Stichtag 1.09.2023: Sind deine Prozesse Datenschutzkonform oder besteht das Risiko einer Busse? (Interview)

Stichtag 1.09.2023: Sind deine Prozesse Datenschutzkonform oder besteht das Risiko einer Busse?

Portrait Daniel BurgwinkelIm September dieses Jahres tritt das neue Datenschutzgesetz (DSG) in Kraft. Dieses Gesetz hat umfangreiche Auswirkungen auf Schweizer Firmen und die Art, wie diese personenbezogenen Daten bearbeiten. Wir haben zu diesem Thema ein Interview mit Daniel Burgwinkel geführt und ihm die wichtigsten Fragen zum neuen Datenschutzgesetz gestellt. Daniel Burgwinkel beratet Unternehmen bezüglich digitalem Datenmanagement, ist Partner beim Kompetenzzentrum Records Management und Dozent an Hochschulen für Blockchain und Cyber-Security-Management.

 

Am 01.09.2023 tritt das revidierte Datenschutzgesetz (DSG) in der Schweiz in Kraft. Welche Änderungen beinhaltet das revidierte Gesetz?

Das revidierte Datenschutzgesetz (DSG) tritt in der Schweiz am 1. September 2023 in Kraft. Unternehmen müssen bis zu diesem Datum technische und organisatorische Massnahmen umgesetzt haben, um Personendaten gemäss den neuen rechtlichen Vorgaben zu schützen. Bei Verstössen gegen das Datenschutzgesetz drohen Strafen bis zu 250.000 CHF. Diese Gesetzesänderung betrifft alle in der Schweiz ansässigen Unternehmen, welche ihren Geschäften in der Schweiz nachgehen. In der EU tätige Schweizer Unternehmen sind schon seit 2018 verpflichtet, das europäische Datenschutzgesetz DSGVO einzuhalten. Neu im Schweizer DSG ist, dass die verantwortlichen Personen (z.B. der Verwaltungsrat sowie die Geschäftsleitung) persönlich haften, wenn das Datenschutzgesetz nicht eingehalten wird und sie ihre Sorgfaltspflicht verletzen.

Mit dem neuen DSG und den steigenden Risiken in Bezug auf Cybersecurity kommt einiges an Arbeit auf Schweizer Unternehmen zu. Diese müssen sicherstellen, dass die Sammlung, Speicherung und Verarbeitung von personenbezogenen Daten den regulatorischen Vorgaben entsprechen. Zudem müssen sie jederzeit in der Lage sein, alle gespeicherten Daten zu einer Person in der Organisation zu finden und der betroffenen Person Auskunft über diese Daten zu geben. Unternehmen müssen für die Speicherung von Personendaten eine rechtliche Grundlage vorweisen bzw. eine Einverständniserklärung der Person einholen. Bei vielen Unternehmen wurde bisher die Löschung von Personendaten vernachlässigt. Und zwar nicht nur im Newsletter-Tool, sondern auch im Verzeichnis des Kundensupports, der Patientendatenbank oder dem Rechnungswesen.

Was bedeutet das für die Firmen in der Schweiz? Wie sind die Firmen heute aufgestellt?

Aktuell kann man die Firmen in der Schweiz in zwei Gruppen unterteilen:

Schweizer Unternehmen, welche auch in der EU tätig sind, sollten schon bei der Einführung der europäischen Datenschutzgrundverordnung (DSGVO) im Jahr 2018 Schritte zur Verbesserung des Datenschutzes gemacht haben, u.a. mit der Einführung von Rollen wie Datenschutzverantwortliche und Mitarbeiterschulungen.

Für Unternehmen, welche primär den Schweizer Markt bearbeiten und keine Niederlassungen im Ausland haben, gilt seit 1992 das Schweizer Datenschutzgesetz. Für diese Unternehmen stellt sich nun die Herausforderung die gestiegenen Anforderungen des neuen DSG zu erfüllen: Sie müssen durch geeignete Prozesse sicherstellen, dass die Gesetzesvorgaben eingehalten werden.

Was ist die grösste Herausforderung für Unternehmen, in Bezug auf Prozesse und das neue Datenschutzgesetz?

