INFORMATION GOVERNANCE 2021
Elektronische Dokumentenverwaltung im Rahmen des revidierten Datenschutzgesetzes Voraussichtlich Ende 2022 / Anfang 2023 tritt das revidierte Schweizer Datenschutzgesetz in Kraft. Die Revisionen der Verordnung zum Datenschutzgesetz (VDSG) und der Verordnung über die Datenschutzzertifizierungen (VDSZ) stehen noch aus, wobei der Entwurf zur revidierten VDSG (E-VDSG) am 23. Juni in die Vernehmlassung gegeben wurde. Doch was heisst das neue Datenschutzgesetz für Schweizer Unternehmen? Lohnt es sich, bereits jetzt tätig zu werden?
Maria Winkler. Sicher ist: Die revidierten Datenschutz-Bestimmungen werden eine ganze Reihe neuer Pflichten einführen. Im Hinblick darauf lohnt es sich für Unternehmen bereits jetzt, die internen Prozesse und insbesondere den Umgang mit Personendaten zu prüfen, den Handlungsbedarf zu analysieren und mit der Umsetzung gewisser Massnahmen zu beginnen. Dies hat auch Auswirkungen auf die Führung von Dokumenten in Dokumentenmanagement-Systemen.
Revision des Bundesgesetzes über den Datenschutz Das revidierte Datenschutzgesetz (revDSG) wird eine Modernisierung des Datenschutzes sowie eine Anpassung an die europäischen Regelungen bringen. Die wesentlichen Änderungen beziehen sich auf die Einführung neuer Dokumentationspflichten, eine Erweiterung der Informationspflicht, eine Verschärfung der Voraussetzungen für eine Auftragsdatenbearbeitung (mit und ohne Auslandbezug) sowie die Einführung einer Meldepflicht für Datensicherheitsverletzungen. Zudem werden die Strafbestimmungen ausgeweitet. Die im Rahmen der Unternehmensführung anfallenden Dokumente enthalten in der Regel auch Personendaten, wobei deren Menge je nach Branche variieren kann. Verwendet ein Unternehmen ein Dokumentenmanagement-System, kurz DMS, muss geprüft werden, ob dieses die systematische Umsetzung der revidierten Bestimmungen unterstützt.
6
Privacy by Design Der neue Grundsatz Privacy by Design verpflichtet Unternehmen, bereits bei der Planung einer neuen Datenbearbeitung die datenschutzrechtlichen Anforderungen zu berücksichtigen. Bei der Auswahl eines DMS sollten daher beispielsweise die folgenden Anforderungen mitberücksichtigt werden: • Die Integrität, Verfügbarkeit und Vertraulichkeit der Personendaten müssen gewährleistet werden. Dazu sind angemessene technische und organisatorische Massnahmen zu ergreifen. Die Mindestanforderungen an die Datensicherheit werden in der VDSG detaillierter geregelt. Ein vorsätzlicher Verstoss gegen diese Vorgaben wird zukünftig strafbar sein. • Dies hat Auswirkungen auf den Betrieb des DMS, aber auch auf die Funktionen, die zur Verfügung stehen sollten. Zugriffsrechte sollen beispielsweise rollenbasiert vergeben werden können, um sicherzustellen, dass nur Berechtigte auf die Daten zugreifen können. • Das DSG gewährt betroffenen Personen diverse Rechte gegenüber dem verantwortlichen Datenbearbeiter. Dazu zählen das Auskunfts-, Berichtigungs- und Löschrecht. Das DMS muss die Bearbeitung und Beantwortung entsprechender Gesuche ermöglichen und unterstützen. So muss es beispielsweise möglich sein, Auskunftsbegehren innerhalb von 30 Tagen zu beantworten. Dazu müssen die Daten, die über eine betroffene Person im DMS bearbeitet werden, mittels entsprechender Funktionen gefunden und exportiert werden können. Zudem ist es
erforderlich, dass das System eine datenschutzkonforme Löschung von Personendaten ermöglicht.
Outsourcing Datentransfer ins Ausland Wird das DMS von einem Dritten als CloudLösung betrieben, bleibt das Unternehmen, welches das DMS nutzt, weiterhin dafür verantwortlich sicherzustellen, dass die darauf gespeicherten Personendaten nur rechtmässig bearbeitet werden. Dieser Grundsatz besteht bereits im geltenden DSG und wurde durch die Revision nicht geändert. Es ist den Unternehmen dennoch zu empfehlen, die Verträge mit den Betreibern ihres DMS zu prüfen und, sofern notwendig, auf die revidierten Regelungen des DSG anzupassen. Werden im Rahmen der Cloud-Lösung zudem Personendaten auch im Ausland gespeichert, muss vorgängig geprüft werden, ob im Empfängerland ein angemessener Datenschutz vorhanden ist. Die Angemessenheit des Datenschutzes im Empfängerland kann heute anhand der Staatenliste, die der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) auf seiner Website publiziert hat, geprüft werden. Zukünftig wird der Bundesrat für jedes Land entscheiden, ob dieses über einen angemessenen Datenschutz verfügt. Die verantwortlichen Datenbearbeiter sind an diese Angemessenheitsbeschlüsse gebunden. Stehen die Server in einem Land ohne angemessenen Datenschutz und werden dort Personendaten gespeichert, müssen, wie
