Das revidierte Datenschutzgesetz (revDSG) tritt am 1. September 2023 in Kraft. Mit der Revision wird das DSG den veränderten technologischen und gesellschaftlichen Verhältnissen angepasst.
Erschienen im IT-Markt Nr. 08/2022 von Autor Thorsten Daniels, Senior Vice President, comforte AG
Stärkung des Datenschutzes
Mit dem revidierten Datenschutzgesetz wird insbesondere die Transparenz von Datenbearbeitungen verbessert und die Selbstbestimmung der betroffenen Personen über ihre Daten gestärkt. Das revDSG trägt somit der technischen Entwicklung und den Anforderungen der EU-Datenschutzgrundverordnung (DSGVO) Rechnung.
Welche Datensätze sind betroffen?
Das revDSG regelt zukünftig ausschliesslich den Datenschutz von natürlichen Personen und nicht mehr die Daten von juristischen Personen (z.B. GmbH, AG, Vereine). Im Mittelpunkt stehen hierbei persönlich identifizierbare Informationen (PII) anhand derer die Identität einzelner Personen abgeleitet werden kann. Die Liste der besonders schützenswerten Personendaten wird um Daten über die Ethnie, genetische und biometrische Daten, die eine natürliche Person eindeutig identifizieren, erweitert.
Das Gesetz unterscheidet zwischen Profiling und Profiling mit hohem Risiko. Unter Profiling von Personendaten versteht man die automatisierte Bearbeitung von Daten zur Bewertung von bestimmten persönlichen Aspekten einer natürlichen Person. Profiling mit hohem Risiko liegt dann vor, wenn Personendaten automatisiert bearbeitet werden und eine Verknüpfung von Daten die Beurteilung wesentlicher Aspekte der Persönlichkeit erlaubt. Bei Profiling mit hohem Risiko muss immer eine ausdrückliche Einwilligung erfolgen.
Welche Grundsätze der Datensicherheit treffen zu?
Zunächst hat der verantwortliche Datenbearbeiter sicher zu stellen, dass die Bearbeitung der Personendaten rechtmässig ist. Das Wissen und der Überblick über die Gesamtheit der Datensätze im Unternehmen ist unabdingbar. Das revDSG verlangt daher ein Verzeichnis sämtlicher Datenbearbeitung („Verzeichnis der Datenbearbeitungen“) von Unternehmen. Mithin ist dies die Voraussetzung eines effektiven Datenschutzes.
Weiterhin gilt, dass der Verantwortliche die Datenbearbeitung ab der Planung so gestalten muss, dass die Datenschutzvorschriften und insbesondere die Bearbeitungsgrundsätze eingehalten werden (Privacy by Design). Weiter müssen die Voreinstellungen so getroffen sein, dass die Bearbeitung von Personendaten auf das für den Verwendungszweck notwendige Mindestmass beschränkt ist, soweit die betroffene Person nicht etwas anderes bestimmt (Privacy by Default).
Werden die Datensätze nicht mehr benötigt, sind diese zu vernichten oder zu anonymisieren.
Hohe Strafen im Falle einer Verletzung des Datenschutzes
Neu im revDSG ist, dass natürliche Personen bei vorsätzlicher Verletzung der Informations- und Auskunftspflichten sowie der Sorgfaltspflichten mit Busse bis CHF 250'000 bestraft werden können!
Wie datenzentrierter Datenschutz helfen kann
Die Datenschutzanforderungen des revidierten DSG sind hier nur angerissen worden, aber es wird deutlich, dass eine Menge Arbeit auf die betroffenen Unternehmen zukommt. Um Personendaten zu schützen, muss man wissen welche Daten vorliegen und wo diese zu finden sind. Danach ist festzulegen wie die Daten am besten zu schützen sind.
Eine effektive Massnahme, um Personendaten zu schützen, ist die Tokenisierung. Hierbei werden Daten (z.B. Kreditkartennummer, etc.) durch einen Token ersetzt. Dieser Token hat das gleiche Format wie der ursprüngliche Datensatz und kann ohne weiteres von Anwendungen, z.B. zur Datenanalyse, verwendet werden. Diese Verfahrensweise ermöglicht es Unternehmen, den Anforderungen von Datenschutzgesetzen gerecht zu werden und sich vor Datenmissbrauch im Falle eines Angriffs zu schützen.
Rechtzeitig agieren und auf kompetente Unterstützung setzen
Auch wenn das revDSG erst im Jahr 2023 in Kraft treten wird, sind alle Bearbeiter von Personendaten angehalten, die Regelungen bereits heute umzusetzen. Bis zum Inkrafttreten des revDSG ist Unternehmen zu empfehlen, dass sie zunächst eine Bestandsaufnahme ihrer Datenbearbeitungen (Personendaten) durchführen, um anschliessend im Rahmen einer Gap-Analyse den datenschutzrechtlichen Handlungsbedarf festzustellen. Diesen zu eruieren und umzusetzen ist eine grosse Herausforderung. Oft fehlt es an qualifiziertem Personal und entsprechenden Ressourcen. In Zusammenarbeit mit comforte bietet DataStore kompetente Beratung und Unterstützung bei der Planung und Realisierung von Datenschutzprojekten.
Interessiert? Fragen beantwortet Ihnen:
Peter Mätzler
Senior Business Development Manager
E-Mail: peter.maetzler@datastore.ch