Neues Datenschutzgesetz - Netzwerk Risikomanagement

Rückblick

Christian Müller

Das neue Datenschutzgesetz und dessen Umsetzung in der Praxis stand im Zentrum der 48. Fachveranstaltung, welche zu unserer Freude physisch – unter Einhaltung der geltenden Schutzkonzeptregeln – im Kursaal Bern durchgeführt werden konnte.

Das Thema Datenschutz hat nicht zuletzt aufgrund der rasant fortschreitenden Digitalisierung an Relevanz und Aufmerksamkeit gewonnen. Schutz der Privatsphäre und verlässliche Datensicherheit sind zentrale Anforderungen der Anwender beziehungsweise der direkt Betroffenen. Das im September 2020 vom Parlament verabschiedete revidierte Datenschutzgesetz, soll 2022 in Kraft treten.

Ein Informationsbedürfnis, ein «need to know» wird durch den Datenschutz nicht verhindert, aber «es needed nicht jeder to know»

Anhand eines sehr anschaulichen Beispiels – dem Inhalt der Handtasche einer Zuhörerin aus dem Publikum – führte uns Ursula Sury, Geschäftsführerin, Die Advokatur Sury die Bedeutung des Datenschutzes eindrücklich vor Augen. Während wir das öffentliche zur Schau stellen des Inhaltes einer privaten Handtasche in der physischen Welt eindeutig als Übergriff wahrnehmen, fällt unsere Reaktion bei identischen Vorgängen in der digitalen Welt – wenn es denn überhaupt eine gibt – oftmals deutlich moderater aus.

Voraussetzung für die Gewinnung und Bearbeitung von personenbezogenen Daten bilden die gesetzliche Grundlage sowie die Einwilligung der betroffenen natürlichen Person. Wer personenbezogene Daten verarbeitet, muss sicherstellen, dass Verhältnismässigkeit, Richtigkeit sowie deren Sicherheit gewährleistet sind. Vorgaben deren Umsetzung hohe Anforderungen an die erhebende und bearbeitende Instanz stellt. Der Begriff der Datenbearbeitung ist dabei äusserst breit gefasst, wird darunter nämlich jeder Umgang im Zusammenhang mit personenbezogenen Daten verstanden. In der praktischen Umsetzung stellt der Transfer der Datenschutzgrundsätze des DSG in ein Managementsystem eine grosse Herausforderung dar. Es gilt, den Grundsätzen «privacy by design» und «privacy by default» gerecht zu werden. Auch die geforderte Technologiefolgenabschätzung ist in der praktischen Umsetzung alles andere als trivial. Die periodische Durchführung sowie die Notwendigkeit einer engen Abstimmung mit der Data Governance, stellen hohe Anforderungen an das Management. Trotz aller Sorgfalt wird es in der Praxis kaum einem Unternehmen gelingen, allen Anforderungen des DSG jederzeit vollumfänglich gerecht zu werden. Zentral ist die Erreichung einer entsprechenden Maturität in den Managementsystemen respektive die Verbesserung derselben im Zeitablauf.

Am Beispiel eines national tätigen Unternehmens mit rund 4'500 Mitarbeitenden, welches über besonders schützenswerte, personenbezogene Daten verfügt, zeigte Benjamin Domenig, Partner Domenig & Partner Rechtsanwälte AG, auf, was es bei der Umsetzung des neuen DSG in der Praxis zu berücksichtigen gilt.

Die Zusammensetzung des interdisziplinär aufgestellten Projektteams ist dabei zentral. Neben den erforderlichen Projektabwicklungskompetenzen und dem juristischen Wissen geniesst das zu einer erfolgreichen Umsetzung notwendige IT-Know-How einen übergeordneten Stellenwert. Verfügen wir über die notwendige Expertise, welche beurteilen kann, wo und wie die besonders schützenwerten Personendaten gehalten werden? Kennen wir die eingesetzten Verschlüsselungsmechanismen und sind wir in der Lage, deren Wirkung zu beurteilen? Welche Verarbeitungsvorgänge werden durch wen durchgeführt? Fragen, welchen sich ein Projektteam im Zusammenhang mit einem DSG-Projekt / der Einführung eines Datenschutzmanagementsystems sehr früh im Projektverlauf stellen muss.

