Revidierte Verordnung zum Datenschutzgesetz

Revidierte Verordnung zum Datenschutzgesetz

Artikel erschienen in IT Magazine 2021/09

Das Risiko bestimmt die Massnahmen

Das E-VDSG verfolgt den bisherigen Risiko-basierten Ansatz weiter. Dies wird schon im ersten Teil sichtbar: die für die IT-Sicherheit zuständige Person muss sich um die minimalen Vorgaben an die IT-Sicherheit kümmern.

In Art. 2 werden die folgenden Schutzziele angesprochen (momentan in Art. 9):
- Zugriffskontrolle
- Zugangskontrolle
- Datenträgerträgerkontrolle (vorher Personendatenträgerkontrolle)
- Speicherkontrolle
- Benutzerkontrolle
- Bekanntgabekontrolle
- Wiederherstellung *
- Verfügbarkeit *
- Zuverlässigkeit *
- Datenintegrität *
- Erkennung *

Weggefallen sind die Transport- und die Eingabekontrolle. Die mit * markierten sind neu erwähnt. In Art. 2j steht dazu: «Es wird gewährleistet, dass alle Funktionen des Systems zur Verfügung stehen (Verfügbarkeit), auftretende Fehlfunktionen gemeldet werden (Zuverlässigkeit) und gespeicherte Personendaten nicht durch Fehlfunktionen des Systems beschädigt werden können (Datenintegrität).» Jedes Unternehmen sollte diesen Punkt erfüllen. Die verschiedenen Ausfälle und negativen Nachrichten zeigen aber ein anderes Bild. Dazu kommt Art. 2k: «Erkennung: Verletzungen der Datensicherheit können rasch erkannt und Massnahmen zur Minderung oder Beseitigung der Folgen eingeleitet werden.» Ein Monitoring ist also Pflicht. Jedoch nicht eines, das einfach vor sich hin loggt, sondern Alarm schlägt, sollte etwas nicht mehr rund laufen.

Verschärft wurde auch die Protokollierung (Neu Art. 3, Alt Art. 10). Wenn aus der Datenschutz-Folgenabschätzung (DSFA) herauskommt, dass trotz Massnahmen ein erhöhtes Risiko für die Persönlichkeit oder deren Grundrechte besteht, sind das Speichern, Verändern, Lesen, Bekanntgeben, Löschen oder Vernichten zu protokollieren. Dazu gibt der Punkt 3 klare Anweisungen, wie die Protokollierung zu erfolgen hat: «Die Protokollierung gibt Aufschluss über die Art des Bearbeitungsvorgangs, die Identität der Person, die die Bearbeitung vorgenommen hat, die Identität der Empfängerin oder des Empfängers sowie den Zeitpunkt, an dem die Bearbeitung erfolgt ist.» Während die Logdaten während eines Jahres aufbewahrt werden mussten, sind es nun deren zwei. Und zwar getrennt vom System, auf welchem die Daten erhoben wurden. Dies macht auch Sinn, sollte ein System ausfallen, sind die Logdaten dennoch verfügbar. Wichtig ist auch, dass diese ­Daten nur für Personen zugänglich sind, denen die Überwachung der Datenschutzvorschriften oder die Wiederherstellung der Daten obliegen. Eine Trennung von Funktionen ist daher im Organigramm/Stellenbeschreibung unbedingt vorzusehen.

Bearbeitung Personendaten

Neu dazugekommen ist die Pflicht ein Bearbeitungsreglement zu erstellen, wenn umfangreich besonders schützenswerte Personendaten bearbeitet werden oder ein Profiling mit hohem Risiko durchgeführt wird. In Art. 4, Punkt 2 sind die Mindestangaben an dieses Reglement aufgelistet. Dieses gilt es regelmässig zu aktualisieren und der datenschutzverantwortlichen Person zur Verfügung stehen.

Das Führen von Verzeichnissen der Bearbeitungstätigkeiten ist Pflicht. Hier gibt es in Artikel 26 aber eine Ausnahme. Unternehmen mit weniger als 250 Mitarbeitende sowie natürliche Personen sind davon befreit, wenn sie nicht umfangreich besonders schützenswerte Personendaten bearbeiten oder kein Profiling mit hohem Risiko durchführen.

Wird die Bearbeitung von Personendaten einem Auftragsbearbeiter übertragen, bleibt der Verantwortliche weiterhin zuständig. Er muss sicherstellen, dass die Daten vertrags- oder gesetzesgemäss bearbeitet werden. Untersteht der Auftragsbearbeiter dem nDSG nicht, so muss sich der Verantwortliche vergewissern, dass andere gesetzliche Bestimmungen einen gleichwertigen Datenschutz gewährleisten. Andernfalls muss er diesen auf vertraglichem Wege sicherstellen.

Im Artikel 25 werden die Aufgaben der Datenschutzberaterin / -berater konkretisiert. Dazu gehören:

- Prüfung der Bearbeitung von Personendaten, inkl. deren Voraussetzung
- Empfehlung von Korrekturmassnahmen, wenn eine Vorschrift verletzt wird / wurde
- Wirkt bei der Erstellung von Datenschutz-Folgenabschätzungen mit

Dazu ist es notwendig, dieser Person die notwendigen Ressourcen zur Verfügung zu stellen sowie Zugang zu allen Auskünften, Unterlagen, Verzeichnissen der Bearbeitungstätigkeiten und Personendaten gewähren.

Der Artikel 8 geht dann auf die Bekanntgabe von Personendaten ins Ausland oder eines internationalen Organs ein. Dazu werden fünf Punkte aufgelistet, unter anderem internationale Verpflichtungen, die Achtung der Menschenrechte, geltende Gesetzgebung zum Datenschutz, Rechtsschutz der Betroffenen und dem Funktionieren von unabhängigen Behörden. Bei Unsicherheit kann dabei auf die Staatenliste des EDÖB zurückgegriffen werden.

Neu sind die Standarddatenschutzklauseln (Art.10), die der EDÖB vorgibt: Der EDÖB veröffentlicht eine Liste von Standarddatenschutzklauseln, die er genehmigt, ausgestellt oder anerkannt hat. ­Zusätzlich definiert Artikel 11, dass verbindliche unternehmensinterne Datenschutzvorschriften für alle Unternehmen, die zum selben Konzern gehören, gelten.

Das Kapitel 2 definiert die Pflichten des Verantwortlichen und des Auftragsbearbeiters. Diese teilen die Information über die Beschaffung von Personendaten in präziser, verständlicher und leicht zugänglicher Form mit. Wird dies mit Piktogrammen umgesetzt, die elektronisch dargestellt werden, so müssen diese maschinenlesbar sein. Ein sehr guter Ansatz stellt der Verein Privacy Icons unter https://privacy-icons.ch/ in vier Sprachen zur Verfügung. Diese dürfen für die eigene Homepage kostenlos verwendet werden.

Neuen Kommentar erfassen

Anti-Spam-Frage Vor wem mussten die sieben Geisslein aufpassen?
Antwort
Name
E-Mail
GOLD SPONSOREN
SPONSOREN & PARTNER