Am 1. September 2023 tritt das neue Schweizer Datenschutzgesetz (nDSG) in Kraft. Da es keine Übergangsfristen vorsieht, ist es für Unternehmen jetzt höchste Zeit, alle nötigen Anpassungen durchzuführen.
Das neue Datenschutzgesetz ist sehr umfangreich und betrifft nahezu alle Schweizer Unternehmen.
Die wichtigsten Änderungen des nDSG sind:
- Geltungsbereich: Das revidierte DSG beschränkt sich wie die DSGVO auf den Datenschutz natürlicher Personen – statt wie bisher auch auf Daten juristischer Personen. Neu gelten auch genetische und biometrische Daten als besonders schützenswert.
- Informationspflicht: bei Beschaffung von Personendaten
- Verzeichnis der Bearbeitungstätigkeiten: sämtliche Datenbearbeitungen des gesamten Unternehmens müssen erfasst und genaue Angaben dazu gemacht sowie laufend aktualisiert werden
- Datenschutz–Folgenabschätzung: Unternehmen sind neu verpflichtet, eine Datenschutz-Folgenabschätzung durchzuführen, wenn die Datenbearbeitung ein hohes Risiko für die Persönlichkeit der betroffenen Personen mit sich bringt.
- Profiling: Das nDSG regelt auch das Profiling, das heisst die automatisierte Datenbearbeitung, um bestimmte persönliche Aspekte einer Person wie wirtschaftliche Lage, Gesundheit, Interessen, Verhalten, Aufenthaltsort usw. zu bewerten.
- Meldung von Datenschutzverletzungen: Verletzungen der Datensicherheit, das heisst unbeabsichtigtes oder widerrechtliches Verlieren, Löschen, Vernichten, Verändern oder Unbefugten zugänglich machen von Personendaten, müssen neu dem EDÖB so rasch als möglich (gemäss DSGVO innerhalb von 72 Stunden) gemeldet werden
- Haftung und Bussenkatalog: Während auf der einen Seite das Bussenmaximum des nDSG mit CHF 250’000 weit unter der DSGVO liegt, versteht das nDSG neues Datenschutzgesetz die Busse als Sanktion für kriminelles Verhalten, während der Bussenkatalog der DSGVO eher die Stärkung der Motivation zur generellen regulatorischen Konformität bezweckt. Dieser unterschiedliche Ansatzpunkt führt dazu, dass nach nDSG nicht (nur) das verstossende Unternehmen gebüsst werden kann, sondern auch die direkt den Verstoss begehende Person (z.B. der Mitarbeiter, welcher den Datenschutzverstoss begeht).
- Privacy-by-Design und Privacy-by-Default (Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen):Bei der Verarbeitung von Personendaten müssen „ab der Planung“ angemessene technische und organisatorische Massnahmen getroffen werden, welche die Umsetzung von Datenschutzgrundsätzen (z. B. Datenminimierung) in diesen Systemen sicherstellen
DataGovernance Technologies bietet eine integrierte Plattform mit Funktionen wie Datenkatalogisierung, Datenschutz und Datenqualität, Lifecycle Managemen tund Zugriffsprotokollierung die nDSG, DSGVO Compliance und Governance ermöglichen und Einhaltung nachweisen.
Mit ein paar Mausklicks erhalten Unternehmen Antworten auf die Wichtigen Fragen wie z. B.:
- Wo liegen personenbezogene Daten über Kunden, Mitarbeiter, Patienten, etc.?
- In welcher Beziehung stehen die Personen zur Organisation?
- Ist der Inhalt noch geschäftsrelevant? Sind die Daten sensibel? Wer hat Zugriff worauf?
Direkt aus der Analyse können Datenobjekte getaggt oder auf dem File-System klassifiziert, geschützt, verschoben, archiviert oder kontrolliert gelöscht werden. Enterprise Löschprozesse können automatisiert werden.