Titelbild nDSG CH

Neues Datenschutzgesetz – Schutz vor Sanktionen dank IAM

Neues Datenschutzgesetz – Schutz vor Sanktionen dank IAM

Ab dem 1. September 2023 gilt das totalrevidierte Datenschutzgesetz (nDSG) in der Schweiz. Es werden (u.U. hohe) Sanktionen gegen natürliche Personen eingeführt, wenn sie ihren Pflichten nicht nachkommen. Das heisst, wer in der eigenen Organisation eine Verantwortung im Zusammenhang mit Datenschutz und Datensicherheit trägt, steht in der Verantwortung und haftet persönlich im Fall von Verstössen gegen das Gesetz.

Genau hier kommt das Identity und Access Management System ins Spiel, um Sanktionen zu vermeiden. Es dient als unterstützende Massnahme für die Erhaltung der Datensicherheit. Hier werden die geforderten technischen Massnahmen für Zugriffssicherheit und Zutrittskontrolle umgesetzt und jederzeit nachweisbar gespeichert.

Unsere Empfehlung: Nutzen Sie Ihr IAM-System, um Ihrer Auskunftspflicht nachzukommen und um die Sicherheit der von Ihnen verantworteten Daten zu erhöhen!

Was heisst das genau und was gilt es überhaupt besonders zu schützen?

Im (neuen) Datenschutzgesetz dreht sich alles um Personendaten und im Fokus stehen die sogenannten «besonders schützenswerten Personendaten».

Nach Art. 5 nDSG sind unter Personendaten alle Angaben zu verstehen, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen. Dabei ist die «Bestimmbarkeit» aus der Sicht desjenigen zu beurteilen, der Zugang zu den Informationen hat. Informationen sind nur dann als Personendaten zu bewerten, wenn dieser in der Lage ist herauszufinden, auf welche natürliche Person sich die Information bezieht, und wenn er auch bereit ist, den für die Identifikation erforderlichen Aufwand zu betreiben. 

Zum besseren Verständnis einige Beispiele: In einem Datensatz mit Namen und Anschrift sind beide Informationen zweifelsfrei als Personendaten zu kategorisieren. Nur eine Adresse ohne Namen ist nicht als Personendaten zu werten, da hier keine bestimmte oder bestimmbare Person zuordenbar ist (es sei denn, nur eine Person lebt in diesem Haus). Pseudonymisierte Daten sind für denjenigen als Personendaten zu kategorisieren, der Zugang zur Entschlüsselung hat. Für alle anderen nicht. 

Eine Sonderkategorie der Personendaten stellen die «besonders schützenswerte Personendaten» dar, welche ebenfalls in Art. 5 nDSG definiert werden. Darunter werden Daten über religiöse, weltanschauliche, politische oder gewerkschaftliche Ansichten oder Tätigkeiten; die Gesundheit, die Intimsphäre oder die Zugehörigkeit zu einer Rasse oder Ethnie, über Massnahmen der sozialen Hilfe; verwaltungs- und strafrechtliche Verfolgungen oder Sanktionen und ab Inkrafttreten des revidierten Datenschutzgesetzes am 1. September 2023 auch genetische und biometrische Daten, die eine natürliche Person eindeutig identifizieren, subsumiert. Besonders schützenswerte Personendaten werden als sensitive Daten angesehen, weshalb die Bearbeitung solcher Daten zu einer erheblichen Verletzung der Persönlichkeit führen kann. Werden nämlich beispielsweise Daten über Erkrankungen, Sucht oder Risikoverhalten an Kranken-versicherer weitergegeben, können betroffene Personen eventuell von Zusatzversicherungen ausgeschlossen oder mit höheren Prämien belastet werden. Aus diesem Grund geniessen besonders schützenswerte Personendaten im Datenschutzgesetz einen höheren Schutz, welcher sich z.B. in der Reichweite der Informationspflicht oder auch den Rechtfertigungsgründen einer Bearbeitung zeigt.

Personendaten gelangen typischerweise über das HR-System ins IAM oder werden, insbesondere im Fall von externen Mitarbeitenden, direkt im System gepflegt. Eine gesicherte Datenhaltung mit Einordnung der Daten in die schützenswerten Kategorien ist also wichtig. In seiner Hauptfunktion regelt das IAM den Zugriff auf Personendaten in Zielsystemen. Es sorgt dafür, dass zu jeder Zeit nachvollziehbar ist, wer auf welche Daten zugegriffen hat, und sorgt für die Durchsetzung des «need-to-know-Prinzips», sodass auch nur die Daten zugänglich sind, die zur Ausführung der aktuellen Aufgaben im Unternehmen notwendig sind.

