Neues Datenschutzgesetz (nDSG)

Worum geht es?

Das neue Bundesgesetz über den Datenschutz (nDSG) und die neue Datenschutzverordnung (DSV) treten am 1. September 2023 ohne Übergangsfrist in Kraft. Diese Totalrevision verfolgt als Ziel das DSG den veränderten technologischen und gesellschaftlichen Verhältnissen anzupassen, die Abstimmung mit dem Datenschutz der EU sicherzustellen, die Transparenz von Datenbearbeitungen zu verbessern und die informationelle Selbstbestimmung von betroffenen Personen zu stärken.

Das nDSG gilt grundsätzlich für alle Unternehmen in der Schweiz und umfasst die folgenden wesentlichen Änderungen. Die Liste ist nicht abschliessend. 

◆ Beschränkung auf den Datenschutz natürlicher Personen

◆ Genetische und biometrische Daten fallen neu in den Schutzbereich

◆ Unternehmen haben weitergehende Informationspflichten

◆ In bestimmten Fällen wird das Durchführen einer Datenschutz-Folgenabschätzung zwingend

◆ Ein Verzeichnis aller Bearbeitungstätigkeiten ist zu führen

◆ Verletzungen der Datensicherheit (z.B. bei Cyberattacken) werden meldepflichtig

◆ «Privacy by Design» und «Privacy by Default» werden gesetzlich verankert  

Das nDSG sieht deutlich verschärfte Sanktionen vor bei Verstössen gegen Informations-, Auskunfts- und Sorgfaltspflichten, bei der beruflichen Schweigepflicht oder beim Missachten von Verfügungen der Behörden. Natürliche Personen, wie das Management, können mit Bussen bis zu 250’000 CHF bestraft werden. Darüber hinaus erhält der Eidg. Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) weitreichende Kompetenzen, die bis zu einem Verbot der Datenbearbeitung reichen können. Verstösse gegen die Bestimmungen des DSG werden künftig von Amtes wegen verfolgt.

Was bedeutet dies in der Praxis?

Dazu zwei Beispiele: Wird ein Unternehmen das Opfer einer Cyberattacke und verliert dabei Personendaten, so ist der Vorfall bei den Behörden meldepflichtig. Zudem fallen der Aufwand zum Beheben der Störung an und der Umgang mit der unerwünschten Aufmerksamkeit der Medien. Dies stellt eine enorme Belastung für das Unternehmen und seine Mitarbeitenden dar. Ein weiteres Beispiel ist die fristgerechte Beantwortung eines Auskunftsgesuchs von Kunden. Dieses muss grundsätzlich innert der Frist von 30 Tagen beantwortet werden und die gemäss Gesetz vorgesehenen Informationen enthalten. Ist man hier nicht vorbereitet, führt dies ebenfalls zu einem Aufwand bei den Mitarbeitenden und schnell zu einem Vertrauensverlust bei den Kunden, wenn sie die Antwort nicht rechtzeitig oder in mangelhafter Qualität erhalten.

Was gibt es zu tun?

Die neuen Anforderungen sind abzudecken, um die erforderliche Compliance zur geänderten Gesetzgebung herzustellen. Damit lassen sich auch die Haftungsrisiken signifikant reduzieren. Zu beachten ist, dass in der Regel auch die kantonale Datenschutzgesetzgebung entsprechend revidiert worden ist und diese Bestimmungen ebenfalls umzusetzen sind. Das «Assume Breach Paradigm» bezeichnet die Tatsache, dass trotz aufwendiger technischer Vorkehrungen im Bereich der IT jedes Unternehmen davon ausgehen muss, eines Tages das Opfer einer Cyberattacke zu werden. Keine Branche ist heute davon ausgeschlossen. In diesem Kontext geht es nun darum die Widerstandsfähigkeit der ganzen Organisation auszubauen und die Handlungsfähigkeit auch unter schwierigen Umständen sicherzustellen.

Mit dem Framework RESILIA Business Resilience ® führen wir Corporate Goverance und IT richtig zusammen, um die aktuellen Herausforderungen rasch zu meistern, sowie Geschäftsprozesse und Mitarbeiter fit für die Zukunft zu machen.

