Das neue Datenschutzgesetz kommt – und betrifft jedes Unternehmen

Wenn Sie eine neue Mitarbeiterin einstellen und sensible Daten wie Lohn- oder Gesundheitsdaten der Pensionskasse melden müssen. Machen Sie dies mit einer Postkarte oder doch eher mit einem eingeschriebenen Brief?

«Was für eine Frage!» denken Sie nun vielleicht. Wenn Sie die Daten nun aber per E-Mail versenden, machen Sie nicht gross etwas anderes als eine Postkarte versenden. Unverschlüsselte E-Mails sind nicht sicher.

Wir kommen damit direkt zum Thema. Im September 2023 wird das revidierte Datenschutzgesetz (revDSG) in Kraft gesetzt. Die Schweiz muss sich dem Datenschutz der EU angleichen, um keine Nachteile in Kauf zu nehmen. Verstösse gegen das Datenschutzgesetz sind neu meldepflichtig. Wird dies oder werden Mindestanforderungen an den Datenschutz nicht eingehalten, so können die verantwortlichen Personen – also Geschäftsführer, Datenschutzverantwortliche, etc. (und nicht etwa die Firmen!) mit hohen Bussen von bis zu 250'000 Franken belegt werden.
 

datenschutz_web

Was fällt unter das DSG?

Das neue Datenschutzgesetz regelt den Umgang mit Daten von Privatpersonen – nicht aber von Firmen oder Sachdaten. Diesbezüglich sollte für einen entsprechenden Schutz aber auch aus Eigeninteresse gesorgt werden.

Personendaten sind Angaben wie Namen, Adressen, Geburtsdaten, Telefonnummer, AHV-Nummer oder ein Autokennzeichen. Aber auch Profiling-Daten wie Fähigkeiten, Beziehungen oder Aktivitäten. Heikler sind besonders schützenswerte Personendaten wie Gesundheitsdaten, Religion, Löhne oder politische Meinungen. Besonders schützenswerte Daten müssen entsprechend besonders geschützt werden. Sprich verschlüsseln und klassifizieren Sie die Daten und versenden Sie solche Daten nicht mit einem normalen E-Mail (=Postkarte), sondern nur über entsprechende Schnittstellen oder mittels verschlüsselten E-Mail (=eingeschriebener Brief).

Pflichten in der Datenbearbeitung

Wer Personendaten bearbeitet (und welches Unternehmen hat keine Personendaten gespeichert?) hat fünf Pflichten, welche mit dem neuen Datenschutzgesetz eingehalten werden müssen.

  • Legalitätsprinzip -> Haben Sie eine gesetzliche Erlaubnis oder eine Einwilligung Ihrer Kunden.
  • Verhältnismässigkeit -> Sammeln Sie nur so viele Daten wie nötig und so wenig möglich.
  • Zweckbindungsgebot -> Der Zweck muss vor der Datensammlung feststehen.
  • Datenrichtigkeit -> Die Daten müssen richtig und aktuell sein.
  • Datensicherheit -> Schützen Sie die Daten vor Manipulationen und stellen Sie die Vertraulichkeit sicher.

Rechte der Personen

Wenn Sie Daten von Kunden bearbeiten, haben diese Personen verschiedene Rechte. Sie haben einerseits ein Auskunftsrecht (Art. 25 revDSG), sprich auf Verlangen müssen Sie eine Kopie aller Daten der Person herausgeben und haben dafür höchsten 30 Tage Zeit. Auf Antrag der Person müssen die Daten herausgegeben oder übertragen werden (Art. 28) oder berichtigt, gelöscht oder vernichtet werden (Art. 32).

Was Sie tun müssen

Aus den oben ausgeführten Rechten und Pflichten lässt sich verschiedener Handlungsbedarf ableiten.

  • Finden, klassifizieren und verschlüsseln der Daten: Wo sind Ihre Daten abgelegt? Aufgrund welcher Grundlage und zu welchem Zweck? Das gilt übrigens nicht nur für neue Personendaten, sondern auch für bereits vorhandene Daten.
  • Klärung der IT-Sicherheit in Datenhaltung, Verarbeitung und Übermittlung.
  • Überarbeitung der Datenschutzrichtlinie: Welche Daten bearbeiten Sie? Zu welchem Zweck?
  • Meldeprozess bei Datenschutzverletzungen festlegen.
  • Weitere Prozesse wie IKS oder Risk Management überprüfen.
  • Schulen und sensibilisieren Sie Ihre Mitarbeitenden.

Die Massnahmen der MZO

Um es etwas greifbarer zu machen, was haben wir als MZO gemacht? Einerseits haben wir unsere Datenschutzrichtlinie aktualisiert und die Vertragsvorlagen mit unseren Kunden (Broker-Mandat mit Informationspflichten nach VAG45) aktualisiert. Die Datenablage in unserem CRM überprüfen wir mit unserem Software-Hersteller, einem führenden Anbieter im Bereich der Brokersoftware. Wir bieten unseren Kunden eine sichere Daten-Schnittstelle über unser Kundenportal an. Auch kommunizieren wir mit Versicherungen vermehrt über Schnittstellen und haben eine spezielle Software angeschafft, um die Vertraulichkeit der sensiblen Daten im Offert- und Antragsprozess zu gewährleisten. Gleichzeitig klären und überarbeiten wir die Datenverschlüsselung, E-Mail-Verschlüsselung sowie die Internet-Firewall. Und die Bestrebungen werden weitergehen. Das alles benötigt viel Zeit, Ressourcen, neue Prozesse und auch Geld. Wir sind aber auf dem Weg, dass wir bei Einführung des neuen DSG definitiv bereit sind.
 

Unser wichtigster Punkt aber war die verstärkte Sensibilisierung unserer Mitarbeitenden. Diese müssen unsere Massnahmen verstehen und aktiv mittragen. Bekanntlich starten 90% aller Cyber-Angriffe (eines der Einfalltore für Datenschutzverletzungen) über Mitarbeitende.
 

Übrigens: Die Versicherung hilft in diesem Thema nur bedingt. Verletzungen der Datensicherheit durch Hackerangriffe sind durch eine Cyber-Versicherung gedeckt. Eine mögliche Busse über DSG-Verstösse darf eine Versicherung jedoch aus rechtlichen Gründen nicht übernehmen.

Schulung

Interessiert am Thema?

Oder wünschen Sie weitere Informationen? Melden Sie sich bei uns - wir beraten Sie gerne.