Neues Datenschutzgesetz – Schutz vor Sanktionen dank IAM

Ab dem 1. September 2023 gilt das totalrevidierte Datenschutzgesetz (nDSG) in der Schweiz. Es werden (u.U. hohe) Sanktionen gegen natürliche Personen eingeführt, wenn sie ihren Pflichten nicht nachkommen. Das heisst, wer in der eigenen Organisation eine Verantwortung im Zusammenhang mit Datenschutz und Datensicherheit trägt, steht in der Verantwortung und haftet persönlich im Fall von Verstössen gegen das Gesetz.

Genau hier kommt das Identity und Access Management System ins Spiel, um Sanktionen zu vermeiden. Es dient als unterstützende Massnahme für die Erhaltung der Datensicherheit. Hier werden die geforderten technischen Massnahmen für Zugriffssicherheit und Zutrittskontrolle umgesetzt und jederzeit nachweisbar gespeichert.

Unsere Empfehlung: Nutzen Sie Ihr IAM-System, um Ihrer Auskunftspflicht nachzukommen und um die Sicherheit der von Ihnen verantworteten Daten zu erhöhen!

Was heisst das genau und was gilt es überhaupt besonders zu schützen?

Im (neuen) Datenschutzgesetz dreht sich alles um Personendaten und im Fokus stehen die sogenannten «besonders schützenswerten Personendaten».

Nach Art. 5 nDSG sind unter Personendaten alle Angaben zu verstehen, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen. Dabei ist die «Bestimmbarkeit» aus der Sicht desjenigen zu beurteilen, der Zugang zu den Informationen hat. Informationen sind nur dann als Personendaten zu bewerten, wenn dieser in der Lage ist herauszufinden, auf welche natürliche Person sich die Information bezieht, und wenn er auch bereit ist, den für die Identifikation erforderlichen Aufwand zu betreiben.

Zum besseren Verständnis einige Beispiele: In einem Datensatz mit Namen und Anschrift sind beide Informationen zweifelsfrei als Personendaten zu kategorisieren. Nur eine Adresse ohne Namen ist nicht als Personendaten zu werten, da hier keine bestimmte oder bestimmbare Person zuordenbar ist (es sei denn, nur eine Person lebt in diesem Haus). Pseudonymisierte Daten sind für denjenigen als Personendaten zu kategorisieren, der Zugang zur Entschlüsselung hat. Für alle anderen nicht.

Eine Sonderkategorie der Personendaten stellen die «besonders schützenswerte Personendaten» dar, welche ebenfalls in Art. 5 nDSG definiert werden. Darunter werden Daten über religiöse, weltanschauliche, politische oder gewerkschaftliche Ansichten oder Tätigkeiten; die Gesundheit, die Intimsphäre oder die Zugehörigkeit zu einer Rasse oder Ethnie, über Massnahmen der sozialen Hilfe; verwaltungs- und strafrechtliche Verfolgungen oder Sanktionen und ab Inkrafttreten des revidierten Datenschutzgesetzes am 1. September 2023 auch genetische und biometrische Daten, die eine natürliche Person eindeutig identifizieren, subsumiert. Besonders schützenswerte Personendaten werden als sensitive Daten angesehen, weshalb die Bearbeitung solcher Daten zu einer erheblichen Verletzung der Persönlichkeit führen kann. Werden nämlich beispielsweise Daten über Erkrankungen, Sucht oder Risikoverhalten an Kranken-versicherer weitergegeben, können betroffene Personen eventuell von Zusatzversicherungen ausgeschlossen oder mit höheren Prämien belastet werden. Aus diesem Grund geniessen besonders schützenswerte Personendaten im Datenschutzgesetz einen höheren Schutz, welcher sich z.B. in der Reichweite der Informationspflicht oder auch den Rechtfertigungsgründen einer Bearbeitung zeigt.

Personendaten gelangen typischerweise über das HR-System ins IAM oder werden, insbesondere im Fall von externen Mitarbeitenden, direkt im System gepflegt. Eine gesicherte Datenhaltung mit Einordnung der Daten in die schützenswerten Kategorien ist also wichtig. In seiner Hauptfunktion regelt das IAM den Zugriff auf Personendaten in Zielsystemen. Es sorgt dafür, dass zu jeder Zeit nachvollziehbar ist, wer auf welche Daten zugegriffen hat, und sorgt für die Durchsetzung des «need-to-know-Prinzips», sodass auch nur die Daten zugänglich sind, die zur Ausführung der aktuellen Aufgaben im Unternehmen notwendig sind.

