03/2021 – Fachartikel Swiss Infosec AG
Fast vier Jahre hatte es gedauert, bis das Parlament im Herbst 2020 die Revision des Schweizer Datenschutzrechts verabschiedet hat. Am 1. September 2023 tritt das neue Gesetz nun in Kraft.
Die Revision des DSG führte zu zahlreichen Angleichungen an die EU-Datenschutz-Grundverordnung (DSGVO) und stellt besonders Organisationen, welche sich nicht bereits an den strengen Vorgaben der DSGVO ausrichten, vor neue Herausforderungen. Aber auch für Organisationen, die den letzten Sprung im Datenschutz mit der DSGVO im Frühling 2018 machten, dürfte die Zeit reif sein, den Massnahmenbedarf neu zu evaluieren.
Ist meine Organisation auf das neue Datenschutzgesetz (nDSG) vorbereitet?
Diese Frage werden sich dieses Jahr viele Organisation stellen müssen, da diverse Änderungen und namentlich verschiedene neue Governance-Pflichten anstehen und für die Umsetzung keine Übergangsfrist vorgesehen ist, d.h. die neuen gesetzlichen Anforderungen ab dem Inkrafttreten erfüllt werden müssen. Da gerade der Aufwand für die Anpassung gewisser Prozesse nicht unterschätzt werden darf, lohnt es sich, bereits jetzt den Handlungsbedarf zu analysieren und mit der Umsetzung von Massnahmen zu beginnen.
Gap-Analyse zur Bestimmung des Handlungsbedarfs
Wie üblich werden bei einer Gap-Analyse der Status Quo (Ist-Zustand) ermittelt und dann mit den zukünftigen gesetzlichen Mindestvorgaben abgeglichen (Soll-Zustand). Anhand der Gegenüberstellung können dann im Ergebnis Massnahmen abgleitet werden, um sich vom Ist-Zustand dem Soll-Zustand anzunähern.
Konkretes Vorgehen
In einem ersten Schritt kann anhand einer groben Risikoanalyse der Scope der Gap-Analyse geeignet begrenzt werden. Beispielsweise kann sich eine Fokussierung auf die neuen Governance-Pflichten als sinnvoll herausstellen.
In einem zweiten Schritt erfolgt die Durchführung von Interviews und die Zusammenstellung der (falls vorhanden) bestehenden Dokumentation und deren anschliessende Auswertung. Die erlangten Kenntnisse (Ist-Zustand) werden mit den gesetzlichen Vorgaben des nDSG (Soll-Zustand) abgeglichen, um etwaige Lücken festzustellen. Inhaltlich kann der Gap-Analyse-Report aufgegliedert werden nach einem Management Summary, allgemeinen Angaben (z.B. Ausgangslage, Gegenstand der Prüfung, Vorgehen) und einer Übersicht über die anwendbaren Soll-Vorgaben. Das Kernstück des Gap-Analyse- Reports bildet sodann die Datenschutzanalyse. Hierbei werden die Ergebnisse der Interviews und der Dokumentenprüfung den Vorgaben des nDSG gegenübergestellt.
Priorisierung bei Umsetzung von Massnahmen
Grundlage für die Priorisierung der Umsetzung bildet die Risikobewertung. Regelmässig empfiehlt es sich, dabei folgende Faktoren zu berücksichtigen: Datenmenge, Sensibilität der Daten, Vorliegen eines Profilings, Bekanntgabe an Dritte und/oder Auslandbekanntgabe. Beachtung verdienen insbesondere auch diejenigen nicht befolgten Pflichten, deren Missachtung mit einer Busse (neu nach nDSG: CHF 250’000.-) bestraft werden können. Dazu gehören unter anderem Verletzungen von Informations-, und Auskunftspflichten, oder von Vorgaben zur Datenbekanntgabe ins Ausland bzw. bei einer unzureichend ausgestalteten Auftragsbearbeitung.
Vorzüge einer Gap-Analyse durch Externe
Eine strukturierte und gut geplante Herangehensweise ist unerlässlich, damit Ihr Unternehmen das neue Datenschutzgesetz fristgerecht umsetzen kann. Externe Spezialisten können dabei von grossem Nutzen sein, da sie über das erforderliche Know-how verfügen, Sie von Anfang an kompetent beraten und bis hin zur nDSG-Compliance führen können. Aufgrund ihrer Erfahrung können Sie von Expertentipps profitieren und stellen somit sicher, dass Sie die gesetzlichen Mindestanforderungen erfüllen, praktisch bewährte Lösungen in datenschutzrechtlicher Hinsicht in Ihre Prozesse integrieren und Sie von Beginn weg die richtigen Prioritäten setzen.
Gerne beantworten wir Ihre Fragen und unterstützen Sie bei der Einhaltung von Schweizer Datenschutz und DSGVO.
Swiss Infosec AG; 24.02.2021, überarbeitet: 05.05.2023
Kompetenzzentrum Datenschutz, +41 41 984 12 12, infosec@infosec.ch