Warum eine Software nicht automatisch den Datenschutz gewährleisten kann
Wie wirkt sich die Revision des Schweizer Datenschutzgesetzes (DSG) auf Anbieter und Anwender von Business-Software aus? Wo sind die Fallstricke bezüglich Cloud-Nutzung? Und wie kann der Channel hier Unterstützung bieten? Die Antworten auf diese und weitere Fragen hat Sandra Witte, Datenschutzberaterin bei BSI (Business Systems Integration).
Wie wirkt sich die Revision des Schweizer Datenschutzgesetzes auf die Anbieter von Business-Software aus?
Sandra Witte: Viele Anbieter unterstützen mit ihrer Software schon heute datenschutzrechtliche Aufgaben und Anforderungen, wie sie die DSGVO fordert. Die Revision des DSG als Angleichung an die DSGVO bietet zunächst keine grosse Veränderung. Allerdings geht die Revision mit den Protokollierungspflichten für Bundesorgane und für die Bearbeitung sensibler Personendaten weiter. Dabei betreten wir Neuland, da es noch keine Erfahrungen von Softwareanbietern zur Umsetzung der Protokollierungspflichten gibt. Hier müssen wir eine pragmatische, aber vollumfassende Lösung bieten.
Und welche Auswirkungen hat die Revision für die Anwender?
Für Anwender, die sich schon früh an der DSGVO orientiert haben, gibt es mit der Revision keine Veränderungen – mit Ausnahme der Protokollierungspflichten. Davon sind beispielsweise Krankenkassen betroffen: sie müssen nun alle Bearbeitungstätigkeiten, wie das Speichern, Lesen, Ändern, Bekanntgeben, Löschen und Vernichten protokollieren und das Protokoll gesondert archivieren.
Wo sind die Fallstricke bezüglich Cloud-Nutzung?
Bei einer Bearbeitung in einer Cloud verlassen Daten die eigene Infrastruktur. Das ist besonders dann problematisch, wenn der Cloud-Anbieter ein Unternehmen aus einem datenschutzrechtlich unsicheren Drittland ist. Bei der Cloud-Nutzung sind klare vertragliche Vereinbarungen, sicherheitstechnische Massnahmen und die Transparenz der Lieferkette wichtig.
Was ist zu unternehmen, um nach September 2023 keine bösen Überraschungen zu erleben?
Das Inkrafttreten des neuen DSG im September ist für die Unternehmen ein guter Anlass, um den eigenen Umgang mit datenschutzrechtlichen Anforderungen zu prüfen. Das schliesst auch die Software ein. Bietet die Software nicht die erforderlichen Funktionalitäten zum Datenschutz, empfiehlt es sich, den Kontakt mit den Herstellern zu suchen, um partnerschaftlich eine Lösung zu finden. Hier muss betont werden, dass eine Software nicht automatisch die Einhaltung von Datenschutz gewährleisten kann. Dies hängt vom jeweiligen Anwender, der vorhandenen Systemlandschaft und noch weiteren, unternehmensspezifischen Gegebenheiten ab. Die Software muss jedoch bei der Einhaltung des Datenschutzes unterstützen.
Die Antworten der weiteren Teilnehmenden des Podiums:
- Andrea Tams, Abacus: "Ein Unternehmen sollte sich bereits heute mit den neuen Anforderungen auseinandersetzen."
- Markus Naef, Bexio: "Der Channel ist ein wertvoller Sparringspartner, wenn es darum geht, nDSG-konform aufzutreten."
- Roger Walter, Consultinform: "Wir alle sitzen im selben Boot – helfen wir uns gegenseitig; das macht uns gemeinsam stärker!"