Neues Datenschutzgesetz

Rückblick

Christian Müller

Das neue Datenschutzgesetz und dessen Umsetzung in der Praxis stand im Zentrum der 48. Fachveranstaltung, welche zu unserer Freude physisch – unter Einhaltung der geltenden Schutzkonzeptregeln – im Kursaal Bern durchgeführt werden konnte.

Das Thema Datenschutz hat nicht zuletzt aufgrund der rasant fortschreitenden Digitalisierung an Relevanz und Aufmerksamkeit gewonnen. Schutz der Privatsphäre und verlässliche Datensicherheit sind zentrale Anforderungen der Anwender beziehungsweise der direkt Betroffenen. Das im September 2020 vom Parlament verabschiedete revidierte Datenschutzgesetz, soll 2022 in Kraft treten.

Ein Informationsbedürfnis, ein «need to know» wird durch den Datenschutz nicht verhindert, aber «es needed nicht jeder to know»

Anhand eines sehr anschaulichen Beispiels – dem Inhalt der Handtasche einer Zuhörerin aus dem Publikum – führte uns Ursula Sury, Geschäftsführerin, Die Advokatur Sury die Bedeutung des Datenschutzes eindrücklich vor Augen. Während wir das öffentliche zur Schau stellen des Inhaltes einer privaten Handtasche in der physischen Welt eindeutig als Übergriff wahrnehmen, fällt unsere Reaktion bei identischen Vorgängen in der digitalen Welt – wenn es denn überhaupt eine gibt –  oftmals deutlich moderater aus.

Voraussetzung für die Gewinnung und Bearbeitung von personenbezogenen Daten bilden die gesetzliche Grundlage sowie die Einwilligung der betroffenen natürlichen Person. Wer personenbezogene Daten verarbeitet, muss sicherstellen, dass Verhältnismässigkeit, Richtigkeit sowie deren Sicherheit gewährleistet sind. Vorgaben deren Umsetzung hohe Anforderungen an die erhebende und bearbeitende Instanz stellt. Der Begriff der Datenbearbeitung ist dabei äusserst breit gefasst, wird darunter nämlich jeder Umgang im Zusammenhang mit personenbezogenen Daten verstanden. In der praktischen Umsetzung stellt der Transfer der Datenschutzgrundsätze des DSG in ein Managementsystem eine grosse Herausforderung dar. Es gilt, den Grundsätzen «privacy by design» und «privacy by default» gerecht zu werden. Auch die geforderte Technologiefolgenabschätzung ist in der praktischen Umsetzung alles andere als trivial. Die periodische Durchführung sowie die Notwendigkeit einer engen Abstimmung mit der Data Governance, stellen hohe Anforderungen an das Management. Trotz aller Sorgfalt wird es in der Praxis kaum einem Unternehmen gelingen, allen Anforderungen des DSG jederzeit vollumfänglich gerecht zu werden. Zentral ist die Erreichung einer entsprechenden Maturität in den Managementsystemen respektive die Verbesserung derselben im Zeitablauf.

Am Beispiel eines national tätigen Unternehmens mit rund 4'500 Mitarbeitenden, welches über besonders schützenswerte, personenbezogene Daten verfügt, zeigte Benjamin Domenig, Partner Domenig & Partner Rechtsanwälte AG, auf, was es bei der Umsetzung des neuen DSG in der Praxis zu berücksichtigen gilt.

Die Zusammensetzung des interdisziplinär aufgestellten Projektteams ist dabei zentral. Neben den erforderlichen Projektabwicklungskompetenzen und dem juristischen Wissen geniesst das zu einer erfolgreichen Umsetzung notwendige IT-Know-How einen übergeordneten Stellenwert. Verfügen wir über die notwendige Expertise, welche beurteilen kann, wo und wie die besonders schützenwerten Personendaten gehalten werden? Kennen wir die eingesetzten Verschlüsselungsmechanismen und sind wir in der Lage, deren Wirkung zu beurteilen? Welche Verarbeitungsvorgänge werden durch wen durchgeführt? Fragen, welchen sich ein Projektteam im Zusammenhang mit einem DSG-Projekt / der Einführung eines Datenschutzmanagementsystems sehr früh im Projektverlauf stellen muss.