Schauen wir uns genauer an, welche eingangs erwähnten Pflichten für Verantwortliche es gibt, und wie die Erfüllung durch IAM unterstützt wird:

Privacy by Design (vgl. hierzu Art 7 nDSG)
Abläufe im Unternehmen sind so einzurichten, dass nur minimal auf die Daten Betroffener zugegriffen wird. Die Weitergabe von Personendaten ist also zu kontrollieren. Für ein IAM bedeutet das, die Schnittstellen zu Zielsystemen dürfen nur mit den Daten gefüttert werden, die für die Weiterverarbeitung notwendig sind, für deren Weitergabe es also eine «Rechtfertigung» gibt.

Führen eines Datenbearbeitungsverzeichnisses (vgl. hierzu Art. 12 Abs. 1 nDSG)
Wer gemäss nDSG dazu verpflichtet ist, ein Datenbearbeitungsverzeichnis zu führen1, der muss auch das IAM-System und die darin bearbeiteten Daten aufführen. 

Auskunftspflicht (vgl. Art. 19. Abs. 2-4, Art. 21 Abs 1 nDSG)
Mit dem nDSG wird das Auskunftsrecht von Personen bezüglich der von ihnen verarbeiten Daten gestärkt. Im IAM-Kontext ist dies einerseits relevant für die eigenen Angestellten, aber insbesondere dann, wenn Kunden oder Lieferantendaten mit dem IAM verarbeitet werden. Dabei kann das IAM-System durch das Bereitstellen entsprechender Reports die Verantwortlichen beim Nachkommen ihrer Informationspflicht unterstützen.

Verpflichtung zur Datensicherheit (vgl. hierzu Art. 8 nDSG)
Die Verpflichtung kann als Verpflichtung mit dem höchsten Gewicht angesehen werden, denn hier greifen Bussen bei Pflichtverletzung für Verantwortliche bzw. Eigner von Personendaten. Bei Verstössen gegen die Verpflichtung zur Datensicherheit drohen privaten Personen Bussen von bis zu 250'000 CHF. Strafbar sind vorsätzliches Handeln und Unterlassen wie die Missachtung von Informations- und die Verletzung von Sorgfaltspflichten. Hierin liegt auch der grösste Unterschied zur in der EU geltenden DSGVO, denn dort werden nur Unternehmen bzw. Institutionen gebüsst. Nur in Ausnahmefällen, wenn die Ermittlung der strafbaren natürlichen Person im Unternehmen einen unverhältnismässigen Aufwand erfordern würde, kann auch das Unternehmen selbst mit bis zu 50'000 CHF gebüsst werden.

Bei der Verpflichtung zur Datensicherheit geht es um den Schutz von Personendaten bezüglich Vertraulichkeit, Integrität, Verfügbarkeit und Nachvollziehbarkeit. Dieser Schutz wird zum Beispiel durch das Etablieren von Massnahmen im Bereich Zugriffskontrolle, Zugangskontrolle und Benutzerkontrolle erreicht. Genau hier setzt die Kernkompetenz von IAM an und unterstützt: Vergebene Zugriffsrechte werden zunächst auf Notwendiges, durch den Einsatz von automatisiert vergebenen organisations- und funktionsabhängigen Geschäftsrollen und Workflow-basierten Genehmigungen zusätzlicher Anfragen durch Vorgesetzte und Dateneigner, beschränkt. Ausserdem protokolliert das IAM-System die vergebenen Zugriffsrechte, und erleichtert somit Kontrollen per Stichtag oder auch über längere Zeiträume hinweg.

Mithilfe eines IAM-Systems ist somit die Erfüllung aller aufgeführten Pflichten möglich, Verantwortliche werden massgeblich in ihren Aufgaben zum Datenschutz unterstützt und sind bereit für das totalrevidierte Datenschutzgesetz.

Für eine abschliessende Einordnung finden Sie hier den Vergleich zwischen DSG, nDSG und DSGVO:

 

DSG

nDSG

DSGVO

Antragsdelikt: wird nur auf Antrag des Geschädigten verfolgt

Ja

Ja

Nein

Wer wird gebüsst?

