Titelbild nDSG CH

Neues Datenschutzgesetz – Schutz vor Sanktionen dank IAM

Neues Datenschutzgesetz – Schutz vor Sanktionen dank IAM

Ab dem 1. September 2023 gilt das totalrevidierte Datenschutzgesetz (nDSG) in der Schweiz. Es werden (u.U. hohe) Sanktionen gegen natürliche Personen eingeführt, wenn sie ihren Pflichten nicht nachkommen. Das heisst, wer in der eigenen Organisation eine Verantwortung im Zusammenhang mit Datenschutz und Datensicherheit trägt, steht in der Verantwortung und haftet persönlich im Fall von Verstössen gegen das Gesetz.

Genau hier kommt das Identity und Access Management System ins Spiel, um Sanktionen zu vermeiden. Es dient als unterstützende Massnahme für die Erhaltung der Datensicherheit. Hier werden die geforderten technischen Massnahmen für Zugriffssicherheit und Zutrittskontrolle umgesetzt und jederzeit nachweisbar gespeichert.

Unsere Empfehlung: Nutzen Sie Ihr IAM-System, um Ihrer Auskunftspflicht nachzukommen und um die Sicherheit der von Ihnen verantworteten Daten zu erhöhen!

Was heisst das genau und was gilt es überhaupt besonders zu schützen?

Im (neuen) Datenschutzgesetz dreht sich alles um Personendaten und im Fokus stehen die sogenannten «besonders schützenswerten Personendaten».

Nach Art. 5 nDSG sind unter Personendaten alle Angaben zu verstehen, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen. Dabei ist die «Bestimmbarkeit» aus der Sicht desjenigen zu beurteilen, der Zugang zu den Informationen hat. Informationen sind nur dann als Personendaten zu bewerten, wenn dieser in der Lage ist herauszufinden, auf welche natürliche Person sich die Information bezieht, und wenn er auch bereit ist, den für die Identifikation erforderlichen Aufwand zu betreiben. 

Zum besseren Verständnis einige Beispiele: In einem Datensatz mit Namen und Anschrift sind beide Informationen zweifelsfrei als Personendaten zu kategorisieren. Nur eine Adresse ohne Namen ist nicht als Personendaten zu werten, da hier keine bestimmte oder bestimmbare Person zuordenbar ist (es sei denn, nur eine Person lebt in diesem Haus). Pseudonymisierte Daten sind für denjenigen als Personendaten zu kategorisieren, der Zugang zur Entschlüsselung hat. Für alle anderen nicht. 

Eine Sonderkategorie der Personendaten stellen die «besonders schützenswerte Personendaten» dar, welche ebenfalls in Art. 5 nDSG definiert werden. Darunter werden Daten über religiöse, weltanschauliche, politische oder gewerkschaftliche Ansichten oder Tätigkeiten; die Gesundheit, die Intimsphäre oder die Zugehörigkeit zu einer Rasse oder Ethnie, über Massnahmen der sozialen Hilfe; verwaltungs- und strafrechtliche Verfolgungen oder Sanktionen und ab Inkrafttreten des revidierten Datenschutzgesetzes am 1. September 2023 auch genetische und biometrische Daten, die eine natürliche Person eindeutig identifizieren, subsumiert. Besonders schützenswerte Personendaten werden als sensitive Daten angesehen, weshalb die Bearbeitung solcher Daten zu einer erheblichen Verletzung der Persönlichkeit führen kann. Werden nämlich beispielsweise Daten über Erkrankungen, Sucht oder Risikoverhalten an Kranken-versicherer weitergegeben, können betroffene Personen eventuell von Zusatzversicherungen ausgeschlossen oder mit höheren Prämien belastet werden. Aus diesem Grund geniessen besonders schützenswerte Personendaten im Datenschutzgesetz einen höheren Schutz, welcher sich z.B. in der Reichweite der Informationspflicht oder auch den Rechtfertigungsgründen einer Bearbeitung zeigt.

Personendaten gelangen typischerweise über das HR-System ins IAM oder werden, insbesondere im Fall von externen Mitarbeitenden, direkt im System gepflegt. Eine gesicherte Datenhaltung mit Einordnung der Daten in die schützenswerten Kategorien ist also wichtig. In seiner Hauptfunktion regelt das IAM den Zugriff auf Personendaten in Zielsystemen. Es sorgt dafür, dass zu jeder Zeit nachvollziehbar ist, wer auf welche Daten zugegriffen hat, und sorgt für die Durchsetzung des «need-to-know-Prinzips», sodass auch nur die Daten zugänglich sind, die zur Ausführung der aktuellen Aufgaben im Unternehmen notwendig sind.