Schauen wir uns genauer an, welche eingangs erwähnten Pflichten für Verantwortliche es gibt, und wie die Erfüllung durch IAM unterstützt wird:

Privacy by Design (vgl. hierzu Art 7 nDSG)
Abläufe im Unternehmen sind so einzurichten, dass nur minimal auf die Daten Betroffener zugegriffen wird. Die Weitergabe von Personendaten ist also zu kontrollieren. Für ein IAM bedeutet das, die Schnittstellen zu Zielsystemen dürfen nur mit den Daten gefüttert werden, die für die Weiterverarbeitung notwendig sind, für deren Weitergabe es also eine «Rechtfertigung» gibt.

Führen eines Datenbearbeitungsverzeichnisses (vgl. hierzu Art. 12 Abs. 1 nDSG)
Wer gemäss nDSG dazu verpflichtet ist, ein Datenbearbeitungsverzeichnis zu führen¹, der muss auch das IAM-System und die darin bearbeiteten Daten aufführen.

Auskunftspflicht (vgl. Art. 19. Abs. 2-4, Art. 21 Abs 1 nDSG)
Mit dem nDSG wird das Auskunftsrecht von Personen bezüglich der von ihnen verarbeiten Daten gestärkt. Im IAM-Kontext ist dies einerseits relevant für die eigenen Angestellten, aber insbesondere dann, wenn Kunden oder Lieferantendaten mit dem IAM verarbeitet werden. Dabei kann das IAM-System durch das Bereitstellen entsprechender Reports die Verantwortlichen beim Nachkommen ihrer Informationspflicht unterstützen.

Verpflichtung zur Datensicherheit (vgl. hierzu Art. 8 nDSG)
Die Verpflichtung kann als Verpflichtung mit dem höchsten Gewicht angesehen werden, denn hier greifen Bussen bei Pflichtverletzung für Verantwortliche bzw. Eigner von Personendaten. Bei Verstössen gegen die Verpflichtung zur Datensicherheit drohen privaten Personen Bussen von bis zu 250'000 CHF. Strafbar sind vorsätzliches Handeln und Unterlassen wie die Missachtung von Informations- und die Verletzung von Sorgfaltspflichten. Hierin liegt auch der grösste Unterschied zur in der EU geltenden DSGVO, denn dort werden nur Unternehmen bzw. Institutionen gebüsst. Nur in Ausnahmefällen, wenn die Ermittlung der strafbaren natürlichen Person im Unternehmen einen unverhältnismässigen Aufwand erfordern würde, kann auch das Unternehmen selbst mit bis zu 50'000 CHF gebüsst werden.

Bei der Verpflichtung zur Datensicherheit geht es um den Schutz von Personendaten bezüglich Vertraulichkeit, Integrität, Verfügbarkeit und Nachvollziehbarkeit. Dieser Schutz wird zum Beispiel durch das Etablieren von Massnahmen im Bereich Zugriffskontrolle, Zugangskontrolle und Benutzerkontrolle erreicht. Genau hier setzt die Kernkompetenz von IAM an und unterstützt: Vergebene Zugriffsrechte werden zunächst auf Notwendiges, durch den Einsatz von automatisiert vergebenen organisations- und funktionsabhängigen Geschäftsrollen und Workflow-basierten Genehmigungen zusätzlicher Anfragen durch Vorgesetzte und Dateneigner, beschränkt. Ausserdem protokolliert das IAM-System die vergebenen Zugriffsrechte, und erleichtert somit Kontrollen per Stichtag oder auch über längere Zeiträume hinweg.

Mithilfe eines IAM-Systems ist somit die Erfüllung aller aufgeführten Pflichten möglich, Verantwortliche werden massgeblich in ihren Aufgaben zum Datenschutz unterstützt und sind bereit für das totalrevidierte Datenschutzgesetz.

Für eine abschliessende Einordnung finden Sie hier den Vergleich zwischen DSG, nDSG und DSGVO:

