Markus Naef von Bexio im Podium

Was Unternehmen bezüglich des neuen Datenschutzgesetzes tun sollten

Uhr
von Coen Kaat

Wie wirkt sich die Revision des Schweizer Datenschutzgesetzes (DSG) auf Anbieter und Anwender von Business-Software aus? Wo sind die Fallstricke bezüglich Cloud-Nutzung? Und wie kann der Channel hier Unterstützung bieten? Die Antworten auf diese und weitere Fragen hat Markus Naef, CEO von Bexio.

Markus Naef, CEO von Bexio (Source: zVg)
Markus Naef, CEO von Bexio (Source: zVg)

Wie wirkt sich die Revision des Schweizer Datenschutzgesetzes auf die Anbieter von Business-Software aus?

Markus Naef: In den vergangenen Jahren hat sich viel getan – sowohl in gesellschaftlicher als auch in technologischer Hinsicht, doch vor allem natürlich auch im Bereich Business-Software, wie etwa die verstärkte Nutzung der Cloud oder personalisiertes E-Mail-Marketing der Anbieter.  Bei Bexio werden die Auswirkungen überschaubar sein, da wir uns schon kurz nach Einführung der europäischen DSGVO an jener orientiert und innerhalb unserer Business-Software berücksichtigt haben. Denn schon damals war absehbar, dass in der Schweiz früher oder später eine Angleichung beziehungsweise Revision folgen würde.

Und welche Auswirkungen hat die Revision für die Anwender?

Primär fällt der neue Geltungsbereich auf: Das revidierte DSG beschränkt sich wie die DSGVO auf den Datenschutz natürlicher Personen –  statt wie bisher auch auf Daten juristischer Personen. Unternehmen haben weitergehende Informationspflichten als bisher. Neu müssen Unternehmen die betroffenen Personen über jede Datenbeschaffung angemessen informieren. Nicht wie bisher nur bei besonders schützenswerten Daten, sondern auch dann, wenn die Daten nicht beim Betroffenen selbst erhoben werden. Mitgeteilt werden müssen die Identität und die Kontaktdaten des für die Datenbearbeitung Verantwortlichen, der Bearbeitungszweck, die Empfänger beziehungsweise Kategorien von Empfängern und das Empfängerland bei Datenexport ins Ausland. Hier ist das nDSG sogar strenger als die DSGVO. Unternehmen sind verpflichtet, mit den vorgeschriebenen Angaben ein Verzeichnis der Bearbeitungstätigkeiten zu führen. Dafür entfällt die Pflicht zur Führung eines Verzeichnisses der Datensammlungen. Für Unternehmen bis 250 Beschäftigte – sprich für das Bexio-Segment – kann der Bundesrat Ausnahmen vorsehen. Die Verordnung (nVDSG) liegt noch nicht vor. Unternehmen sind neu verpflichtet, eine Datenschutz-Folgenabschätzung durchzuführen, wenn die Datenbearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen mit sich bringt. Das nDSG regelt auch das Profiling, also die automatisierte Datenbearbeitung, um bestimmte persönliche Aspekte einer Person wie wirtschaftliche Lage, Gesundheit, Interessen, Verhalten, Aufenthaltsort usw. zu bewerten. Im Unterschied zur DSGVO sieht das nDSG keine allgemeine Pflicht zur Einholung einer Einwilligung vor. Diese besteht nur bei Profiling mit hohem Risiko. ­Verletzungen der Datensicherheit, das heisst unbeabsichtigtes oder widerrechtliches Verlieren, Löschen, Vernichten, Verändern oder Unbefugten Zugänglichmachen von Personendaten, müssen neu dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) so schnell wie möglich (gemäss DSGVO innerhalb von 72 Stunden) gemeldet werden, wenn sie voraussichtlich zu einem hohen Risiko für die Betroffenen führen (gemäss DSGVO genügt ein einfaches Risiko). In der Regel muss der Verantwortliche auch die betroffene Person informieren, wenn dies zu ihrem Schutz nötig ist oder der EDÖB es ­verlangt.

