Neues Datenschutzgesetz (nDSG)
Worum geht es?
Das neue Bundesgesetz über den Datenschutz (nDSG) und die neue Datenschutzverordnung (DSV) treten am 1. September 2023 ohne Übergangsfrist in Kraft. Diese Totalrevision verfolgt als Ziel das DSG den veränderten technologischen und gesellschaftlichen Verhältnissen anzupassen, die Abstimmung mit dem Datenschutz der EU sicherzustellen, die Transparenz von Datenbearbeitungen zu verbessern und die informationelle Selbstbestimmung von betroffenen Personen zu stärken.
Das nDSG gilt grundsätzlich für alle Unternehmen in der Schweiz und umfasst die folgenden wesentlichen Änderungen. Die Liste ist nicht abschliessend.
◆ Beschränkung auf den Datenschutz natürlicher Personen
◆ Genetische und biometrische Daten fallen neu in den Schutzbereich
◆ Unternehmen haben weitergehende Informationspflichten
◆ In bestimmten Fällen wird das Durchführen einer Datenschutz-Folgenabschätzung zwingend
◆ Ein Verzeichnis aller Bearbeitungstätigkeiten ist zu führen
◆ Verletzungen der Datensicherheit (z.B. bei Cyberattacken) werden meldepflichtig
◆ «Privacy by Design» und «Privacy by Default» werden gesetzlich verankert
Das nDSG sieht deutlich verschärfte Sanktionen vor bei Verstössen gegen Informations-, Auskunfts- und Sorgfaltspflichten, bei der beruflichen Schweigepflicht oder beim Missachten von Verfügungen der Behörden. Natürliche Personen, wie das Management, können mit Bussen bis zu 250’000 CHF bestraft werden. Darüber hinaus erhält der Eidg. Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) weitreichende Kompetenzen, die bis zu einem Verbot der Datenbearbeitung reichen können. Verstösse gegen die Bestimmungen des DSG werden künftig von Amtes wegen verfolgt.
Was bedeutet dies in der Praxis?
Dazu zwei Beispiele: Wird ein Unternehmen das Opfer einer Cyberattacke und verliert dabei Personendaten, so ist der Vorfall bei den Behörden meldepflichtig. Zudem fallen der Aufwand zum Beheben der Störung an und der Umgang mit der unerwünschten Aufmerksamkeit der Medien. Dies stellt eine enorme Belastung für das Unternehmen und seine Mitarbeitenden dar. Ein weiteres Beispiel ist die fristgerechte Beantwortung eines Auskunftsgesuchs von Kunden. Dieses muss grundsätzlich innert der Frist von 30 Tagen beantwortet werden und die gemäss Gesetz vorgesehenen Informationen enthalten. Ist man hier nicht vorbereitet, führt dies ebenfalls zu einem Aufwand bei den Mitarbeitenden und schnell zu einem Vertrauensverlust bei den Kunden, wenn sie die Antwort nicht rechtzeitig oder in mangelhafter Qualität erhalten.
Was gibt es zu tun?
Die neuen Anforderungen sind abzudecken, um die erforderliche Compliance zur geänderten Gesetzgebung herzustellen. Damit lassen sich auch die Haftungsrisiken signifikant reduzieren. Zu beachten ist, dass in der Regel auch die kantonale Datenschutzgesetzgebung entsprechend revidiert worden ist und diese Bestimmungen ebenfalls umzusetzen sind. Das «Assume Breach Paradigm» bezeichnet die Tatsache, dass trotz aufwendiger technischer Vorkehrungen im Bereich der IT jedes Unternehmen davon ausgehen muss, eines Tages das Opfer einer Cyberattacke zu werden. Keine Branche ist heute davon ausgeschlossen. In diesem Kontext geht es nun darum die Widerstandsfähigkeit der ganzen Organisation auszubauen und die Handlungsfähigkeit auch unter schwierigen Umständen sicherzustellen.
Mit dem Framework RESILIA Business Resilience ® führen wir Corporate Goverance und IT richtig zusammen, um die aktuellen Herausforderungen rasch zu meistern, sowie Geschäftsprozesse und Mitarbeiter fit für die Zukunft zu machen.
