Neues Datenschutzgesetz (nDSG)

Worum geht es?

Das neue Bundesgesetz über den Datenschutz (nDSG) und die neue Datenschutzverordnung (DSV) treten am 1. September 2023 ohne Übergangsfrist in Kraft. Diese Totalrevision verfolgt als Ziel das DSG den veränderten technologischen und gesellschaftlichen Verhältnissen anzupassen, die Abstimmung mit dem Datenschutz der EU sicherzustellen, die Transparenz von Datenbearbeitungen zu verbessern und die informationelle Selbstbestimmung von betroffenen Personen zu stärken.

Das nDSG gilt grundsätzlich für alle Unternehmen in der Schweiz und umfasst die folgenden wesentlichen Änderungen. Die Liste ist nicht abschliessend. 

◆ Beschränkung auf den Datenschutz natürlicher Personen

◆ Genetische und biometrische Daten fallen neu in den Schutzbereich

◆ Unternehmen haben weitergehende Informationspflichten

◆ In bestimmten Fällen wird das Durchführen einer Datenschutz-Folgenabschätzung zwingend

◆ Ein Verzeichnis aller Bearbeitungstätigkeiten ist zu führen

◆ Verletzungen der Datensicherheit (z.B. bei Cyberattacken) werden meldepflichtig

◆ «Privacy by Design» und «Privacy by Default» werden gesetzlich verankert  

Das nDSG sieht deutlich verschärfte Sanktionen vor bei Verstössen gegen Informations-, Auskunfts- und Sorgfaltspflichten, bei der beruflichen Schweigepflicht oder beim Missachten von Verfügungen der Behörden. Natürliche Personen, wie das Management, können mit Bussen bis zu 250’000 CHF bestraft werden. Darüber hinaus erhält der Eidg. Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) weitreichende Kompetenzen, die bis zu einem Verbot der Datenbearbeitung reichen können. Verstösse gegen die Bestimmungen des DSG werden künftig von Amtes wegen verfolgt.

Was bedeutet dies in der Praxis?

Dazu zwei Beispiele: Wird ein Unternehmen das Opfer einer Cyberattacke und verliert dabei Personendaten, so ist der Vorfall bei den Behörden meldepflichtig. Zudem fallen der Aufwand zum Beheben der Störung an und der Umgang mit der unerwünschten Aufmerksamkeit der Medien. Dies stellt eine enorme Belastung für das Unternehmen und seine Mitarbeitenden dar. Ein weiteres Beispiel ist die fristgerechte Beantwortung eines Auskunftsgesuchs von Kunden. Dieses muss grundsätzlich innert der Frist von 30 Tagen beantwortet werden und die gemäss Gesetz vorgesehenen Informationen enthalten. Ist man hier nicht vorbereitet, führt dies ebenfalls zu einem Aufwand bei den Mitarbeitenden und schnell zu einem Vertrauensverlust bei den Kunden, wenn sie die Antwort nicht rechtzeitig oder in mangelhafter Qualität erhalten.

Was gibt es zu tun?

Die neuen Anforderungen sind abzudecken, um die erforderliche Compliance zur geänderten Gesetzgebung herzustellen. Damit lassen sich auch die Haftungsrisiken signifikant reduzieren. Zu beachten ist, dass in der Regel auch die kantonale Datenschutzgesetzgebung entsprechend revidiert worden ist und diese Bestimmungen ebenfalls umzusetzen sind. Das «Assume Breach Paradigm» bezeichnet die Tatsache, dass trotz aufwendiger technischer Vorkehrungen im Bereich der IT jedes Unternehmen davon ausgehen muss, eines Tages das Opfer einer Cyberattacke zu werden. Keine Branche ist heute davon ausgeschlossen. In diesem Kontext geht es nun darum die Widerstandsfähigkeit der ganzen Organisation auszubauen und die Handlungsfähigkeit auch unter schwierigen Umständen sicherzustellen.

Mit dem Framework RESILIA Business Resilience ® führen wir Corporate Goverance und IT richtig zusammen, um die aktuellen Herausforderungen rasch zu meistern, sowie Geschäftsprozesse und Mitarbeiter fit für die Zukunft zu machen.

