Das neue Datenschutzgesetz steht vor der Tür – Vorzüge einer Gap-Analyse

Das neue Datenschutzgesetz steht vor der Tür – Vorzüge einer Gap-Analyse

03/2021 Fachbeitrag Datenschutz Swiss Infosec AG

 

Fast vier Jahre hat es gedauert, bis das Parlament letzten Herbst die Revision des Schweizer Datenschutzrechts verabschiedet hat. Nun liegt es am Bundesrat, die Datenschutzverordnung anzupassen, damit diese zusammen mit dem neuen Datenschutzgesetz (DSG) im Verlauf des Jahres 2022 in Kraft treten kann.

Die Revision des DSG führte zu zahlreichen Angleichungen an die EU-Datenschutz-Grundverordnung (DSGVO) und stellt besonders Organisationen, welche sich nicht bereits an den strengen Vorgaben der DSGVO ausrichten, vor neue Herausforderungen. Aber auch für Organisationen, die den letzten Sprung im Datenschutz mit der DSGVO im Frühling 2018 machten, dürfte die Zeit reif sein, den Massnahmenbedarf neu zu evaluieren.

 

Ist meine Organisation auf das neue Datenschutzgesetz (NDSG) vorbereitet?

Diese Frage werden sich dieses Jahr viele Organisation stellen müssen, da diverse Änderungen und namentlich verschiedene neue Governance-Pflichten anstehen und für die Umsetzung keine Übergangsfrist vorgesehen ist, d.h. die neuen gesetzlichen Anforderungen ab dem Inkrafttreten erfüllt werden müssen. Da gerade der Aufwand für die Anpassung gewisser Prozesse nicht unterschätzt werden darf, lohnt es sich, bereits jetzt den Handlungsbedarf zu analysieren und mit der Umsetzung von Massnahmen zu beginnen.

 

Gap-Analyse zur Bestimmung des Handlungsbedarfs

Wie üblich werden bei einer Gap-Analyse der Status Quo (Ist-Zustand) ermittelt und dann mit den zukünftigen gesetzlichen Mindestvorgaben abgeglichen (Soll-Zustand). Anhand der Gegenüberstellung können dann im Ergebnis Massnahmen abgleitet werden, um sich vom Ist-Zustand dem Soll-Zustand anzunähern.

 

Konkretes Vorgehen

In einem ersten Schritt kann anhand einer groben Risikoanalyse der Scope der Gap-Analyse geeignet begrenzt werden. Beispielsweise kann sich eine Fokussierung auf die neuen Governance-Pflichten als sinnvoll herausstellen.

In einem zweiten Schritt erfolgt die Durchführung von Interviews und die Zusammenstellung der (falls vorhanden) bestehenden Dokumentation und deren anschliessende Auswertung. Die erlangten Kenntnisse (Ist-Zustand) werden mit den gesetzlichen Vorgaben des NDSG (Soll-Zustand) abgeglichen, um etwaige Lücken festzustellen. Inhaltlich kann der Gap-Analyse-Report aufgegliedert werden nach einem Management Summary, allgemeinen Angaben (z.B. Ausgangslage, Gegenstand der Prüfung, Vorgehen) und einer Übersicht über die anwendbaren Soll-Vorgaben. Das Kernstück des Gap-Analyse- Reports bildet sodann die Datenschutzanalyse. Hierbei werden die Ergebnisse der Interviews und der Dokumentenprüfung den Vorgaben des NDSG gegenübergestellt.

 

Priorisierung bei Umsetzung von Massnahmen

Grundlage für die Priorisierung der Umsetzung bildet die Risikobewertung. Regelmässig empfiehlt es sich, dabei folgende Faktoren zu berücksichtigen: Datenmenge, Sensibilität der Daten, Vorliegen eines Profilings, Bekanntgabe an Dritte und/oder Auslandbekanntgabe. Beachtung verdienen insbesondere auch diejenigen nicht befolgten Pflichten, deren Missachtung mit einer Busse (neu nach NDSG: CHF 250'000.-) bestraft werden können. Dazu gehören unter anderem Verletzungen von Informations-, und Auskunftspflichten, oder von Vorgaben zur Datenbekanntgabe ins Ausland bzw. bei einer unzureichend ausgestalteten Auftragsbearbeitung.

 

Vorzüge einer Gap-Analyse durch Externe

Eine strukturierte und gut geplante Herangehensweise ist unerlässlich, damit Ihr Unternehmen das neue Datenschutzgesetz fristgerecht umsetzen kann. Externe Spezialisten können dabei von grossem Nutzen sein, da sie über das erforderliche Know-how verfügen, Sie von Anfang an kompetent beraten und bis hin zur NDSG-Compliance führen können. Aufgrund ihrer Erfahrung können Sie von Expertentipps profitieren und stellen somit sicher, dass Sie die gesetzlichen Mindestanforderungen erfüllen, praktisch bewährte Lösungen in datenschutzrechtlicher Hinsicht in Ihre Prozesse integrieren und Sie von Beginn weg die richtigen Prioritäten setzen.

 

Gerne beantworten wir Ihre Fragen und unterstützen Sie bei der Einhaltung von Schweizer Datenschutz und DSGVO.  

Swiss Infosec AG; 24.02.2021

Kompetenzzentrum Datenschutz, +41 41 984 12 12, infosec@infosec.ch

 

datenschutz

 

Datenschutz


Datenschutz greift auch in unsere Lebensprozesse ein

Datenschutz ist allgegenwärtig und begleitet uns im Berufsalltag wie auch im Privatleben. Erfahren Sie bei uns alles über Beratung, Ausbildung und Services im Fachbereich Datenschutz und wie wir Sie als erfahrene Datenschutzspezialisten unterstützen können.

Kontaktieren Sie uns, denn wir wissen, welche Daten wie zu schützen sind!

Wir beraten Sie gerne. +41 41 984 12 12, infosec@infosec.ch

Mehr lesen