Rund um das nDSG bestehen noch sehr viele Mythen und Irrtümer. Die Experten der Projektas helfen Ihnen diese in Ihrem Unternehmen auszuräumen.
Mythos #1 – Wir haben gar keine Personendaten
Falsch! Grundsätzlich verarbeitet jedes Unternehmen Personendaten, auch wenn diese nicht direkt von den Kunden erhoben werden. Zumindest die Personendaten der Mitarbeitenden werden bearbeitet und somit ist das DSG grundsätzlich für alle Unternehmen anwendbar.
Mythos #2 – Gilt erst ab 250 Mitarbeitenden
Falsch! Die Anzahl der Mitarbeitenden hat keinen Einfluss auf die Anwendbarkeit des DSG. Unternehmen ab 250 Mitarbeitenden müssen ein Bearbeitungsverzeichnis führen.
Mythos #3 – Keine grosse Sache.
Falsch! Die Verantwortung für den Datenschutz liegt beim Management und lässt sich nicht wegdelegieren. Das Herstellen der Compliance ist primär abhängig von der Ausgangslage und setzt für jedes Unternehmen individuelle Abklärungen voraus.
Mythos #4 – Wir sind gut versichert.
Falsch! Allfällige Bussgelder, die von der Behörde verhängt werden, sind durch keine Versicherung deckungsfähig.
Mythos #5 – Wir schauen mal.
Falsch! Auch wenn heute noch nicht absehbar ist, wie sich das Thema der Bussgelder künftig ausgestalten wird, so ist dieses Vorgehen nicht zu empfehlen.
Mythos #6 – Wir machen Copy & Paste.
Falsch! Das ist zwar einfach, aber nicht zielführend. Das nDSG stellt verschiedene Grundsätze auf, die individuell umgesetzt werden müssen.
Mythos #7 – Das nDSG ist erst in ein paar Jahren gültig.
Falsch! Das nDSG wurde am 1. September 2023 ohne Übergangsfrist in Kraft gesetzt. Dies wurde im August 2022 über Pressemitteilungen kommuniziert.
Mythos #8 – Gilt nicht für uns. Wir verschlüsseln alles.
Falsch! Das nDSG bleibt auch beim Verschlüsseln von Daten anwendbar. Die Datensicherheit ist jedoch ein wichtiger Baustein im Datenschutz.
Mythos #9 – Wer gehackt wird, muss nur gut verhandeln.
Falsch! Wer Daten verliert, muss gegebenenfalls die Aufsichtsbehörde informieren. Und wer bezahlt, der macht sich zusätzlich angreifbar.
Mythos #10 – Gilt nicht für uns. Wir haben alles ausgelagert.
Falsch! Der Besitzer der Daten kann sich durch Auslagern der IT und der Prozesse nicht von der Verantwortung entziehen.
Mythos #11 – Gleich wie DSGVO. Wir müssen nichts tun.
Falsch! Das nDSG ist ein eigenständiges Gesetz mit eigenen Anforderungen. Wer die DSGVO jedoch bereits umgesetzt hat, hat jedoch eine gute Ausgangslage.
Mythos #12 – Mit dem CRM können wir Auskunft geben.
Falsch! Das nDSG gibt vor, welche Angaben eine Antwort auf ein Auskunftsgesuch umfassen muss. In der Regel reicht das CRM dazu nicht aus.
Mythos #13 – Man muss nur löschen, was man findet.
Falsch! Das nDSG gibt vor, welche Daten zu löschen oder zu vernichten sind. Allenfalls muss auch der Backup berücksichtigt werden.
«Wir entfesseln das Können des Unternehmens, indem wir Corporate Governance und IT richtig zusammenführen, um die aktuellen Herausforderungen rasch zu meistern, sowie Geschäftsprozesse und Mitarbeiter fit für die Zukunft machen.»
Projekte
Projektforensik. Wir beseitigen die operativen und methodischen Schwachstellen in den laufenden Projekten und ermöglichen es die entstandenen finanziellen Schäden zu regulieren und das Management abzusichern.
