Oct 5, 2021 von Monika Stucki, Florence Gassmann
Wissen Sie, wo und wie in Ihrem Unternehmen Personendaten bearbeitet werden? Sind organisatorische und technische Sicherheitsmassnahmen zum Schutz der Daten umgesetzt? Werden die Grundsätze des Datenschutzes bei der Bearbeitung von Personendaten beachtet? Mit Inkrafttreten des neuen Schweizer Datenschutzgesetzes werden die Vorgaben noch strenger und die Einhaltung dieser anspruchsvoller. Im zweiten Beitrag dieser Blogreihe zeigen wir Ihnen, welche Vorgaben bei der Bearbeitung von Personendaten im Alltag wichtig sind und wie Sie sich damit auseinandersetzen können.
Der Lebenszyklus von Personendaten entsteht mit dem Erstellen oder Sammeln von Daten, die sich auf eine bestimmte oder bestimmbare Person beziehen (mehr dazu im ersten Beitrag der Blog-Serie). Sind die Daten einmal beschafft, gibt es unzählige Möglichkeiten der Bearbeitung. Während das Schweizer Datenschutzgesetz (DSG) «das Beschaffen, Aufbewahren, Verwenden, Umarbeiten, Bekanntgeben, Archivieren oder Vernichten von Daten» dazu zählt (Art. 3 lit. e DSG), versteht das neue Datenschutzgesetz (nDSG) darunter auch die reine Speicherung der Daten (Art. 5 lit. d nDSG).
Zudem unterscheidet das nDSG die Löschung und die Vernichtung von Daten und weicht mit der Bezeichnung Veränderung vom Begriff des Umarbeitens ab. Die Datenschutz-Grundverordnung (DSGVO) der EU, welche von einer Verarbeitung spricht, geht sogar noch weiter ins Detail und hält beispielsweise das Auslesen und Abfragen, den Abgleich, die Verknüpfung oder die Einschränkung als weitere Bearbeitungstätigkeiten fest (Art. 4 Ziff. 2 DSGVO).
Gemein haben die drei gesetzlichen Grundlagen, dass die eingesetzten Mittel und Verfahren nicht relevant sind. Es spielt also keine Rolle, ob die Personendaten in einem System oder auf Papier vorliegen und ob sie nach einem konkreten Prozess oder «freihändig» bearbeitet werden. Kurz gesagt bedeutet das, sobald Sie in Ihrem Unternehmen Personendaten haben, sollten Sie sich mit den Vorgaben des Datenschutzes auseinandersetzen.
Eine der zentralsten Vorgaben sind die Grundsätze des Datenschutzes. Neben der bereits im ersten Beitrag erwähnten Transparenz dürfen Personendaten sowohl gemäss Schweizer Recht (Art. 4 und 5 DSG sowie Art. 6 nDSG) als auch nach Art. 5 DSGVO nur bearbeitet werden, wenn
Art. 6 Abs. 4 nDSG sowie Art. 5 Ziff. 1 lit. e DSGVO sehen zudem eine Speicherbegrenzung vor, welche eine Vernichtung oder Anonymisierung von Personendaten voraussetzt, sobald der ursprüngliche Zweck der Bearbeitung erfüllt ist und die Daten nicht mehr benötigt werden.
Ein weiterer elementarer Schwerpunkt der rechtlichen Grundlagen betrifft die Sicherheit der Daten (Art. 7 DSG, Art. 8 nDSG sowie Art. 32 DSGVO). Unternehmen müssen demnach mit angemessenen technischen und organisatorischen Massnahmen sicherstellen, dass die Personendaten während der gesamten Bearbeitung – von der Beschaffung bis zur Vernichtung – vor unberechtigten Handlungen als auch unvorhergesehenen Ereignissen geschützt werden. Art. 8 des nDSG sowie Art. 32 der DSGVO konkretisieren dabei die Angemessenheit der Massnahmen, indem sie einen risikobasierten Ansatz voraussetzen. Bei einer Risikobeurteilung im Rahmen des Datenschutzes wiederum sollten die Folgen für die betroffenen Personen und insbesondere die Auswirkungen auf deren Persönlichkeits- und Grundrechte im Fokus stehen, die sich aus einer Bearbeitung ergeben.
Die Verordnungen zum Schweizer Datenschutzgesetz (VDSG) sowie die DSGVO geben Mindestanforderungen an die Datensicherheit vor, welche die Schutzziele der Vertraulichkeit, der Integrität sowie der Verfügbarkeit adressieren und zur Sicherstellung der Nachvollziehbarkeit beitragen. So soll durch entsprechende Massnahmen beispielsweise verhindert werden, dass Personen ohne Berechtigungen auf Personendaten zugreifen und diese kopieren, offenlegen, manipulieren oder gar löschen können. Tritt dennoch ein Vorfall ein, welcher etwa den Verlust oder die Manipulation von Personendaten zur Folge hat, soll die Wiederherstellung der Personendaten sowie der Zugriff darauf schnell gewährleistet werden können. Der Vorentwurf der überarbeiteten Verordnung zum nDSG führt hierzu auch die Anforderung ins Feld, dass solche und andere Verletzungen der Datensicherheit schnell erkannt werden können müssen – ob diese nun absichtlich oder unabsichtlich geschehen.
Welche Sicherheitsmassnahmen umgesetzt werden, und ob diese technischer oder organisatorischer Natur sind, ist neben der Sensitivität und dem Schutzbedarf der Daten letztendlich auch abhängig von den Ressourcen und Strukturen eines Unternehmens.
