Am 1. September 2023 tritt das revidierte Schweizer Datenschutzgesetz (DSG) ohne Übergangfrist in Kraft. Das neue Gesetz wird benötigt, um mit den geforderten Standards der EU-Staaten mitzuhalten und nicht als unsicheres Drittland zu gelten. Für den offiziellen Gesetzestext verweisen wir auf das Bundesgesetz über den Datenschutz.
Vor ziemlich genau fünf Jahren trat die DSGVO – sozusagen die grosse Schwester des DSG – in Kraft und hatte grosse Auswirkungen auf das Web. Wer sich damals damit beschäftigt hat, ist nun im Vorteil. Allerdings bedeutet die DSGVO-Konformität nicht automatisch, dass man für den 1. September restlos vorbereitet ist. Das DSG unterscheidet sich an einigen Stellen zur DSGVO und diese «Swiss Finishes» haben es in sich: durch die neuen Strafbestimmungen können im schlimmsten Fall Bussen von bis zu CHF 250'000.– verhängt werden.
«Sind wir eigentlich bereit?»
Diese Frage machte in den vergangenen Monaten wohl in vielen Unternehmen die Runde und so haben auch wir uns vor rund einem Jahr dazu entschieden, das Thema in Angriff zu nehmen und uns mit dem DSG im Web vertraut zu machen.
Doch wie so oft bei komplexen Themen sind wir bei der Suche nach Antworten zuerst einmal auf viele weitere Fragen gestossen: «Welche Gesetze gelten denn nun für unsere Web-Applikation?», «Geben wir Daten unwissentlich in unsichere Drittstaaten weiter?» und «Wie lange ist die Aufbewahrungsfrist unserer Daten?», um nur ein paar Beispiele zu nennen. So ist bei uns Schritt für Schritt ein Prüfprozess für Web-Applikationen entstanden, welcher alle betroffenen Bereiche auf Handlungsbedarf untersucht. Der Schlüssel für diesen Prozess liegt (nicht ganz unerwartet) bei den Daten selbst und deren genauen Dokumentation.
Wo sind überhaupt meine Daten?
Quasi jeder Produktionsbetrieb führt ein penibles Lagerinventar und prüft genau die Ein- und Ausgänge einzelner Gegenstände – ja es gibt sogar spezialisierte Software, die einem genau dabei unterstützt. Und regelmässig wird jene überprüft, ob das, was zu Buche steht, auch tatsächlich im Lager vorhanden ist.
Wer nun dieselbe Aufmerksamkeit seinen Daten widmet, ist bestens vorbereitet für viele notwendige Massnahmen beim Datenschutz. Welche Daten werden wo, wie lange und wozu gespeichert? Und wer sorgt dafür, dass die Daten nach der definierten Frist korrekt archiviert oder gelöscht werden?
Die Antworten auf diese Fragen sind in einem «Verzeichnis der Bearbeitungstätigkeiten» festzuhalten (und regelmässig zu überprüfen!). Dieses ist zwar dank der KMU-Ausnahme nicht für alle Unternehmen Pflicht – wir legen es jedoch trotzdem jedem ans Herz. Wir hoffen, dass spätestens am Ende des Blog-Posts klar ist, warum. Denn das «Kleine Dateninventar», wie es manchmal auch genannt wird, bildet die Grundlage für alle weiteren Schritte.
Datensparsamkeit ist sexy
Noch besser, als seine Daten genau zu dokumentieren, ist es, unnötige Daten gar nicht erst zu sammeln. Jedes nicht angelegte Datensilo minimiert das Risiko einer Datenschutz-Verletzung und dies reduziert das Schadenspotential eines Datenlecks. Doch nicht nur aus Datensicherheits-Perspektive ist Datensparsamkeit Trumpf: Jeder Datenpunkt, der inventarisiert, überprüft und archiviert werden muss, bedeutet wiederkehrender Aufwand. So macht Datensparsamkeit auch aus betriebswirtschaftlicher Sicht durchaus Sinn.
Wo man früher Daten auf Vorrat gesammelt hat («Daraus kann man sicher einmal etwas Schlaues berechnen») gilt es heute ungenützte Datenhaufen zu verhindern. Denn das Lifecycle-Management seiner Daten ist auch mit wenig Daten bereits eine grosse Herausforderung.
Der mit dem DSG eingeführte Datenschutzgrundsatz «Privacy-by-Default» schreibt nun sogar gesetzlich vor, datenschutzfreundliche Voreinstellungen zu verwenden. Doch um diese Einstellungen treffen zu können, muss man sie zuerst kennen: Wer weiss zum Beispiel wie lange seine Google Analytics Daten aufbewahrt werden?
Noch mehr Prozesse?
Eine weitere Neuerung stellen die erweiterten Betroffenenrechte dar. So können Kunden ab dem 1. September jederzeit anfragen, welche Daten über sie zu welchem Zweck und wie lange gespeichert werden. Diese Auskunft muss gemäss DSG kostenlos erfolgen und in den normalen Fällen innert 30 Tagen passieren.
