Eine dokumentierte Bestandsaufnahme ist Grundlage für die regelmässige Überprüfung der Effektivität sowie Effizienz der getroffenen, risikobasierten Massnahmen über die gesamte Bearbeitungsdauer. Daher ist es wichtig, frühzeitig den Erreichungsgrad der in der Verordnung spezifizierten Schutzziele zu prüfen und gegebenenfalls zusätzliche Massnahmen zu implementieren.
Risiken und Bekanntgabe ins Ausland
Weisen Bearbeitungstätigkeiten laut Datenschutzfolgenabschätzung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der Betroffenen auf, müssen die Bearbeitungsvorgänge umfassend protokolliert werden. Diese Protokolle sind getrennt vom protokollierten System für mind. ein Jahr aufzubewahren. Datenschutzfolgenabschätzungen sind schriftlich festzuhalten und während mind. zwei Jahren nach Beendigung der Datenbearbeitung aufzubewahren. Eine umfangreiche Bearbeitung besonders schützenswerter Personendaten oder Profilings mit hohem Risiko verpflichten, je ein Bearbeitungsreglement für automatisierte Bearbeitungstätigkeiten zu erstellen und aktuell zu halten. Bei Cloud Computing resp. Bekanntgabe von Personendaten ins Ausland, muss das Zielland einen angemessenen Datenschutz gewährleisten. Entsprechende Länder werden im Anhang der Verordnung geführt oder mit speziellen Garantien erreicht wie Datenschutzvertragsklauseln. Periodische Beurteilungen des Datenschutzniveaus des Ziellandes sind notwendig. Fällt die Beurteilung negativ aus, ist die Bekanntgabe zu unterbinden. Mindestanforderungen an den Inhalt der Standardvertragsklauseln sind in der Verordnung.
Das neue Datenschutzgesetz stärkt die Betroffenenrechte. Jedes Begehren muss schriftlich und nach korrekter Identifizierung des Anstragstellers erfolgen, wobei eine Mitwirkungspflicht erwartet wird. Die Reaktion auf ein Betroffenenrecht muss innerhalb von 30 Tagen kostenlos erfolgen. Fällt ein unverhältnismässiger Aufwand an, können Sie von der antragstellenden Person eine Aufwandsbeteiligung von bis zu 300 CHF verlangen. Gründe für eine Verweigerung, Einschränkung oder den Aufschub der Auskunft sind innerhalb selbiger Frist mitzuteilen. Zur transparenten Beweisführung sollte dies entsprechend dokumentiert und aufbewahrt werden.
Dank des Inventars sind die Kategorien der bearbeiteten Personendaten und wo diese erhoben wurden bekannt. So können Sie die Betroffenen in präziser, verständlicher und leicht zugänglicher Art über die Beschaffung der Personendaten informieren. Der EDÖB muss bei einer Verletzung der Datensicherheit «so rasch als möglich» über Art und Inhalt informiert werden. Sollten bei Kenntnisnahme des Vorfalls noch nicht alle notwendigen Informationen vorhanden sein, können Sie zuerst nur bekannte Grundangaben mitteilen und die restlichen Informationen «so rasch als möglich» ergänzen. Auch sind die Betroffenen über die Art und die Auswirkungen von Verletzungen zu informieren, sofern dies deren Schutz dient. Dokumentieren Sie diese Verletzungen vollumfänglich und bewahren Sie die Dokumentation ab dem Zeitpunkt der Meldung für mind. drei Jahre auf.
Neu sind vorsätzliche Verletzungen der Sorgfalts- bzw. Informations- und Auskunftspflichten strafbar und können mit einer Busse von bis zu 250’000 CHF für natürliche Personen geahndet werden. Somit machen sich Mitarbeitende strafbar, welche vorsätzlich handeln, also bereits von einem Verstoss wissen und die Auswirkungen bewusst in Kauf nehmen. Die Möglichkeit besteht, dass nicht nur Datenschutzberatende, sondern auch die Führungsetagen direkt gebüsst werden.
Unser Fazit
Datenschutz muss auf allen Stufen thematisiert werden – mehr noch, eine regelmässige Schulung ist nicht Kür, sondern Pflicht. Dies verhindert mögliche Reputationsschäden aber auch den Schutz der Mitarbeitenden vor illegalen, strafbewehrten Handlungen. Datenschutz-Compliance ist wie Informationssicherheit kein fixer, einmal erreichter Zustand, sondern besteht vielmehr aus einer Vielzahl von in sich greifenden, sich stetig verfeinernden Prozessen. Zur Formalisierung ist ein kontinuierlicher Verbesserungsprozess notwendig, der auch zukünftigen Veränderungen bzw. Anforderungen und neuen Bearbeitungen Rechnung trägt. Auch wenn das neue Gesetz erst im September 2023 in Kraft treten wird, bleibt doch wenig Zeit für Hausaufgaben. Prioritär sind die Inventarerstellung und die eigene Datenschutzorganisation. Das Gesetz tritt ohne Übergangsfrist in Kraft. Interne Prozesse und Verantwortlichkeiten sollten frühzeitig angegangen und somit die «Schonfrist» aktiv genutzt werden, um ein späteres «Nachsitzen» zu vermeiden.
DER AUTOR
Daniel Däppen ist Senior Cyber Security Consultant beim Schweizer Cyber-Security Experten InfoGuard AG in Baar/Zug. Davor war er als Informationssystem- un Sicherheitsspezialist beim EDÖB tätig und weist langjährige Erfahrung als ICT Security Engineer & Architect auf.
