Seit September 2023 steht mit dem neuen Datenschutzgesetz (DSG) der Schutz personenbezogener Daten im Fokus der Regulatoren. Mit einem unabhängigen Prüfbericht sichern Unternehmen nicht nur die Compliance, sondern stärken auch das Vertrauen ihrer Kunden und Geschäftspartner.
Seit dem 1. September 2023 gelten das neue Bundesgesetz über den Datenschutz (nDSG) und die dazugehörige Datenschutzverordnung (DSV). Schweizer Unternehmen stehen damit vor strengeren Anforderungen an Informationssicherheit und den sorgfältigen Umgang mit persönlichen Daten; zugleich wurden die Rechte der Dateninhaber gestärkt.
Zu den wichtigsten Neuerungen zählen erweiterte Informations-, Melde- und Dokumentationspflichten sowie deutlich höhere Strafen für natürliche Personen bei Verstössen. Unternehmen müssen ein Verzeichnis der Bearbeitungstätigkeiten führen, Datenschutzerklärungen anpassen, Auslandstransfers dokumentieren, Meldeprozesse institutionalisieren und Verantwortlichkeiten klar definieren.
Kontrolle der externen Datenverarbeiter stärken
Besondere Relevanz hat das Thema der Aufragsbearbeitung sowie der Abschluss von sogenannten Auftragsbearbeitervereinbarungen gewonnen. In der Praxis erweisen sich diese Vereinbarungen jedoch oft als «zahnlose Tiger», da viele datenschutzrechtlich Verantwortliche ihren Kontroll- und Prüfpflichten gegenüber den Auftragsbearbeitern nicht ausreichend nachkommen – vor allem hinsichtlich der Einhaltung technischer und organisatorischer Sicherheitsmassnahmen. Jedes Unternehmen muss deshalb nicht nur genau wissen, wie es selbst, sondern auch wie seine Drittparteien den Datenschutz sicherstellen, da mangelnder Schutz erhebliche Risiken birgt.
Ein Jahr nach Inkrafttreten des neuen DSG sollten Verantwortliche prüfen, ob und welche Kontrollen sie bei ihren Auftragsbearbeitern durchführen. Weder das Gesetz noch die Verordnung geben hierzu klare Vorgaben.
Zudem zeigen jüngste Gerichtsentscheide aus der EU, dass die Aufsichtspflichten der Verantwortlichen deutlich ausgeweitet wurden – ein Trend, der sich auch in der Schweiz etablieren könnte. Wie können Verantwortliche und Auftragsbearbeiter diese Herausforderungen pragmatisch und risikobasiert angehen?
Ein umfassender Prüfbericht sendet ein starkes Signal nach aussen: Das Unternehmen nimmt den Datenschutz ernst und stellt sich bereitwillig einer externen Prüfung.
Anforderungen der DSV erfüllen: Vertrauen durch unabhängige Prüfung schaffen
Wie können Unternehmen den Anforderungskatalog der Datenschutzverordnung systematisch abarbeiten? Und wie können Auftragsverarbeiter nachweisen, dass sie den Datenschutz einhalten? Wir beobachten, dass immer mehr Kunden nach einer Bestätigung suchen, dass sie alle gesetzlichen Auflagen erfüllen – nicht zuletzt, um Haftungsrisiken zu minimieren.
Für den Nachweis der DSG-Compliance sind strukturierte Ansätze zur Überprüfung und Bestätigung der Einhaltung dieser Anforderungen erforderlich. Eine bewährte Methode ist die Erstellung eines unabhängigen Prüfberichts. ISAE- und SOC®-Prüfungen (ISO 27001 vs. ISAE/SOC), zum Beispiel, bieten Unternehmen die Möglichkeit, die Angemessenheit und Wirksamkeit ihrer Datenschutzmassnahmen nachvollziehbar zu belegen. Solche Prüfberichte schaffen nicht nur Transparenz und Vertrauen gegenüber Kunden und Geschäftspartnern, sondern helfen auch, Risiken bei der Verarbeitung personenbezogener Daten frühzeitig zu identifizieren und zu mindern – eine zentrale Anforderung des neuen DSG.
Datenschutz nachhaltig belegen
Zertifizierungen wie ISO 27001 sind etablierte Standards für Informationssicherheitsmanagementsysteme. Ergänzend dazu bieten datenschutzspezifische Zertifikate wie das European Privacy Seal (EuroPriSe) oder GDPR-Zertifizierungen weitere Möglichkeiten, die Einhaltung der Datenschutzanforderungen zu belegen. ISAE- oder SOC®-Prüfberichte hingegen bieten einen tiefergehenden Nachweis, da sie zeigen, dass technische und organisatorische Sicherheitsmassnahmen nicht nur zu einem bestimmten Zeitpunkt, sondern kontinuierlich wirksam sind. Dies ist besonders wichtig, da Kunden und Geschäftspartner zunehmend die Bestätigung verlangen, dass ihre Daten sicher verarbeitet werden und Auftragsverarbeiter ihren Verpflichtungen vollständig nachkommen.
Ein Prüfbericht ist zwar keine gesetzliche Pflicht, bietet jedoch zusätzliche Sicherheit und Transparenz in Bezug auf die Einhaltung der Datenschutzanforderungen. Er zeigt, dass das Unternehmen nicht nur die grundlegenden gesetzlichen Anforderungen erfüllt, sondern auch die fortlaufende Einhaltung dieser Standards gewährleistet. Gleichzeitig sendet ein umfassender Prüfbericht ein starkes Signal nach aussen: Das Unternehmen nimmt den Datenschutz ernst und stellt sich bereitwillig einer externen Prüfung.
