21.07.2020

Datenschutz im IKS: Worauf es zu achten gilt

Ein Internes Kontrollsystem (IKS) enthält neben den Kontrollen auf der Unternehmens- und Prozessebene immer auch allgemeine IT-Kontrollen. In diesem Zusammenhang muss ein Unternehmen, das ein existierendes IKS nachweisen muss, in der Lage sein, den Datenschutz im Bereich der Buchhaltung und finanziellen Berichterstattung zu gewährleisten. Da personenbezogene Daten auch in der Buchhaltung und finanziellen Berichterstattung von Unternehmen verarbeitet werden, ist das Risiko möglicher Datenschutzverletzungen aus IKS-Sicht proaktiv von den Finanzverantwortlichen eines Unternehmens zu beurteilen sowie durch entsprechende Massnahmen zu steuern.

Von: Prof. Dr. Thomas Rautenstrauch  DruckenTeilen 

Prof. Dr. Thomas Rautenstrauch

Thomas Rautenstrauch ist Professor für Betriebswirtschaftslehre, insbesondere Accounting und Controlling sowie Leiter des Center for Accounting & Controlling an der HWZ Hochschule für Wirtschaft Zürich und seit Januar 2019 Leiter des Departments Business Analytics & Technology sowie Mitglied der Schulleitung. Weiterhin ist er als Gastprofessor für Management Accounting im Executive MBA des Institute for Management in Technology (iimt) an der Universität Fribourg tätig. Thomas Rautenstrauch ist Autor von mehreren Fachbüchern und zahlreichen Artikeln in Fachzeitschriften und in der Wirtschaftspresse.

Datenschutz im IKS

Ausgangssituation des Datenschutz im IKS

Neben der am 25. Mai 2018 in Kraft getretenen DSGVO, die als EU-Verordnung vor allem auf den allgemeinen Datenschutz und die Verarbeitung von Personendaten im privaten und im öffentlichen Sektor fokussiert, ist für Schweizer Unternehmen auch noch die ePrivacy zu nennen. Hierbei handelt es sich um die Verordnung des Europäischen Parlaments und des Rates über die Achtung des Privatlebens und den Schutz personenbezogener Daten in der elektronischen Kommunikation. Mit dieser voraussichtlich 2020 in Kraft tretenden Verordnung soll ergänzend zur EU-DSGVO das Ziel erreicht werden, mehr Transparenz und Sicherheit für die Internetnutzer zu schaffen. Die neue Verordnung wird die alte ePrivacy-Richtlinie (Richtlinie 2002/58/EG) ersetzen.

Diese Abbildung zeigt die drei für Schweizer Unternehmen wesentlichen Datenschutznormen im Überblick.

Gesetzliche Grundlagen für den Datenschutz: Unterschiede zwischen der EU-DSGVO und dem Entwurf des neuen Schweizer Datenschutzgesetzes

Die Revision des Schweizer Datenschutzgesetzes ist stark an die EU-DSGVO angelehnt, es gibt jedoch einige wesentliche Unterschiede. Diese hat das Beratungsunternehmen PWC einander gegenübergestellt. Nachfolgend werden die wesentlichsten Unterschiede aus dieser Gegenüberstellung zusammengefasst (PWC, 2018):
 

MerkmalEU-DSGVOE-DSG
Datenschutzrechte

Recht auf:

  • Berichtigung
  • Auskunft
  • Einschränkung der Verarbeitung
  • vergessen werden
  • Widerspruch
  • Widerrufen der Einwilligung
  • nicht Gegenstand einer automatisierten Verarbeitung zu sein
 

Gemäss dem E-DSG besteht in der Schweiz nur ein Auskunftsrecht.

Sämtliche anderen Rechte sind im Schweizer Rechtssystem anderweitig geregelt und durchsetzbar.

Grundsätze der Bearbeitung von persönlichen Daten

  • Verarbeitung von Personendaten
  • Bearbeitungsprinzipien zur Bearbeitung von persönlichen Daten
 

Um Personendaten zu verarbeiten, muss eine rechtliche Grundlage bestehen, ansonsten ist die Verarbeitung von Personen grundsätzlich verboten:

  1. Zweckbindung
  2. Datenminimierung
  3. Richtigkeit
  4. Speicherbegrenzung
  5. Integrität und Vertraulichkeit
  6. Rechenschaftspflicht
 

Wird die Persönlichkeit einer Person verletzt, ist das Verarbeiten von Personendaten in der Schweiz verboten.

