Umsetzung des nDSG: die 7 grössten Herausforderungen für Unternehmen

Die Umsetzung des neuen Schweizer Datenschutzgesetzes (nDSG) stellt Unternehmen in der Schweiz vor grosse Herausforderungen. Erfahren Sie welche 7 grössten Herausforderungen wir sehen und was die eigentlichen Schlüsselfaktoren für eine erfolgreiche Umsetzung sind.

Die wichtigsten Änderungen im nDSG

  • Besonderer Schutz erweitert: Ethnie, genetische und biometrische Daten werden nun als besonders schützenswert eingestuft.
  • Verzeichnis der Bearbeitungstätigkeiten: Schweizer Unternehmen müssen ein Verzeichnis ihrer Datenbearbeitungen mit vorgegebenen Mindestangaben führen.
  • Transparenz: Unternehmen müssen Betroffene über jede Informationsbeschaffung von Daten informieren.
  • Weitere Betroffenenrechte: Betroffene haben das Recht, ihre personenbezogenen Daten von einem Verantwortlichen an einen anderen zu übertragen.
  • Datenschutz-Folgeabschätzung: Prozesse mit hohem Risiko für die Betroffenen müssen besonders betrachtet werden.
  • Profiling: Eine ausdrückliche Einwilligung ist bei "Profilierung mit hohem Risiko" erforderlich.
  • Meldung an den EDÖB: Unternehmen müssen eine Meldung machen, falls es zu einer Datenpanne mit hohem Risiko für die Betroffenen kommt.
  • Privacy by Design / Privacy by Default: Datenschutz muss von Beginn an in Prozesse und Produkte eingebaut werden.

Die 7 grössten Herausforderungen für Unternehmen

1. Einhaltung der erweiterten Betroffenenrechte, insbesondere das Recht auf Datentransfer in maschinenlesbarer Form.

  • Unternehmen müssen sicherstellen, dass sie in der Lage sind, auf Anfragen von Betroffenen rechtzeitig und korrekt zu reagieren.
  • Sie müssen gewährleisten, dass sie den Betroffenen das Recht auf Auskunft, Berichtigung, Löschung und Einschränkung der Bearbeitung gewähren können.
  • Sie müssen auch sicherstellen, dass sie die erforderlichen technischen und organisatorischen Massnahmen getroffen haben, um diese Anforderungen zu erfüllen.

2. Einhaltung der erweiterten Informations- und Transparenzpflichten, insbesondere bei der Erhebung von Daten über Dritte:

  • Der Punkt stellt einen grossen zusätzlichen Aufwand für das Unternehmen dar, da Betroffene bei jeder Informationsbeschaffung von Daten adäquat informiert werden müssen.
  • Die Identifizierung und Benachrichtigung von Betroffenen, insbesondere bei grossen Datenmengen oder internationalen Datenströmen könnte Unternehmen vor grosse Herausforderung stellen.
  • Umfassende und verständliche Informationen bereitzustellen, erfordert Zeit und Ressourcen.
  • Es besteht eine Herausforderung bei der Einhaltung von Deadlines und Fristen für die Informationsbeschaffung und -bereitstellung.
  • Es stehen mögliche Risiken bei der Verletzung von Informations- und Transparenzpflichten im Raum, wie z.B. Strafen oder Schadenersatzansprüche.

3. Erstellung und Pflege eines Verzeichnisses der Bearbeitungstätigkeiten, das alle Datenbearbeitungen des Unternehmens erfasst und mit Mindestangaben versehen werden muss.

  • Die Erstellung eines Verzeichnisses der Bearbeitungstätigkeiten erfordert Zeit und Ressourcen.
  • Unternehmen müssen sicherzustellen, dass ALLE Datenbearbeitungen erfasst werden und dass die Mindestangaben korrekt und vollständig sind.
  • Was gehört aber zu den Mindestangaben?
  • Eine weitere Herausforderung besteht darin, das Verzeichnis regelmässig zu überprüfen und auf dem aktuellen Stand zu halten, um sicherzustellen, dass es immer vollständig und korrekt ist.

4. Durchführung von Datenschutz-Folgeabschätzungen für Prozesse mit hohem Risiko für die Betroffenen.

  • Unternehmen müssen besonders risikoreiche Prozesse betrachten und Risiken identifizieren und bewerten, um sicherzustellen, dass angemessene Schutzmassnahmen getroffen werden. Dies erfordert eine gründliche Analyse der Prozesse und der damit verbundenen Risiken, sowie die Identifizierung von Alternativen, um das Risiko zu minimieren.
  • Unternehmen müssen auch sicherstellen, dass sie in der Lage sind, die Durchführung von Datenschutz-Folgenabschätzungen nachzuweisen, falls dies von den Aufsichtsbehörden verlangt wird.
  • Ein Beispiel könnte sein, dass ein Unternehmen, das Gesichtserkennungstechnologie einsetzt, eine Datenschutz-Folgenabschätzung durchführen muss, um sicherzustellen, dass die Technologie angemessen und verhältnismässig ist und die Rechte und Freiheiten der Betroffenen gewahrt bleiben.

