Das musst Du jetzt wissen im Bereich des nDSG
Das bestehende Datenschutzgesetz der Schweiz stammt aus dem Jahr 1992 und wird sich nun mit dem revidierten neuen Datenschutzgesetz an die Verordnungen der DSGVO / GDPR der EU anlehnen. Voraussichtlich wird dieses nun am 1. September 2023 in Kraft treten. Es sind einige Umfangreiche Änderungen in das nDSG mit eingeflossen. Sowie wird es keine Übergangsfristen geben. Somit, sind am 1. September, wer sich dann nicht vorbereitet hat – bereits vor Strafen und Bussen nicht geschützt.
Das ganze beruht auf einem Datenschutzmanagementsystem
Es besteht nun dringender Handlungsbedarf
Es sind insgesamt 15 neue Änderungen zum bestehenden DSG mit eingefügt worden, sowie 2 Erweiterungen.
Die 8 wichtigsten Änderungen stelle ich vor
- Art. 60 nDSG – Sanktionen (Verletzung von Informations-, Auskunfts- und Mitwirkungspflichten)
- Art. 07 nDSG – Technische Gestaltung und datenschutzfreundliche Voreinstellungen
- Art. 22 nDSG – Datenschutz-Folgeabschätzung
- Art. 12 nDSG – Verzeichnis von Verarbeitungstätigkeiten
- Art. 10 nDSG – Datenschutzbeauftragter
- Art. 24 nDSG – Meldung von Verletzungen der Datensicherheit
-
Art. 49 nDSG – Untersuchung - Art. 03 DSG – wurde erweitert um besonders schützenswerte Personendaten
1. Art. 60 nDSG. Verletzung von Informations-, Auskunfts- und Mitwirkungspflichten (Sanktionen)
Personen, die vorsätzlich gegen das neue Bundesgesetz über den Datenschutz verstossen, können mit einer Busse von bis zu 250’000 Franken bestraft werden. Dabei handelt es sich nicht nur um die Unternehmen, sondern insbesondere die Inhaber der Unternehmen und es geht gar soweit, dass auch Mitarbeiter bei groben Verstössen bestraft werden können. Darin zusätzlich sind die Art. 61 nDSG – Verletzung von Sorgfaltspflichten, Art. 62 nDSG – Verletzung der beruflichen Schweigepflicht, Art. 63 – Missachten von Verfügungen, jeweils ebenso mit CHF 250.000 bestraft werden, sowie Art. 64 nDSG – Widerhandlungen in Geschäftsbetrieben mit CHF 50.000 bestrafen, oder in Umwandlung den Betrieb selbst verurteilen. Art. 65 nDSG – Zuständigkeit. Für die Strafverfolgung sind in Zukunft die Kantonalen Strafverfolgungsbehörden zuständig. Eine Sorgfaltspflicht hinsichtlich der Datensicherheit besteht für den Verantwortlichen ebenfalls. Ebenfalls gleich hoch geahndet wird, wer seine berufliche Schweigepflicht verletzt und dabei vorsätzlich geheime Personendaten offenbart. Grundlage für die Berechnung der Höhe des Bussgeldes stellt Art. 106 Abs. 3 StGB dar. Verschulden und die wirtschaftliche Leistungsfähigkeit werden bei der Berechnung berücksichtigt. Unternehmen, die Datenschutz und Compliance strikt umsetzen, sollten geringere Bussgelder zu befürchten haben.
2. Art. 7 nDSG. Im revidierten DSG sind neu die Grundsätze «Privacy by Design» (Datenschutz durch Technik) und «Privacy by Default» (Datenschutz durch datenschutzfreundliche Voreinstellungen) verankert
Diese beiden Grundsätze verpflichten den Auftragsverarbeiter bereits ab der Planung dafür zu sorgen, dass das Risiko von Datenschutzverletzungen bei der Datenverarbeitung zu verringern, resp. bis auf das noch wirtschaftliche vertretbare Risiko zu reduzieren. In einem früheren Artikel habe ich über die Risikoanalyse geschrieben https://www.linux-magazin.de/ausgaben/2013/08/risikoanalyse/ (de) – https://www.linux-magazine.com/Issues/2013/154/Risk-Analysis (en) – Darin wird deutlich, dass nach einer Formel gehandelt werden kann, die auf die technischen sowie organisatorischen Grundsätze angewandt werden können. Sie lautet: R = S * E (Sie ist das Produkt aus S (Schadensausmass) und E (Eintrittswahrscheinlichkeit). Der Wert für R, das Risiko). Es gilt also in der Planung zu definieren, wie der Wert der Wahrscheinlichkeit eines Eintritts eines Schadens sein wird. Und darauf stützend ist Art. 7 nDSG ( Art. 25 DSGVO). Neben der Planung in der Herausforderung kommt es hier vor allem auf die Ermittlung geeigneter technischer und organisatorische Massnahmen (TOMs / TOP – Art. 8 nDSG) und die Anpassung an die konkrete System- und Softwarearchitektur resp. an die einzelnen Prozesse an. Ausserdem bist du verpflichtet, durch geeignete Voreinstellungen sicherzustellen, dass erforderliche personenbezogene Daten standardmässig nur für den jeweiligen Zweck verarbeitet werden, was als “privacy by default” bezeichnet wird.