Rund um das nDSG bestehen noch sehr viele Mythen und Irrtümer. Die Experten der Projektas helfen Ihnen diese in Ihrem Unternehmen auszuräumen.

Mythos #1 – Wir haben gar keine Personendaten

Falsch! Grundsätzlich verarbeitet jedes Unternehmen Personendaten, auch wenn diese nicht direkt von den Kunden erhoben werden. Zumindest die Personendaten der Mitarbeitenden werden bearbeitet und somit ist das DSG grundsätzlich für alle Unternehmen anwendbar.

Mythos #2 – Gilt erst ab 250 Mitarbeitenden

Falsch! Die Anzahl der Mitarbeitenden hat keinen Einfluss auf die Anwendbarkeit des DSG. Unternehmen ab 250 Mitarbeitenden müssen ein Bearbeitungsverzeichnis führen. 

Mythos #3 – Keine grosse Sache.

Falsch! Die Verantwortung für den Datenschutz liegt beim Management und lässt sich nicht wegdelegieren. Das Herstellen der Compliance ist primär abhängig von der Ausgangslage und setzt für jedes Unternehmen individuelle Abklärungen voraus.

Mythos #4 – Wir sind gut versichert.

Falsch! Allfällige Bussgelder, die von der Behörde verhängt werden, sind durch keine Versicherung deckungsfähig.

Mythos #5 – Wir schauen mal.

Falsch! Auch wenn heute noch nicht absehbar ist, wie sich das Thema der Bussgelder künftig ausgestalten wird, so ist dieses Vorgehen nicht zu empfehlen.

Mythos #6 – Wir machen Copy & Paste.

Falsch! Das ist zwar einfach, aber nicht zielführend. Das nDSG stellt verschiedene Grundsätze auf, die individuell umgesetzt werden müssen.

Mythos #7 – Das nDSG ist erst in ein paar Jahren gültig.

Falsch! Das nDSG wurde am 1. September 2023 ohne Übergangsfrist in Kraft gesetzt. Dies wurde im August 2022 über Pressemitteilungen kommuniziert.

Mythos #8 – Gilt nicht für uns. Wir verschlüsseln alles.

Falsch! Das nDSG bleibt auch beim Verschlüsseln von Daten anwendbar. Die Datensicherheit ist jedoch ein wichtiger Baustein im Datenschutz.

Mythos #9 – Wer gehackt wird, muss nur gut verhandeln.

Falsch! Wer Daten verliert, muss gegebenenfalls die Aufsichtsbehörde informieren. Und wer bezahlt, der macht sich zusätzlich angreifbar.

Mythos #10 – Gilt nicht für uns. Wir haben alles ausgelagert.

Falsch! Der Besitzer der Daten kann sich durch Auslagern der IT und der Prozesse nicht von der Verantwortung entziehen.

Mythos #11 – Gleich wie DSGVO. Wir müssen nichts tun. 

Falsch! Das nDSG ist ein eigenständiges Gesetz mit eigenen Anforderungen. Wer die DSGVO jedoch bereits umgesetzt hat, hat jedoch eine gute Ausgangslage. 

Mythos #12 – Mit dem CRM können wir Auskunft geben.

Falsch! Das nDSG gibt vor, welche Angaben eine Antwort auf ein Auskunftsgesuch umfassen muss. In der Regel reicht das CRM dazu nicht aus.

Mythos #13 – Man muss nur löschen, was man findet.

Falsch! Das nDSG gibt vor, welche Daten zu löschen oder zu vernichten sind. Allenfalls muss auch der Backup berücksichtigt werden.

«Wir entfesseln das Können des Unternehmens, indem wir Corporate Governance und IT richtig zusammenführen, um die aktuellen Herausforderungen rasch zu meistern, sowie Geschäftsprozesse und Mitarbeiter fit für die Zukunft machen.»

Projekte

Projektforensik. Wir beseitigen die operativen und methodischen Schwachstellen in den laufenden Projekten und ermöglichen es die entstandenen finanziellen Schäden zu regulieren und das Management abzusichern.

Knowledge Management. Wir bewirken den Aufbau der Widerstandsfähigkeit in der Projektabwicklung und ermöglichen das Erreichen der Ziele selbst in anspruchsvollen Projekten.

