Gastbeitrag 23.06.2023, 07:30 Uhr

Der Blick von aussen hilft

Unternehmen müssen in der Schweiz ab September verschärfte Datenschutz­regeln beachten. Spezialisierte Tools und Dienstleister helfen, den neuen Pflichten nachzukommen und Mitarbeitende vor Geldbussen zu bewahren.
Sind Sie bereit für das neue Schweizer Datenschutzgesetz?
(Quelle: Shutterstock/Mehaniq)
Das totalrevidierte Bundesgesetz über den Datenschutz (DSG) tritt am 1. September 2023 in Kraft.Es stärkt die Rechte der Schweizer Bürgerinnen und Bürger im Digitalzeitalter und hebt den Datenschutz auf ein mit den EU-Staaten vergleichbares Niveau. Für Unternehmen und ihre Mitarbeitenden geht das mit neuen Pflichten einher, denen sie bis zum Start des Gesetzes nachkommen müssen. Dafür benötigen sie in der Regel spezialisierte Lösungen, die helfen, einen Überblick über die erfassten Personendaten zu erhalten und alle Datenbearbeitungen lückenlos zu dokumentieren. Mit händischer Suche und manuell gepflegten Listen lässt sich das angesichts umfangreicher und schnell wachsender Datenbestände längst nicht mehr leisten. Darüber hinaus können externe IT-Dienstleister eine wertvolle Hilfe sein, weil sie mit ihrem Wissen und ihrer Erfahrung bei der Entwicklung der notwendigen Konzepte und Strategien sowie der Auswahl und Einführung geeigneter Lösungen unterstützen. Mit ihrem Blick von aussen sind sie in der Lage, ungeeignete Prozesse und Schutzmassnahmen zu erkennen oder Daten zu identifizieren, die datenschutzrechtlich relevant sind, vom Unternehmen selbst aber nicht als solche eingestuft wurden.

Neues Recht bringt neue Pflichten

Zu den neuen Pflichten laut DSG zählt die Information der betroffenen Bürgerinnen und Bürger bei jeder Beschaffung von Personendaten. Ausserdem müssen Unternehmen ihnen auf Anfrage eine Auskunft erteilen, welche Daten sie zu welchem Zweck bearbeiten, woher diese Daten stammen und wie lange sie aufbewahrt werden. Bestimmte Datenschutzverstösse sind künftig dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) zu melden, und schliesslich muss auch ein genaues sowie jederzeit aktuelles Verzeichnis sämtlicher Datenbearbeitungen geführt werden. Insbesondere für Unternehmen mit komplexen System- und Prozesslandschaften kann das anspruchsvoll sein, weil es wie bisher nicht mehr ausreicht, nur punktuell Datenschutz-Sachverhalte zu erfassen. Dabei stehen die Mitarbeitenden in der Pflicht, dies gewissenhaft zu erledigen, da sie mit dem neuen Datenschutzgesetz neuerdings persönlich haftbar sind. Verstossen sie etwa vorsätzlich gegen Informations- und Auskunftspflichten oder verletzen Sorgfaltspflichten, droht eine Geldbusse von bis zu 250 000 Franken.