3. Art. 22 nDSG – Datenschutz-Folgenbschätzung
Bei der Datenschutz-Folgenabschätzung handelt es sich um nichts anderes als eine strukturierte Risikoanalyse bezüglich eines geplanten Datenverarbeitungsprozesses. Gem. dessen kann das internationale Framework ISO / IEC 31000, in Zusammenhang inhaltlich auch neben ISO / IEC 27001 (Informationssicherheitsmanagementsystem) angewandt werden, oder es eignen sich dazu auch die Grundschutzkataloge des BSI (Standard 200-3) als Anhaltspunkt dazu. Verwiesen sei hier nochmals auf meinen Artikel aus dem Linux Magazin gem. oberer Absatz zu den Grundlagen der Risikoanalyse. Die Mindesanforderungen an eine Datenschutz-Folgeabschätzung an das nDSG sind wie folgt,
- eine Beschreibung der geplanten Bearbeitung
- eine Bewertung der Risiken sowie
- die Massnahmen zum Schutz
Datenverantwortliche und Datenverarbeiter werden somit verpflichtet, eine Datenschutz-Folgenabschätzung durchzuführen, wenn die geplante Datenverarbeitung ein erhöhtes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringt. Die Datenschutzfolgeabschätzung bindet sich damit als Ausgangspunkt zu Art. 7 ein. Mit der Datenschutz-Folgeabschätzung sollte auch ein Datenschutzbeauftragter mit involviert werden (Art. 10 nDSG).
Um die Datenschutzfolgeabschätzung nochmals in einem etwas anderem Kontext zu beleuchten,
Risikoansatz vs. Grundrechtsgewährleistung
Während es dem Datenschutz darum geht, die Rechte jedes Einzelnen zu garantieren, ist das Ziel des Risikomanagements die Reduktion von Risiken auf ein für die Organisation akzeptables Mass. Was für eine Organisation akzeptabel ist, hängt dabei davon ab, welche Mittel zur Abstellung von Risiken zur Verfügung stehen und wie risikofreudig die Organisation (resp. deren Entscheider) ist. Dies führt dazu, dass Risiken, die seltener eintreten, auch mit einem erheblichen Schaden verbunden sein können und weitreichende Konsequenzen nach sich ziehen. RANSOMWARE Angriffe z.B. fallen in solch eine Kategorie, die jedoch nicht selten sind, oder auch Angriffe auf Webshops, wie in diesen Tagen bekannt wurde auf einen renommierten Shop in D-CH Bereich. Wenn wir uns nochmals die Formel R = S * E dazu aufrufen, wird dies deutlich. Denn die Kosten für Prävention sind erheblich niedriger, als das Risiko einzugehen. Im Gegensatz dazu hat der Datenschutz zum Ziel, jede Beeinträchtigung von Betroffenen rechten vollständig zu vermeiden oder zu beseitigen. In dem Fall auf Null zu reduzieren. Dieser Ansatz ist somit also grundsätzlich richtig. Denn wenn ein Kind erst einmal in den Brunnen gefallen ist, dann gilt es nur noch darum, die Aufschlag-härte zu minimieren, anstatt das Kind erst gar nicht hineinfallen zu lassen. Im Grundsatz gilt für den Datenschutz, dass jede Verarbeitung personenbezogener Daten durch Organisationen, auch wenn diese durch Gesetz legitimiert ist, einen Grundrechtseingriff darstellt.
4. Art. 12 nDSG – Verzeichnis von Verarbeitungstätigkeiten
Verantwortliche sowie die Auftragsbearbeiter müssen neu je ein Verzeichnis sämtlicher Datenbearbeitungen – / Verarbeitungen führen. Das Verzeichnis der Verarbeitungstätigkeiten ist aber auch zentraler Baustein eines Datenschutzmanagementsystems, um die Einhaltung des Datenschutzes im Unternehmen sicherzustellen (Compliance). Da das Verzeichnis der Verarbeitungstätigkeiten auf Anfrage einer Aufsichtsbehörde vorgelegt werden muss, sollte sichergestellt sein, dass in diesem Fall nur die Pflichtangaben extrahiert werden können.