Damit Sie den Datenschutzanforderungen gerecht werden können, müssen Sie wissen, wo und wie Sie Personendaten bearbeiten und welche Massnahmen zum Schutz dieser Daten bereits bestehen. In unseren Empfehlungen zeigen wir Ihnen, wie Sie Ordnung schaffen und Optimierungspotenzial erkennen.
Die DSGVO und zukünftig auch das nDSG verlangen die Führung eines Verzeichnisses über die Bearbeitungstätigkeiten. Sowohl das nDSG als auch die DSGVO geben dabei vor, welche Angaben mindestens in einem solchen Verzeichnis zu erfassen sind, wobei unter anderem folgende Themen abgedeckt sind:
Erstellen Sie bereits heute ein Verzeichnis und halten Sie darin fest, im Rahmen welcher Tätigkeiten Sie Personendaten bearbeiten. Bei der Erstellung des Verzeichnisses sollten Sie sich an die für Sie anwendbare gesetzliche Grundlage halten, da sich die Vorgaben in einigen Details unterscheiden können.
Da die Gesetze keine Vorgaben bezüglich der Gestaltung machen, empfiehlt es sich allenfalls sogar, das Verzeichnis im Sinne einer Bestandsaufnahme auszuweiten. So lässt sich beispielsweise gut abbilden, ob eine Information von Betroffenen sowie deren Einwilligungen notwendig und vorhanden sind. Oder es fallen während der Bearbeitung von Gesuchen zu Betroffenenrechten unter Umständen weniger Fragen über mögliche Datenbestände an, wenn eingesetzte Systeme bereits erfasst werden.
Sobald Sie im ersten Schritt Ihre Bearbeitungstätigkeiten dokumentiert haben, sollten Sie prüfen, ob die Grundsätze des Datenschutzes eingehalten sind. Mindestens folgende Fragen sollten Sie sich bei jeder Tätigkeit stellen:
Wird eine der Fragen mit Nein beantwortet, sollten Sie die Bearbeitung überdenken und diese gegebenenfalls ändern oder ganz einstellen.
Haben Sie alle relevanten Bearbeitungstätigkeiten erfasst, gilt es die Lücken zu ermitteln. Dabei kann es sich einerseits um reine Wissenslücken handeln, wenn etwa Details zu einer Bearbeitungstätigkeit nicht bekannt sind. Andererseits kann das Verzeichnis verdeutlichen, wo die Grundsätze des Datenschutzes nicht oder nur unzureichend eingehalten werden. Je nach Detaillierungsgrad eines Verzeichnisses kann beispielsweise herausgelesen werden, ob und wo ausreichende technische und organisatorische Massnahmen vorhanden sind oder ob die Aufbewahrung bzw. Löschung von Personendaten den Anforderungen des Datenschutzes gerecht werden.
Wie Sie Lücken in Bezug auf die Informationspflicht identifizieren können, wurde bereits im ersten Beitrag zur Beschaffung von Personendaten aufgezeigt. In Bezug auf die Datenbekanntgabe ins Ausland finden Sie ausserdem Empfehlungen in unserem früheren Beitrag zum Swiss-US-Privacy Shield.
Die Umsetzung von Massnahmen ist in der Regel immer mit Aufwänden verbunden, sowohl finanziellen als auch personellen. Haben Sie die Lücken identifiziert, ist es daher nicht zwingend sinnvoll, jede dieser Lücken sofort zu schliessen.
Prüfen Sie zuerst den Schutzbedarf der Personendaten und identifizieren Sie die Risiken, die sich für Ihr Unternehmen und für die betroffenen Personen ergeben. Bedenken Sie dabei, dass ein Risiko für Sie belanglos erscheinen mag, dieses aber ein hohes Risiko für die Persönlichkeits- und Grundrechte von Betroffenen bedeuten kann.
Haben Sie die Risiken identifiziert und beurteilt, gilt es zu entscheiden, welche der Risiken wie adressiert werden sollen oder ob Sie allenfalls sogar Risiken akzeptieren.
Auf Basis Ihrer in Empfehlung Nr. 4 erarbeiteten Risikobeurteilung können Sie nun spezifische Massnahmen planen. Hier empfiehlt es sich, die Mindestanforderungen der gesetzlichen Vorgaben zum Datenschutz beizuziehen und sich an diesen zu orientieren.
Da die Umsetzung gerade von grösseren oder ressourcenintensiven Massnahmen nicht immer sofort erfolgen kann, ist es ausserdem sinnvoll, diese zu priorisieren. Beachten Sie dabei auch allfällige Abhängigkeiten, die zwischen den Massnahmen bestehen oder entstehen können.
Haben Sie Massnahmen umgesetzt, können Sie im Sinne der kontinuierlichen Verbesserung natürlich wieder mit Nr. 1 beginnen und die Dokumentation aktualisieren.
Sie haben den Überblick verloren und wollen einfach nur wissen, wo Sie stehen und was Sie noch brauchen? Sie wünschen sich einen Partner, der mit Ihnen richtig aufräumt? Unsere Spezialisten helfen Ihnen, das richtige Vorgehen und die passenden Massnahmen für Ihr Unternehmen zu planen und umzusetzen.
Teil drei unserer Datenschutz Blog-Reihe erscheint in einer Woche mit dem Thema “Aufbewahrung und Löschung von Personendaten”.
Datenschutz (1 / 4): Beschaffung von Personendaten
Datenschutz (2 / 4): Umgang mit Personendaten
Datenschutz (3 / 4): Aufbewahrung und Löschung
Datenschutz (4 / 4): Datenschutz-Managementsystem (DSMS)