Achtung heikles Thema: Hier empfehlen wir in jedem Fall eine Datenschutzberatung durch einen Datenschutzexperten.

5. Einhaltung der Anforderungen an Privacy by Design und Privacy by Default:

  • Unternehmen müssen sicherstellen, dass Datenschutz von Beginn an in ihre Prozesse und Produkte eingebaut wird. Dies erfordert eine gründliche Analyse der Prozesse und der damit verbundenen Risiken, sowie die Einbindung von Datenschutzmassnahmen in die Entwicklung und Gestaltung von Produkten und Dienstleistungen.
  • Ein weiteres Problem kann sein, dass sich die Anforderungen an Privacy by Design und Privacy by Default schnell ändern können und es daher schwierig sein kann, immer auf dem neuesten Stand zu bleiben.
  • Der Datenschutz muss zwingend bei der Entwicklung einer neuen App oder einer neuen Software, aber auch bei der Einführung und Nutzung einer neuen Software, bei der personenbezogene Daten bearbeitet werden von Anfang an berücksichtigt werden.

6. Einhaltung der Meldepflicht bei Datenpannen:

  • Unternehmen müssen schnell reagieren und entsprechende Meldungen an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten machen, wenn es zu einer Datenpanne kommt.
  • Sie müssen sicherstellen, dass sie über die notwendigen Verfahren und Prozesse verfügen, um Datenpannen schnell erkennen und melden zu können.
  • Unternehmen müssen sicherstellen, dass sie über die notwendigen Ressourcen und Fachwissen verfügen, um angemessen auf Datenpannen reagieren zu können und die betroffenen Personen zu schützen.
  • Unternehmen müssen sicherstellen, dass sie angemessene Massnahmen ergreifen, um zukünftige Datenpannen zu vermeiden und das Risiko von Datenschutzverletzungen zu minimieren.

7. Einhaltung der Anforderungen bei Profiling mit hohem Risiko und Einholung der erforderlichen Einwilligungen:

  • Unternehmen müssen sicherstellen, dass sie die Anforderungen an die Einholung der erforderlichen Einwilligungen bei Profiling mit hohem Risiko erfüllen.
  • Sie müssen sicherstellen, dass sie die Anforderungen an die Durchführung von Risikoanalyse und -bewertungen bei Profiling beachten.
  • Sie müssen die Anforderungen an die Dokumentation der durchgeführten Massnahmen bei Profiling erfüllen.
  • Unternehmen müssen sicherstellen, dass sie die Anforderungen an die Beteiligung von unabhängigen Stellen bei Profiling beachten.
  • Die Anforderungen an die Beratung der Betroffenen bei Profiling müssen sichergestellt werden.
  • Unternehmen müssen dafür sorgen, dass sie die Anforderungen an die Durchführung von Tests und Überwachungen bei Profiling erfüllen.
  • Es muss überprüft werden, ob Prinzipien der Verhältnismässigkeit und der Transparenz bei Profiling erfüllt und die Rechte der Betroffenen bewahrt werden.

Fazit:

Was sind die Schlüsselfaktoren zur erfolgreichen Umsetzung des neuen DSG?

Die Liste der Massnahmen für die Umsetzung des neuen Datenschutzgesetzes (DSG) ist lang. Die wichtigsten Schlüsselfaktoren zu einer erfolgreichen Umsetzung lassen sich einfach auf die folgenden Punkte zusammenfassen:

Fachwissen:

Unternehmen müssen notwendiges Fachwissen und die Kompetenzen aufbauen, um die Anforderungen des neuen DSG erfüllen zu können. Sie brauchen Mitarbeiter, die sich mit Datenschutzrecht auskennen, Prozesse beurteilen und die erforderlichen Dokumente und Verfahren erstellen können.

Ressourcen:

Sie müssen zeitliche und personelle Ressourcen bereitstellen, um die Anforderungen des DSG erfüllen zu können. Eine externe Beratung oder spezielle DSG-Software hilft den Umfang der Aufgaben besser einordnen zu können.

Strategie:

Um die Anforderungen des neuen DSG effektiv umzusetzen, brauchen Sie eine Strategie. Ob um auf Anfragen von Betroffenen reagieren zu können, Ihre Informations- oder Dokumentationspflichten – wenn Sie alles im Alleingang erledigen möchten kann es unnötige Ressourcen kosten. Ressourcen, die Sie lieber in Ihr Produkt, Ihre Dienstleistung oder Mitarbeiter investieren könnten.

DSG & DSGVO Datenschutzexperte René Schaufelberger

Ich unterstütze Sie gerne bei Ihrem Datenschutz mit einer fundierten Datenschutzberatung als auch mit einem Datenschutzmanagementsystem. Eine effektive Umsetzung des Datenschutzes in Unternehmen nach dem neuen Datenschutzgesetz (DSG) oder EU-DSGVO ist meine Kernkompetenz. Schonen Sie Ihre Ressourcen für Ihre Kernaufgaben.

Mit meiner Erfahrung und meinem Wissen für das grosse Ganze stelle ich sicher, dass Ihr Unternehmen jederzeit auditbereit ist.

Kontaktieren Sie mich gerne!