Einzelperson (Verantwortlicher Mitarbeiter)

Einzelperson (Verantwortlicher Mitarbeiter)

Unternehmen / Institutionen

Begehung:
vorsätzlich / fahrlässig

Vorsätzlich

Vorsätzlich

Vorsätzlich und fahrlässig

Tatbestand

Auskunfts-, Informations- und Mitwirkungspflichten nicht, falsch oder unvollständig nachkommen

 

Geheime, besonders schützenswerte Personendaten oder Persönlichkeitsprofile bekannt geben

Auskunfts-, Informations- und Mitwirkungspflichten nicht, falsch oder unvollständig nachkommen

Verstoss bei Bestimmungen der Verordnung

Personendaten ins (unsichere) Ausland bekannt geben, ohne dass geeignete Garantien oder ein Ausnahmetatbestand vorliegen

Datenbearbeitung einem Auftragsbearbeiter übergeben, der die Daten nicht so bearbeitet, wie man es selbst tun dürfte oder eine Übertragung verboten ist

Nichteinhaltender vom Bundesrat erlassenen Mindestanforderungen an die Datensicherheit

Offenbarung geheimer Personendaten

 

CHF 10’000

CHF 250’000

Je nach Verstoss bis zu EUR 20 Mio. oder (wenn höher) 4% des weltweiten Umsatzes

Hilfreiche Links und Quellen:

1 Art. 12 Abs. 5 nDSG: Der Bundesrat sieht Ausnahmen für Unternehmen vor, die weniger als 250 Mitarbeiterinnen und Mitarbeiter beschäftigen und deren Datenbearbeitung ein geringes Risiko von Verletzungen der Persönlichkeit der betroffenen Personen mit sich bringt.

DSV (Verordnung über den Datenschutz): https://www.newsd.admin.ch/newsd/message/attachments/75620.pdf

Die IPG geht gerne mit Ihnen die Herausforderungen an und hilft Ihnen, Ihre Unternehmensumgebung «nDSG-ready» zu machen.

Referenz

VYSYO – Zeit- & Kostenersparnisse dank neuester Technologien

Einsatz neuester Technologien verhilft dem Unternehmen VYSYO, Ressourcen effizient einzusetzen und die Qualität datengetriebener Arbeit zu erhöhen.

Blog 11.10.23

Die Bedrohung im Internet und wie du dich schützen kannst

Im folgenden Blogbeitrag bekommst du eine Übersicht über den Bereich Cyber-Sicherheit. Darüber hinaus informieren wir dich über verschiedene Arten von Bedrohungen und zeigen auf, wie wir dich dabei unterstützen können.

Titelbild zum Expertenbericht Securitiy - Cyberkriminalität
Blog 27.03.20

Cyberkriminalität – Schützen Sie Ihre Assets durch PAM.

Mit Privileged Account Management (PAM) schützen Sie Ihr Unternehmen wirksam gegen Wirtschaftsspionage und Cyber-Angriffe.

Headerbild IT Security
Service

IT-Security – Schutz vor Cyberangriffen

IT-Security gewinnt mehr und mehr an Bedeutung. Wir helfen Organisationen bei der Einführung angemessener und wirksamer Sicherheitsstrukturen, -prozesse und -kontrollen.

Titelbild zum Expertenbericht IAM Legacy
Blog 13.12.21

IAM Legacy - Ist mein IAM noch zukunftsfähig?

Sollten Sie sich diese Frage stellen, hilft dieser Fachbericht mit Überlegungen und Denkanstössen zu entscheiden, ob ihre IAM Lösung eine Verjüngungskur benötigt oder ob ein Ersatz ebenfalls eine diskutierbare Möglichkeit darstellt.

Presse 25.10.20

Tourenoptimierung dank X-INTEGRATE

X-INTEGRATE hat die Anforderungen an eine Software für automatische Tourenplanung evaluiert und die Zeitschrift “Logistik für Unternehmen” in ihrer Ausgabe 10/2020 hat ausführlich darüber berichtet.

Bild zum Expertenbericht Customer IAM
Blog 30.06.21

Customer IAM - die praktische Einordnung ins IAM

Wie sieht das CIAM von der konkret, praktischen Seiten aus? Was ist dabei zu berücksichtigen und vor welche Herausforderungen steht man dabei? Wir beleuchten das Thema basierend auf konkreten Erfahrungen.

Teaserbild Referenz IAM Kritikalität
Blog 07.03.23

Kritikalität im IAM

Jede Person im Unternehmen, mit Zugriff auf ein IT-System, stellt ein mögliches Sicherheitsrisiko dar. Ein Leitfaden für die Bewertung und Handhabung von kritischen Zugriffen gibt es in unserem aktuellen Blogbeitrag.