Schauen wir uns genauer an, welche eingangs erwähnten Pflichten für Verantwortliche es gibt, und wie die Erfüllung durch IAM unterstützt wird:

Privacy by Design (vgl. hierzu Art 7 nDSG)
Abläufe im Unternehmen sind so einzurichten, dass nur minimal auf die Daten Betroffener zugegriffen wird. Die Weitergabe von Personendaten ist also zu kontrollieren. Für ein IAM bedeutet das, die Schnittstellen zu Zielsystemen dürfen nur mit den Daten gefüttert werden, die für die Weiterverarbeitung notwendig sind, für deren Weitergabe es also eine «Rechtfertigung» gibt.

Führen eines Datenbearbeitungsverzeichnisses (vgl. hierzu Art. 12 Abs. 1 nDSG)
Wer gemäss nDSG dazu verpflichtet ist, ein Datenbearbeitungsverzeichnis zu führen1, der muss auch das IAM-System und die darin bearbeiteten Daten aufführen. 

Auskunftspflicht (vgl. Art. 19. Abs. 2-4, Art. 21 Abs 1 nDSG)
Mit dem nDSG wird das Auskunftsrecht von Personen bezüglich der von ihnen verarbeiten Daten gestärkt. Im IAM-Kontext ist dies einerseits relevant für die eigenen Angestellten, aber insbesondere dann, wenn Kunden oder Lieferantendaten mit dem IAM verarbeitet werden. Dabei kann das IAM-System durch das Bereitstellen entsprechender Reports die Verantwortlichen beim Nachkommen ihrer Informationspflicht unterstützen.

Verpflichtung zur Datensicherheit (vgl. hierzu Art. 8 nDSG)
Die Verpflichtung kann als Verpflichtung mit dem höchsten Gewicht angesehen werden, denn hier greifen Bussen bei Pflichtverletzung für Verantwortliche bzw. Eigner von Personendaten. Bei Verstössen gegen die Verpflichtung zur Datensicherheit drohen privaten Personen Bussen von bis zu 250'000 CHF. Strafbar sind vorsätzliches Handeln und Unterlassen wie die Missachtung von Informations- und die Verletzung von Sorgfaltspflichten. Hierin liegt auch der grösste Unterschied zur in der EU geltenden DSGVO, denn dort werden nur Unternehmen bzw. Institutionen gebüsst. Nur in Ausnahmefällen, wenn die Ermittlung der strafbaren natürlichen Person im Unternehmen einen unverhältnismässigen Aufwand erfordern würde, kann auch das Unternehmen selbst mit bis zu 50'000 CHF gebüsst werden.

Bei der Verpflichtung zur Datensicherheit geht es um den Schutz von Personendaten bezüglich Vertraulichkeit, Integrität, Verfügbarkeit und Nachvollziehbarkeit. Dieser Schutz wird zum Beispiel durch das Etablieren von Massnahmen im Bereich Zugriffskontrolle, Zugangskontrolle und Benutzerkontrolle erreicht. Genau hier setzt die Kernkompetenz von IAM an und unterstützt: Vergebene Zugriffsrechte werden zunächst auf Notwendiges, durch den Einsatz von automatisiert vergebenen organisations- und funktionsabhängigen Geschäftsrollen und Workflow-basierten Genehmigungen zusätzlicher Anfragen durch Vorgesetzte und Dateneigner, beschränkt. Ausserdem protokolliert das IAM-System die vergebenen Zugriffsrechte, und erleichtert somit Kontrollen per Stichtag oder auch über längere Zeiträume hinweg.

Mithilfe eines IAM-Systems ist somit die Erfüllung aller aufgeführten Pflichten möglich, Verantwortliche werden massgeblich in ihren Aufgaben zum Datenschutz unterstützt und sind bereit für das totalrevidierte Datenschutzgesetz.

Für eine abschliessende Einordnung finden Sie hier den Vergleich zwischen DSG, nDSG und DSGVO:

 

DSG

nDSG

DSGVO

Antragsdelikt: wird nur auf Antrag des Geschädigten verfolgt

Ja

Ja

Nein

Wer wird gebüsst?

