Nicht nur Bürde, sondern auch Chance

28.06.2023
Am 1. September 2023 tritt das revidierte Datenschutzgesetz in Kraft. Zahlreiche Organisationen stellt dies vor neue Herausforderungen; zu den betroffenen Akteuren gehören auch Schweizer Elektrizitätsunternehmen. Was gilt es im Hinblick auf die neuen Anforderungen an die Datenschutz-Compliance zu beachten?
Gastautor
Klaus Krohmann
Rechtsanwalt und Partner bei BDO
Disclaimer
«PerspectivE» ist eine Plattform innerhalb der Website des VSE, auf welcher der Verband Branche, Wissenschaft, Politik und Wirtschaft die kostenlose Möglichkeit bietet, für die Branche relevante Fachbeiträge und Artikel zu publizieren. Externe Autorinnen und Autoren äussern in diesen Beiträgen ihre persönliche Meinung. Diese gibt nicht zwingend die Ansichten und Haltung des VSE wieder.

Das revidierte Datenschutzgesetz gilt ab dessen Inkrafttreten am 1. September 2023; Übergangsfristen gibt es keine. Entsprechend dringlich ist der Handlungsbedarf in den nächsten Monaten für Organisationen, die ihr Datenschutz-Konzept noch nicht an die Datenschutz-Grundverordnung der EU (DSGVO) angepasst haben – also an die EU-Standards, an denen sich das Gesetz orientiert. Dieser Artikel beleuchtet spezifische Aspekte, die Schweizer Elektrizitätsunternehmen beachten sollten, um den gesetzlichen Anforderungen gerecht zu werden und gleichzeitig eine sichere und effiziente Datenverarbeitung zu gewährleisten.

Neuen Informationspflichten nachkommen

Führungsorgane von Unternehmen oder Organisationen, die ihren Informationspflichten bei der Beschaffung von Personendaten in Zukunft nicht genügend nachkommen, riskieren strafrechtliche Sanktionen. Informiert werden muss insbesondere über die Identität und Kontaktdaten des Unternehmens oder der Organisation, welche die Personendaten erhebt, über den Bearbeitungszweck sowie bei Weitergabe an Dritte über die Empfänger. Werden Personendaten ins Ausland bekanntgegeben, sind die Länder sowie allenfalls zur Anwendung gelangende Garantien zur Sicherstellung eines angemessenen Schutzes der Personendaten oder die zur Anwendung gelangenden Ausnahmen mitzuteilen. Die benötigten Informationen werden normalerweise in die Datenschutzerklärung auf der Unternehmenswebseite aufgenommen. Betreffen sie Personendaten der Mitarbeitenden, muss dies im Personalreglement oder in Anhängen zum Arbeitsvertrag aufgeführt werden. Für spezifische Software oder Applikationen finden sich die Informationen oftmals in einer für die Applikation spezifischen Datenschutzerklärung.

Datensicherheit durch risikobasierten Ansatz stärken

Artikel 8, Absatz 1 des revidierten Datenschutzgesetzes besagt: «Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.» Dieser Artikel erhält in Zukunft eine zentrale Bedeutung. Die verlangten Massnahmen müssen ermöglichen, Verletzungen der Datensicherheit zu vermeiden. Es ist jedoch anerkannt, dass auch mit angemessenem Aufwand keine hundertprozentige Sicherheit erreicht werden kann. Der Schutzbedarf der bearbeiteten Personendaten hängt von der Art der bearbeiteten Personendaten sowie von Zweck, Art, Umfang und Umständen der Bearbeitung ab.

Als Grundlage der Risikoabschätzung muss eine Übersicht oder ein Inventar über die Prozesse, die Personendaten enthalten und/oder bearbeiten, erstellt werden. Es folgt eine Bewertung des datenschutzrechtlichen Risikos jedes Prozesses. Dieses muss nach folgenden Kriterien beurteilt werden: Ursachen des Risikos, hauptsächliche Gefahren, bereits ergriffene Massnahmen, um das Risiko zu verringern, sowie die Wahrscheinlichkeit und Schwere einer Verletzung der Datensicherheit trotz der ergriffenen oder vorgesehenen Massnahmen.

Technische und organisatorische Massnahmen implementieren

Basierend auf dem beurteilten Risiko müssen die daraus resultierenden, angemessenen technischen und organisatorischen Massnahmen festgelegt und implementiert werden. Die Datenschutzverordnung (DSV) sieht dazu folgende Kategorisierung vor:

  • Vertraulichkeit: Daten sind nur Berechtigten zugänglich. Dies setzt für diese Daten die Kontrolle der Zugriffe, des Zugangs sowie der Benutzer, die sie nutzen, voraus.
  • Verfügbarkeit und Integrität: Daten sollen verfügbar sein, wenn sie benötigt werden. Sie sollen ausserdem weder unberechtigt noch unbeabsichtigt verändert werden. Dies setzt die Kontrolle über die Datenträger, über die Speicherung sowie über den Transport der Daten voraus. Ausserdem müssen Daten im Verlust- oder Beschädigungsfall wiederhergestellt werden können, und die Systeme müssen so konfiguriert werden, dass sie die Integrität und die Sicherheit der Daten gewährleisten.
  • Nachvollziehbarkeit: Die Daten müssen so bearbeitet werden, dass Änderungen und Verläufe nachvollziehbar bleiben. Dazu ist eine Kontrolle der Eingabe ebenso nötig wie die Kontrolle der Bekanntgabe allfälliger Änderungen an den Daten. Änderungen müssen entsprechend erkannt und bei Bedarf wieder beseitigt werden können.