Project Management. Wir steuern und führen klassische und agile Projekte nach den gängigen Methoden.

Informationen

Insight Engines und Data Classification. Wir setzen auf die Technologien der Künstlichen Intelligenz und ermöglichen das Finden von Daten im Unternehmen, die richtige und vollständige Klassifizierung und bewirken damit den bestmöglichen Umgang mit Wissen.

Encryption Services. Wir setzen auf formatbewahrende Methoden und beseitigen die Risiken in der Bearbeitung, Speicherung und Übermittlung von Daten auch in Legacy Systemen. Damit bewirken wir einen umfassenden Schutz vor Reputationsschäden oder wirtschaftlichen Nachteilen.

IT Security. Wir stellen sicher, dass Zugriffe auf Daten und Services kontrolliert erfolgen und überwacht werden. Wir sensibilisieren Benutzer, simulieren Angriffe und planen Massnahmen. Damit bewirken wir, dass sicherheitsrelevante Vorfälle rasch entdeckt und erfolgreich abgewehrt werden können.

IT Service Management. Wir beseitigen die Schwachstellen in den Vereinbarungen mit Kunden, Partnern und Lieferanten, heben die Maturität der Organisation an und bewirken damit ein Erhöhen der Widerstandsfähigkeit in der Leistungserbringung.

Compliance

Datenschutz. Wir führen Technik und Organisation richtig zusammen und sorgen für einen wirksamen Datenschutz in der Digitalisierung Ihres Unternehmens. 

Corporate Governance und Risk Management. Wir beseitigen die Schwachstellen in der Unternehmenssteuerung, bewirken das Erhöhen der Widerstandsfähigkeit des Unternehmens und ermöglichen einerseits den Zugang zu regulierten Märkten und andererseits das Erfüllen von steigenden Anforderungen der Kunden. 

Interne Kontrollsysteme. Wir ermöglichen den Aufbau einer umfassenden internen Kontrolle und bewirken damit das Einhalten der Richtlinien und das Abwehren von Schäden, die durch eigene Mitarbeitende oder Dritte verursacht werden können.

Business Continuity Management. Wir ermöglichen den wirksamen Schutz der Geschäftsprozesse und bewirken den Widerstandsfähigkeit des Unternehmens in Krisensituationen.

Vertrags- und Weisungsmanagement. Wir sichern das Erbringen und Beziehen von Leistungen mit griffigen Vereinbarungen ab und automatisieren die Verwaltung.  

RESILIA Business Resilience ®

Will ein Unternehmen auch bei Betriebsstörungen oder in einer Krise handlungsfähig blieben und Geschäftsleistungen in einer akzeptablen Qualität erbringen können, so muss es potentielle Risikoszenarien antizipieren, passende Massnahmen treffen und auf plötzliche Veränderungen optimal reagieren können.

Unser Service umfasst insbesondere:

◆ Erheben der betrieblichen, organsiationellen und technologischen Widerstandsfähigkeit
◆ Entwickeln von potentiellen Risikoszenarien und Analysieren von Schwachstellen
◆ Klären von gesetzlichen und vertraglichen Verpflichtungen
◆ Entwickeln von Massnahmen zum Erhöhen der Widerstandsfähigkeit
◆ Vorantreiben beim Umsetzen der Massnahmen
◆ Schaffen von Bewusstsein und Training bei Mitarbeitenden
◆ Simulation von Cyberangriffen und Durchführen von Notfallübungen

MIRIA Emergency Response ®

Ist ein Unternehmen von einer erfolgreichen Cyberattacke betroffen, so geht es darum die Geschäftsaktivitäten aufrecht zu erhalten, den zugefügten Schaden zu beheben und einen möglichen Reputationsschaden zu vermeiden.

Unser Service umfasst insbesondere:

◆ Aufbau des Krisenmanagements und aktive Mitarbeit
◆ Analyse der Cyberattacke und Ermitteln der Auswirkungen
◆ Unterstützen des Krisenmanagers bei Kontakt zu Behörden und Medien
◆ Identifizieren und Beiziehen von Cyber-Experten
◆ Koordinieren der Gegenmassnahmen
◆ Unterstützen bei der Wiederaufnahme der Geschäftstätigkeit
◆ Beraten bei der Schadensregulierung mit Versicherungen
 

CLARIA Projektforensik ®

Geraten Projekte in Schieflage, so analysieren wir die Ursachen und deren Auswirkungen, treiben die Sanierung des Projekts voran und unterstützen Sie beim Regulieren des entstandenen Schadens.

