Datenschutz 2023: Rechtsanwalt Marius Vischer erklärt die wichtigsten Änderungen des revDSG

Das neue Datenschutzgesetz stellt viele Unternehmen vor neue Pflichten – von erweiterten Informationspflichten bis zur Meldepflicht bei Datenpannen. Im Interview erklärt Rechtsanwalt Marius Vischer, was das revDSG in der Praxis bedeutet und wie Firmen jetzt reagieren sollten.

Am 1. September 2023 tritt das revidierte Datenschutzgesetz in Kraft. Welche Neuerungen damit auf Schweizer Unternehmen zukommen, erklärt Rechtsanwalt und Datenschutzexperte Marius Vischer im Gespräch mit Reisswolf Schweiz.

 

Herr Vischer, welche wichtigsten Änderungen bringt das neue DSG mit sich?

 

Marius Vischer: Die wichtigsten Neuerungen sind aus meiner Sicht die Folgenden:

 

  • Die Informationspflichten bei der Beschaffung von Personendaten werden ausgebaut und gelten nicht mehr nur bei der Beschaffung von besonders schützenswerten Personendaten. Folglich wird eine Datenschutzerklärung für sämtliche Unternehmen Pflicht.
  • Unternehmen ab 250 Mitarbeitenden müssen neu ein Verzeichnis der Bearbeitungstätigkeiten führen, in welchem sie sich in Bezug auf einzelne Bearbeitungen u.a. zu den Bearbeitungszwecken, den Kategorien der betroffenen Personen und Daten sowie der Aufbewahrungsdauer äussern.
  • Auftragsbearbeitungen, etwa durch IT-Provider, sind vertraglich durch sog. Auftragsdatenbearbeitungsvereinbarungen (ADV; data processing agreements, DPA) abzusichern.
  • Verletzungen der Datensicherheit müssen dem EDÖB gemeldet werden, wenn sie zu einem hohen Risiko für die Persönlichkeit oder der Grundrechte der betroffenen Person führen (siehe Frage 3).

 

Wo orten Sie die Stärken im neuen DSG?

 

Das revidierte DSG ist im Vergleich zur DSGVO wesentlich pragmatischer und kürzer, und dadurch auch einfacher verständlich. Da zudem die Bearbeitungsgrundsätze unter dem revidierten DSG im Wesentlichen unverändert Geltung haben werden, sind bisher zulässige Datenbearbeitungen grundsätzliche weiterhin zulässig. Unternehmen müssen deshalb nicht jede Datenbearbeitung hinterfragen. Neu gelten jedoch einige flankierende Massnahmen, die einen Ausbau der Governance zur Folge haben (siehe Frage 1).

 

Ein Kernpunkt des neuen Gesetzes ist die Datensicherheit. Was genau heisst das und welche Auswirkungen bringt diese Anpassung mit sich?

 

Es ist durch geeignete technische oder organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit zu gewährleisten, d.h. es sind diejenigen technischen und organisatorischen Massnahmen zu ergreifen, welche in Anbetracht des Zwecks der Datenbearbeitung, des Risikos, dem Stand der Technik und der Implementierungskosten erforderlich und angemessen sind (z.B. Zugriffskontrollen, Zugangskontrollen, Datenträgerkontrollen, Speicherkontrollen, Benutzerkontrollen etc.).

 

Neu müssen Verletzungen der Datensicherheit dem EDÖB gemeldet, wenn sie zu einem hohen Risiko für die Persönlichkeit oder der Grundrechte der betroffenen Person führen. Solche Verletzungen der Datensicherheit sind z.B. Hackerangriffe oder E-Mail-Versand mit heiklen Daten an einen falschen Abnehmerkreis. Die Information des EDÖB hat raschestmöglich zu erfolgen. Eine besondere Frist besteht jedoch im Unterschied zur DSGVO (dort 72 Stunden) nicht. Da die Häufigkeit insb. von Hackerangriffen über die letzten Jahre stark zugenommen hat, lohnt es sich, sich damit zu befassen, wie bei einem solchen Vorfall vorgegangen wird (Data Breach Management).

 

Das neue DSG gilt als eine Annäherung an die DSGVO, aber nicht als Kopie. Warum wurde das DSG nicht einfach der DSGVO angepasst?

 

Zunächst einmal besteht zwischen dem DSG und der DSGVO (auch weiterhin) ein konzeptioneller Unterschied. Während in der Schweiz Datenbearbeitungen grundsätzlich zulässig sind und ein Rechtfertigungsgrund nur dann erforderlich ist, wenn die Bearbeitungsgrundsätze oder die Bestimmungen zur Datensicherheit nicht eingehalten werden oder wenn die betroffene Person der Bearbeitung widerspricht, ist unter der DSGVO stets ein Rechtfertigungsgrund notwendig. Nur schon deshalb konnte die DSGVO nicht kopiert werden. Darüber hinaus ist das Schweizer Gesetz im Wesentlichen pragmatischer ausgefallen (Swiss Finish).

