Datum
11.05.2023
Dieser Beitrag wurde verfasst von:
Neues Datenschutzgesetz – Schutz vor Sanktionen dank IAM
Ab dem 1. September 2023 gilt das totalrevidierte Datenschutzgesetz (nDSG) in der Schweiz. Es werden (u.U. hohe) Sanktionen gegen natürliche Personen eingeführt, wenn sie ihren Pflichten nicht nachkommen. Das heisst, wer in der eigenen Organisation eine Verantwortung im Zusammenhang mit Datenschutz und Datensicherheit trägt, steht in der Verantwortung und haftet persönlich im Fall von Verstössen gegen das Gesetz.
Genau hier kommt das Identity und Access Management System ins Spiel, um Sanktionen zu vermeiden. Es dient als unterstützende Massnahme für die Erhaltung der Datensicherheit. Hier werden die geforderten technischen Massnahmen für Zugriffssicherheit und Zutrittskontrolle umgesetzt und jederzeit nachweisbar gespeichert.
Unsere Empfehlung: Nutzen Sie Ihr IAM-System, um Ihrer Auskunftspflicht nachzukommen und um die Sicherheit der von Ihnen verantworteten Daten zu erhöhen!
Was heisst das genau und was gilt es überhaupt besonders zu schützen?
Im (neuen) Datenschutzgesetz dreht sich alles um Personendaten und im Fokus stehen die sogenannten «besonders schützenswerten Personendaten».
Nach Art. 5 nDSG sind unter Personendaten alle Angaben zu verstehen, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen. Dabei ist die «Bestimmbarkeit» aus der Sicht desjenigen zu beurteilen, der Zugang zu den Informationen hat. Informationen sind nur dann als Personendaten zu bewerten, wenn dieser in der Lage ist herauszufinden, auf welche natürliche Person sich die Information bezieht, und wenn er auch bereit ist, den für die Identifikation erforderlichen Aufwand zu betreiben.
Zum besseren Verständnis einige Beispiele: In einem Datensatz mit Namen und Anschrift sind beide Informationen zweifelsfrei als Personendaten zu kategorisieren. Nur eine Adresse ohne Namen ist nicht als Personendaten zu werten, da hier keine bestimmte oder bestimmbare Person zuordenbar ist (es sei denn, nur eine Person lebt in diesem Haus). Pseudonymisierte Daten sind für denjenigen als Personendaten zu kategorisieren, der Zugang zur Entschlüsselung hat. Für alle anderen nicht.
Eine Sonderkategorie der Personendaten stellen die «besonders schützenswerte Personendaten» dar, welche ebenfalls in Art. 5 nDSG definiert werden. Darunter werden Daten über religiöse, weltanschauliche, politische oder gewerkschaftliche Ansichten oder Tätigkeiten; die Gesundheit, die Intimsphäre oder die Zugehörigkeit zu einer Rasse oder Ethnie, über Massnahmen der sozialen Hilfe; verwaltungs- und strafrechtliche Verfolgungen oder Sanktionen und ab Inkrafttreten des revidierten Datenschutzgesetzes am 1. September 2023 auch genetische und biometrische Daten, die eine natürliche Person eindeutig identifizieren, subsumiert. Besonders schützenswerte Personendaten werden als sensitive Daten angesehen, weshalb die Bearbeitung solcher Daten zu einer erheblichen Verletzung der Persönlichkeit führen kann. Werden nämlich beispielsweise Daten über Erkrankungen, Sucht oder Risikoverhalten an Kranken-versicherer weitergegeben, können betroffene Personen eventuell von Zusatzversicherungen ausgeschlossen oder mit höheren Prämien belastet werden. Aus diesem Grund geniessen besonders schützenswerte Personendaten im Datenschutzgesetz einen höheren Schutz, welcher sich z.B. in der Reichweite der Informationspflicht oder auch den Rechtfertigungsgründen einer Bearbeitung zeigt.
Personendaten gelangen typischerweise über das HR-System ins IAM oder werden, insbesondere im Fall von externen Mitarbeitenden, direkt im System gepflegt. Eine gesicherte Datenhaltung mit Einordnung der Daten in die schützenswerten Kategorien ist also wichtig. In seiner Hauptfunktion regelt das IAM den Zugriff auf Personendaten in Zielsystemen. Es sorgt dafür, dass zu jeder Zeit nachvollziehbar ist, wer auf welche Daten zugegriffen hat, und sorgt für die Durchsetzung des «need-to-know-Prinzips», sodass auch nur die Daten zugänglich sind, die zur Ausführung der aktuellen Aufgaben im Unternehmen notwendig sind.
Schauen wir uns genauer an, welche eingangs erwähnten Pflichten für Verantwortliche es gibt, und wie die Erfüllung durch IAM unterstützt wird:
Privacy by Design (vgl. hierzu Art 7 nDSG)
Abläufe im Unternehmen sind so einzurichten, dass nur minimal auf die Daten Betroffener zugegriffen wird. Die Weitergabe von Personendaten ist also zu kontrollieren. Für ein IAM bedeutet das, die Schnittstellen zu Zielsystemen dürfen nur mit den Daten gefüttert werden, die für die Weiterverarbeitung notwendig sind, für deren Weitergabe es also eine «Rechtfertigung» gibt.