Minimalanforderungen sind folgende,
- Zweck der Verarbeitung
- Verarbeitete Datenarten
- Personenkreis, über den Daten verarbeitet werden
- Empfänger
- Angaben zu Übermittlungen in Länder ausserhalb der EU / EWR
- Löschfristen
- Datensicherheitsmassnahmen
Daneben bietet sich an, folgende organisatorische Angaben zu ergänzen:
- Kurzbezeichnung (Titel) der Verarbeitungstätigkeit
- Intern verantwortliche Abteilung und Person
- Datum des Eintrags/der letzten Änderungen
5. Art. 10 nDSG – Datenschutzbeauftragter /in
Private Unternehmen können eine Datenschutzberaterin oder einen Datenschutzberater ernennen. Diese können, müssen aber nicht in einem arbeitsvertraglichen Verhältnis zum Unternehmen stehen. In beiden Fällen sollte die Datenschutzberatung getrennt von übrigen Aufgaben des Unternehmens wahrgenommen werden. Auch empfiehlt es sich, die Geschäfte der Datenschutzberatung nicht mit jenen der übrigen Rechtsberatung und -Vertretung zu vermischen. Im Gegensatz zur DSGVO ist die Ernennung von Beratern und Beraterinnen für Private stets zur freien Wahl.
6. Art. 24 nDSG – Meldung von Verletzungen der Datensicherheit
Gemäss dem Art. 24 nDSG muss der Verantwortliche dem EDÖB Verletzungen der Datensicherheit melden, die für die Betroffenen zu einem hohen Beeinträchtigungsrisiko ihrer Persönlichkeit oder ihrer Grundrechte führen. Gegenüber der DSGVO heisst es im nDSG so rasch wie möglich und in der DSGVO sind max. 72 Stunden verlangt. In der Meldung muss mindestens die Art der Verletzung der Datensicherheit, deren Folgen und die ergriffenen oder vorgesehenen Massnahmen enthalten sein. Im Grunde genommen kann man davon ausgehen, dass Datenverarbeiter oder Auftragsdatenverarbeiter alles tun sollten, damit es zu keinem Vorfall kommt, denn der Verlust von Daten, oder eines Cybervorfalls zieht immer einen Image Schaden mit sich. Es kann weiter davon ausgegangen werden, dass in Zukunft die gemeldeten Vorfälle öffentlich Pseudonymisiert zugänglich gemacht werden könnten.
7. Art. 49 nDSG – Untersuchung
In Zukunft werden alle Verstösse gegen das nDSG durch Bundesorgane oder private Personen von Amtes wegen untersucht. Besonders die Deklaration private Personen dürften Sprengstoff bilden, da dies vermutlich eher dem deutschen Abmahn-Wahn gleichkommen dürfte. Die Untersuchung von Straftaten durch Bundesorgane gegen das nDSG sollen von den kantonalen Strafverfolgungsbehörden übernommen werden.
8. Art. 03 DSG – wurde erweitert um besonders schützenswerte Personendaten
Die bisherige Definition der besonders schützenswerten Personendaten wird um genetische und, sofern diese eine natürliche Person eindeutig identifizieren, biometrische Daten erweitert.
Unternehmen sollten vor dem Hintergrund des nDSG dringend die eigenen Massnahmen und Prozesse überprüfen und anpassen. Grundsätzlich sei auch anzumerken, dass auch interne Mitarbeiter eine Gefahr darstellen, insbesondere können interne Mitarbeiter, z.B. in einem gekündigtem Arbeitsverhältnis ebenfalls zu Gefahrenpotential werden. Siehe auch unter TOP = Technische und organisatorische sowie personelle Massnahmen. Dazu gehören auch die richtige Verschlüsselung von Daten und Datenübermittlungen (siehe beispielsweise bei Datenübermittlungen unverschlüsselte e-Mail (Postkarte) sowie die korrekten Anwendung des Need-to-know-Prinzips (der Schlüssel zur Gewährleistung der Integrität und Vertraulichkeit innerhalb eines Unternehmens). Ausserdem sollten strenge Verträge und die korrekte Verwaltung von Dritten und Drittanbietern – die mit personenbezogenen Daten arbeiten, angewandt werden.
Hast Du bereits Massnahmen getroffen? – Oder dürfen wir dich dabei unterstützen?
Kontaktiere uns dazu unter https://IT-Consulting-Ebikon.ch
Download Broschüre-nDSG