Übersicht

IAM Implementierung

Erfolgreiche IAM-Implementierung mit IPG: Sicher, effizient und maßgeschneidert für Ihre Anforderungen

Blog 12.04.23

OVHcloud: Schutz vertraulicher Infos für Unternehmen

Die digitale Transformation hat in den letzten Jahren zu einem rasanten Anstieg der Datenmengen geführt, die Unternehmen und Organisationen auf der ganzen Welt verarbeiten und speichern müssen. In diesem Zusammenhang wird die Datensouveränität zu einem immer wichtigeren Thema, insbesondere wenn es darum geht, vertrauliche Informationen sicher und geschützt zu halten. Hier kommt die OVHcloud ins Spiel - ein europäischer Cloud-Service-Anbieter, der sich dem Schutz der Datensouveränität verschrieben hat.

Anonyme Referenz
Referenz 12.11.24

Effizientes Flottenmanagement dank skalierbarer Plattform

X-INTEGRATE ermöglicht innovative Geschäftsmodelle im Flottengeschäft durch den Aufbau einer transaktionssicheren und skalierbaren Technologieplattform. Lesen Sie mehr.

Kompetenz 12.02.25

Software Audit Defense: Schutz vor Risiken und Kosten

Software-Audits können eine erhebliche Belastung für Unternehmen darstellen: Unvorhersehbare Kosten und komplexe Anforderungen führen oft zu Unsicherheit und Überforderung. Die Konsequenzen bei Nichterfüllung sind gravierend – von hohen Strafzahlungen bis zu rechtlichen Problemen. Mit unserer Software Audit Defense sind Sie bestens gerüstet: Wir sorgen dafür, dass Sie auf jedes Audit optimal vorbereitet sind, begleiten Sie durch den gesamten Prozess und reduzieren Risiken sowie Aufwand. So gehen Sie sicher und stressfrei durch den Auditprozess und können sich auf das Wesentliche konzentrieren – den Erfolg Ihres Unternehmens.

deep in the use retarus
Webcast 21.10.20

E-Mail Security: Schutz vor komplexen Sicherheitsbedrohungen

Die neue Dimension für Business E-Mail: Erfahren Sie in unserem kostenlosen Webinar am 20. Juli (14-15 Uhr), wie Sie sich effektiv vor Schaden, Cyber-Kriminalität und Lahmlegen des Betriebs schützen.

Titelbild zum Expertenbericht IAM im Spital - Gesundheitswesen
Blog 23.06.20

Brauchen wir ein "Patient-IAM"?

Die Dynamik einer Pandemie kollidiert mit der Schwerfälligkeit der Institutionen bei der Einführung Elektronischer Patientenakten.

Customer IAM Azure
Blog

Customer IAM mit Azure

Das Customer IAM von Azure ermöglicht die Verwaltung von Identitätsinformationen und die Zugriffsteuerung für verschiedene Kunden-Identitäten.

Bild zum Blogbeitrag 20 Jahre IPG - IAM Experte im Wandel der Zeit
Blog 27.10.21

IAM im Wandel der Zeit.

Die IPG Group feiert 20 Jahre Firmenbestehen. Als Pionier für Identity & Access Management haben wir den Wandel des IAM nicht nur miterlebt, sondern aktiv mitgestaltet. Das Thema «IAM» mag wohl oberflächlich nicht geändert haben, inhaltlich hat sich aber viel gewandelt.

Teaserbild Expertenbericht IAMcloud Journey von IPG
Blog 30.03.23

Der Weg in die Cloud: Optimierung Ihres IAM

Identity Management aus der Wolke - vom On-Prem IAM zum «Cloud IAM». Erfahren Sie, welche Best Practices für eine erfolgreiche Migration angewendet werden sollten und welche Herausforderungen es zu meistern gilt.

Übersicht

IAM Schulungen von IPG

Wissen ist der Schlüssel zur Sicherheit – mit unseren IAM-Schulungen bleiben Sie immer einen Schritt voraus.

Übersicht

IAM Managed Service

Vereinfachen Sie Ihr IAM-Management mit den Managed Services von IPG. Maximale Sicherheit, Compliance und Effizienz – ohne zusätzlichen Aufwand

die bayerische
Referenz 22.02.24

PAM und IAM für «die Bayerische»

Das Versicherungsunternehmen «die Bayerische» schützt die sensiblen Daten seiner Kunden mit IAM und PAM. Damit werden alle regulatorischen Anforderungen erfüllt sowie die Cybersicherheit unterstützt.

Bleiben Sie mit dem TIMETOACT GROUP Newsletter auf dem Laufenden!