Nutzen Sie die Budgetphase im auslaufenden Jahr, um die Massnahmen für 2023 zu planen. Die verfügbare Nettozeit für die Umsetzung beträgt rund 4 Monate von März bis Juni 2023.

Wieviel Zeit bleibt dafür?

Unsere Kompetenzen

Unsere Kompetenzen

«Wir entfesseln das Können des Unternehmens, indem wir Corporate Governance und IT richtig zusammenführen, um die aktuellen Herausforderungen rasch zu meistern, sowie Geschäftsprozesse und Mitarbeiter fit für die Zukunft machen.»

Projekte

Projektforensik. Wir beseitigen die operativen und methodischen Schwachstellen in den laufenden Projekten und ermöglichen es die entstandenen finanziellen Schäden zu regulieren und das Management abzusichern.

Knowledge Management. Wir bewirken den Aufbau der Widerstandsfähigkeit in der Projektabwicklung und ermöglichen das Erreichen der Ziele selbst in anspruchsvollen Projekten.

Project Management. Wir steuern und führen klassische und agile Projekte nach den gängigen Methoden.

Informationen

Insight Engines und Data Classification. Wir setzen auf die Technologien der Künstlichen Intelligenz und ermöglichen das Finden von Daten im Unternehmen, die richtige und vollständige Klassifizierung und bewirken damit den bestmöglichen Umgang mit Wissen.

Encryption Services. Wir setzen auf formatbewahrende Methoden und beseitigen die Risiken in der Bearbeitung, Speicherung und Übermittlung von Daten auch in Legacy Systemen. Damit bewirken wir einen umfassenden Schutz vor Reputationsschäden oder wirtschaftlichen Nachteilen.

IT Security. Wir stellen sicher, dass Zugriffe auf Daten und Services kontrolliert erfolgen und überwacht werden. Wir sensibilisieren Benutzer, simulieren Angriffe und planen Massnahmen. Damit bewirken wir, dass sicherheitsrelevante Vorfälle rasch entdeckt und erfolgreich abgewehrt werden können.

IT Service Management. Wir beseitigen die Schwachstellen in den Vereinbarungen mit Kunden, Partnern und Lieferanten, heben die Maturität der Organisation an und bewirken damit ein Erhöhen der Widerstandsfähigkeit in der Leistungserbringung.

Compliance

Datenschutz. Wir führen Technik und Organisation richtig zusammen und sorgen für einen wirksamen Datenschutz in der Digitalisierung Ihres Unternehmens. 

Corporate Governance und Risk Management. Wir beseitigen die Schwachstellen in der Unternehmenssteuerung, bewirken das Erhöhen der Widerstandsfähigkeit des Unternehmens und ermöglichen einerseits den Zugang zu regulierten Märkten und andererseits das Erfüllen von steigenden Anforderungen der Kunden. 

Interne Kontrollsysteme. Wir ermöglichen den Aufbau einer umfassenden internen Kontrolle und bewirken damit das Einhalten der Richtlinien und das Abwehren von Schäden, die durch eigene Mitarbeitende oder Dritte verursacht werden können.

Business Continuity Management. Wir ermöglichen den wirksamen Schutz der Geschäftsprozesse und bewirken den Widerstandsfähigkeit des Unternehmens in Krisensituationen.

Vertrags- und Weisungsmanagement. Wir sichern das Erbringen und Beziehen von Leistungen mit griffigen Vereinbarungen ab und automatisieren die Verwaltung.  

Unsere Services

Unsere Services

RESILIA Business Resilience ®

Will ein Unternehmen auch bei Betriebsstörungen oder in einer Krise handlungsfähig blieben und Geschäftsleistungen in einer akzeptablen Qualität erbringen können, so muss es potentielle Risikoszenarien antizipieren, passende Massnahmen treffen und auf plötzliche Veränderungen optimal reagieren können.