Was sich sonst für Mitarbeitende verändert

Mit dem neuen DSG kommen weitere neue Aufgaben auf Führungspersonal und viele Mitarbeitende zu:
CEOs zum Beispiel müssen sicherstellen, dass ihr Unternehmen DSG-konform agiert, also müssen sie Awareness für den korrekten Umgang mit Personendaten schaffen und die Einhaltung der neuen Informations-, Dokumentations-, Auskunfts- und Meldepflichten einfordern. Zu ihren Aufgaben zählt auch, Prozesse und Massnahmen unternehmensweit zu koordinieren, da Datenschutz alle Fachbereiche betrifft. Sie müssen die Zusammenarbeit fördern und mit den Fachbereichsverantwortlichen Risiken für das Unternehmen sowie für die betroffenen Personen identifizieren.
CIOs müssen dafür sorgen, dass Personendaten richtig geschützt sind. Sie müssen unter anderem Massnahmen zur Überwachung der Zugriffe, zur korrekten Konfiguration der Systeme und zur Schulung der Mitarbeitenden umsetzen. Sie tragen die Verantwortung für die Auswahl der richtigen Technologien und die datenschutzkonforme Gestaltung von Schnittstellen zu Dritten, die Zugriff auf personenbezogene Daten benötigen. Das alles ist mit vielen strategischen Entscheidungen verbunden, die zahlreiche Risiken bergen. Fachkundige Beratung bei der Konzept- und Strategieentwicklung sowie der Technologieauswahl vermögen diese Risiken zu minimieren. Unterstützung bei der Projektumsetzung stellt darüber hinaus sicher, dass Zeitpläne und Budgets eingehalten und alle Ziele erreicht werden.
CISOs wiederum tragen die Gesamtverantwortung für IT- und Informationssicherheit sowie Datenschutz. Sie müssen die Security-Strategie, -Prozesse und -Kultur an das DSG anpassen und Mitarbeitende beim datenschutzkonformen Umgang mit Personendaten begleiten. Ihre Aufgabe ist ebenso, sensible Daten zu identifizieren und technische sowie organisatorische Massnahmen zu deren Schutz umzusetzen – ohne ein Datenschutz-Management-System ist das kaum zu schaffen. Dieses hilft überdies bei Audits und dem Nachweis der DSG-Compliance. Es ist zudem sinnvoll, die bestehenden IT-Systeme und Anwendungen von externen Fachleuten dahingehend prüfen zu lassen, ob sie den neuen Anforderungen entsprechen und überhaupt weiter eingesetzt werden können.

Externe Dienstleister können helfen

Unterstützung erhalten Unternehmen bei all diesen Herausforderungen von Dienstleistern, die nicht nur datenschutzspezifische, sondern auch die branchentypischen Herausforderungen kennen.
Gemeinsam können sie die Einführung von Tools vorantreiben, welche die Erfassung und Bearbeitung von Datenschutzsachverhalten erleichtern, indem sie unter anderem weitgehend automatisiert ein Verzeichnis der Datenbearbeitungen anlegen, Compliance Checks vornehmen, durch Datenschutzfolgeabschätzungen führen und beim Ablauf von Aufbewahrungsfristen informieren. Solche Tools helfen allen Mitarbeitenden, die mit Personendaten arbeiten und daher für die Einhaltung der gesetzlichen Anforderungen verantwortlich sind.
Dazu kommt, dass erfahrungsgemäss in einem Unternehmen meist mehr Personendaten im Umlauf sind, als man vermutet. Umso wichtiger sind Lösungen, die einen Überblick über den Bestand liefern und sicherstellen, dass alle Daten datenschutzgerecht gespeichert sind und am Ende von Aufbewahrungsfristen zuverlässig und belegbar gelöscht werden. Im Umgang mit den Tools brauchen die Mitarbeitenden Schulungen, damit sie diese effizient und fehlerfrei bedienen und ihren Tätigkeiten ohne Angst vor Datenschutzverletzungen und persönlichen Bussen nachgehen können.

Passende Lösung finden

Letztlich gibt es nicht eine Checkliste, ein Tool oder eine Verfahrensweise, die für alle Unternehmen passt. Jedes Unternehmen ist einzigartig und muss individuell vorgehen – etwas, das bei einem komplexen Thema wie dem totalrevidierten DSG deutlich leichter fällt, wenn externe Spezialistinnen und Spezialisten hinzugezogen werden, die Konzepte und Lösungen entwickeln, die genau zu den jeweiligen Anforderungen und Verhältnissen in einem Unternehmen passen.
Der Autor
Hansjörg Süess
adesso
Hansjörg Süess ist CEO und Verwaltungsratspräsident von adesso Schweiz. www.adesso.ch



Das könnte Sie auch interessieren