Um den Artikel als PDF herunterzuladen, klicken Sie bitte hier.

 

Das Schweizer Parlament hat kürzlich das revidierte Datenschutzgesetz verabschiedet. Neu gilt der Grundsatz des sogenannten «Privacy by Design». Die korrekte Umsetzung dieses Prinzips ist die Grundvoraussetzung für einen verantwortungsvollen und effektiven Datenschutz und trägt entscheidend zum Erfolg eines Unternehmens bei. Daniela Fábián, Rechtsanwältin und Datenschutzexpertin, erläutert den Grundsatz und seine praktische Umsetzung. 

 

Datenschutz hat in den vergangenen Jahren stark an Bedeutung gewonnen. Konsumenten, Kunden, Patienten und Arbeitnehmer sowie Unternehmensführer und Behörden sind zunehmend sensibilisiert und haben höhere Erwartungen an den Schutz von Personendaten. Infolgedessen wurden Datenschutzgesetze weltweit entsprechend verschärft.

 

Während viele Unternehmen bis vor Kurzem kaum Ressourcen für den Datenschutz bereitgestellt haben, ist den meisten Unternehmen inzwischen bewusst, dass Datenschutz ein ernst zu nehmendes Thema ist. Grund hierfür sind nicht nur drohende Sanktionen und Reputationsverlust im Falle einer Verletzung der Datenschutzvorschriften, sondern dass Unternehmen verstanden haben, dass sie die Vorteile neuer Technologien wie Blockchain, Machine Learning, Künstliche Intelligenz, Internet of Things oder autonomes Fahren nur dann voll ausschöpfen können, wenn sie gleichzeitig die Erwartungen der betroffenen Personen erfüllen, ihr Vertrauen gewinnen sowie deren Privatsphäre respektieren. 

 

Verantwortungsvoller und effektiver Datenschutz setzt voraus, dass Unternehmen die grundlegenden Datenschutzgrundsätze wie Datenminimierung und Transparenz sowie technische Sicherheitsmassnahmen wie Pseudonymisierung oder Verschlüsselung bereits bei der Konzeption von digitalen Lösungen und generell in jegliche Datenbearbeitung integrieren. Diesen Ansatz nennt man «Privacy by Design», kurz «PbD». 

 

Das Schweizer Parlament hat nun diesen Grundsatz unter dem Titel «Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen» im revidierten Datenschutzgesetz verankert. 

 

Was bedeutet Privacy by Design für Unternehmen?

 

PbD ist nicht bloss eine neue Verpflichtung für Verantwortliche. PbD ist vielmehr Grundvoraussetzung für verantwortungsvollen Datenschutz. Um Datenschutzgrundsätze wirksam umzusetzen, müssen Unternehmen proaktiv handeln und potenzielle Risiken für die Privatsphäre von betroffenen Personen antizipieren. 

 

Unternehmen, die z. B. ein neues Datenmanagementsystem einführen, eine App entwickeln, sensible Daten in einer Cloud speichern, Überwachungssysteme im Unternehmen einführen oder die Bearbeitung von Personendaten an Dritte ins Ausland verlagern wollen, müssen sich schon früh über potenzielle Auswirkungen und Risiken für die betroffenen Personen und deren Daten im Klaren sein. 

 

Bei der Entwicklung einer App z. B. muss ein Unternehmen bereits in der Designphase prüfen, ob und wenn ja, welche Personendaten für die Nutzung erforderlich sind und wie technisch sichergestellt wird, dass nicht mehr Daten als erforderlich erhoben werden. Wo und wie lange werden die Daten gespeichert, in der App oder auf einem zentralen Server, im In- oder Ausland? Wer soll auf die Daten Zugriff haben und warum? Sind Dienstleister involviert und wenn ja, wie wird sichergestellt, dass auch sie die Datenschutzvorschriften einhalten? Wie wird technisch sichergestellt, dass die Nutzer vor dem Download der App die Datenschutzerklärung sehen und gegebenenfalls in die Datenbearbeitung einwilligen sowie ihre Rechte geltend machen können, dass die Daten nicht für andere Zwecke bearbeitet werden und bei Bedarf gelöscht oder herausgegeben werden können? Welche technischen Massnahmen sind erforderlich, um die Daten vor Cyberrisiken zu schützen?

 

Mit diesem Ansatz kann das Unternehmen nicht nur die Einhaltung der gesetzlichen Anforderungen sicherstellen, sondern bereits im Vorfeld strategische und operative Entscheidungen treffen und Geschäftsprozesse effizient umsetzen. Dazu können z. B. die Speicherung von Daten auf Servern in der Schweiz statt in den USA oder der Kauf von Software mit integriertem Datenschutz gehören. 

 

Wie können Unternehmen Privacy by Design in der Praxis umsetzen?

 

Eine wirksame Möglichkeit, PbD in der Praxis umzusetzen, ist ein Datenschutzmanagement- und Risikobewertungsprogramm mit Verantwortlichkeiten und einem Prozess zur systematischen Identifizierung, Bewertung, Behandlung und Minderung potenzieller Datenschutz- und Sicherheitsrisiken im Zusammenhang mit der Datenbearbeitung aufzubauen. Durch systematische Konformitäts- und Risikoprüfungen können Unternehmen notwendige und geeignete Massnahmen bestimmen, um die Einhaltung der Datenschutzgrundsätze sicherzustellen und Risiken für die betroffenen Personen, und damit verbunden für das Unternehmen selbst, zu reduzieren. 

 

Privacy by Design ist ein entscheidender Faktor für den Aufbau und die Aufrechterhaltung von Vertrauen, Wettbewerbsfähigkeit und Erfolg auf dem Markt. Unternehmen sollten PbD also durchaus als Chance begreifen.