1 Jahr DSG – Bilanz und Rückblick
11.11.2024, 09:05 Uhr
Datenschutzgesetz – Stand heute
Vor einem Jahr trat das revidierte Schweizer Datenschutzgesetz (DSG) in Kraft. Ein Jahr später zieht swissICT eine erste Bilanz und blickt auf die bisherigen Entwicklungen und zukünftigen Herausforderungen.
(Quelle: Shutterstock/chainarong06)
Während die Einführung der EU-Datenschutzgrundverordnung 2018 zahlreiche Anpassungen auslöste, verlief die Umsetzung des DSG in der Schweiz überraschend ruhig. Dies könnte darauf zurückzuführen sein, dass bisher nur wenige Verstösse gemeldet wurden und es kaum Ahndungen gab. Doch die Tatsache, dass Sanktionen ausbleiben, bedeutet nicht zwangsläufig, dass die Unternehmen alle Vorgaben einhalten. Da es bisher kaum Gerichtsentscheidungen gibt, bleibt vieles noch klärungsbedürftig, insbesondere wie KMU die Anforderungen des DSG konkret umzusetzen haben. Laut den Experten ist der administrative Aufwand für kleinere Unternehmen oftmals hoch, während der Nutzen des Gesetzes für diese Firmen nicht immer erkennbar ist.
Eine nicht repräsentative Umfrage von swissICT hat gezeigt, dass über zwei Drittel der abgefragten Unternehmen angeben, die DSG oder DSGVO umgesetzt haben. Ca. 60 % geben an, dass der Aufwand durch das DSG gestiegen sei. Und ca. 45 % der Unternehmen wünschen sich mehr Tätigkeit des Eidgenössischen Datenschutzbeauftragten – aber ebenso viele wünschen sich das nicht. Schlussendlich zeigte die Umfrage, dass die Hälfte der Befragten davon ausgeht, dass durch KI ein höherer Datenschutz-Fokus notwendig ist. Diese Erkenntnisse wurden von den den Experten der Rechtskommission von swissICT durchaus bestätigt.
swissICT kann dank des Expertennetzwerks einen tiefen Einblick in diese relevanten Themen bieten.
Quelle: Shutterstock/David Gyung
swissICT kann dank ihres Expertennetzwerks einen tiefen Einblick in diese relevanten Themen bieten. Die im Folgenden dargestellten Meinungen der Experten geben Aufschluss über die praktische Umsetzung des DSG und zeigen, was sich im ersten Jahr bewährt hat und welche offenen Fragen noch zu klären sind.
Datensicherheit
Roland Mathys, Schellenberg Wittmer AG
Schellenberg Wittmer AG
Mit der Revision des DSG wurde eine Meldepflicht eingeführt für gewisse Verletzungen der Datensicherheit, zudem können die Nichteinhaltung von Mindestvorgaben zur Datensicherheit oder deren fehlende Gewährleistung in der Supply Chain mit Bussen sanktioniert werden.
Die Datensicherheit hat sich mit dem revidierten DSG kaum verbessert. Datensicherheit war schon unter dem bisherigen Recht geregelt, und die Neuerungen haben keine grossen Anreize für mehr Datensicherheit geschaffen. Das gilt auch für die eingeführten Sanktionen. Datensicherheit kann nicht auf dem Papier bewirkt werden, etwa durch Verträge oder Policies. Viel wichtiger ist die Gewährleistung der effektiven Umsetzung im eigenen Unternehmen und bei Geschäftspartnern, zum Beispiel durch regelmässige Security Audits.
Zertifizierungen
Carmen De la Cruz, Axians Schweiz AG
Axians Schweiz AG
Offizielle, staatlich anerkannte Datenschutzzertifizierungen gibt es (noch) nicht. Im Kontext von ISO 27001 ff. wird jedoch seit der Version 2022 auch Datenschutz im Zusammenhang mit der Datensicherheit – indirekt – geprüft. Selbst wenn es noch keine staatlich anerkannte Datenschutzzertifizierung gibt, führt der ausgedehnte Prüffokus von ISO27001 ff. im Bereich der Datensicherheit zu einer Prüfung des Datenschutzes. Unternehmen müssen die notwendigen Datenschutz-Dokumentationen vorzeigen können. Dies gilt für das Bearbeitungsverzeichnis, Prozesse für Betroffenenrechte, Datenschutzfolgenabschätzungen, Auftragsbearbeitungsverträge, Datenschutzerklärungen etc. Es gilt, die Hausaufgaben zu machen und up to date zu halten – nur so lassen sich auch (Re-)Zertifizierungen erreichen.
Künstliche Intelligenz
Sven Kohlmeier, Wicki Partners AG
Wicki Partners AG
Das DSG gilt auch für KI-Systeme, insbesondere beim Input von Personendaten. Thesen, dass die Speicherung eines Large Language Models keine Datenverarbeitung darstellt, dürften eher eine «mutige These» sein. Anhängige Gerichtsverfahren werden dazu weitere Klärung bringen. Meine Empfehlungen:
1. Prüfen, ob DSG oder die strengere DSGVO gilt.
2. Pflichten nach DSG (u.a. Informationspflicht) sind einzuhalten.
3. Mit der robots.txt kann das Auslesen von Website-Daten verhindert werden.
4. Eine Unternehmens-Governance für KI-Systeme wird von mir empfohlen.
5. Mitarbeiter sollten für die Nutzung von KI geschult werden.
6. Abklären, ob eine Datenschutz-Folgenabschätzung erforderlich ist.
7. Die Geltung des AI-Acts (in Kraft) beachten.
2. Pflichten nach DSG (u.a. Informationspflicht) sind einzuhalten.
3. Mit der robots.txt kann das Auslesen von Website-Daten verhindert werden.
4. Eine Unternehmens-Governance für KI-Systeme wird von mir empfohlen.
5. Mitarbeiter sollten für die Nutzung von KI geschult werden.
6. Abklären, ob eine Datenschutz-Folgenabschätzung erforderlich ist.
7. Die Geltung des AI-Acts (in Kraft) beachten.
Wer diese Grundsätze einhält, kann KI-Systeme datenschutzkonform nutzen.
Internationaler Datenaustausch
Alesch Staehelin, Uto Legal
Uto Legal
Personendaten dürfen ins Ausland bekanntgegeben werden, wenn der betreffende Staat einen angemessenen Schutz gewährleistet. Hierzu veröffentlicht der Bundesrat eine Liste. Ist ein Land nicht auf der Liste, braucht es für den Personendatentransfer ins Ausland Garantien durch zusätzliche Massnahmen. Das DSG nennt 5 verschiedene Möglichkeiten; in der Praxis am wichtigsten sind Standarddatenschutzklauseln. Was die Datentransfers in die USA angeht, so ist seit dem 15.9.2024 das CH-USA Data Privacy Framework (DPF) in Kraft. Ist ein datenempfangendes Unternehmen nach dem DPF zertifiziert, gelten die USA ohne Weiteres als Empfängerstaat mit genügendem Datenschutzniveau. Am 15.1.2024 hat die EU bestätigt, dass die Datenschutzbestimmungen der Schweiz angemessen sind. Damit können Personendaten zwischen der Schweiz und der EU bzw. dem EWR weiterhin frei zirkulieren.
