Kolumne von Martin Steiger – Mit der europäischen Datenschutz-Grundverordnung (DSGVO) wurde Datenschutz definitiv ein Thema für Schweizer Unternehmen. Häufig geht vergessen, dass für den Datenschutz immer die Datensicherheit gewährleistet sein muss.
Martin Steiger ist Anwalt für Recht im digitalen Raum und Mitgründer von Datenschutzpartner (Bild: Daniela Grünenwald)
Unternehmen bringen ihre Datenschutzerklärungen regelmässig auf den neuesten Stand, schliessen Auftragsverarbeitungsverträge ab, erstellen ein Verzeichnis der Verarbeitungstätigkeiten oder ernennen einen EU-Datenschutz-Vertreter. Die gleichen Unternehmen vergessen häufig, dass die besten formellen Massnahmen für den Datenschutz nutzlos sind, wenn die Datensicherheit nicht gewährleistet ist.
Es nützt beispielsweise nichts, wenn im Verarbeitungsverzeichnis dokumentiert ist, welche Kategorien von Kunden-Daten wie, wofür und wo bearbeitet werden, wenn die Kunden-Datenbank im Internet öffentlich zugänglich ist. Bei einer solchen Datenpanne interessiert nicht mehr der formelle Datenschutz, sondern nur noch die tatsächliche Datensicherheit.
Personendaten müssen durch angemessene technische und organisatorische Massnahmen (TOM) geschützt werden. Solche TOMs schreiben die DSGVO sowie das heutige und künftige Datenschutzgesetz (DSG) in der Schweiz ausdrücklich vor. In der EU müssen Verletzungen der Datensicherheit gemeldet werden und es werden Bussen verhängt. Die Schweiz zieht mit dem künftigen DSG nach. Bussen bis zu 250'000 Franken für die einzelnen verantwortlichen Personen stehen zur Diskussion.
Anreiz für Unternehmen, die Datensicherheit zu gewährleisten, sollte allerdings nicht allein das Datenschutzrecht sein. Datensicherheit schützt die eigenen Geschäftsgeheimnisse, hilft bei der Einhaltung von Non Disclosure Agreements (NDA) und verhindert Reputationsschäden.
Die Gewährleistung der Datensicherheit ist ein stetiger Prozess und zwingend für das Datenschutz-Management. Dazu zählen auch scheinbar triviale Punkte: Ist zum Beispiel gewährleistet, dass ehemalige Mitarbeiter keinen Zugang mehr zu Büroräumlichkeiten, genutzten Online-Diensten und geschäftlichem WLAN haben?
In der Schweiz wird das revidierte Datenschutzgesetz (DSG) im Frühjahr 2020 im Parlament behandelt. Das künftige DSG wird in vielen Punkten verschärft, mit dem Ziel, dass die EU den schweizerischen Datenschutz weiterhin als angemessen anerkennt. Ohne diese Anerkennung käme der freie Datenverkehr mit dem Europäischen Wirtschaftsraum (EWR) zum Erliegen.
Autor: Lic. iur. HSG Martin Steiger ist Anwalt und Mitgründer von Datenschutzpartner. Er ist auf Recht im digitalen Raum spezialisiert und befasst sich insbesondere mit Datenschutzrecht. Er unterrichtet unter anderem am Schweizerischen Institut für Betriebsökonomie (SIB).
Weitere Kolumnen von Martin Steiger auf topsoft.ch
Magazin kostenlos abonnieren
Abonnieren Sie das topsoft Fachmagazin kostenlos. 4 x im Jahr in Ihrem Briefkasten.