Knowledge Management. Wir bewirken den Aufbau der Widerstandsfähigkeit in der Projektabwicklung und ermöglichen das Erreichen der Ziele selbst in anspruchsvollen Projekten.
Project Management. Wir steuern und führen klassische und agile Projekte nach den gängigen Methoden.
Informationen
Insight Engines und Data Classification. Wir setzen auf die Technologien der Künstlichen Intelligenz und ermöglichen das Finden von Daten im Unternehmen, die richtige und vollständige Klassifizierung und bewirken damit den bestmöglichen Umgang mit Wissen.
Encryption Services. Wir setzen auf formatbewahrende Methoden und beseitigen die Risiken in der Bearbeitung, Speicherung und Übermittlung von Daten auch in Legacy Systemen. Damit bewirken wir einen umfassenden Schutz vor Reputationsschäden oder wirtschaftlichen Nachteilen.
IT Security. Wir stellen sicher, dass Zugriffe auf Daten und Services kontrolliert erfolgen und überwacht werden. Wir sensibilisieren Benutzer, simulieren Angriffe und planen Massnahmen. Damit bewirken wir, dass sicherheitsrelevante Vorfälle rasch entdeckt und erfolgreich abgewehrt werden können.
IT Service Management. Wir beseitigen die Schwachstellen in den Vereinbarungen mit Kunden, Partnern und Lieferanten, heben die Maturität der Organisation an und bewirken damit ein Erhöhen der Widerstandsfähigkeit in der Leistungserbringung.
Compliance
Datenschutz. Wir führen Technik und Organisation richtig zusammen und sorgen für einen wirksamen Datenschutz in der Digitalisierung Ihres Unternehmens.
Corporate Governance und Risk Management. Wir beseitigen die Schwachstellen in der Unternehmenssteuerung, bewirken das Erhöhen der Widerstandsfähigkeit des Unternehmens und ermöglichen einerseits den Zugang zu regulierten Märkten und andererseits das Erfüllen von steigenden Anforderungen der Kunden.
Interne Kontrollsysteme. Wir ermöglichen den Aufbau einer umfassenden internen Kontrolle und bewirken damit das Einhalten der Richtlinien und das Abwehren von Schäden, die durch eigene Mitarbeitende oder Dritte verursacht werden können.
Business Continuity Management. Wir ermöglichen den wirksamen Schutz der Geschäftsprozesse und bewirken den Widerstandsfähigkeit des Unternehmens in Krisensituationen.
Vertrags- und Weisungsmanagement. Wir sichern das Erbringen und Beziehen von Leistungen mit griffigen Vereinbarungen ab und automatisieren die Verwaltung.
RESILIA Business Resilience ®
Will ein Unternehmen auch bei Betriebsstörungen oder in einer Krise handlungsfähig blieben und Geschäftsleistungen in einer akzeptablen Qualität erbringen können, so muss es potentielle Risikoszenarien antizipieren, passende Massnahmen treffen und auf plötzliche Veränderungen optimal reagieren können.
Unser Service umfasst insbesondere:
MIRIA Emergency Response ®
Ist ein Unternehmen von einer erfolgreichen Cyberattacke betroffen, so geht es darum die Geschäftsaktivitäten aufrecht zu erhalten, den zugefügten Schaden zu beheben und einen möglichen Reputationsschaden zu vermeiden.
Unser Service umfasst insbesondere:
CLARIA Projektforensik ®
Geraten Projekte in Schieflage, so analysieren wir die Ursachen und deren Auswirkungen, treiben die Sanierung des Projekts voran und unterstützen Sie beim Regulieren des entstandenen Schadens.
Unser Service umfasst insbesondere:
Unsere Events
Aktuell haben wir keine öffentlichen Anlässe geplant. Falls Sie einen internen Informations- oder Schulungsanlass planen, werden wir Sie gerne dabei unterstützen.
