Die Digitale ID ist ein Service Public
18. Dezember 2016
Erstes Software Produkt auf Konformität mit den schweizerischen Gesetzesvorschriften zertifiziert
25. Januar 2017

Das neue Schweizer Datenschutzgesetz: Information Governance ist Pflicht

Was hat Datenschutz mit Information Governance zu tun?

Die Hintergrundinformationen zur Entwicklung des Datenschutzes finden Sie im Grundlagenartikel zur Revision des Datenschutzgesetzes. Diese Überlegungen dienen Ihnen als Orientierungshilfe zur Einschätzung der Bedeutung der „Information Governance“ im Kontext des Datenschutzes.

Der Verantwortliche für die Bearbeitung der Personendaten („Bearbeiter“) wie auch der Auftragsdatenverarbeiter werden wesentlich mehr in die Pflicht genommen, als dies bisher der Fall war. „Bearbeiten“ umfasst neu explizit alle möglichen Formen und Phasen des Umgangs mit Personendaten.

So wird im Gesetzesentwurf an mehreren Stellen explizit von sämtlichen Phasen des Datenlebenszyklus gesprochen (Art. 3 Abs.1 lit. d). Bereits bei der Beschaffung hat der Verantwortliche umfassende Pflichten (Art. 13) und muss dem Betroffenen z.B. bekannt geben, welche Daten zu welchem Zweck bearbeitet werden sollen.

Der Verantwortliche muss die Personendaten während der gesamten Bearbeitung (von der Entstehung bis zur Vernichtung) umfassend beherrschen. Konkret bedeutet dies, dass der Verantwortliche jederzeit wissen muss:

  • welche Daten von wem bearbeitet werden,
  • wo sie gespeichert sind,
  • wie alt sie sind,
  • ob sie richtig sind,
  • wie lange sie gespeichert wurden,
  • ob sie verändert wurden und
  • wer sie bearbeitet hat.

Die grössten Herausforderungen für Unternehmen

Obwohl die Anpassungen am Gesetz auf den ersten Blick nicht massiv erscheinen, sind die Auswirkungen in der Praxis doch deutlich spürbar. Hier ist zu erwähnen, dass die meisten der nun folgenden Pflichten nicht neu sind. Viele wurden indes präzisiert und verschärft. In Kombination mit der neuen Strafandrohung müssen sie durch die Verantwortlichen besonders beachtet werden. Aus unserer Sicht gehören dazu:

  • Die Fähigkeit, jederzeit über den Bestand an Personendaten Bescheid zu wissen
  • die Aktualität und die Richtigkeit der Daten zu kennen
  • ein Überwachungssystem aufzubauen, welches ermöglicht, meldepflichtige Ereignisse zu entdecken und die Meldungen auch auszuführen
  • die verschiedenen gesetzlichen Anforderungen im Griff zu behalten
  • alle Datenbestände zu kennen und auch Redundanzen zu steuern
  • den Datenlebenszyklus zu kennen und zu entscheiden, wann Personendaten gelöscht werden müssen oder wann sie allenfalls wegen anderer gesetzlicher Grundlagen trotzdem aufbewahrt bleiben müssen
  • Wichtig: Alle Aktionen, die nachgewiesen werden müssen, erzeugen Protokollierungsdaten, die auch aufbewahrt und verwaltet werden müssen, solange sich die Personendaten in Bearbeitung befinden (plus einer allfälligen Aufbewahrungs- und Verjährungsfrist).


Warning: Illegal string offset 'ID' in /data/www/www69/www/wp/wp-content/themes/betheme/includes/content-single.php on line 191

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.