Wo sind die Fallstricke bezüglich Cloud-Nutzung?

Wir sehen statt Fallstricken vor allem Chancen. Seitens Bexio sind wir schon seit Jahren als SaaS-Provider unterwegs und somit mit den Anforderungen hinsichtlich Datenschutz bei Cloud-Nutzung vertraut. Neu haben Grundsätze wie Privacy-by-Design und Privacy-by-Default (Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen) Eingang im nDSG gefunden. Diese verpflichten Unternehmen, die Datenbearbeitungsgrundsätze bereits bei der Planung und Ausgestaltung von Applikationen zu berücksichtigen und beispielsweise Einwilligungen von Betroffenen, die über die unbedingt notwendige Datenbearbeitung hinausgehen, nicht durch entsprechende Voreinstellungen zu erreichen. Das SaaS-Angebot von Bexio folgt diesen Grundsätzen schon seit Jahren. Mit Bexio werden Personendaten durch angemessene technische und organisatorische Massnahmen gegen unbefugtes Bearbeiten geschützt. Bexio sorgt unter anderem für Vertraulichkeit, Verfügbarkeit und Integrität der Daten. Im Zusammenhang mit der Cloud-Lösung von Bexio verbleiben sämtliche Daten in der Schweiz.

Was ist zu unternehmen, um nach September 2023 keine bösen Überraschungen zu erleben?

Zu den wichtigsten Massnahmen für Unternehmen zählen unter anderem die Überprüfung und Anpassung der bisherigen Datenschutzerklärung. Im Idealfall sollte eine Datenschutzbeauftragte oder ein Datenschutzbeauftragter ernannt werden, an den man sich bei allen Fragen wenden kann. Ebenso sollten spätestens in diesem Rahmen interne Richtlinien zur Datenbearbeitung erstellt oder, falls schon vorhanden, angepasst werden. Darüber hinaus sollten Unternehmen Privacy-by-Design und Privacy-by-Default ebenso sicherstellen. Zudem gilt es, zu prüfen, dass eine Weitergabe von Daten ausschliesslich in nDSG-konforme Länder erfolgt. Relevant ist es zudem, noch nicht vorhandene Prozesse aufzusetzen, wie etwa einen Prozess zur Meldung von Datenschutzverletzungen und zur Datenschutz-Folgenabschätzung.

Wie kann der Channel hier Unterstützung bieten?

Der Channel kennt seine Kunden und auch Prozesse oft sehr gut und ist unseres Erachtens ein wertvoller Sparringspartner, wenn es für die Kunden darum geht, nDSG-konform aufzutreten. So kann der Channel vor allem im Zusammenhang mit den Prozess-Reviews beziehungsweise den allenfalls notwendigen Prozessanpassungen und in Sachen technisches Set-up (Stichwort Privacy-by-Design und Privacy-by-Default) seine Kompetenz einbringen. Sicher ist der Channel auch sehr oft erste Anlaufstelle für Compliance-Fragen im Zusammenhang mit dem nDSG und kann – da er ja die Kunden und die Anbieterlösungen sehr gut kennt – beratend im Zusammenhang mit Lösungen von Auftragsbearbeitern, etwa SaaS-Anbietern, auftreten beziehungsweise entsprechend rechtmässige Lösungen verkaufen.

Die Antworten der weiteren Teilnehmenden des Podiums:

  • Andrea Tams, Abacus: "Ein Unternehmen sollte sich bereits heute mit den neuen Anforderungen auseinandersetzen."
  • Roger Walter, Consultinform: "Wir alle sitzen im selben Boot – helfen wir uns ­gegenseitig; das macht uns gemeinsam stärker!"
  • Sandra Witte, BSI: "Eine Software kann nicht automatisch die Einhaltung von Datenschutz gewährleisten."
Webcode
2oWrt9uW