Unser Service umfasst insbesondere:

◆ Bestimmen von Zuständigkeiten in der Projektabwicklung
◆ Klären von Fehlern und Schwachstellen in der Projektabwicklung
◆ Überprüfen und Optimieren des Risk Managements
◆ Erstellen von Gutachten für Geschäftsleitung und Verwaltungsrat
◆ Überarbeiten der Verträge mit Kunden und Lieferanten
◆ Entwickeln und Umsetzen von Massnahmen zur Sanierung
◆ Konzipieren von Szenarien zur Schadensregulierung
◆ Kommunikation mit Kunden und Interessenvertretern
◆ Coaching des Managements

Unsere Events

Aktuell haben wir keine öffentlichen Anlässe geplant. Falls Sie einen internen Informations- oder Schulungsanlass planen, werden wir Sie gerne dabei unterstützen.

Anja Schmitz

Senior Consultant, Partner

Anja Schmitz ist Juristin und Beraterin für Corporate Governance, Risk Management, Compliance und umsetzungsstarke Projektleiterin für das Erhöhen der betrieblichen und organisatorischen Widerstandsfähigkeit von Unternehmen. Im In- und Ausland hat sie Grossprojekte erfolgreich umgesetzt, Projekte in Schieflage wieder auf Kurs gebracht und die juristische Nachbearbeitung begleitet. Wird ein Unternehmen das Opfer einer Cyberattacke, so koordiniert sie die Aktivitäten, um die Geschäftsaktivitäten aufrecht zu erhalten, den zugefügten Schaden zu beheben und einen möglichen Reputationsschaden zu vermeiden.

Nach dem Examen absolvierte Anja Schmitz verschiedene Weiterbildungen im Bereich Wirtschaftsrecht, Corporate Governance und Compliance sowie im Projektmanagement. Seit über 12 Jahren erbringt sie Projektleistungen, unterstützt und berät Verwaltungsräte und das Management in der Entscheidungsfindung. Als Wirtschaftsjuristin kennt sie die Anforderungen von FINMA, BAG, EDÖB und Branchenverbänden. Vor der Gründung der Projektas GmbH gründete und führte sie in Deutschland über 12 Jahre die Firma Projektart und begleitete verschiedene Rollouts mit juristischem Hintergrund wie die Markteinführung von ausländischen Unternehmen. Darüber hinaus leitete sie Vorhaben in kommunikativen und juristischen Bereichen wie Incentives, Roadshows, Events und Markenaufbau.

◆ Diplom-Juristin (Juristisches Staatsexamen, Universität)
◆ Master of Business Law and Economic Law (LL.M.oec.)
◆ Data Privacy Officer (CAS)
◆ EMBA FH mit Vertiefung in Corporate Governance, Regulation und Compliance
◆ Compliance & Regulation (CAS)
◆ Compliance & Corporate Governance (CAS)
◆ Notfall- & Krisenmanagement (CAS)
◆ Zertifizierter Compliance Officer (TAW)
◆ Certified Scrum Master (CSM)
◆ Deutsch, Englisch, Russisch

Revidiertes Bundesgesetz über den Datenschutz (nDSG)

Wir zeigen Ihnen die Auswirkungen auf IT-Systeme und Prozesse und führen Sie durch das Umsetzen der neuen Anforderungen in der Praxis. Sie erhalten juristische und technische Kompetenzen aus einer Hand.

Wir erledigen für Sie zum Beispiel:

◆ Operationalisieren von Einsichtsgesuchen
◆ Verzeichnis der Bearbeitungstätigkeiten
◆ Durchführen von Datenschutzfolgeabschätzungen
◆ Erarbeiten der notwendigen Prozesse
◆ Weisungs- und Richtlinienmanagement
◆ Outsourcing des Datenschutzbeauftragten
◆ Durchführen von Schulungen und Sensibilisierung

 

Governance, Risk & Compliance

Wir identifizieren die geltenden Gesetze, Auflagen und vertragliche Verpflichtungen und beraten Sie beim Festlegen der Ziele in Datenschutz und -sicherheit. Beim Umsetzen der Vorhaben arbeiten wir aktiv mit. Sie erreichen damit die notwendige Rechtskonformität.

