2022 wird das totalrevidierte Datenschutzgesetz (revDSG) in Kraft treten. Im Mittelpunkt des revDSG stehen persönlich identifizierbare Informationen (PII), anhand derer die Identität einzelner Personen abgeleitet werden kann. Unternehmen sollten bereits jetzt beginnen, ihre Datenschutzmassnahmen nach den neuen Vorgaben auszurichten.
Peter Mätzler, Senior Business Development Manager bei DataStore AG für comforte zum Thema revDSG im IT-Magazin, Ausgabe Juni 2021.
DataStore hat mit comforte die passende Lösung im Programm
Unternehmen müssen sicherzustellen, dass die Bearbeitung der Personendaten rechtmässig ist. Hierzu ist Wissen und Überblick über die Gesamtheit der Datensätze im Unternehmen unabdingbar. Das revDSG verlangt daher ein Verzeichnis sämtlicher Datenbearbeitung („Verzeichnis der Datenbearbeitungen“). Weiters gilt, dass die Datenbearbeitung ab der Planung so gestaltet sein muss, dass die Datenschutzvorschriften und insbesondere die Bearbeitungsgrundsätze eingehalten werden (Privacy by Design).
Zudem müssen die Voreinstellungen so eingestellt sein, dass die Bearbeitung von Personendaten auf das für den Verwendungszweck notwendige Mindestmass beschränkt ist, soweit die betroffene Person nicht etwas anderes bestimmt (Privacy by Default).
So hilft datenbezogener Datenschutz
Die Verantwortlichen in Unternehmen müssen also, um Personendaten effektiv schützen zu können, wissen, welche Daten vorliegen und wo diese zu finden sind (‚Bearbeitungsverzeichnis‘). Im ersten Schritt sind eine Ermittlung und Klassifizierung der vorliegenden Daten durchzuführen. Danach ist festzulegen, wie die Daten am besten zu schützen sind. Herkömmliche Datenschutzmethoden, wie z.B. die Verschlüsselung von Speichermedien, greifen hier meist zu kurz.
Eine effektive Massnahme, um Personendaten zu schützen, ist die Tokenisierung von sensitiven Daten. Bei der Tokenisierung werden sensitive Daten (z.B. Kreditkarten-, Sozialversicherungs-, Mobiltelefonnummer, etc.) mit einem Algorithmus unkenntlich gemacht und durch einen Token ersetzt. Dieser Token hat das gleiche Format wie das ursprüngliche Datenelement und kann von nachgelagerten Anwendungen verwendet werden. Der Token hat für einen Hacker keinen Wert.
First steps
Auch wenn das revDSG erst 2022 in Kraft tritt, sind alle Bearbeiter von Personendaten angehalten, die Regelungen des revDSG bereits heute umzusetzen. Im ersten Schritt sollte eine Bestandsaufnahme der Datenbearbeitungen (Personendaten) durchgeführt werden, um anschliessend, im Rahmen einer Gap-Analyse, den datenschutzrechtlichen Handlungsbedarf festzustellen.
Für weiterführende Informationen zu den technisch möglichen Lösungen rund um den Datenschutz lesen Sie bitte die Kurzfassung von comforte’s Datenschutzlösungen.
Interessiert? Weitere Fragen beantwortet Ihnen:
Peter Mätzler
Senior Business Development Manager
E-Mail: peter.maetzler@datastore.ch