	DSG	nDSG	DSGVO
Antragsdelikt: wird nur auf Antrag des Geschädigten verfolgt	Ja	Ja	Nein
Wer wird gebüsst?	Einzelperson (Verantwortlicher Mitarbeiter)	Einzelperson (Verantwortlicher Mitarbeiter)	Unternehmen / Institutionen
Begehung: vorsätzlich / fahrlässig	Vorsätzlich	Vorsätzlich	Vorsätzlich und fahrlässig
Tatbestand	Auskunfts-, Informations- und Mitwirkungspflichten nicht, falsch oder unvollständig nachkommen Geheime, besonders schützenswerte Personendaten oder Persönlichkeitsprofile bekannt geben	Auskunfts-, Informations- und Mitwirkungspflichten nicht, falsch oder unvollständig nachkommen	Verstoss bei Bestimmungen der Verordnung
		Personendaten ins (unsichere) Ausland bekannt geben, ohne dass geeignete Garantien oder ein Ausnahmetatbestand vorliegen
		Datenbearbeitung einem Auftragsbearbeiter übergeben, der die Daten nicht so bearbeitet, wie man es selbst tun dürfte oder eine Übertragung verboten ist
		Nichteinhaltender vom Bundesrat erlassenen Mindestanforderungen an die Datensicherheit
		Offenbarung geheimer Personendaten
	CHF 10’000	CHF 250’000	Je nach Verstoss bis zu EUR 20 Mio. oder (wenn höher) 4% des weltweiten Umsatzes

Hilfreiche Links und Quellen:

¹ Art. 12 Abs. 5 nDSG: Der Bundesrat sieht Ausnahmen für Unternehmen vor, die weniger als 250 Mitarbeiterinnen und Mitarbeiter beschäftigen und deren Datenbearbeitung ein geringes Risiko von Verletzungen der Persönlichkeit der betroffenen Personen mit sich bringt.

DSV (Verordnung über den Datenschutz): https://www.newsd.admin.ch/newsd/message/attachments/75620.pdf

Die IPG geht gerne mit Ihnen die Herausforderungen an und hilft Ihnen, Ihre Unternehmensumgebung «nDSG-ready» zu machen.

Teaserbild Expertenbericht Privileged Remote Access

Blog 19.10.22

Sicherer Zugriff von Extern ohne VPN

Der privilegierte Zugriff von extern stellt viele Firmen vor Herausforderungen. Externe Mitarbeitende müssen verwaltet und der Zugriff bereitgestellt werden. Dabei kann die Übersicht schnell verloren gehen und die Nachvollziehbarkeit ist nicht mehr gewährleistet.

Teaserbild Expertenbericht IAMcloud Journey von IPG

Blog 30.03.23

Der Weg in die Cloud: Optimierung Ihres IAM

Identity Management aus der Wolke - vom On-Prem IAM zum «Cloud IAM». Erfahren Sie, welche Best Practices für eine erfolgreiche Migration angewendet werden sollten und welche Herausforderungen es zu meistern gilt.

Blog 07.03.23

Kritikalität im IAM

Jede Person im Unternehmen, mit Zugriff auf ein IT-System, stellt ein mögliches Sicherheitsrisiko dar. Ein Leitfaden für die Bewertung und Handhabung von kritischen Zugriffen gibt es in unserem aktuellen Blogbeitrag.

Teaserbild Expertenbericht Berechtigungsmanagement IAM

Blog 27.11.24

Sicheres Berechtigungsmanagement leicht gemacht!

Ein modernes IAM-System vereinfacht das Berechtigungsmanagement und schützt vor ungewolltem Zugriff. Erfahren Sie, wie Sie mit automatisierten Prozessen IT-Sicherheit und Compliance steigern.

Blog 02.10.23

DORA: Stärkung der Resilienz im europäischen Finanzwesen

Sichere Einhaltung der Digitalen Betriebs Resilienz-Verordnung (DORA) der EU: Wir unterstützen Unternehmen im Finanzsektor mit geeigneter IAM-Strategie die Richtlinien einzuhalten. ✅ Mehr dazu in unserem Blog.

Blog 12.12.22

IAM-Prozesse – Betrachtungswinkel und Prozesssichtweisen

Die Einführung einer IAM-Lösung in einem Unternehmen zieht Änderungen in Arbeitsabläufen nach sich. Die Erhebung und Modellierung der IAM-Prozesse sind essenzielle Schritte zum Verständnis und der Akzeptanz der Lösung in der Organisation. Lesen mehr dazu in unserem Blog.

Teaserbild Expertenbericht IAM zu FINMA Rundschreiben

Blog 23.10.23

IAM für Banken & Finanzinstitute in der Schweiz

Verlieren Sie keine Zeit: ✓Compliance ✓Sicherheit ✓Effizienz ✓Vertrauen! Jetzt handeln und mit der Einführung einer IAM-Software die Anforderungen des FINMA Rundschreiben 2023/1 erfüllen. ✅ Mehr dazu in unserem Blog.