Wie Benjamin Domenig sehr eingängig anhand der dezentralen Strukturen des Unternehmens im Fallbeispiel dargelegt hat, erfordert Datenschutz ausserdem sehr viel Kommunikationsarbeit. Datenschutzprojekte stossen oft auf allen Hierarchiestufen auf zahlreiche Widerstände und scheitern häufig am fehlenden Verständnis von Betroffenen und Management. Eine erfolgreiche Durchführung erfordert entsprechend die Unterstützung des Top Managements und sehr viel Überzeugungsarbeit auf allen Ebenen. DSG-Projekte kennen in aller Regel keinen definierten Abschlusszeitpunkt, sondern münden in einen kontinuierlichen Prozess, was die Bedeutung dieser erfolgskritischen Komponente weiter unterstreicht.

Auf die Herausforderungen bezüglich des Datenschutzes im Kontext des Projekts «Justitia 4.0» ging Dr. Jacques Bühler, Co-Gesamtprojektleiter Justitia 4.0, ein. Das Hauptziel dieses interkantonalen Transformationsprojektes besteht in der Digitalisierung der Schweizer Justiz. Die Papierakten sollen durch elektronische Akten ersetzt und über eine zentrale, staatlich betriebene Plattform ausgetauscht und durch legitimierte Benutzer elektronisch eingesehen werden können (Konzeption als «one-stop shop»). Die zugrundeliegenden Eckwerte des Justizsystems der Schweiz sind beeindruckend. So werden pro Jahr rund eine Million Fälle abgewickelt, in deren Bearbeitung 25- bis 30'000 Arbeitsplätze eingebunden sind. «Justitia 4.0» deckt sowohl Straf-, Zivil- als auch Verwaltungsstreitigkeiten ab.

Komplexitätstreibend kommt eine interkantonal heterogene Systemlandschaft mit unterschiedlichen produktiven Fachanwendungen hinzu, welche es im Rahmen der Konzeption von «Justitia 4.0» zu integrieren gilt. Um der Anforderung eines gesetzeskonformen und sicheren Systems gerecht zu werden, erfolgte der Einbezug der Benutzer bereits in der Konzeptionsphase im Rahmen von verschiedenen Fachgruppen in enger Abstimmung mit dem EDÖB. Ein Vorgehen, welches sich im Hinblick auf die frühzeitige Erkennung und proaktive Lösung von Datenschutzproblemen bewährt hat. Analog seinem Vorredner unterstrich Dr. Jacques Bühler die zentrale Bedeutung eines frühzeitigen Einbezugs der IT-Verantwortlichen. Der für «Justitia 4.0» verantwortliche CISO ist von Beginn weg «an Bord» und bleibt über alle Projektphasen eine zentrale Ansprechperson.

Der aus Datenschutzsicht heikelste Teil des Projektes stellt die eigentliche Plattform dar. Im sogenannten «Dossier Store» erfolgt die Ablage der Verfahrensdaten. Im «Audit Trail» wird registriert, zu welchem Zeitpunkt welche Information an wen geschickt wurde. Wenn etwas veraktet wird, muss immer zeitgleich definiert werden, wer für welchen Zeitraum Einsicht darauf hat.

Die Konzeptphase für das Portal wurde abgeschlossen. Ausschreibungs- und Realisierungsphase stehen in den nächsten Wochen und Monaten bevor. Wenn auch das Inkrafttreten des Bundesgesetzes über die Plattform für die elektronische Kommunikation in der Justiz (BEKJ) frühestens im Jahr 2025 erwartet wird, wird die Plattform ihren Betrieb im Rahmen von Pilotprojekten bereits früher aufnehmen.