Um solche Anfragen effizient abarbeiten zu können, lohnt es sich einerseits, bereits ein sauberes Dateninventar als Grundlage zu haben und andererseits zu definieren, wie der interne Prozess für eine solche Anfrage aussieht. Nebst den Betroffenenrechten gibt es noch weitere Bereiche, zu welchen es sich lohnt, vorgängig die Prozesse zu überprüfen. Namentlich sind dies die Datenschutz-Folgeabklärung (DSFA) bei neuen Vorhaben und die Meldung von Datenschutzverletzungen.
Sollte es tatsächlich zu einer Datenschutzverletzung («Data Breach») kommen, ist man neu verpflichtet, dies so schnell wie möglich dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) zu melden. Unter Umständen kann es sein, dass auch die betroffenen Personen darüber informiert werden müssen. Dies kann der Fall sein, wenn zum Beispiel alle Benutzer möglichst schnell ihr Passwort ändern sollen. Kommt es zu so einem Fall, ist man froh, wenn der Meldeprozess bereits definiert ist und man sich mitten im Chaos nicht auch noch darum kümmern muss.
Technische Hausaufgaben
Damit die Wahrscheinlichkeit einer Datenschutzverletzung möglichst tief gehalten werden kann, gilt es nebst all den organisatorischen Massnahmen auch den aktuellen Stand der Technik zu prüfen. Die Datenschutzbestimmung «Privacy-by-Design» (Datenschutz durch Technik) verpflichtet einem dazu sicherzustellen, dass seine Web-Applikation den aktuellen Sicherheitsstandards genügt.
Hier gibt es neben der klassischen Transport-Verschlüsselung (TLS) auch einige Möglichkeiten, weniger Daten des Benutzers automatisch zu erheben und ganz im Sinne der Datensparsamkeit nicht benötigte Datenquellen zu eliminieren. Dazu gilt es zu überprüfen, ob die Web-Applikation Daten zur Bearbeitung an Dritte weitergibt. Klassische Beispiele für solche Auftragsbearbeitungen sind Analytics-Suiten, Newsletter-Tools oder das weitverbreitete Google ReCaptcha.
Sind die bestehenden Auftragsbearbeitungen in der Web-Applikation erst einmal identifiziert, kann der entsprechende Handlungsbedarf evaluiert werden. Dies startet beim Informieren des Benutzers in der Datenschutzerklärung. Je nach Bearbeitungsumfang und Zielland kann auch ein Auftragsdatenverarbeitungs-Vertrag (AVV) mit dem Drittanbieter vonnöten sein. Und in gewissen Fällen muss die Einwilligung des Benutzers vor der Datenübertragung eingeholt werden. Dabei spricht man vom «Consent Management», was häufig über einen Cookie Banner gelöst wird. Die Informationen in der Datenschutzerklärung, die benötigten AVVs und die verwendeten Cookies müssen regelmässig aktualisiert werden.
Automatisieren!
Was jetzt schon feststeht: Wenn all diese Massnahmen korrekt umgesetzt werden sollen, entsteht eine Menge organisatorischer Aufwand. Doch es gibt auch gute Neuigkeiten: Vieles davon kann mit den richtigen Tools automatisiert werden. So gibt es zum Beispiel ein Tool, welches regelmässig die bestehenden Datenübertragungen an Dritte überprüft und automatisch die richtigen Informationen in die Datenschutzerklärung und in den Cookie Banner schreibt.
Damit schlägt man zwei Fliegen mit einer Klatsche: Die Automatisierung stellt einerseits sicher, dass die Informationen stets aktuell sind und man spart sich Zeit, welche für wiederkehrende Arbeiten aufgewendet werden müsste. Auch beim Lifecycle Management der Daten kann vieles automatisiert werden. Die automatische Löschung nach Ablauf der Aufbewahrungsdauer, die Anonymisierung von älteren Daten oder das Verschieben ins Archiv sind nur einige Möglichkeiten.
Fazit
Um für den 1. September und darüber hinaus gerüstet zu sein, lässt sich also folgendes Erfolgsrezept festhalten:
- Ein sauberes Dateninventar bildet die Grundlage für weitere Schritte
- Interne Prozesse definieren, bevor sie das erste Mal wirklich gebraucht werden
- Wiederkehrende Aufgaben so viel wie möglich automatisieren – die richtigen Tools kennen
- Rechtzeitig einen Ansprechpartner im Bereich Datenschutz auswählen
- Wo überhaupt Handlungsbedarf besteht, ist stark abhängig von der Ausgangslage und der individuellen Web-Applikation – diese Arbeit übernehmen wir gerne für Sie im Rahmen unseres DSG-Checks!
Bei unserem DSG-Check überprüfen wir Ihre Web-Applikation auf DSG-Konformität und untersuchen die Ausgangslage. Das Resultat ist ein ausführlicher Bericht mit konkreten Handlungsempfehlungen. Diese Handlungsempfehlungen sind entweder organisatorischer Natur und können von Ihnen umgesetzt werden oder technische Aufgaben, welche wir für Sie übernehmen können. Weiter erhalten Sie Anleitungen und Dokument-Vorlagen für allfällige organisatorische Handlungsempfehlungen.
Gerne beantworten wir Ihre Fragen, nehmen Sie mit uns Kontakt auf.