Wie Benjamin Domenig sehr eingängig anhand der dezentralen Strukturen des Unternehmens im Fallbeispiel dargelegt hat, erfordert Datenschutz ausserdem sehr viel Kommunikationsarbeit. Datenschutzprojekte stossen oft auf allen Hierarchiestufen auf zahlreiche Widerstände und scheitern häufig am fehlenden Verständnis von Betroffenen und Management. Eine erfolgreiche Durchführung erfordert entsprechend die Unterstützung des Top Managements und sehr viel Überzeugungsarbeit auf allen Ebenen. DSG-Projekte kennen in aller Regel keinen definierten Abschlusszeitpunkt, sondern münden in einen kontinuierlichen Prozess, was die Bedeutung dieser erfolgskritischen Komponente weiter unterstreicht.

Auf die Herausforderungen bezüglich des Datenschutzes im Kontext des Projekts «Justitia 4.0» ging Dr. Jacques Bühler, Co-Gesamtprojektleiter Justitia 4.0, ein. Das Hauptziel dieses interkantonalen Transformationsprojektes besteht in der Digitalisierung der Schweizer Justiz. Die Papierakten sollen durch elektronische Akten ersetzt und über eine zentrale, staatlich betriebene Plattform ausgetauscht und durch legitimierte Benutzer elektronisch eingesehen werden können (Konzeption als «one-stop shop»). Die zugrundeliegenden Eckwerte des Justizsystems der Schweiz sind beeindruckend. So werden pro Jahr rund eine Million Fälle abgewickelt, in deren Bearbeitung 25- bis 30'000 Arbeitsplätze eingebunden sind. «Justitia 4.0» deckt sowohl Straf-, Zivil- als auch Verwaltungsstreitigkeiten ab.

Komplexitätstreibend kommt eine interkantonal heterogene Systemlandschaft mit unterschiedlichen produktiven Fachanwendungen hinzu, welche es im Rahmen der Konzeption von «Justitia 4.0» zu integrieren gilt. Um der Anforderung eines gesetzeskonformen und sicheren Systems gerecht zu werden, erfolgte der Einbezug der Benutzer bereits in der Konzeptionsphase im Rahmen von verschiedenen Fachgruppen in enger Abstimmung mit dem EDÖB. Ein Vorgehen, welches sich im Hinblick auf die frühzeitige Erkennung und proaktive Lösung von Datenschutzproblemen bewährt hat. Analog seinem Vorredner unterstrich Dr. Jacques Bühler die zentrale Bedeutung eines frühzeitigen Einbezugs der IT-Verantwortlichen. Der für «Justitia 4.0» verantwortliche CISO ist von Beginn weg «an Bord» und bleibt über alle Projektphasen eine zentrale Ansprechperson.

Der aus Datenschutzsicht heikelste Teil des Projektes stellt die eigentliche Plattform dar. Im sogenannten «Dossier Store» erfolgt die Ablage der Verfahrensdaten. Im «Audit Trail» wird registriert, zu welchem Zeitpunkt welche Information an wen geschickt wurde. Wenn etwas veraktet wird, muss immer zeitgleich definiert werden, wer für welchen Zeitraum Einsicht darauf hat.

Die Konzeptphase für das Portal wurde abgeschlossen. Ausschreibungs- und Realisierungsphase stehen in den nächsten Wochen und Monaten bevor. Wenn auch das Inkrafttreten des Bundesgesetzes über die Plattform für die elektronische Kommunikation in der Justiz (BEKJ) frühestens im Jahr 2025 erwartet wird, wird die Plattform ihren Betrieb im Rahmen von Pilotprojekten bereits früher aufnehmen.

Angeregte Fragerunden im direkten Anschluss an die Referate bildeten einen integrativen Teil des Anlasses, der Lust auf die nächsten Veranstaltungen des Netzwerks Risikomanagement weckte. Abgeschlossen wurde der Anlass mit einem reichhaltigen Apéro riche auf der Kursaal-Terrasse mit Blick über die Altstadt von Bern.