Diese Risikoeinschätzung muss regelmässig auf ihre Aktualität geprüft werden. Bei Bedarf muss sie nebst den technischen und organisatorischen Massnahmen an neue Umstände und die fortschreitende technische Entwicklung angepasst werden. Die korrekte Implementierung und die Wirksamkeit der technischen und organisatorischen Massnahmen müssen ebenfalls regelmässig überprüft werden. Die Testergebnisse müssen festgehalten und ungenügende Implementierungen verbessert werden.

Getroffene Massnahmen dokumentieren

Damit Organisationen belegen können, ihrer Pflicht zur Risikoabschätzung und zur Wahl von Massnahmen nachgekommen zu sein, sollen die getroffenen Massnahmen geeignet dokumentiert werden. Um strafrechtliche Folgen zu vermeiden, empfiehlt es sich in jedem Fall, eine geeignete Dokumentation der Überlegungen und der ergriffenen Massnahmen anzulegen. Diese sollte mindestens folgende Elemente enthalten: eine Liste der wesentlichsten Bearbeitungstätigkeiten der Organisation, deren Risikoeinschätzung aus datenschutzrechtlicher Sicht und die Wahl und Implementierung von technischen und organisatorischen Massnahmen.

Auskunftspflicht erfüllen

Nach dem revidierten Datenschutzgesetz kann jede Person Auskunft darüber verlangen, ob Daten über sie bearbeitet werden. Nach Eingang einer Anfrage muss ein Unternehmen in der Regel innert 30 Tagen Auskunft geben. Neben den eingangs aufgeführten Informationen müssen die Unternehmen auch darüber Auskunft geben, welche Personendaten bearbeitet und wie lange diese aufbewahrt werden. Vor der Herausgabe müssen die Informationen jedoch gesichtet werden, um sicherzustellen, dass durch die Auskunft keine Rechte Dritter verletzt werden.

Datenschutz-Vorfälle richtig behandeln

Das revidierte Datenschutzgesetz sieht vor, dass Verletzungen der Datensicherheit schnellstmöglich dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) gemeldet werden. Das Unternehmen muss so aufgebaut sein, dass die Meldung möglichst rasch (Erwartung innerhalb von 72 Stunden) erfolgen kann. Das erfordert eine entsprechende Organisation im Unternehmen und eine geeignete sowie stufengerechte Schulung der Mitarbeiterinnen und Mitarbeiter.

Stärkung des Vertrauens

Das revidierte Datenschutzgesetz stellt einen bedeutenden Fortschritt im Schutz personenbezogener Daten dar, und es trägt zur Stärkung des Vertrauens im digitalen Zeitalter bei. Die Vorbereitungen und letztlich die Einhaltung des Gesetzes mögen im ersten Moment als Bürde und zusätzliche Arbeit erscheinen. Langfristig wird das Gesetz aber viele Vorteile bringen. Denn die Auseinandersetzung mit den eigenen Prozessen legt oft den Blick frei auf ineffiziente, abkömmliche oder veraltete Arbeitsabläufe. Kurz: Ein guter Datenschutz ist ein Qualitätsmerkmal eines Unternehmens oder einer Organisation – auch in Bezug auf deren Tätigkeiten und Dienstleistungen. Indem Elektrizitätsunternehmen ein hohes Datenschutzniveau bieten, können sie folglich das Vertrauen der Verbraucherinnen und Verbraucher stärken.

PerspectivE – Die Branche hat das Wort

«PerspectivE» ist eine Plattform innerhalb der Website des VSE, auf welcher der Verband Branche, Wissenschaft, Politik und Wirtschaft die kostenlose Möglichkeit bietet, für die Branche relevante Fachbeiträge und Artikel zu publizieren.

Autorinnen und Autoren äussern in diesen Beiträgen ihre persönliche Meinung. Diese gibt nicht zwingend die Ansichten und Haltung des VSE wieder. Der VSE entscheidet abschliessend darüber, ob er einen angebotenen Beitrag veröffentlicht. PR-Artikel werden nicht akzeptiert.

Haben Sie ein interessantes Projekt, eine aufschlussreiche Studie oder eine bahnbrechende Lösung, welche andere Energieversorgungsunternehmen, die Politik oder die Forschung interessieren? Dann melden Sie sich bei Julien Duc, der Ihre Fragen gerne beantwortet.