Unser Service umfasst insbesondere:

◆ Erheben der betrieblichen, organsiationellen und technologischen Widerstandsfähigkeit
◆ Entwickeln von potentiellen Risikoszenarien und Analysieren von Schwachstellen
◆ Klären von gesetzlichen und vertraglichen Verpflichtungen
◆ Entwickeln von Massnahmen zum Erhöhen der Widerstandsfähigkeit
◆ Vorantreiben beim Umsetzen der Massnahmen
◆ Schaffen von Bewusstsein und Training bei Mitarbeitenden
◆ Simulation von Cyberangriffen und Durchführen von Notfallübungen

MIRIA Emergency Response ®

Ist ein Unternehmen von einer erfolgreichen Cyberattacke betroffen, so geht es darum die Geschäftsaktivitäten aufrecht zu erhalten, den zugefügten Schaden zu beheben und einen möglichen Reputationsschaden zu vermeiden.

Unser Service umfasst insbesondere:

◆ Aufbau des Krisenmanagements und aktive Mitarbeit
◆ Analyse der Cyberattacke und Ermitteln der Auswirkungen
◆ Unterstützen des Krisenmanagers bei Kontakt zu Behörden und Medien
◆ Identifizieren und Beiziehen von Cyber-Experten
◆ Koordinieren der Gegenmassnahmen
◆ Unterstützen bei der Wiederaufnahme der Geschäftstätigkeit
◆ Beraten bei der Schadensregulierung mit Versicherungen
 

CLARIA Projektforensik ®

Geraten Projekte in Schieflage, so analysieren wir die Ursachen und deren Auswirkungen, treiben die Sanierung des Projekts voran und unterstützen Sie beim Regulieren des entstandenen Schadens.

Unser Service umfasst insbesondere:

◆ Bestimmen von Zuständigkeiten in der Projektabwicklung
◆ Klären von Fehlern und Schwachstellen in der Projektabwicklung
◆ Überprüfen und Optimieren des Risk Managements
◆ Erstellen von Gutachten für Geschäftsleitung und Verwaltungsrat
◆ Überarbeiten der Verträge mit Kunden und Lieferanten
◆ Entwickeln und Umsetzen von Massnahmen zur Sanierung
◆ Konzipieren von Szenarien zur Schadensregulierung
◆ Kommunikation mit Kunden und Interessenvertretern
◆ Coaching des Managements
Unsere Berater

Unsere Events

Anmeldung

nDSG Update

19. Januar 2023, 17:30 – 18:30, Bern

Am 1. September 2023 wird der Bundesrat das neue Datenschutzgesetz (nDSG) und die neue Datenschutzverordnung (DSV) ohne Übergangsfrist in Kraft setzen. Das nDSG gilt grundsätzlich für alle Unternehmen in der Schweiz, umfasst wichtige Änderungen und sieht bei Verstössen deutlich verschärfte Sanktionen vor.

Worum geht es beim neuen Datenschutzgesetz? Wann bringt Sie eine Cyberattacke mit dem Gesetz in Konflikt? Wie können Sie die notwendigen Massnahmen erfolgreich angehen?

Diese Fragen beantworten Ihnen Thomas Ducret der Projektas GmbH und Sanche Baskaran der Epic Fusion AG an unserem Event vom Donnerstag, 19. Januar 2023 in Bern. Die Teilnahme ist kostenlos.

 

Anmeldung

Networking-Anlass nDSG

26. Januar 2023, 17:45 – 19:00, Grenchen

Am 1. September 2023 wird das neue Datenschutzgesetz und die neue Datenschutzverordnung ohne Übergangsfrist in Kraft gesetzt. In dieser Informationsveranstaltung lernen Sie, was Sie über den Datenschutz wissen müssen, was zu tun ist und was Ihnen diese Massnahmen nützen. 

In Zusammenarbeit mit der Höheren Fachschule Technik Mittelland. 

 

Anmeldung

Das neue Datenschutzgesetz

31. Januar 2023, 17:00 – 18:30, Solothurn — AUSGEBUCHT
1. Februar 2023, 17:00 – 18:30, Solothurn

Am 1. September 2023 wird das neue Datenschutzgesetz und die neue Datenschutzverordnung ohne Übergangsfrist in Kraft gesetzt. In dieser Informationsveranstaltung lernen Sie, was Sie über den Datenschutz wissen müssen, was zu tun ist und was Ihnen diese Massnahmen nützen. 

