Ausgangssituation des Datenschutz im IKS
Neben der am 25. Mai 2018 in Kraft getretenen DSGVO, die als EU-Verordnung vor allem auf den allgemeinen Datenschutz und die Verarbeitung von Personendaten im privaten und im öffentlichen Sektor fokussiert, ist für Schweizer Unternehmen auch noch die ePrivacy zu nennen. Hierbei handelt es sich um die Verordnung des Europäischen Parlaments und des Rates über die Achtung des Privatlebens und den Schutz personenbezogener Daten in der elektronischen Kommunikation. Mit dieser voraussichtlich 2020 in Kraft tretenden Verordnung soll ergänzend zur EU-DSGVO das Ziel erreicht werden, mehr Transparenz und Sicherheit für die Internetnutzer zu schaffen. Die neue Verordnung wird die alte ePrivacy-Richtlinie (Richtlinie 2002/58/EG) ersetzen.
Diese Abbildung zeigt die drei für Schweizer Unternehmen wesentlichen Datenschutznormen im Überblick.
Gesetzliche Grundlagen für den Datenschutz: Unterschiede zwischen der EU-DSGVO und dem Entwurf des neuen Schweizer Datenschutzgesetzes
Die Revision des Schweizer Datenschutzgesetzes ist stark an die EU-DSGVO angelehnt, es gibt jedoch einige wesentliche Unterschiede. Diese hat das Beratungsunternehmen PWC einander gegenübergestellt. Nachfolgend werden die wesentlichsten Unterschiede aus dieser Gegenüberstellung zusammengefasst (PWC, 2018):
| Merkmal | EU-DSGVO | E-DSG |
|---|---|---|
| Datenschutzrechte | Recht auf:
| Gemäss dem E-DSG besteht in der Schweiz nur ein Auskunftsrecht. Sämtliche anderen Rechte sind im Schweizer Rechtssystem anderweitig geregelt und durchsetzbar. |
Grundsätze der Bearbeitung von persönlichen Daten
| Um Personendaten zu verarbeiten, muss eine rechtliche Grundlage bestehen, ansonsten ist die Verarbeitung von Personen grundsätzlich verboten:
| Wird die Persönlichkeit einer Person verletzt, ist das Verarbeiten von Personendaten in der Schweiz verboten. Die Bearbeitung dieser Daten ist ansonsten grundsätzlich erlaubt:
Gemäss dem revidierten Schweizer Datenschutzgesetz besteht keine Rechenschaftspflicht. |
| Meldefrist bei Datenschutzverletzungen | innerhalb 72 Stunden | so schnell wie möglich |
| Bussgelder | Das Bussgeld kann sich auf bis zu EUR 20 Mio. oder 4% des Umsatzes belaufen. | Die Busse kann bis zu CHF 250 000.– betragen und wird auf die verantwortliche Einzelperson erhoben. |
Voraussichtliche weitere Entwicklungen
Seit dem ersten Entwurf gab es Tendenzen, das E-DSG mit einem ‹Swiss Finish› zu versehen. Gemeint ist damit in erster Linie ein Schutzniveau, das vom demjenigen der DSGVO abweicht.
Bei unterschiedlichen Datenschutzniveaus mit unterschiedlichen Regelungen (z.B. Höhe der Bussen) müssten die Unternehmen beide Regelwerke umsetzen und die Einhaltung entsprechend überprüfen. Besonders betroffen wären kleinere und mittlere Unternehmen (BJ, 2017, S. 6). Wirtschaftsverbände beklagen zudem eine Behinderung von Innovation und Wettbewerb, wenn die datenschutzrechtlichen Bestimmungen über den internationalen Standard hinausgehen und damit zusätzliche Rechtsunsicherheit geschaffen werden würde (Economiesuisse, 2017).
In diversen Stellungnahmen haben verschiedene Wirtschaftsverbände sowie auch Schweizer Unternehmungen weitere Bedenken über die Umsetzung der teilweise strengeren Regulierungen geäussert. So bemängeln die meisten Wirtschaftsverbände die weitergehenden Regulierungen betreffend das ‹Profiling› anhand von personenbezogenen Daten, die Vorgaben betreffend die Selbstregulierung der Unternehmen und das Sanktionensystem (IAB – Interactive Advertising Bureau, ICTswitzerland, & IG DHS, 2017).