Ein Unternehmen muss alle Prozesse identifizieren in denen Personendaten verarbeitet werden. Diese müssen in einem «Verzeichnis der Bearbeitungstätigkeiten» dokumentiert werden. Für alle Unternehmen über 250 Mitarbeiter bzw. für kleine Unternehmen, welche sensitive Personendaten verarbeiten (wie zum Beispiel Hausarztpraxen), ist dies Pflicht. Aber auch für KMUs unter 250 Mitarbeiter ist diese Prozessübersicht sinnvoll und notwendig, um die richtigen Datenschutzmassnahmen zu ergreifen. Hier kommt das Prozessmanagement ins Spiel. Es muss eine Liste mit sämtlichen Prozessen für die Bearbeitung von Personendaten angelegt werden und es muss intern geklärt werden, wer für den Datenbestand und die ordnungsgemässe Löschung verantwortlich ist.

Eine weitere Herausforderung sind die Kopien der personenbezogenen Daten, welche in einem Unternehmen umherschwirren. Das Verzeichnis der Bearbeitungstätigkeiten muss den IST-Zustand abbilden, bei dem klar ersichtlich wird, wo genau welche Daten bearbeitet und/oder gespeichert werden. In der Praxis sind jedoch viele Kopien der Personendaten wiederum in einer Vielzahl von IT-Systemen verteilt. Dabei sind Kopien in E-Mail-Systemen, Newslettern, Fileservern und in der Cloud nur einige Beispiele.

Welche Schritte sind im Kontext Prozessmanagement nötig, damit eine Unternehmung bis im September alle nötigen Vorkehrungen in Bezug auf das revidierte Datenschutzgesetz getroffen hat?

Es ist wichtig, die eigenen Tätigkeiten zu hinterfragen, die Prozesse aufzunehmen und genau zu kontrollieren, wo überall Personendaten gesammelt und gespeichert werden und wie genau mit den Daten umgegangen wird.

  1. Schritt: Das Erstellen des «Verzeichnis der Bearbeitungstätigkeiten», also eine Liste mit allen Prozessen, in denen personenbezogene Daten verarbeitet, gesammelt oder gespeichert werden
  2. Schritt 2: Analyse, welche personenbezogenen Daten gespeichert oder bearbeitet werden, wo genau diese überall erfasst werden und ob Kopien der Daten erstellt werden
  3. Schutz der personenbezogenen Daten: Festlegen, wie die personenbezogenen Daten geschützt werden (Datensicherheit) und wie eine vollständige Löschung sichergestellt werden kann

Was sind die Erfolgsfaktoren für den richtigen Start eines Datenschutzprojektes und wie kann die prozessraum AG unterstützen?

Die Einführung bzw. Anpassung der Prozesse auf die Anforderungen des neuen DSG ist keine Aufgabe für eine Einzelperson in der Unternehmung. Alle relevanten Stakeholder und die Geschäftsleitung müssen in das Projekt involviert werden. Ausserdem müssen die Fachabteilungen und IT-Experten zusammenarbeiten, um die Aufbewahrungs- und Löschprozesse anzupassen. Als Experte für digitales Datenmanagement sehe ich oft, wie Personendaten im Unternehmen über viele Applikationen verteilt sind und das Unternehmen keinen gesamthaften Überblick hat. Hier können Prozessvisualisierungen helfen, z.B. mit dem Tool kyro von der prozessraum AG.

Ein weiterer Erfolgsfaktor für eine solche Transformation ist die Begleitung durch ein Change Management. Hier kommt die prozessraum AG ins Spiel. Dank der langjährigen Expertise im Bereich Prozessoptimierung und Transformation kann die Veränderung optimal begleitet werden. Die Gestaltung von geeigneten Prozessen und Softwareunterstützung im Datenschutz kann Unternehmen bei der Erfüllung der Pflichten erheblich unterstützen und dabei Zeitaufwände minimieren und Fehler bzw. Bussen verhindern.

 

Vielen Dank an Daniel Burgwinkel für das spannende Interview. Wir werden demnächst weitere Inhalte zum Thema Datenschutzgesetz und dessen Auswirkungen auf die Prozessoptimierung und Prozesssicherheit veröffentlichen.

Schreibe einen Kommentar