In Zusammenarbeit mit der Solothurner Handelskammer. 

 

Unsere Berater

Thomas Ducret

Senior Consultant, Partner

Thomas Ducret ist ein praxiserprobter Berater und zertifizierter Projektleiter für das Erhöhen der betrieblichen, technischen und organisatorischen Widerstandsfähigkeit von Unternehmen. Im In- und Ausland hat er Projekte in Schieflage wieder auf Kurs gebracht und die methodische Nachbearbeitung begleitet. Wird ein Unternehmen das Opfer einer Cyberattacke, so koordiniert er die Aktivitäten, um die Geschäftsaktivitäten aufrecht zu erhalten, den zugefügten Schaden zu beheben und einen möglichen Reputationsschaden zu vermeiden. 

Seit über 20 Jahren erbringt Thomas Ducret die Projekt- und Beratungsleistungen für IT-Dienstleister und IT-Abteilungen in der Industrie, im Bankenumfeld und in öffentlichen Verwaltungen. Neben dem revidierten Datenschutzgesetz, den Normen des Service Managements, der Informationssicherheit und der Projektabwicklung setzt er auf die Konzepte der Arbeitspsychologie und bezieht den Menschen in die Betrachtung mit ein. Vor der Gründung der Projektas GmbH war er in führenden Unternehmen für Technologie, Datacenter Services und Business Continuity Management tätig.

◆ Maschinen-Ingenieur HTL
◆ Project Management Professional (PMI/PMP)
◆ HERMES 5.1 (agil)
◆ ITIL3, ITIL 4
◆ SCRUM
◆ Bankfach Grundausbildung FSB
◆ Deutsch, Französisch, Englisch, Italienisch
Anja Schmitz

Senior Consultant, Partner

Anja Schmitz ist Juristin und Beraterin für Corporate Governance, Risk Management, Compliance und umsetzungsstarke Projektleiterin für das Erhöhen der betrieblichen und organisatorischen Widerstandsfähigkeit von Unternehmen. Im In- und Ausland hat sie Grossprojekte erfolgreich umgesetzt, Projekte in Schieflage wieder auf Kurs gebracht und die juristische Nachbearbeitung begleitet. Wird ein Unternehmen das Opfer einer Cyberattacke, so koordiniert sie die Aktivitäten, um die Geschäftsaktivitäten aufrecht zu erhalten, den zugefügten Schaden zu beheben und einen möglichen Reputationsschaden zu vermeiden.

Nach dem Examen absolvierte Anja Schmitz verschiedene Weiterbildungen im Bereich Wirtschaftsrecht, Corporate Governance und Compliance sowie im Projektmanagement. Seit über 12 Jahren erbringt sie Projektleistungen, unterstützt und berät Verwaltungsräte und das Management in der Entscheidungsfindung. Als Wirtschaftsjuristin kennt sie die Anforderungen von FINMA, BAG, EDÖB und Branchenverbänden. Vor der Gründung der Projektas GmbH gründete und führte sie in Deutschland über 12 Jahre die Firma Projektart und begleitete verschiedene Rollouts mit juristischem Hintergrund wie die Markteinführung von ausländischen Unternehmen. Darüber hinaus leitete sie Vorhaben in kommunikativen und juristischen Bereichen wie Incentives, Roadshows, Events und Markenaufbau.

◆ Diplom-Juristin (Juristisches Staatsexamen, Universität)
◆ Master of Business Law and Economic Law (LL.M.oec.)
◆ Data Privacy Officer (CAS)
◆ EMBA FH mit Vertiefung in Corporate Governance, Regulation und Compliance
◆ Compliance & Regulation (CAS)
◆ Compliance & Corporate Governance (CAS)
◆ Notfall- & Krisenmanagement (CAS)
◆ Zertifizierter Compliance Officer (TAW)
◆ Certified Scrum Master (CSM)
◆ Deutsch, Englisch, Russisch
Tsubasa Shinohara

Consultant

Tsubasa Shinohara ist Jurist und Berater für das revidierte Bundesgesetz über den Datenschutz. und unterstützt Unternehmen im Erhöhen der organisatorischen Widerstandsfähigkeit. Wird ein Unternehmen das Opfer einer Cyberattacke, so unterstützt er die Aktivitäten, um den zugefügten Schaden zu beheben und einen möglichen Reputationsschaden zu vermeiden.

