Das neue Datenschutz­gesetz als Chance

Seit der Einführung des Datenschutzgesetzes im Jahr 1992 hat sich die Technologie rasant entwickelt. Smartphones, Social Media, Cloud-Anwendungen, künstliche Intelligenz und ähnliche Technologien haben die Art und Weise, wie wir Daten verarbeiten und teilen, grundlegend revolutioniert. Angesichts dieser fortschreitenden Entwicklungen war es längst überfällig, das Gesetz zu überarbeiten und an die veränderten Bedingungen anzupassen. Besonderes Augenmerk liegt dabei auf der Verbesserung der Transparenz bei Datenverarbeitungen, der Stärkung der Selbstbestimmung der betroffenen Personen und der Sicherung des grenzüberschreitenden Datenverkehrs. Es gewährt den Schweizer Bürgern neue Rechte beim Schutz ihrer personenbezogenen Daten und legt strengere Massnahmen für Unternehmen fest, die Zugang zu solchen Daten haben möchten. Das nDSG ist darauf ausgerichtet, den Schutz der Privatsphäre zu gewährleisten und im öffentlichen wie im privaten Sektor den Datenschutz zu stärken. Das schafft ein Gleichgewicht zwischen den Interessen der Bürger und den Anforderungen moderner datenverarbeitender Unternehmen.

Das neue Datenschutzgesetz erfordert den Einsatz effektiver technischer und organisatorischer Massnahmen (TOMs). Sie bilden das Rückgrat des Datenschutzes und tragen zur systematischen und kontinuierlichen Verbesserung der Datenschutzpraktiken bei. Die Anwendung von TOMs ist vielfältig: von der sicheren und insbesondere verschlüsselten Datenverarbeitung und -speicherung, über Zugangskontrollen bis hin zur Schulung der Mitarbeiter. Es ist wichtig zu betonen, dass TOMs keinen statischen Zustand darstellen. Sie erfordern eine ständige Anpassung und Aktualisierung, um mit den Entwicklungen in der IT-Sicherheitslandschaft und den Anforderungen des Datenschutzgesetzes Schritt zu halten. Robuste und aktuelle TOMs stärken nicht nur die Sicherheit und den Schutz personenbezogener Daten, sondern tragen auch zur allgemeinen nachhaltigen Entwicklung eines Unternehmens bei. Sie senken das Risikoprofil, stärken das Vertrauen in das Unternehmen und verbessern die Wettbewerbsfähigkeit.

Bevor TOMs implementiert oder eingeführt werden können, ist es entscheidend zu wissen, welche Daten genau im Unternehmen verarbeitet werden. Denn nur wer den Überblick über seine Datenlandschaft hat, kann einen wirksamen Datenschutz und die gesetzlich vorgeschriebenen Betroffenenrechte sicherstellen – unter anderem das Recht auf Auskunft, Berichtigung und Löschung persönlicher Daten. Das Verzeichnis der Bearbeitungstätigkeiten, eine Art Dateninventar, ist daher der erste und wesentliche Schritt im Rahmen des Datenschutzmanagements. Es ermöglicht Unternehmen, Transparenz über ihre Datenverarbeitungsprozesse und externen Datenverarbeiter zu schaffen, Risiken zu identifizieren und gezielt Schutzmassnahmen zu ergreifen. Dies trägt nicht nur zur Erfüllung der gesetzlichen Anforderungen des nDSG bei, sondern verbessert auch das allgemeine Verständnis und den Umgang mit Daten innerhalb des Unternehmens.

«Privacy by Design» und «Privacy by Default» sind zwei elementare proaktive Datenschutzkonzepte im nDSG. Ersteres integriert Datenschutz von Anfang an in die Entwicklung von Produkten, Dienstleistungen oder Prozessen. Das umfasst die Implementierung von Datensparsamkeit, Verschlüsselung und anderen Schutzmassnahmen. Das soll von vornherein mögliche Datenschutz- und Datensicherheitsrisiken minimieren. Das Prinzip «Privacy by Default» wiederum schreibt die datenschutzfreundlichsten Einstellungen als Standard vor. Damit sollen Personendaten von Beginn an optimal geschützt werden, ohne dass die Nutzer selbst erst Einstellungen vornehmen müssen. Die Umsetzung dieser Konzepte geht damit über blosse Compliance hinaus und fördert die Entstehung von Lösungen, die den Datenschutz von Anfang an in den Vordergrund stellen und das Vertrauen der Nutzerinnen und Nutzer gewinnen.

Eine Datenschutz-Folgenabschätzung (DSFA) ist ein essenzielles Risikomanagement-Instrument, um den Schutz personenbezogener Daten in Unternehmen und Organisationen sicherzustellen. Gemäss dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) ist eine DSFA eine vorbeugende Massnahme, die es ermöglicht, Datenschutzrisiken im Vorfeld von datenverarbeitenden Aktivitäten zu identifizieren und zu bewerten. Sie dient dazu, potenzielle Risiken für die Privatsphäre und die Rechte der Betroffenen zu minimieren. Die DSFA enthält eine umfassende Analyse der Datenverarbeitungsprozesse, um Risiken zu erkennen und angemessene Schutzmassnahmen zu ergreifen. Dabei sollten alle relevanten Faktoren berücksichtigt werden, einschliesslich der Art der Daten, der Verarbeitungszwecke, der technischen und organisatorischen Sicherheitsmassnahmen sowie der möglichen Auswirkungen auf die Betroffenen. Die DSFA ist somit ein zentraler Bestandteil eines wirksamen Datenschutzmanagements und unterstützt Unternehmen und Organisationen dabei, potenzielle Datenschutzverletzungen zu vermeiden und einen verantwortungsbewussten Umgang mit personenbezogenen Daten zu gewährleisten.

«Privacy by Design» und eine Datenschutz-Folgenabschätzung dienen gemeinsam als zentrale Enabler für Unternehmensprojekte und Innovationen. Indem Datenschutz von Beginn an in den Entwicklungsprozess integriert wird und mögliche Risiken frühzeitig identifiziert und behandelt werden, fördert diese Herangehensweise nicht nur die rechtliche Compliance, sondern auch die Akzeptanz und das Vertrauen der Menschen in das jeweilige Vorhaben. Für Unternehmen, die diese Prinzipien erfolgreich implementieren und kultivieren, stellt dies eine grundlegende Strategie dar, die sowohl mit den gesetzlichen Anforderungen im Einklang steht als auch die Marktposition durch erhöhte Glaubwürdigkeit stärkt.

Die Einhaltung des neuen Datenschutzgesetzes und die Umsetzung der daraus resultierenden Datenschutzanforderungen können durch den Einsatz eines professionellen Datenschutz-Tools für Unternehmen erleichtert werden. Der toolgestützte Ansatz ermöglicht eine schnellere nDSG-Konformität und erlaubt es, zentrale Datenschutzaktivitäten effizient und gesetzeskonform abzuwickeln. So können Privacy-by-Design-Checks, Datenschutz-Folgenabschätzungen, das Führen eines Verzeichnisses von Bearbeitungstätigkeiten, die Dokumentation und Meldung von Datenschutzverletzungen sowie das Handling von Betroffenenanfragen vereinfacht werden. Insgesamt kann ein Unternehmen mit einem Datenschutz-Tool sowohl seine eigene Integrität wahren als auch eine konsistente und einheitliche Umsetzung des Datenschutzes gewährleisten.