Die Bearbeitung dieser Daten ist ansonsten grundsätzlich erlaubt:

  1. Zweckbindung
  2. Datenminimierung
  3. Richtigkeit
  4. Speicherbegrenzung
  5. Integrität und Vertraulichkeit

Gemäss dem revidierten Schweizer Datenschutzgesetz

besteht keine Rechenschaftspflicht.
Meldefrist bei Datenschutzverletzungeninnerhalb 72 Stundenso schnell wie möglich
BussgelderDas Bussgeld kann sich auf bis zu EUR 20 Mio. oder 4% des Umsatzes belaufen.Die Busse kann bis zu CHF 250 000.– betragen und wird auf die verantwortliche Einzelperson erhoben.

Voraussichtliche weitere Entwicklungen

Seit dem ersten Entwurf gab es Tendenzen, das E-DSG mit einem ‹Swiss Finish› zu versehen. Gemeint ist damit in erster Linie ein Schutzniveau, das vom demjenigen der DSGVO abweicht.

Bei unterschiedlichen Datenschutzniveaus mit unterschiedlichen Regelungen (z.B. Höhe der Bussen) müssten die Unternehmen beide Regelwerke umsetzen und die Einhaltung entsprechend überprüfen. Besonders betroffen wären kleinere und mittlere Unternehmen (BJ, 2017, S. 6). Wirtschaftsverbände beklagen zudem eine Behinderung von Innovation und Wettbewerb, wenn die datenschutzrechtlichen Bestimmungen über den internationalen Standard hinausgehen und damit zusätzliche Rechtsunsicherheit geschaffen werden würde (Economiesuisse, 2017).

In diversen Stellungnahmen haben verschiedene Wirtschaftsverbände sowie auch Schweizer Unternehmungen weitere Bedenken über die Umsetzung der teilweise strengeren Regulierungen geäussert. So bemängeln die meisten Wirtschaftsverbände die weitergehenden Regulierungen betreffend das ‹Profiling› anhand von personenbezogenen Daten, die Vorgaben betreffend die Selbstregulierung der Unternehmen und das Sanktionensystem (IAB – Interactive Advertising Bureau, ICTswitzerland, & IG DHS, 2017).

 Event-Tipp: Erhalten Sie am Fachkongress «Rechnungswesen und Steuern 2020» einen Überblick zu den neusten Entwicklungen zum Thema Digitalisierung und Datenschutz aus Sicht von Finanz- und Treuhandexperten.

Datenschutz im IKS: Risiken und geeignete Massnahmen

Wird mit personenbezogenen Daten gearbeitet, entstehen vor dem Hintergrund bestehender Datenschutzregelungen entsprechende Risiken. Diese häufig mit Geschäftsprozessen in Verbindung stehenden Datenschutzrisiken sind eine wichtige Aufgabe des IKS und daher in einem ersten Schritt zu identifizieren und zu bewerten, bevor geeignete interne Kontrollen konzipiert und umgesetzt werden.

Nachfolgend drei Beispiele für mögliche Datenschutzrisiken:

  • Vertrauliche Daten werden aus Unachtsamkeit dem falschen Empfänger zugestellt: Beim Versand von vertraulichen Daten an Marktpartner wie Kunden, Lieferanten oder an Mitarbeitende via E-Mail kann es bei ungenügender Sorgfalt vorkommen, dass fälschlicherweise eine inkorrekte E-Mail-Empfängeradresse verwendet wird und folglich die darin enthaltenen Daten an den falschen Empfänger versendet werden. Dieses Risiko kann z.B. durch ein internes Sicherheitssystem (Information Security) verringert werden, welches E-Mails auf sensitive Daten und Inhalte überprüft.
  • Verzögerung bei der Bearbeitung von Auskunftsbegehren: Aufgrund der neuen EU-DSGVO haben die im EU-Raum ansässigen Kundinnen und Kunden Schweizer Unternehmen das Recht, von diesen Unternehmen Auskunft über ihre gesammelten Daten zu erhalten. Die Frist zur Bearbeitung solcher Begehren beträgt 30 Tage. Das Risiko liegt somit darin, dass diese Auskunftsbegehren nicht fristgerecht beantwortet werden, was rechtliche Konsequenzen auslösen kann. Dies bedeutet für die Unternehmen, dass ihre Datenbanken so aufgesetzt sein müssen, dass die Daten einfach abrufbar sind, schnell verarbeitet werden können und für den Kunden verständlich darstellbar sind.
  • Unbefugte erhalten Zugriff auf persönliche Daten unter Umgehung von Passwörtern: Im Falle fehlender oder inadäquater Passwortkonzepte und bestehender Kontrollschwächen im Zusammenhang mit der Nutzung von Passwörtern in Unternehmen besteht das Risiko, dass schützenswerte persönliche Daten von Kunden von Unbefugten eingesehen werden können.