Neben seiner Tätigkeit bei Projektas GmbH ist Tsubasa Shinohara für die Swiss Esports Federation als Human Rights Officer tätig. Er ist verantwortlich für Projekte zum Schutz der Menschenrechte in der Schweizer Esports-Community, einschliesslich des Datenschutzes bei Esports-Aktivitäten.

◆ Master of Law, Schweiz (MLaw, LL.M)
◆ Master of Law, Japan (MLaw, LL.M)
◆ Japanisch, Englisch, Französisch
Roger Ellenberger

Consultant

Roger Ellenberger ist Security Engineer, Software Engineer und Berater für Datensicherheit Er unterstützt Unternehmen im Erhöhen der betrieblichen und technischen Widerstandsfähigkeit. Wird ein Unternehmen das Opfer einer Cyberattacke, so unterstützt er die Aktivitäten, um die Geschäftsaktivitäten aufrecht zu erhalten, die Ursachen zu analysieren und den zugefügten Schaden zu beheben.

Roger Ellenberger bringt umfassendes Fachwissen mit in Kryptografie, im Erkennen und Abwehren von Malware, sowie im Aufbau von aktiven Schutzmassnahmen in IT-Infrastrukturen. Er hat in mehreren Unternehmen das Security Operation Center (SOC) konzipiert, aufgebaut und betrieben. Neben seiner Tätigkeit bei Projektas unterstützt er ein Schweizer IT-Startup als Tech-Lead. 

◆ BSc Computer Science (Vertiefung IT-Security)
◆ Security Operation Center, Digitale Forensik, Malware Intelligence
◆ Datacenter Services, Cloud Services
◆ Deutsch, Englisch, Französisch
Unsere Einsatzbereiche

Unsere Einsatzbereiche

Revidiertes Bundesgesetz über den Datenschutz (nDSG)

Wir zeigen Ihnen die Auswirkungen auf IT-Systeme und Prozesse und führen Sie durch das Umsetzen der neuen Anforderungen in der Praxis. Sie erhalten juristische und technische Kompetenzen aus einer Hand.

Wir erledigen für Sie zum Beispiel:

◆ Operationalisieren von Einsichtsgesuchen
◆ Verzeichnis der Bearbeitungstätigkeiten
◆ Durchführen von Datenschutzfolgeabschätzungen
◆ Erarbeiten der notwendigen Prozesse
◆ Weisungs- und Richtlinienmanagement
◆ Outsourcing des Datenschutzbeauftragten
◆ Durchführen von Schulungen und Sensibilisierung

 

Governance, Risk & Compliance

Wir identifizieren die geltenden Gesetze, Auflagen und vertragliche Verpflichtungen und beraten Sie beim Festlegen der Ziele in Datenschutz und -sicherheit. Beim Umsetzen der Vorhaben arbeiten wir aktiv mit. Sie erreichen damit die notwendige Rechtskonformität.

Wir erledigen für Sie zum Beispiel:

◆ Abgleichen der Datenschutzsstrategie mit dem operativen Geschäft
◆ Optimieren der Governance in Bezug auf Struktur und Prozesse
◆ Optimieren des Risikomanagements und der Massnahmen
◆ Aufbau oder Review des Internen Kontrollsystems
◆ Überprüfen des Weisungs- und Vertragsmanagements

Business Continuity Management

Wir identifizieren die geltenden Auflagen, analysieren die Geschäftsabläufe und erarbeiten das passende Kontinuitätsmanagement. Sie erhöhen damit die Krisenresilienz des Unternehmens und sind optimal auf das Unerwartete vorbereitet.