Teaserbild Expertenbericht 360 Grad Assessment IAM

Blog 19.12.22

IAM-Projekt – 360 Grad Assessment

360° Assessment – wozu ein übergreifendes Assessment, wenn man «nur» ein IAM braucht? Unsere Fach-Expertin für IAM erläutert nun, wie wir in einem «360° Assessment» Unternehmen dabei unterstützen, erfolgreich ein IAM-Projekt zu etablieren. Mehr dazu in unserem Blog.

Blog 09.12.24

Smarte digitale Berechtigungskonzepte mit NEXIS 4.1

Digitale Berechtigungskonzepte sind der Schlüssel zu mehr IT-Sicherheit und Effizienz. Entdecken Sie, wie NEXIS 4.1 moderne Anforderungen erfüllt und Ihre Prozesse revolutioniert.

Titelbild zum Expertenbericht IAM Schliesssysteme

Blog 15.12.21

Zutrittsberechtigungen zu Gebäuden über IAM verwalten

Was haben Zutrittsberechtigungen zu Gebäuden und Räumen mit Identity & Access Management (IAM) zu tun? Prozesse für das Management von physischen Zutritten gehören zu einem ganzheitlichen IAM.

Blog 16.01.25

IAM Managed Service: Der Schlüssel zur digitalen Sicherheit

Entdecken Sie die Vorteile von IAM Managed Services: umfassende Überwachung, schnelle Fehlerbehebung und transparente Kostenstruktur für maximale Sicherheit und Effizienz im Unternehmen. Lesen Sie hier mehr.

Blog 13.12.24

Braucht KI eine digitale Identität?

KI wird zunehmend autonom und übernimmt wichtige Aufgaben in Unternehmen. Wie bleibt die Kontrolle über sensible Daten gewährleistet? Wir beleuchten die Notwendigkeit einer digitalen Identität für KI.

Blog 18.10.22

Self Sovereign Identity - Identitäten im digitalen Zeitalter

Identitäten im digitalen Zeitalter sind ein wahrer Schatz und in Zeiten von Cyber Crime ein gefragtes Diebesgut. Erfahren Sie in unserem Expertenbericht, was Sie über Self Sovereign Identity (SSI) wissen müssen.

Blog 23.01.23

Toolunterstützung im Role Mining und in der Rollenbildung

Durch den Einsatz des richtigen Werkzeuges lassen sich bei der Geschäftsrollenbildung nicht nur ein schlankes und effizientes Vorgehen realisieren, sondern auch eine hohe Akzeptanz in den Fachbereichen und der IT erzielen.

Teaserbild IAM Experte Identity Provider

Blog 02.12.22

Identity Provider – ein Schlüssel für viele Schlösser

Viele Unternehmen sind bestrebt, Anmeldeprozesse zu vereinheitlichen bzw. zu vereinfachen. Ist es möglich, mit einem einzigen Identity Provider (IdP) sowohl interne als auch externe Web-Anwendungen zu betreiben? Unsere Kollegen Jan Weiberg & Sorush S.Torshizi geben Einblick in ein Kundenprojekt.

Blog 23.11.23

Passwort oder Iris-Scan: Die Zukunft der Authentisierung

Wie hat sich die Authentifizierung im Laufe der Zeit entwickelt und welche Auswirkungen hat diese Evolution auf die heutigen Sicherheitsstandards zur Identitätsprüfung? Erfahren Sie mehr in unserem Artikel✅

Referenz 22.02.24

PAM und IAM für «die Bayerische»

Das Versicherungsunternehmen «die Bayerische» schützt die sensiblen Daten seiner Kunden mit IAM und PAM. Damit werden alle regulatorischen Anforderungen erfüllt sowie die Cybersicherheit unterstützt.

Blog 21.03.22

Die schlaue Seite der Identity und Access Governance

Im Identity und Access Management beginnt die «Artificial Intelligence» Einzug zu halten. Als wertvolle Hilfe für Entscheider wird sie in diesem Bereich wohl bald nicht mehr wegzudenken sein.

Titelbild zum Expertenbericht IAM Legacy

Blog 13.12.21

IAM Legacy - Ist mein IAM noch zukunftsfähig?

Sollten Sie sich diese Frage stellen, hilft dieser Fachbericht mit Überlegungen und Denkanstössen zu entscheiden, ob ihre IAM Lösung eine Verjüngungskur benötigt oder ob ein Ersatz ebenfalls eine diskutierbare Möglichkeit darstellt.

Titelbild zum Expertenbericht IAM im Spital - Gesundheitswesen

Blog 15.02.21

IAM und moderne Apps im Spital

Mithilfe eines IAMs in Kombination mit einer KIS App werden Behandlungsprozesse verbessert, der Zugriff auf Patientendaten erfolgt schnell und sicher.