Wir erledigen für Sie zum Beispiel:

◆ Abgleichen der Datenschutzsstrategie mit dem operativen Geschäft
◆ Optimieren der Governance in Bezug auf Struktur und Prozesse
◆ Optimieren des Risikomanagements und der Massnahmen
◆ Aufbau oder Review des Internen Kontrollsystems
◆ Überprüfen des Weisungs- und Vertragsmanagements

Business Continuity Management

Wir identifizieren die geltenden Auflagen, analysieren die Geschäftsabläufe und erarbeiten das passende Kontinuitätsmanagement. Sie erhöhen damit die Krisenresilienz des Unternehmens und sind optimal auf das Unerwartete vorbereitet.

Wir erledigen für Sie zum Beispiel:

◆ Durchführen der Business Impact Analyse
◆ Erstellen der Krisenpläne und Reglemente
◆ Integration der IT in das BCM
◆ Erstellen von Wiederanlaufplänen
◆ Schulung und Sensibilisierung

◆ Krisenstabs- und Notfallübungen

Data Privacy Services

Wir entwickeln die Services zum Finden, Klassifizieren und Verschlüsseln von Daten und führen Sie durch das Realisieren im IT-Betrieb. Sie integrieren damit die neuen Kernkompetenzen in den Servicekatalog, können Fristen einhalten und erhalten die Rechtskonformität in Bezug auf den Datenschutz. 

Wir erledigen für Sie zum Beispiel:

◆ Aufbau von Insight Engines für die Datensuche
◆ Operationalisieren von Einsichtsgesuchen
◆ Automatisieren der Datenklassifizierung
◆ Aufbau von Encryption Services

 

IT Service Management

Wir identifizieren die geltenden Auflagen, analysieren die Kennzahlen und optimieren die Prozesse. Die Data Privacy Services integrieren wir in das IT Service Management und optimieren die Verträge mit Kunden und Lieferanten. Sie stellen damit Nachvollziehbarkeit und Vertragseinhaltung sicher.

Wir erledigen für Sie zum Beispiel:

◆ Erweitern des IT Service Managements
◆ Anpassen der OLA und SLA an das revidierte DSG
◆ Review des IT Service Continuity Managements
◆ Optimieren der Berichterstattung
◆ Wir sind bodenständig und offen, neugierig für die Realität des Unternehmens.
 
◆ Wir sind analytisch, gehen in die Tiefe und erfassen rasch und treffend das Gesamtbild.
 
◆ Wir arbeiten systematisch und zielorientiert, schaffen den Überblick und verknüpfen die losen Enden.
 
◆ Wir arbeiten transparent und schaffen Nachvollziehbarkeit und neues Wissen.
 
◆ Wir sind es gewohnt auch in schwierigen Situationen dem Unternehmen verlässlich zur Seite zu stehen.
 
◆ Wir pflegen eine offene und direkte Kommunikation.
 
◆ Wir steuern die Umsetzung, mobilisieren interne Ressourcen und können bei Bedarf externe Spezialisten aus unserem Netzwerk beiziehen.

Unsere Berater konnten ihre Expertise bei folgenden Unternehmen erfolgreich einbringen.

Projektas GmbH
Baarerstrasse 75
6300 Zug, Schweiz

contact@projektas.ch

+41 22 508 508 2

«Wir entfesseln das Können des Unternehmens, indem wir Corporate Governance und IT richtig zusammenführen, um die aktuellen Herausforderungen rasch zu meistern und Geschäftsprozesse und Mitarbeiter fit für die Zukunft machen.»

© 2022 Projektas GmbH

Projektas GmbH ◆ Baarerstrasse 75 ◆ 6300 Zug, Schweiz

contact@projektas.ch
+41 22 508 508 2

Firmennummer (UID) CHE-415.198.239

Datenschutzerklärung

Unsere Datenschutzerklärung können Sie hier herunterladen.

 

Bildquellen: Unsplash, Google Maps, Projektas