Einzelperson (Verantwortlicher Mitarbeiter)

Einzelperson (Verantwortlicher Mitarbeiter)

Unternehmen / Institutionen

Begehung:
vorsätzlich / fahrlässig

Vorsätzlich

Vorsätzlich

Vorsätzlich und fahrlässig

Tatbestand

Auskunfts-, Informations- und Mitwirkungspflichten nicht, falsch oder unvollständig nachkommen

 

Geheime, besonders schützenswerte Personendaten oder Persönlichkeitsprofile bekannt geben

Auskunfts-, Informations- und Mitwirkungspflichten nicht, falsch oder unvollständig nachkommen

Verstoss bei Bestimmungen der Verordnung

Personendaten ins (unsichere) Ausland bekannt geben, ohne dass geeignete Garantien oder ein Ausnahmetatbestand vorliegen

Datenbearbeitung einem Auftragsbearbeiter übergeben, der die Daten nicht so bearbeitet, wie man es selbst tun dürfte oder eine Übertragung verboten ist

Nichteinhaltender vom Bundesrat erlassenen Mindestanforderungen an die Datensicherheit

Offenbarung geheimer Personendaten

 

CHF 10’000

CHF 250’000

Je nach Verstoss bis zu EUR 20 Mio. oder (wenn höher) 4% des weltweiten Umsatzes

Hilfreiche Links und Quellen:

1 Art. 12 Abs. 5 nDSG: Der Bundesrat sieht Ausnahmen für Unternehmen vor, die weniger als 250 Mitarbeiterinnen und Mitarbeiter beschäftigen und deren Datenbearbeitung ein geringes Risiko von Verletzungen der Persönlichkeit der betroffenen Personen mit sich bringt.

DSV (Verordnung über den Datenschutz): https://www.newsd.admin.ch/newsd/message/attachments/75620.pdf

Die IPG geht gerne mit Ihnen die Herausforderungen an und hilft Ihnen, Ihre Unternehmensumgebung «nDSG-ready» zu machen.

Teaserbild Referenz IAM Kritikalität
Blog 07.03.23

Kritikalität im IAM

Jede Person im Unternehmen, mit Zugriff auf ein IT-System, stellt ein mögliches Sicherheitsrisiko dar. Ein Leitfaden für die Bewertung und Handhabung von kritischen Zugriffen gibt es in unserem aktuellen Blogbeitrag.

Teaser Biometrie Bericht
Blog 23.11.23

Passwort oder Iris-Scan: Die Zukunft der Authentisierung

Wie hat sich die Authentifizierung im Laufe der Zeit entwickelt und welche Auswirkungen hat diese Evolution auf die heutigen Sicherheitsstandards zur Identitätsprüfung? Erfahren Sie mehr in unserem Artikel✅

Übersicht

IAM Implementierung

Erfolgreiche IAM-Implementierung mit IPG: Sicher, effizient und maßgeschneidert für Ihre Anforderungen

Teaserbild Expertenbericht IAMcloud Journey von IPG
Blog 30.03.23

Der Weg in die Cloud: Optimierung Ihres IAM

Identity Management aus der Wolke - vom On-Prem IAM zum «Cloud IAM». Erfahren Sie, welche Best Practices für eine erfolgreiche Migration angewendet werden sollten und welche Herausforderungen es zu meistern gilt.

Teaserbild Expertenbericht IAM zu FINMA Rundschreiben
Blog 23.10.23

IAM für Banken & Finanzinstitute in der Schweiz

Verlieren Sie keine Zeit: ✓Compliance ✓Sicherheit ✓Effizienz ✓Vertrauen! Jetzt handeln und mit der Einführung einer IAM-Software die Anforderungen des FINMA Rundschreiben 2023/1 erfüllen. ✅ Mehr dazu in unserem Blog.

die bayerische
Referenz 22.02.24

PAM und IAM für «die Bayerische»

Das Versicherungsunternehmen «die Bayerische» schützt die sensiblen Daten seiner Kunden mit IAM und PAM. Damit werden alle regulatorischen Anforderungen erfüllt sowie die Cybersicherheit unterstützt.

Titelbild zum Expertenbericht IAM Schliesssysteme
Blog 15.12.21

Zutrittsberechtigungen zu Gebäuden über IAM verwalten

Was haben Zutrittsberechtigungen zu Gebäuden und Räumen mit Identity & Access Management (IAM) zu tun? Prozesse für das Management von physischen Zutritten gehören zu einem ganzheitlichen IAM.

Titelbild zum Expertenbericht IAM im Spital - Gesundheitswesen
Blog 15.02.21

IAM und moderne Apps im Spital

Mithilfe eines IAMs in Kombination mit einer KIS App werden Behandlungsprozesse verbessert, der Zugriff auf Patientendaten erfolgt schnell und sicher.

