Der aspectra-Blog seit 2012

Neues Datenschutzgesetz – Pragmatische Tipps gegen Halbwissen und Unsicherheit

Gut zwei Monate bevor das neue Schweizer Datenschutzgesetz (nDSG) in Kraft tritt, empfing aspectra Kundinnen, Kunden und weitere Interessierte zum nDSG-Breakfast. Dass viele schon frühmorgens nach Glattbrugg reisten, zeugt von grossem Interesse. Dafür gab es pragmatische Umsetzungs-Tipps aus erster Hand und einen Überblick auf die Massnahmen, welche die Profis von aspectra für den Schutz von Personendaten umsetzen.

Das über 30-jährige Schweizer Datenschutzgesetz wird per 1. September abgelöst. «Die neue Regelung ist für viele noch ein Schreckgespenst. Ihm wollen wir mit dem heutigen Anlass den Schrecken etwas nehmen.», sagte Norbert Benz, Leiter Marketing & Sales aspectra, einleitend. Und damit hat er nicht zu viel versprochen. Alexander Hofmann, Senior Advisor bei LAUX LAWYERS AG, gab wichtige Tipps für die pragmatische Umsetzung und räumte mit seiner Expertise und klaren Handlungsempfehlungen Unsicherheiten aus dem Weg.

Datenschutz ist Personenschutz

Hofmann beruhigte einleitend: «So komplex ist das neue Gesetz gar nicht». Es gehe vielmehr darum, über das Gute zu sprechen, das man damit tue: Transparenz schaffen, betroffenen Personen mehr Rechte geben, Datensicherheit sicherstellen und alles dokumentieren. «Wir schützen in erster Linie betroffene Personen und nicht Personendaten», betonte Hofmann. Um KMUs bei der pragmatischen Umsetzung zu unterstützen, wurde mit dp/Services ein praxisorientiertes Tool geschaffen. Dieses begleitet Unternehmen Schritt für Schritt und stellt alle wichtigen Vorlagen zur Verfügung, die es für die Erfüllung des Datenschutzgesetzes braucht. Weiter stellt LAUX LAWYERS AG 7 Leitsätze und 7 To-Dos als Handlungsempfehlungen vor. (Siehe Infografik im aspectra-Newsletter 2023/2) . 

Datensicherheit ist die halbe Miete 

Vertraulichkeit, Integrität und Verfügbarkeit sicherzustellen, ist essenziell für den Schutz von Personendaten. Nicht nur im Hinblick auf das Datenschutzgesetz, sondern auch für mehr Resilienz und Schutz vor Cyberkriminalität. aspectra schützt ihre eigenen Daten und die oftmals sehr sensiblen Daten ihrer Kundinnen und Kunden systematisch mit inklusiven Sicherheitsmassnahmen. Darüber hinaus bietet sie ihrer Kundschaft unterstützende Massnahmen für die eigenen Applikationen und sorgt gleichzeitig für Sicherheit auf den Ebenen Server, Netzwerk, physische Sicherheit, Mitarbeitende und Unternehmen. Norbert Benz dazu: «Wenn die Datensicherheit gewährleistet wird, erfüllt man bereits einen grossen Teil des nDSG.»

Konkrete Tipps für eine pragmatische und korrekte Umsetzung

Was müssen Schweizer Unternehmen und Organisationen ab dem 1. September tun, damit sie datenschutzkonform sind? Mit diesen 7 To-Dos ist man auf der sicheren Seite:

  1. Datensicherheit: Implementieren und dokumentieren Sie technische und organisatorische  Massnahmen (TOM) und sorgen Sie dabei für eine klare Zuteilung von Aufgaben, Zuständigkeiten und Kompetenzen.
  2. Ausgangslage erfassen: Erstellen Sie ein Bearbeitungsverzeichnis mit Angaben von Applikationen, Kategorie der Personendaten, Zweck, Motivation, Art der Bearbeitung und Vereinbarungen.
  3. Transparenz Kundschaft und Kontakte: Erstellen Sie eine allgemeine Datenschutzerklärung mit den Mindestinformationen. Verwenden Sie dafür eine geeignete Vorlage.  
  4. Transparenz für Mitarbeitende: Erstellen Sie eine Datenschutzerklärung speziell für Ihre Mitarbeitenden.
  5. Organisation im Unternehmen: Bereiten Sie sich auf Fragen und spezielle Situationen vor. Legen Sie pragmatische interne Richtlinien und Prozesse für die Orientierung und Handlungsbefähigung von Mitarbeitenden fest. Stellen Sie Musterschreiben zur Verfügung.
  6. Verträge mit Dienstleistenden: Verschriftlichen oder überprüfen Sie die Verträge auf datenschutzrechtliche Richtigkeit und Vollständigkeit (insb. Datenbearbeitungsvereinbarung).
  7. Vor der Bekanntgabe ins Ausland: Prüfen Sie die Notwendigkeit von datenschutzrechtlichen Massnahmen (vor allem bei Ländern, die nicht konform mit dem Schweizer Datenschutzgesetz sind und Partnerfirmen, die Support Center im Ausland haben) und dokumentieren Sie diese ausreichend. Zusatztipp: Dienstleistende (grosse Firmen wie Google) bieten Standardverträge zum Download. Diese gilt es aber ebenfalls zu prüfen.

Und wo liegt der Unterschied zwischen der Europäischen Datenschutz-Grundverordnung (DSGVO) und dem neuen Schweizer Gesetz? Die Antwort von Hofmann: «Die Schweizer Lösung ist pragmatischer. Hat man bereits ein DSGVO-Umsetzungsprojekt gemacht, erfüllt man die Vorgaben des nDSG im Grossen und Ganzen ebenfalls.»

Wir wünschen eine gute Vorbereitung und erfolgreiche Umsetzung. aspectra und LAUX LAWYERS unterstützen Sie gerne dabei.