Das neue Datenschutzgesetz regelt den Umgang mit Daten von Privatpersonen – nicht aber von Firmen oder Sachdaten. Diesbezüglich sollte für einen entsprechenden Schutz aber auch aus Eigeninteresse gesorgt werden.

Personendaten sind Angaben wie Namen, Adressen, Geburtsdaten, Telefonnummer, AHV-Nummer oder ein Autokennzeichen. Aber auch Profiling-Daten wie Fähigkeiten, Beziehungen oder Aktivitäten. Heikler sind besonders schützenswerte Personendaten wie Gesundheitsdaten, Religion, Löhne oder politische Meinungen. Besonders schützenswerte Daten müssen entsprechend besonders geschützt werden. Sprich verschlüsseln und klassifizieren Sie die Daten und versenden Sie solche Daten nicht mit einem normalen E-Mail (=Postkarte), sondern nur über entsprechende Schnittstellen oder mittels verschlüsselten E-Mail (=eingeschriebener Brief).

Pflichten in der Datenbearbeitung

Wer Personendaten bearbeitet (und welches Unternehmen hat keine Personendaten gespeichert?) hat fünf Pflichten, welche mit dem neuen Datenschutzgesetz eingehalten werden müssen.

• Legalitätsprinzip
  Haben Sie eine gesetzliche Erlaubnis oder eine Einwilligung Ihrer Kunden.
• Verhältnismässigkeit
  Sammeln Sie nur so viele Daten wie nötig und so wenig möglich.
• Zweckbindungsgebot
  Der Zweck muss vor der Datensammlung feststehen.
• Datenrichtigkeit
  Die Daten müssen richtig und aktuell sein.
• Datensicherheit
  Schützen Sie die Daten vor Manipulationen und stellen Sie die Vertraulichkeit sicher.

Rechte der Personen

Wenn Sie Daten von Kunden bearbeiten, haben diese Personen verschiedene Rechte. Sie haben einerseits ein Auskunftsrecht (Art. 25 revDSG), sprich auf Verlangen müssen Sie eine Kopie aller Daten der Person herausgeben und haben dafür höchsten 30 Tage Zeit. Auf Antrag der Person müssen die Daten herausgegeben oder übertragen werden (Art. 28) oder berichtigt, gelöscht oder vernichtet werden (Art. 32).

Was Sie tun müssen

Aus den oben ausgeführten Rechten und Pflichten lässt sich verschiedener Handlungsbedarf ableiten.

• Finden, klassifizieren und verschlüsseln der Daten: Wo sind Ihre Daten abgelegt? Aufgrund welcher Grundlage und zu welchem Zweck? Das gilt nicht nur für neue Personendaten, sondern auch für bereits vorhandene Daten.
• Klärung der IT-Sicherheit in Datenhaltung, Verarbeitung und Übermittlung.
• Überarbeitung der Datenschutzrichtlinie: Welche Daten bearbeiten Sie? Zu welchem Zweck?
• Meldeprozess bei Datenschutzverletzungen festlegen.
• Weitere Prozesse wie IKS oder Risk Management überprüfen.

Um es etwas greifbarer zu machen, was haben wir als PROMRISK gemacht? Einerseits haben wir unsere Datenschutzrichtlinen aktualisiert und die Vertragsvorlagen mit unseren Kunden (Broker-Mandat mit Informationspflichten nach VAG 45) aktualisiert. Die Datenablage in unserem CRM überprüfen wir mit unserem Software-Hersteller. Gleichzeitig klären und überarbeiten wir die Datenverschlüsselung, E-Mail-Verschlüsselung sowie die Internet-Firewall. Und die Bestrebungen werden weitergehen. Das alles benötigt viel Zeit, Ressourcen, neue Prozesse und auch Geld. Wir sind aber auf dem Weg, dass wir bei Einführung des neuen DSG definitiv bereit sind.

Unser wichtigster Punkt aber war die verstärkte Sensibilisierung unserer Mitarbeitenden. Diese müssen unsere Massnahmen verstehen und aktiv mittragen. Bekanntlich starten 90% aller Cyber-Angriffe (eines der Einfalltore für Datenschutzverletzungen) über Mitarbeitende.

Übrigens: Die Versicherung hilft in diesem Thema nur bedingt. Verletzungen der Datensicherheit durch Hackerangriffe sind durch eine Cyber-Versicherung gedeckt. Eine mögliche Busse über DSG-Verstösse darf eine Versicherung jedoch aus rechtlichen Gründen nicht übernehmen.