Teaserbild Expertenbericht SSI
Blog 18.10.22

Self Sovereign Identity - Identitäten im digitalen Zeitalter

Identitäten im digitalen Zeitalter sind ein wahrer Schatz und in Zeiten von Cyber Crime ein gefragtes Diebesgut. Erfahren Sie in unserem Expertenbericht, was Sie über Self Sovereign Identity (SSI) wissen müssen.

KnowledgeBase

Datenschutz

CLOUDPILOTS Datenschutz

Blogbeitrag, wie Sie One Identity Safeguard und One Identity Manager verkuppeln
Blog 22.12.20

Administrationstiefe von IAM-Systemen

In unseren IAM-Projekten haben wir regelmäßig mit Prüferinnen und Prüfern der internen Revision zu tun. Insbesondere während der ersten Projektschritte ereilen uns immer wieder die Fragen: Woran erkenne ich denn jetzt im IAM-System, ob Herr Meier auf das Share XYZ Zugriff hat? Was sind aktuell seine wirksamen Berechtigungen?

Wissen 14.04.23

Die Datenschutzgrundverordnung im Ideenmanagement

Die Walldorfer dacuro GmbH stellt den externen Datenschutzbeauftragten für Unternehmen, hilft bei der Erfüllung der Dokumentationspflichten und berät rund um den Themenkomplex Datenschutz. Erfüllen der Anforderungen der DSGVO, ohne den Alltag zu blockieren, ist der Anspruch der dacuro GmbH. Das Team aus Juristen und IT-Spezialisten unterstützt bei allen Herausforderungen der DSGVO, seien sie juristischer oder technischer Natur.

Teaserbild zur Referenz Spital Thurgau IAM Lösung
Blog 19.10.21

Schneller Zugriff, Sicherheit und hohe Datenqualität mit IAM

In einem großen Gesundheitsunternehmen wie der Spital Thurgau AG zählen Geschwindigkeit bei der Eröffnung neuer Mitarbeiter-Accounts genauso wie Datensicherheit und -qualität.

Blog 19.02.25

Unterschätzte Vielschichtigkeit – API-Management

APIs sind das Rückgrat der digitalen Transformation, doch ihr Management geht weit über Entwicklung hinaus. Von Governance und Sicherheit bis hin zur Qualitätssicherung – eine durchdachte API-Strategie ist essenziell. Erfahre in unserem Blog, wie Unternehmen ihre API-Landschaft effizient verwalten und optimieren können.

Referenz

VYSYO – Zeit- & Kostenersparnisse dank neuester Technologien

Einsatz neuester Technologien verhilft dem Unternehmen VYSYO, Ressourcen effizient einzusetzen und die Qualität datengetriebener Arbeit zu erhöhen.

Referenz 27.01.25

IAM-Transformation in der Praxis: SR Technics optimiert IT

IAM-Transformation in der Praxis. Wie SR Technics mit einer modernen IAM-Lösung Prozesse automatisiert, Compliance-Vorgaben erfüllt und Kosten senkt. Erfahren Sie mehr in der Success Story!

Teaser Bild Interview Roher Jakober Kopie
Blog 29.06.22

Zero Trust dank modernem Authorization Management

Wie können Unternehmen eine Zero Trust Policy implementieren? Und was muss dabei berücksichtigt werden? Diesen Fragen stellten sich Pascal Jacober, Sales Director Europe bei PlainID, und Marco Rohrer, Chairman & Co-Founder der IPG, in einem Interview.

Finger zeigt auf Schloss
Event

Virtual Innovation Day - Thema: Identity & Access Management

Die Verwaltung von IT-Rechten und die Absicherung von IT-Services, hat sich zu einem der beherrschenden IT-Themen gewandelt. In spannenden Vorträgen geben wir Ihnen unsere Erfahrungen und Best Practices weiter.

Gebäude vom Kantonspital Aarau zur Newsmeldung Benutzermanagement
News 21.04.21

Kantonspital Aarau setzt auf IPG Group

Für eine schnelle und benutzerfreundliche Handhabung im Anmelde-Prozedere, holte sich das Kantonsspital Aarau via offizieller Ausschreibung DEN Experten für IAM, die IPG Group, ins Boot.

Referenz

Datenschutz-Management-System mit Jira und Confluence

catworkx hat für die Umsetzung der DSGVO im eigenen Hause für einen kollaborativen Ansatz entschieden, der Datenschutz als lebenden Prozess begreift. Mit Jira und Confluence wurde ein Datenschutz-Management-System (DSMS) entwickelt, das die geforderten Dokumentationsstrukturen transparent abbildet.

Bleiben Sie mit dem TIMETOACT GROUP Newsletter auf dem Laufenden!