Anja Schmitz
Senior Consultant, Partner
Anja Schmitz ist Juristin und Beraterin für Corporate Governance, Risk Management, Compliance und umsetzungsstarke Projektleiterin für das Erhöhen der betrieblichen und organisatorischen Widerstandsfähigkeit von Unternehmen. Im In- und Ausland hat sie Grossprojekte erfolgreich umgesetzt, Projekte in Schieflage wieder auf Kurs gebracht und die juristische Nachbearbeitung begleitet. Wird ein Unternehmen das Opfer einer Cyberattacke, so koordiniert sie die Aktivitäten, um die Geschäftsaktivitäten aufrecht zu erhalten, den zugefügten Schaden zu beheben und einen möglichen Reputationsschaden zu vermeiden.
Nach dem Examen absolvierte Anja Schmitz verschiedene Weiterbildungen im Bereich Wirtschaftsrecht, Corporate Governance und Compliance sowie im Projektmanagement. Seit über 12 Jahren erbringt sie Projektleistungen, unterstützt und berät Verwaltungsräte und das Management in der Entscheidungsfindung. Als Wirtschaftsjuristin kennt sie die Anforderungen von FINMA, BAG, EDÖB und Branchenverbänden. Vor der Gründung der Projektas GmbH gründete und führte sie in Deutschland über 12 Jahre die Firma Projektart und begleitete verschiedene Rollouts mit juristischem Hintergrund wie die Markteinführung von ausländischen Unternehmen. Darüber hinaus leitete sie Vorhaben in kommunikativen und juristischen Bereichen wie Incentives, Roadshows, Events und Markenaufbau.
Revidiertes Bundesgesetz über den Datenschutz (nDSG)
Wir zeigen Ihnen die Auswirkungen auf IT-Systeme und Prozesse und führen Sie durch das Umsetzen der neuen Anforderungen in der Praxis. Sie erhalten juristische und technische Kompetenzen aus einer Hand.
Wir erledigen für Sie zum Beispiel:
Governance, Risk & Compliance
Wir identifizieren die geltenden Gesetze, Auflagen und vertragliche Verpflichtungen und beraten Sie beim Festlegen der Ziele in Datenschutz und -sicherheit. Beim Umsetzen der Vorhaben arbeiten wir aktiv mit. Sie erreichen damit die notwendige Rechtskonformität.
Wir erledigen für Sie zum Beispiel:
Business Continuity Management
Wir identifizieren die geltenden Auflagen, analysieren die Geschäftsabläufe und erarbeiten das passende Kontinuitätsmanagement. Sie erhöhen damit die Krisenresilienz des Unternehmens und sind optimal auf das Unerwartete vorbereitet.
Wir erledigen für Sie zum Beispiel:
◆ Krisenstabs- und Notfallübungen
Data Privacy Services
Wir entwickeln die Services zum Finden, Klassifizieren und Verschlüsseln von Daten und führen Sie durch das Realisieren im IT-Betrieb. Sie integrieren damit die neuen Kernkompetenzen in den Servicekatalog, können Fristen einhalten und erhalten die Rechtskonformität in Bezug auf den Datenschutz.
Wir erledigen für Sie zum Beispiel:
IT Service Management
Wir identifizieren die geltenden Auflagen, analysieren die Kennzahlen und optimieren die Prozesse. Die Data Privacy Services integrieren wir in das IT Service Management und optimieren die Verträge mit Kunden und Lieferanten. Sie stellen damit Nachvollziehbarkeit und Vertragseinhaltung sicher.
Wir erledigen für Sie zum Beispiel:
Unsere Berater konnten ihre Expertise bei folgenden Unternehmen erfolgreich einbringen.
Projektas GmbH
Baarerstrasse 75
6300 Zug, Schweiz
contact@projektas.ch
+41 22 508 508 2
«Wir entfesseln das Können des Unternehmens, indem wir Corporate Governance und IT richtig zusammenführen, um die aktuellen Herausforderungen rasch zu meistern und Geschäftsprozesse und Mitarbeiter fit für die Zukunft machen.»
© 2022 Projektas GmbH
Projektas GmbH ◆ Baarerstrasse 75 ◆ 6300 Zug, Schweiz
contact@projektas.ch
+41 22 508 508 2
Firmennummer (UID) CHE-415.198.239
Datenschutzerklärung
Unsere Datenschutzerklärung können Sie hier herunterladen.
Bildquellen: Unsplash, Google Maps, Projektas