Schweizer Datenschutzgesetz – BSI setzt die neuen Anforderungen in die Praxis um

Das revidierte Schweizer Datenschutzgesetz (DSG) tritt im September 2023 in Kraft und soll mit der im vergangenen Herbst verabschiedeten Verordnung (DSV) eine Kompatibilität mit der Europäischen Datenschutzverordnung (DSGVO) herstellen und damit den Angemessenheitsbeschluss der EU für die Schweiz aufrechterhalten. Schweizer Unternehmen sollten daher ihre Massnahmen zum Datenschutz überprüfen. BSI bietet mit ihrer BSI Customer Suite eine CDP-Lösung (Customer Data Platform), die dieser Herausforderung gerecht wird.

Die Software von BSI unterstützt Anwender bei datenschutzrechtlichen Anforderungen, die sich aus der DSGVO und dem DSG ergeben. Mit den weitreichenden Protokollierungspflichten der Bearbeitungstätigkeiten, die von der neuen DSV für die Bearbeitung von schützenswerten Personendaten und für Bundesorgane gefordert werden, geht der Schweizer Datenschutz eigene Wege.

Handlungsbedarf für Schweizer Krankenkassen

Krankenkassen gelten im Bereich des Krankenversicherungsgesetzes (KVG) als Bundesorgane und im Bereich des Versicherungsvertragsgesetzes (VVG) als private Bearbeiter. Da in der Regel die Krankenkassen sowohl KVG als auch VVG anbieten, können die Krankenkassen nicht von der Übergangsfrist für Bundesorgane profitieren und müssen die gesetzlichen Vorgaben zum Termin der Inkraftsetzung zum 1. September 2023 umgesetzt haben. Im Gegensatz zur zeitlichen Frist lässt die Verordnung allerdings vieles offen, was die Ausgestaltung angeht. Dies betrifft sowohl die Definition der einzelnen Bearbeitungstätigkeiten, bezogen auf die elektronische Bearbeitung, wie auch den Umfang der Protokollierung an sich. Das bedeutet, es bleibt wenig Zeit, um eine grosse Herausforderung zu bewältigen.

Von der Verordnung zur Umsetzung in der BSI Customer Suite

BSI als Hersteller von Software, die Personendaten verarbeitet, musste eine Lösung finden, die sowohl vollumfänglich als auch pragmatisch ist. Dazu hat BSI ein umfangreiches Konzept erarbeitet, in dem die Anforderungen der DSV analysiert, eingeordnet und in Zusammenhang mit der Bearbeitung von Personendaten gesetzt werden. Dies bildet die Grundlage der Anforderungen an die CDP-Lösung der BSI Customer Suite, die bis zur Mitte des Jahres ab der Version 22 zur Verfügung gestellt wird.

Wesentlich zur Konkretisierung der Anforderungen hat dabei das Ziel der Accountability beigetragen, die durch die Protokollierungspflicht erreicht werden soll: Es muss nachträglich überprüfbar sein, ob Personendaten offengelegt, verändert, gelöscht oder abhandengekommen sind. Als Teil der Datensicherheit ist dies auch ein Thema, das über die Schweiz hinaus immer wichtiger wird und auch im Rahmen des Datenschutzes auf EU-Ebene diskutiert wird.

Sandra Witte, Datenschutzexpertin bei BSI, meint dazu: «Als Schweizer Unternehmen haben wir natürlich auch das Schweizer Datenschutzgesetz im Blick und sorgen dafür, dass unsere Kunden mit der BSI Customer Suite ein Mittel zur Hand haben, ihre Datenschutzpflichten zu erfüllen – ob DSG oder DSGVO.»