Wir erledigen für Sie zum Beispiel:

◆ Durchführen der Business Impact Analyse
◆ Erstellen der Krisenpläne und Reglemente
◆ Integration der IT in das BCM
◆ Erstellen von Wiederanlaufplänen
◆ Schulung und Sensibilisierung

◆ Krisenstabs- und Notfallübungen

Data Privacy Services

Wir entwickeln die Services zum Finden, Klassifizieren und Verschlüsseln von Daten und führen Sie durch das Realisieren im IT-Betrieb. Sie integrieren damit die neuen Kernkompetenzen in den Servicekatalog, können Fristen einhalten und erhalten die Rechtskonformität in Bezug auf den Datenschutz. 

Wir erledigen für Sie zum Beispiel:

◆ Aufbau von Insight Engines für die Datensuche
◆ Operationalisieren von Einsichtsgesuchen
◆ Automatisieren der Datenklassifizierung
◆ Aufbau von Encryption Services

 

IT Service Management

Wir identifizieren die geltenden Auflagen, analysieren die Kennzahlen und optimieren die Prozesse. Die Data Privacy Services integrieren wir in das IT Service Management und optimieren die Verträge mit Kunden und Lieferanten. Sie stellen damit Nachvollziehbarkeit und Vertragseinhaltung sicher.

Wir erledigen für Sie zum Beispiel:

◆ Erweitern des IT Service Managements
◆ Anpassen der OLA und SLA an das revidierte DSG
◆ Review des IT Service Continuity Managements
◆ Optimieren der Berichterstattung
Unser Vorgehen

Unser Vorgehen

◆ Wir sind bodenständig und offen, neugierig für die Realität des Unternehmens.
 
◆ Wir sind analytisch, gehen in die Tiefe und erfassen rasch und treffend das Gesamtbild.
 
◆ Wir arbeiten systematisch und zielorientiert, schaffen den Überblick und verknüpfen die losen Enden.
 
◆ Wir arbeiten transparent und schaffen Nachvollziehbarkeit und neues Wissen.
 
◆ Wir sind es gewohnt auch in schwierigen Situationen dem Unternehmen verlässlich zur Seite zu stehen.
 
◆ Wir pflegen eine offene und direkte Kommunikation.
 
◆ Wir steuern die Umsetzung, mobilisieren interne Ressourcen und können bei Bedarf externe Spezialisten aus unserem Netzwerk beiziehen.
Unsere Referenzen

Unsere Referenzen

Unsere Berater konnten ihre Expertise bei folgenden Unternehmen erfolgreich einbringen.

Kontaktieren Sie uns

Kontakt

Projektas GmbH
Baarerstrasse 75
6300 Zug, Schweiz

contact@projektas.ch

+41 22 508 508 2

«Wir entfesseln das Können des Unternehmens, indem wir Corporate Governance und IT richtig zusammenführen, um die aktuellen Herausforderungen rasch zu meistern und Geschäftsprozesse und Mitarbeiter fit für die Zukunft machen.»

Das Kleingedruckte

Impressum

© 2022 Projektas GmbH

Projektas GmbH ◆ Baarerstrasse 75 ◆ 6300 Zug, Schweiz

contact@projektas.ch
+41 22 508 508 2

Firmennummer (UID) CHE-415.198.239

Datenschutzerklärung

Mit dem Nutzen unserer Homepage akzeptieren Sie die Nutzungsbedingungen der Projektas GmbH. Die Homepage vermittelt Informationen über die Projektas GmbH und ihr Dienstleistungsangebot. Garantien für die Vollständigkeit und Richtigkeit der Informationen werden nicht abgegeben. Die Homepage stellt keine Offerte dar. Die Inhalte sind urheberrechtlich geschützt und das Verlinken der Homepage in fremden Webauftritten setzt die explizite Zustimmung der Projektas GmbH voraus. Die Projektas GmbH übernimmt keine Haftung für direkte oder indirekte Schäden, die den Nutzern der Homepage entstehen. Für Informationen, welche vom Hosting-Provider automatisiert erfasst werden, verweisen wir auf die Datenschutzerklärung der Easyname GmbH.

Bildquellen: Unsplash, Google Maps, Projektas