2023 wird als das Jahr in der Geschichte eingehen, wo sich die Aufseher des World Wide Web die Kontrolle über das zum Wild Wild West verkommene digitale El Dorado zurück holten - und sicherer als je zuvor machten. Mit einem starken Sheriff, der fortan mit neuem Datenschutzgesetz und harter Hand gegen die Gesetzlosen vorging.
Dieses zugegebenermassen fantasievolle Intro bringt metaphorisch für jeden verständlich auf den Punkt, was die Einführung des neuen Datenschutzgesetzes revDSG ab September 2023 bedeutet. Den Beginn einer neuen Datenschutzzeitrechnung - mit eingehender Strafverfolgung handelnder Personen. Die bei Gesetzmissachtungen mit bis zu CHF 250’000.-- gebüsst werden können - privat, wohlgemerkt. Mehr dazu am Schluss dieses Beitrags.
Unternehmen selbst bleiben zwar weiterhin durch andere Gesetze genügend geschützt, sind jedoch in verschiedenster Form auch vom revDSG betroffen. Besonders IT Service Provider: Erstellen sie bei Kunden auch nur Teile eines Datenverarbeitungsprozesses, gehören sie zu dessen Privacy- resp. Security-by-Design-Prozess - und können im Fall einer Klage in Mitverantwortung gezogen werden.
Die europäische Datenschutz-Grundverordnung verlangt bereits seit 2018, dass jegliche Verarbeitung personenbezogener Daten auf rechtmässige Weise erfolgen muss - dies gehört zu den sogenannten „Grundsätzen für die Verarbeitung personenbezogener Daten“. Kantonale “Datenschutzbeauftragte” können mit Empfehlung eines öffentlichen Organs durch eine Verfügung die Umsetzung von Massnahmen (Gesetzestexte, Bestrafung, Löschung der Daten, etc.) bei der Informationssicherheit erzwingen.
Wichtig ist darum: IT-Anbieter und Kunde müssen jederzeit gemeinsam nachvollziehbar dokumentieren können, wie sie die Gesetzesanforderungen strategisch und operativ erfüllen. Damit im Falle einer Prüfung schnell und klar ersichtlich ist, ob alle Prozesse auf den gesetzlichen Schutz der Daten ausgelegt wurden.
Ausserdem wird ausländischen “Datenkraken” wie Amazon, Google & Co. mit dem revDSG verunmöglicht, weiterhin ohne Einverständnis der Besitzer deren Daten zu sammeln, ohne zur Rechenschaft gezogen zu werden. Ab sofort sind sie Compliance-pflichtig und, unabhängig von Standort, für Datenschutzgesetzmissachtungen haftbar.
Das helvetische DSG ist bis heute die einzige Datenschutzverordnung weltweit, welche es Mitarbeiter:innen, also natürlichen Personen, ermöglicht, das Unternehmen, also die juristische Person, als bürgender Schutzschild für eigene datenschutzrechtliche Verfehlungen zu benutzen. Dies ist nicht mehr möglich.
Bestraft werden neu die handelnden natürlichen Personen, unter deren Verantwortung die Datenschutzverletzung im Unternehmen erfolgte - eigentlich ein schweizerischer Gesetzesgrundsatz. Die revDSG-Bussgeldhöhe ist mit bis zu CHF 250‘000.- deutlich niedriger als die der DSGVO, aber für eine Privatperson empfindlich und existenzgefährdend.
Leichtsinn macht also keinen Sinn. Wir zeigen im nächsten Beitrag, wie wir Ihnen gerne helfen können, sich auf die neue Gesetzgebung sicher einzustellen - um weiter sorglos auf der Welle des Erfolgs zu reiten. https://data-security.ch/produkte.html
Bei Fragen steht Ihnen das Team der DATA Security AG gerne zur Verfügung.
Kontaktieren Sie uns mit Stichwort " Neues Datenschutzgesetz beendet Wild Wild West " per Mail unter info@data-security.ch oder telefonisch unter +41 44 552 23 55.