 

Wie schützen Sie Ihre persönlichen Daten, worauf legen Sie wert?

 

Nach meinem Dafürhalten ist jeweils darauf zu achten, wem und welche persönlichen Daten zugänglich gemacht werden und wo diese gespeichert werden. Je heikler die Daten sind, desto wichtiger sind zudem die Massnahmen zur Gewährleistung der Datensicherheit. Eine wichtige Massnahme ist die Verwendung möglichst sicherer Passwörter. Hierzu verwende ich seit einiger Zeit einen Passwortmanager, der Passwörter generiert und speichert. Mit einer Zwei-Faktor-Authentisierung kann der Schutz noch zusätzlich erhöht werden, was bei heiklen Daten sicherlich angebracht ist (Gesundheitsdaten, Finanzdaten etc.).

 

Vielen Dank für das Gespräch.

 

Marius Vischer ist Rechtsanwalt und Partner in der Anwaltskanzlei epartners in Zürich. Er ist schwerpunktmässig im IT- und Technologierecht, im Datenschutz- sowie im Wettbewerbsrecht tätig; er ist sowohl beratend als auch prozessierend tätig und gibt regelmässig Schulungen und leitet Workshops.

Sicherheit und Diskretion sind unsere wichtigsten Anliegen, wenn es darum geht, vertrauliche Daten zu vernichten. Doch auch der ökologische Aspekt darf dabei nicht ausser Acht gelassen werden. Erfahren Sie mehr über unseren Prozess der sicheren Dokumentenvernichtung und wie Sie mit unseren Dienstleistungen auch einen Beitrag für die Umwelt leisten.

 

Die Sicherheit privater Informationen war für Unternehmen und Privatpersonen noch nie so wichtig wie heute. Denn der Schutz vertraulicher Daten verringert nicht nur das Risiko einer Datenpanne, sondern kann auch dazu beitragen, das Vertrauen von Mitarbeiterinnen und Mitarbeitern und Kunden zu stärken und zu erhalten. Die richtige Vernichtung von vertraulichen Dokumenten ist deshalb ein immens wichtiger Faktor und zeigt: nur geschredderte Daten sind zuverlässig gelöscht und damit vor Datenmissbrauch geschützt.

 

Dennoch entscheiden sich nach wie vor einige Privatpersonen und Unternehmen für die Entsorgung ihrer vertraulichen Dokumente über die herkömmliche Papiersammlung. Dies mag zwar als umweltfreundliche Entsorgungsmöglichkeit gelten, aber es führt dazu, dass vertrauliche Informationen ungeschützt und gefährdet sind. Um die Risiken besser zu verstehen, ist es wichtig, die verschiedenen Schwachstellen der Papiersammlung im Vergleich zum sicheren Aktenvernichtungsprozess von Reisswolf zu kennen.

 

Schwachstellen der traditionellen Dokumentenentsorgung

 

Die Entsorgung von Dokumenten über die Papiersammlung birgt das Risiko, dass vertrauliche Informationen preisgegeben werden. Denn wenn die Mitarbeiter ihre vertraulichen Dokumente nicht mehr benötigen, werfen sie sie in die nächstgelegenen Papiersammelbehälter. Dadurch wird der Inhalt der Dokumente potenziell für jeden im Büro zugänglich, auch für Gäste und andere Personen, die normalerweise keinen Zugang zu den vertraulichen Informationen haben.

 

Später laden Mitarbeitende von Entsorgungsbetrieben, die für das Einsammeln von Altpapier und Karton zuständig sind, die unversehrten Dokumente auf einen Lkw, um sie zur Sortieranlage zu transportieren und später dem Recyclingprozess zuführen zu können. Dies hat wiederum zur Folge, dass unzählige Personen Zugriff auf die Dokumente haben und die Daten ungeschützt sind.

 

Das Verfahren „Entsorgung über die Papiersammlung“ mag zwar die umweltfreundlichste Variante sein. Doch sind vertrauliche Daten dabei ungesichert und es besteht die grosse Gefahr einer Datenpanne. Es zeigt sich also, wie wichtig es ist, Dokumente sicher zu vernichten und ordnungsgemässe Verfahren zur Aktenvernichtung einzuführen.