Zur Verhinderung dieser und anderer Risiken im Zusammenhang mit dem Datenschutz sind daher in das IKS vor allem entsprechende Richtlinien aufzunehmen, an welche sich die Mitarbeitenden im Umgang mit dem Computer und den Personendaten zu halten haben.

Die Melde- und Analysestelle Informationssicherung (MELANI) des Eidgenössisches Finanzdepartements hat ein Merkblatt Informationssicherheit für KMUs herausgegeben, welches zum einen organisatorische Massnahmen vorstellt, um die Informationssicherheit zu erhöhen bzw. sicherzustellen. Zum anderen werden technische Massnahmen ausgeführt, wie die Sicherheit der IT-Infrastruktur erhöht bzw. sichergestellt werden kann.

Was ist zu tun?

IKS-Beauftragte in Unternehmen sollten dafür besorgt sein, dass den Mitarbeitenden mithilfe von internen oder externen Schulungsmassnahmen die Wichtigkeit des Datenschutzes bewusst gemacht wird. Zudem sollten auch aus Sicht einer Compliance entsprechende technische und organisatorische Regelungen getroffen werden, um die gesetzlichen Meldepflichten vollumfänglich sicherzustellen, da sonst erhebliche Bussen drohen (in der Schweiz bis CHF 250 000.– und im EU-Raum 4% des Umsatzes, bis zu EUR 20 Mio.).

Trotz solcher Massnahmen können jedoch Datenschutzrisiken oftmals nicht vollständig vermieden werden, da diese systembezogen sind oder aufgrund von Unachtsamkeit der Mitarbeiter entstehen können.

Seminar-Empfehlung

Fachkongress, 1 Tag, Technopark, Zürich

Rechnungswesen und Steuern 2020

Aktuelles und Neuerungen aus dem Finanz- und Steuerbereich

Änderungen bei Sozialversicherungen und Quellensteuer per 1.1.2021, MWST- und Steuer-Update und Aktuelles aus der Buchhaltungspraxis

Nächster Termin: 24. November 2020

mehr Infos

Produkt-Empfehlungen

  • Datenschutz kompakt

    Datenschutz kompakt

    Alles rund um den Datenschutz – Vorlagen, Checklisten und aktuelles Know-how.

    ab CHF 148.00

  • Internes Kontrollsystem

    Internes Kontrollsystem

    Know-how, Tipps und viele Fallbeispiele unterstützen Sie bei der Konzeption bis hin zur Implementierung Ihres IKS.

    Mehr Infos

  • Planung & Unternehmenssteuerung

    Planung & Unternehmenssteuerung

    Das Controlling-Cockpit für die erfolgreiche Planung und Steuerung.

    Mehr Infos

Seminar-Empfehlungen

  • Praxis-Workshop, 1 Tag, ZWB, Zürich

    Datenschutz erfolgreich umsetzen

    Schritt-für-Schritt-Anleitung für die Umsetzung der Datenschutz-Mindestanforderungen

    Nächster Termin: 01. Oktober 2020

    mehr Infos

  • Praxis-Seminar, 1 Tag, ZWB, Zürich

    Internes Kontrollsystem (IKS)

    So richten Sie Ihr IKS nachhaltig und effizient aus

    Nächster Termin: 21. Oktober 2020

    mehr Infos

  • Praxis-Seminar, 1 Tag, ZWB, Zürich

    Digitalisierung im Finanz- und Rechnungswesen

    Anforderungen, Chancen und optimale Umsetzung

    Nächster Termin: 11. November 2020

    mehr Infos

Um unsere Website laufend zu verbessern, verwenden wir Cookies. Durch die Nutzung dieser Website stimmen Sie der Verwendung von Cookies zu. Mehr Infos