Führen eines Datenbearbeitungsverzeichnisses (vgl. hierzu Art. 12 Abs. 1 nDSG)
Wer gemäss nDSG dazu verpflichtet ist, ein Datenbearbeitungsverzeichnis zu führen1, der muss auch das IAM-System und die darin bearbeiteten Daten aufführen.
Auskunftspflicht (vgl. Art. 19. Abs. 2-4, Art. 21 Abs 1 nDSG)
Mit dem nDSG wird das Auskunftsrecht von Personen bezüglich der von ihnen verarbeiten Daten gestärkt. Im IAM-Kontext ist dies einerseits relevant für die eigenen Angestellten, aber insbesondere dann, wenn Kunden oder Lieferantendaten mit dem IAM verarbeitet werden. Dabei kann das IAM-System durch das Bereitstellen entsprechender Reports die Verantwortlichen beim Nachkommen ihrer Informationspflicht unterstützen.
Verpflichtung zur Datensicherheit (vgl. hierzu Art. 8 nDSG)
Die Verpflichtung kann als Verpflichtung mit dem höchsten Gewicht angesehen werden, denn hier greifen Bussen bei Pflichtverletzung für Verantwortliche bzw. Eigner von Personendaten. Bei Verstössen gegen die Verpflichtung zur Datensicherheit drohen privaten Personen Bussen von bis zu 250'000 CHF. Strafbar sind vorsätzliches Handeln und Unterlassen wie die Missachtung von Informations- und die Verletzung von Sorgfaltspflichten. Hierin liegt auch der grösste Unterschied zur in der EU geltenden DSGVO, denn dort werden nur Unternehmen bzw. Institutionen gebüsst. Nur in Ausnahmefällen, wenn die Ermittlung der strafbaren natürlichen Person im Unternehmen einen unverhältnismässigen Aufwand erfordern würde, kann auch das Unternehmen selbst mit bis zu 50'000 CHF gebüsst werden.
Bei der Verpflichtung zur Datensicherheit geht es um den Schutz von Personendaten bezüglich Vertraulichkeit, Integrität, Verfügbarkeit und Nachvollziehbarkeit. Dieser Schutz wird zum Beispiel durch das Etablieren von Massnahmen im Bereich Zugriffskontrolle, Zugangskontrolle und Benutzerkontrolle erreicht. Genau hier setzt die Kernkompetenz von IAM an und unterstützt: Vergebene Zugriffsrechte werden zunächst auf Notwendiges, durch den Einsatz von automatisiert vergebenen organisations- und funktionsabhängigen Geschäftsrollen und Workflow-basierten Genehmigungen zusätzlicher Anfragen durch Vorgesetzte und Dateneigner, beschränkt. Ausserdem protokolliert das IAM-System die vergebenen Zugriffsrechte, und erleichtert somit Kontrollen per Stichtag oder auch über längere Zeiträume hinweg.
Mithilfe eines IAM-Systems ist somit die Erfüllung aller aufgeführten Pflichten möglich, Verantwortliche werden massgeblich in ihren Aufgaben zum Datenschutz unterstützt und sind bereit für das totalrevidierte Datenschutzgesetz.
Für eine abschliessende Einordnung finden Sie hier den Vergleich zwischen DSG, nDSG und DSGVO:
| DSG | nDSG | DSGVO |
Antragsdelikt: wird nur auf Antrag des Geschädigten verfolgt | Ja | Ja | Nein |
Wer wird gebüsst? | Einzelperson (Verantwortlicher Mitarbeiter) | Einzelperson (Verantwortlicher Mitarbeiter) | Unternehmen / Institutionen |
Begehung: | Vorsätzlich | Vorsätzlich | Vorsätzlich und fahrlässig |
Tatbestand | Auskunfts-, Informations- und Mitwirkungspflichten nicht, falsch oder unvollständig nachkommen
Geheime, besonders schützenswerte Personendaten oder Persönlichkeitsprofile bekannt geben | Auskunfts-, Informations- und Mitwirkungspflichten nicht, falsch oder unvollständig nachkommen | Verstoss bei Bestimmungen der Verordnung |
Personendaten ins (unsichere) Ausland bekannt geben, ohne dass geeignete Garantien oder ein Ausnahmetatbestand vorliegen | |||
Datenbearbeitung einem Auftragsbearbeiter übergeben, der die Daten nicht so bearbeitet, wie man es selbst tun dürfte oder eine Übertragung verboten ist | |||
Nichteinhaltender vom Bundesrat erlassenen Mindestanforderungen an die Datensicherheit | |||
Offenbarung geheimer Personendaten | |||
| CHF 10’000 | CHF 250’000 | Je nach Verstoss bis zu EUR 20 Mio. oder (wenn höher) 4% des weltweiten Umsatzes |
Hilfreiche Links und Quellen:
1 Art. 12 Abs. 5 nDSG: Der Bundesrat sieht Ausnahmen für Unternehmen vor, die weniger als 250 Mitarbeiterinnen und Mitarbeiter beschäftigen und deren Datenbearbeitung ein geringes Risiko von Verletzungen der Persönlichkeit der betroffenen Personen mit sich bringt.
DSV (Verordnung über den Datenschutz): https://www.newsd.admin.ch/newsd/message/attachments/75620.pdf
Die IPG geht gerne mit Ihnen die Herausforderungen an und hilft Ihnen, Ihre Unternehmensumgebung «nDSG-ready» zu machen.