Neues Datenschutzgesetz: Welche Massnahmen müssen NPOs umsetzen?

Am 1. September 2023 tritt das revidierte Datenschutzgesetz in Kraft. Ab diesem Datum gelten auch für NPOs erhöhte Auskunfts- Informations- und Meldepflichten. Erfahren Sie, welche technischen und organisatorische Massnahmen NPOs umsetzen können, um Verletzungen der Datensicherheit zu vermeiden.

Das revidierte Datenschutzgesetz haben wir bereits in unserem November-Newsletter thematisiert. Lesen Sie, welchen Einfluss das revidierte Datenschutzgesetz auf NPOs hat und erhalten Sie einen ersten Überblick über die wichtigsten Neuerungen: Revidiertes Datenschutzgesetz: Das sollten NPOs beachten.

 

Risikoorientierter Ansatz

Gemäss revidiertem Datenschutzgesetz (revDSG) ist durch geeignete technische und organisatorische Massnahmen (TOM) eine dem Risiko angemessene Datensicherheit zu gewährleisten (Art. 8 revDSG). Die Massnahmen müssen es ermöglichen, Verletzungen der Datensicherheit zu vermeiden. Es ist jedoch anerkannt, dass mit angemessenem Aufwand keine hundertprozentige Sicherheit erreicht werden kann.

Mit der Datenschutzverordnung (DSV) zum revDSG hat der Bundesrat «Bestimmungen über die Mindestanforderungen an die Datensicherheit» erlassen. Auch hier wird ein risikobasierter Ansatz verfolgt: Die Unternehmen und Organisationen müssen den (datenschutzrechtlichen) Schutzbedarf beurteilen und festlegen, welche Massnahmen angesichts des Risikos zu ergreifen sind. Die DSV hält fest, welche Kriterien dabei zu berücksichtigen sind und gibt Leitlinien vor, wie die Massnahmen ausgestaltet werden können.

 

Notwendigkeit der Dokumentation

Neu kann auf Antrag bestraft werden, wer die in der bundesrätlichen Verordnung erlassenen Mindestanforderungen nicht einhält (Art. 61 lit. C revDSG). Es wird viel Spielraum bei der Wahl der geeigneten TOM eingeräumt, die zu einer angemessenen Datensicherheit führen sollen. Entscheidend ist jedoch, dass die Organisation ihrer Pflicht zur Risikoabschätzung und zur Wahl von Massnahmen nachkommt. Damit dies später belegt werden kann, sind die getroffenen Massnahmen geeignet zu dokumentieren. Sie sind in angemessener Frist zu implementieren und deren Wirksamkeit durch Kontrollen zu testen. Die Testergebnisse sind festzuhalten, ungenügende Implementierungen sind zu verbessern.

Um strafrechtliche Folgen zu vermeiden ist in jedem Fall eine geeignete Dokumentation der Überlegungen und der ergriffenen Massnahmen zu empfehlen, welche mindestens folgende Elemente enthält:

  1. Liste der wesentlichsten Bearbeitungstätigkeiten der Organisation,
  2. deren Risikoeinschätzung aus datenschutzrechtlicher Sicht und
  3. die Wahl und Implementierung von TOM.

Für die Dokumentation sind keine speziellen Tools notwendig. Die Beschreibungen zu den Prozessen können im Word oder Excel vorgenommen werden.

 

Die gesetzlichen Mindestmassnahmen

Der Schutzbedarf der bearbeiteten Personendaten und damit der zu treffenden Massnahmen hängen ab:

  • von der Art der bearbeiteten Personendaten sowie
  • von Zweck, Art, Umfang und Umständen der Bearbeitung.

 

Das (datenschutzrechtliche) Risiko ist zu beurteilen nach:

  • Ursachen des Risikos,
  • hauptsächlichen Gefahren,
  • bereits ergriffenen Massnahmen um das Risiko zu verringern sowie
  • die Wahrscheinlichkeit und Schwere einer Verletzung der Datensicherheit trotz der ergriffenen oder vorgesehenen Massnahmen.

 

Organisatorische und technische Massnahmen (TOM)

Die Organisationen müssen TOM implementieren, damit die bearbeiteten Daten ihrem (datenschutzrechtlichen) Schutzbedarf entsprechen. Die DSV sieht dazu folgende Kategorisierung vor:

► Daten sind nur Berechtigten zugänglich (Vertraulichkeit);

  • Zugriffskontrolle
  • Zugangskontrolle
  • Benutzerkontrolle

► Daten sind verfügbar, wenn sie benötigt werden (Verfügbarkeit) und werden nicht unberechtigt oder unbeabsichtigt verändert (Integrität);

  • Datenträgerkontrolle
  • Speicherkontrolle
  • Transportkontrolle
  • Wiederherstellung
  • Datenintegrität
  • Systemsicherheit

► Daten werden nachvollziehbar bearbeitet (Nachvollziehbarkeit)

  • Eingabekontrolle
  • Bekanntgabekontrolle
  • Erkennung
  • Beseitigung

 

Effiziente Umsetzung der TOM

Das Gesetz verlangt eine Risikobeurteilung und eine Auswahl der TOM, die auf den jeweiligen Prozess abgestimmt sind. Damit die Angelegenheit administrativ und technisch nicht ausufert, ist zu empfehlen, sich organisationsweite Mindeststandards zu setzen, die das Schutzbedürfnis der Mehrzahl der Prozesse abdecken. Anschliessend können für überdurchschnittlich risikoreiche Prozesse zusätzliche Massnahmen dokumentiert werden.

 

Fazit

Das revDSG verlangt von Organisationen eine Auseinandersetzung mit dem Thema Datenschutz. Sollen zivil- und strafrechtlich negative Konsequenzen vermieden werden, ist eine baldige Auseinandersetzung mit den neuen Anforderungen empfohlen. Bei der Festsetzung des (datenschutzrechtlichen) Risikos und dem Entscheid über umzusetzende Massnahmen besteht ein weiter Spielraum für die Organisationen. Aus juristischer Sicht ist es wichtig, dass Überlegungen gemacht und dokumentiert werden. Niemand verlangt, dass zukünftig alles verschlüsselt oder x-fach abgesichert wird. Verlangt wird aber eine Einschätzung, ob es diese Massnahmen braucht. Ausserdem muss die Einschätzung belegt werden können. Wurde die Einschätzung jedoch entgegen jeglichen Menschenverstands getroffen, könnte Ungemach drohen. Dazwischen liegt aber ein weiter Ermessensbereich.