Angeregte Fragerunden im direkten Anschluss an die Referate bildeten einen integrativen Teil des Anlasses, der Lust auf die nächsten Veranstaltungen des Netzwerks Risikomanagement weckte. Abgeschlossen wurde der Anlass mit einem reichhaltigen Apéro riche auf der Kursaal-Terrasse mit Blick über die Altstadt von Bern.

Die Folien finden Sie nachfolgend im PDF zum Herunterladen:

Download-iconVortrag U. Sury

Download-iconVortrag B. Domenig

Download-iconVortrag J. Bühler

Wir verwenden Cookies, um für Sie das Nutzererlebnis auf der Website zu optimieren. Erfahren Sie mehr in unserer  Datenschutzerklärung.

Lars Groh

Aktuell: Lead OpRisk Management & Data Governance bei Swisscom (Schweiz) AG

Stationen: Mitglied des Kaders bei KPMG, Daimler AG, UBS AG, Helsana Versicherungen AG

Ausbildung: u.a.: BA (HONS) Economics – University of Wolverhampton; Dipl-Kfm. (MBA) – Universität Trier; CAS Datenschutzverantwortlicher – ZHAW; Dipl. Business & Leadership Coach – Coach Akademie Schweiz

„Mensch, werde wesentlich! (von Angelus Silesius)“

Christian Müller

Aktuell:
Koordinator Risikomanagement Bund bei der Eidgenössischen Finanzverwaltung

Stationen:
Möbel Pfister AG, Sanitas Troesch AG

Ausbildung:
Ingenieur FH in Holztechnik / MAS MTEC ETH Zürich

„Risikomanagement ersetzt Führung nicht, hilft als Führungsinstrument aber dabei, Chancen, Unsicherheiten und Gefahren bewusst und proaktiv anzupacken und damit kritische Probleme zu vermeiden.“

Vezira Mesic

Vorstand von 2020 bis 2023

Jens Meissner

Vorstand von   bis 2022

Bertrand Volken

Aktuell:
Chief Sustainability Officer der Visana

Stationen:
Qualitäts- und Projektmanagement, Leiter Unternehmensentwicklung, Visana Services AG

Ausbildung:
Universitätsabschluss (lic.rer.pol. / Master of Science) an der volkswirtschaftlichen Fakultät, Bern

Ein effizientes Risikomanagement sichert u.a. den optimalen Prozessoutput. Ein gutes Netzwerk bietet mir dazu wertvolle Inputs für die Umsetzung im Tagesgeschäft.

 

Bettina Hübscher

Aktuell:
Juristin und Risikomanagerin bei der Hochschule Luzern/Wirtschaft, Dienststelle Militär, Zivilschutz & Justizvollzug Kanton Luzern und beim WISZ

Stationen:
Advokaturtätigkeit, Tätigkeit im öffentlichen Gemeindemanagement und als Geschäftsführerin eines Parahotellerie-Betriebs

Ausbildung:
Lehrerseminar, Studium Rechtswissenschaften Master of Law, MAS Risk Management, CAS Grundlagen Mediation

„Die einzigen Dinge, die man im Leben wirklich bereuen sollte, sind die Risiken, die man nicht eingegangen ist.“

Tanja Matetic

Vorstand von    bis 2022

Brigitte Christ

Aktuell:
Stellvertretende Direktorin der Eidgenössischen Finanzkontrolle

Stationen:
Start der beruflichen Entwicklung in der klinischen Forschung, gefolgt von diversen Stellen in der Internen Revision (z. B. Schiesser AG, Deutsche Bank AG, Zurich Financial Services) und der Externen (IT) Revision. Diese Linie wurde immer wieder bewusst unterbrochen durch Tätigkeiten in der «1. Linie» (z. B. IKT-Entwicklung, Beratung, COO-Rolle) bzw. «2. Linie» (operationelles Risikomanagement & IKS).

Ausbildung: 
Med. Dokumentationsassistentin, Dipl. Betriebswirt (BA), Fachrichtung Wirtschaftsinformatik

Wir machen es einfach: «Sapere aude!»