Event-Tipp: Erhalten Sie am Fachkongress «Rechnungswesen und Steuern 2020» einen Überblick zu den neusten Entwicklungen zum Thema Digitalisierung und Datenschutz aus Sicht von Finanz- und Treuhandexperten.
Datenschutz im IKS: Risiken und geeignete Massnahmen
Wird mit personenbezogenen Daten gearbeitet, entstehen vor dem Hintergrund bestehender Datenschutzregelungen entsprechende Risiken. Diese häufig mit Geschäftsprozessen in Verbindung stehenden Datenschutzrisiken sind eine wichtige Aufgabe des IKS und daher in einem ersten Schritt zu identifizieren und zu bewerten, bevor geeignete interne Kontrollen konzipiert und umgesetzt werden.
Nachfolgend drei Beispiele für mögliche Datenschutzrisiken:
- Vertrauliche Daten werden aus Unachtsamkeit dem falschen Empfänger zugestellt: Beim Versand von vertraulichen Daten an Marktpartner wie Kunden, Lieferanten oder an Mitarbeitende via E-Mail kann es bei ungenügender Sorgfalt vorkommen, dass fälschlicherweise eine inkorrekte E-Mail-Empfängeradresse verwendet wird und folglich die darin enthaltenen Daten an den falschen Empfänger versendet werden. Dieses Risiko kann z.B. durch ein internes Sicherheitssystem (Information Security) verringert werden, welches E-Mails auf sensitive Daten und Inhalte überprüft.
- Verzögerung bei der Bearbeitung von Auskunftsbegehren: Aufgrund der neuen EU-DSGVO haben die im EU-Raum ansässigen Kundinnen und Kunden Schweizer Unternehmen das Recht, von diesen Unternehmen Auskunft über ihre gesammelten Daten zu erhalten. Die Frist zur Bearbeitung solcher Begehren beträgt 30 Tage. Das Risiko liegt somit darin, dass diese Auskunftsbegehren nicht fristgerecht beantwortet werden, was rechtliche Konsequenzen auslösen kann. Dies bedeutet für die Unternehmen, dass ihre Datenbanken so aufgesetzt sein müssen, dass die Daten einfach abrufbar sind, schnell verarbeitet werden können und für den Kunden verständlich darstellbar sind.
- Unbefugte erhalten Zugriff auf persönliche Daten unter Umgehung von Passwörtern: Im Falle fehlender oder inadäquater Passwortkonzepte und bestehender Kontrollschwächen im Zusammenhang mit der Nutzung von Passwörtern in Unternehmen besteht das Risiko, dass schützenswerte persönliche Daten von Kunden von Unbefugten eingesehen werden können.
Zur Verhinderung dieser und anderer Risiken im Zusammenhang mit dem Datenschutz sind daher in das IKS vor allem entsprechende Richtlinien aufzunehmen, an welche sich die Mitarbeitenden im Umgang mit dem Computer und den Personendaten zu halten haben.
Die Melde- und Analysestelle Informationssicherung (MELANI) des Eidgenössisches Finanzdepartements hat ein Merkblatt Informationssicherheit für KMUs herausgegeben, welches zum einen organisatorische Massnahmen vorstellt, um die Informationssicherheit zu erhöhen bzw. sicherzustellen. Zum anderen werden technische Massnahmen ausgeführt, wie die Sicherheit der IT-Infrastruktur erhöht bzw. sichergestellt werden kann.
Was ist zu tun?
IKS-Beauftragte in Unternehmen sollten dafür besorgt sein, dass den Mitarbeitenden mithilfe von internen oder externen Schulungsmassnahmen die Wichtigkeit des Datenschutzes bewusst gemacht wird. Zudem sollten auch aus Sicht einer Compliance entsprechende technische und organisatorische Regelungen getroffen werden, um die gesetzlichen Meldepflichten vollumfänglich sicherzustellen, da sonst erhebliche Bussen drohen (in der Schweiz bis CHF 250 000.– und im EU-Raum 4% des Umsatzes, bis zu EUR 20 Mio.).
Trotz solcher Massnahmen können jedoch Datenschutzrisiken oftmals nicht vollständig vermieden werden, da diese systembezogen sind oder aufgrund von Unachtsamkeit der Mitarbeiter entstehen können.