 

Sichere Vernichtung und Recycling von sensiblen Informationen sind möglich

 

Wir haben den sicheren Aktenvernichtungsprozess unter Berücksichtigung verschiedener Schwachstellen entwickelt, um zu gewährleisten, dass vertrauliche Informationen vom ersten Wegwerfen eines Dokuments bis zum Recycling sicher sind. Unser Prozess umfasst dabei folgende Schritte:

 

  1. Die Mitarbeiter werfen ihre vertraulichen Dokumente in einen abschliessbaren Reisswolf-Container ein. Die Behälter sind mit unserem Sicherheitsschloss e.l.sy. und mit einem abgeschrägten Schlitz versehen, um den Zugriff auf die entsorgten Dokumente zu verhindern.

  • Unser professionelles Team leert die Container und schreddert alle Dokumente. Dabei stehen unseren Kunden verschiedene Prozesse zur Verfügung. Der Zweck der Aktenvernichtung ist der Schutz vor unbefugtem Zugriff auf geschützte Informationen. Bei einem herkömmlichen Entsorgungsprozess können Unbefugte vertrauliche Dokumente stehlen, selbst wenn sie manuell zerrissen wurden, aber durch das Schreddern werden sichere Dokumente unlesbar gemacht.

  • Sind die vertraulichen Dokumente vollumfänglich geschreddert und damit vor jeglichem Datenmissbrauch gesichert, liefert unser Team schliesslich die geschredderten Dokumente zum Recycling an eine Papierfabrik. Dabei werden im Recyclingprozess mehr als 90 Prozent der Wertstoffe zurückgewonnen. Unsere Kunden profitieren dabei von den Vorteilen des Recyclings, ohne auf die Informationssicherheit verzichten zu müssen.

 

Damit gelingt es uns, eine absolut sichere nach DIN 66399 zertifizierte und trotzdem umweltfreundliche Lösung unseren Kundinnen und Kunden anbieten zu können. Unser Dienstleistungspaket umfasst unter anderem: Bereitstellen von abschliessbaren Sammelbehältern deren Austausch oder Leerung vor Ort und Transport mit speziellen Fahrzeugen und die Vernichtung der Daten durch unsere Hochleistungsschredder in einem eigens dafür eingerichteten und streng überwachten Sicherheitsraum. Wir dokumentieren den Weg der Akten von der Übergabe bis zur Vernichtung.

Das Gesundheitswesen trägt die grosse Verantwortung, Patienten zu versorgen und gleichzeitig ihre sensiblen Daten zu schützen. So müssen auch Archive und Röntgenfilme nach Ablauf der gesetzlichen Aufbewahrungsfrist sicher vernichtet werden. Reisswolf Schweiz bietet dazu passende Lösungen.

Die Personendaten, die in Arztpraxen, Spitäler, oder anderen Gesundheitseinrichtungen bearbeitet werden, gehören zur Kategorie der besonders schützenswerten Daten. Details über den Gesundheitszustand sind äusserst vertraulich, und der Umgang mit diesen Daten muss entsprechend verantwortungsbewusst geschehen. Denn Datenpannen stellen auch in der Gesundheitsbranche eine grosse Gefahr dar und können nicht selten gravierende Folgen mit sich bringen. So können Datenschutzverletzungen nicht nur sensible Patientendaten bedrohen, sondern auch Daten von Mitarbeitern im Gesundheitswesen. Dies kann das Vertrauen zwischen den Mitarbeitern des Gesundheitswesens und ihren Organisationen beschädigen, was die derzeitige Personalkrise im Gesundheitswesen zusätzlich verschärfen könnte. Auch sind die finanziellen Folgen sehr hoch.

In Anbetracht dessen, sollten Gesundheitseinrichtungen Massnahmen ergreifen, um die Integrität der privaten Informationen der Gesundheitseinrichtung zu gewährleisten und die sensiblen Daten der Patienten zu schützen. Dazu gehören beispielsweise die sichere Vernichtung von Röntgenfilmen oder Archiven nach Ablauf der gesetzlichen Aufbewahrungsfrist.  

Röntgenfilme sicher und umweltschonend vernichten

Als Marktführer mit 25-jähriger Geschichte in der Schweiz wissen wir genau, was unsere Auftraggeber und das Gesetz beim Datenschutz verlangen. Wir sind ein zertifizierter Fachbetrieb für die sichere Akten- und Datenträgervernichtung und darauf spezialisiert, Röntgenfilme nach den strengsten Sicherheitsstandards zu vernichten. Unsere Betriebe sind allesamt nach DIN 66399 zertifiziert und gewährleisten damit eine maximale Sicherheit, wenn es darum geht, vertrauliche und sensible Daten sicher und umweltschonend zu vernichten. Wir führen das geschredderte Aktenmaterial dem Recycling zu und stellen damit die Rückgewinnung wertvoller Rohstoffe sicher.