Einwilligung der betroffenen Person gesehen werden. Diese ist nach DSG nur nötig für ein Profiling mit hohem Risiko oder wenn besonders schützenswerte Personendaten bearbeitet werden. Keine ausdrückliche Einwilligung braucht es, wenn diese zweckgebunden und den im Gesetz beschriebenen Grundsätzen folgend bearbeitet werden. Zu diesen zählt unter anderem, dass die Bearbeitung rechtmässig und verhältnismässig erfolgen muss.

Verantwortliche, Auftragsbearbeiter und Unterauftragsbearbeiter
Das revidierte DSG nennt verschiedene Rollen mit unterschiedlichen Pflichten im Bearbeitungsprozess. Verantwortlich ist jene Person, die über "den Zweck und die Mittel der Bearbeitung entscheidet". Für die Einhaltung des Datenschutzes ist also jene Person verantwortlich, die entscheidet, wie die Datenbearbeitung erfolgt. Der Auftragsbearbeiter bearbeitet Daten im Auftrag eines oder mehrerer Kunden. Die Bezeichnung Unterauftragsbearbeiter kommt im Gesetzestext nicht vor, allerdings darf ein Auftragsbearbeiter einem Dritten Daten zur weiteren Bearbeitung übertragen, wenn er über die entsprechende Bewilligung des Verantwortlichen verfügt.
SIEM
Der Verantwortliche nimmt seine Verantwortung wahr, indem er die Risiken, welche sich durch die Bearbeitung ergeben, einschätzt und wo nötig reduziert. Übergibt er Tätigkeiten einem Auftragsbearbeiter, muss er sich vergewissern, dass dieser in der Lage ist, die Datensicherheit zu gewährleisten. Typischerweise wird er dies mithilfe entsprechender Verträge regeln und über Kontrollen beim Auftragsbearbeiter nachvollziehbar prüfen.

Datensicherheit
Verantwortliche wie auch allfällige Auftragsbearbeiter müssen mit technischen und organisatorischen Massnahmen für angemessene Datensicherheit sorgen. Da es verschiedenste Möglichkeiten gibt, deren Wirkung sich teilweise überlappen und auch beeinträchtigen, ist nicht vorgeschrieben, welche im konkreten Fall umgesetzt werden müssen. Die Forderung ist, dass die gewählten Massnahmen geeignet sind, die Vertraulichkeit, Integrität und Verfügbarkeit der bearbeiteten Daten möglichst zu gewährleisten. Die konkrete Anforderung ergeben sich auch aus den im revidierten DSG genannten zwei Prinzipien Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen.

Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen
Die zwei Prinzipien Privacy-by-Design und Privacy-by-Default besagen, dass die Bearbeitung so ausgestaltet werden muss, das adäquate organisatorische und technische Massnahmen zum Einsatz kommen. Auch die Voreinstellungen sind sicherzustellen, damit die Bearbeitung auf "das für den Verwendungszweck nötige Mindestmass beschränkt ist". Adäquat sind Massnahmen dann, wenn sie sich für den Schutz der Datenbearbeitung eignen. Dabei wird auch das Risiko für den Betroffenen berücksichtigt.
Auskunft-1
Beispiele für entsprechende Massnahmen präsentieren wir am Business Breakfast Online vom 28. Januar 2021. Zur Anmeldung geht es hier.

https://discover.firstframe.net/events/