Update 2019: Der aktuelle Entwurf des BR ist nicht DS-GVO kompatibel. Das läuft auf den nächsten Konflikt mit der EU hinaus. Unglaublich, wie sich einige Politiker in Bern auf dem Papier dem Schutz der Privatsphäre verschrieben haben, gleichzeitig aber  das wichtigste Gesetz torpedieren, welche genau diese schützen will.

Kurz vor Weihnachten 2016 hatte der Bundesrat den ersten  Entwurf für das neue Datenschutzgesetz (E-DSG) der Schweiz präsentiert. Am 15.9.2017 wurde eine überarbeitete und angepasste Version erstellt, in welcher die Vernehmlassungsergebnisse berücksichtigt wurden. Dr. Bruno Wildhaber hat einen Artikel verfasst, in welchem die beiden Gesetze verglichen und die Konsequenzen für Unternehmen in der Schweiz gezogen werden.

Laden Sie unsere umfassende Stellungnahme zum Thema herunter (Stand 10.2019): 

Zusammenfassung:

Auf Grund der vorne erwähnten, wesentlichen Abweichungen des E-DSG zur DSGVO muss man davon ausgehen, dass der aktuelle Entwurf den Anforderungen der EU nicht genügen wird. Wesentliche Grundsätze der DSGVO wurden im schweizerischen Entwurf nicht übernommen. Auf Grund der Diskussionen, die wir im Rahmen von Zertifizierungen mit den Aufsichtsbehörden führen, kann man davon ausgehen, dass zumindest die Deutschen Behörden eine harte Linie verfolgen werden. Da diese auch die zuständigen Arbeitsgruppen innnerhalb der EU dominieren, dürfte die Meinung nicht unbedingt zu Gunsten der Schweiz ausfallen.

Wenden Sie die Grundsätze der DSGVO an. Der Mehraufwand ist gering und es dürfte sich durchaus lohnen, ein einheitliches Regime umzusetzen. Was dies bedeutet, erfahren Sie im beiliegenden Artikel.

DSGVO: Was Sie im Griff haben müssen

• Sie wissen, wo Ihre personenbezogenen Daten gespeichert sind und können darüber auch auf Basis von Dokumentationen Auskünfte erteilen.
• Sie können personenbezogene Daten löschen: Sie kennen die Daten-Lebenszyklen und können sie aktiv steuern (Information Governance).
• Sie kennen ihre IT-Risiken und haben im Idealfall ein Risk Management System im Einsatz (ISMS).
• Ihre Verträge enthalten keine unzulässigen Klauseln und sind transparent bezüglich der Datenhaltung.
• Sie prüfen neue Datenhaltungen/Projekte vorrangig auf mögliche Probleme mit dem Datenschutz (Risikofolgenabschätzung VOR Inbetriebnahme der Lösung).
• Sie kennen Ihre Datenflüsse (und sind damit auch gerüstet für die Datenschutzfolgenabschätzung nach DSGVO).
• Kurzum: Sie beherrschen Ihre IT-Prozesse und haben Information Governance zumindest für die personenbezogenen Daten umgesetzt.

Was hat Datenschutz mit Information Governance zu tun?

Die Hintergrundinformationen zur Entwicklung des Datenschutzes finden Sie im Grundlagenartikel zur Revision des Datenschutzgesetzes. Diese Überlegungen dienen Ihnen als Orientierungshilfe zur Einschätzung der Bedeutung der „Information Governance' im Kontext des Datenschutzes.

Der Verantwortliche für die Bearbeitung der Personendaten („Bearbeiter') wie auch der Auftragsdatenverarbeiter werden wesentlich mehr in die Pflicht genommen, als dies bisher der Fall war. „Bearbeiten' umfasst neu explizit alle möglichen Formen und Phasen des Umgangs mit Personendaten.

So wird im Gesetzesentwurf an mehreren Stellen explizit von sämtlichen Phasen des Datenlebenszyklus gesprochen (Art. 3 Abs.1 lit. d). Bereits bei der Beschaffung hat der Verantwortliche umfassende Pflichten (Art. 13) und muss dem Betroffenen z.B. bekannt geben, welche Daten zu welchem Zweck bearbeitet werden sollen.

Der Verantwortliche muss die Personendaten während der gesamten Bearbeitung (von der Entstehung bis zur Vernichtung) umfassend beherrschen. Konkret bedeutet dies, dass der Verantwortliche jederzeit wissen muss:

• welche Daten von wem bearbeitet werden,
• wo sie gespeichert sind,
• wie alt sie sind,
• ob sie richtig sind,
• wie lange sie gespeichert wurden,
• ob sie verändert wurden und
• wer sie bearbeitet hat.

Dienstleistungen des KRM

Das KRM beschäftigt sich seit vielen Jahren mit dem Thema Datenschutz. Dies wird es unseren Kunden erlauben, die hohen Anforderungen des Datenschutzes so früh als möglich zu berücksichtigen und umzusetzen.

Für die Datenschutz-Umsetzung sind folgende Aktionen notwendig:

1. Aufbau von Information Governance Organisationen und Strukturen
2. Die Zertifizierung von Verfahren gemäss neuem Datenschutzgesetz
3. Durchführung von Datenschutz-Folgeabschätzungen und Erstellung von Risikoanalysen
4. Konzeption, Aufbau und Betrieb von Data Clean Up Service
5. Unterstützung bei der Erstellung von rechtskonformen Verfahrensdokumentation
6. Übernahme von Mandaten als Datenschutzbeauftragte und Coaching in Unternehmen