Dürfen Treuhandunternehmen Daten von ihren potenziellen und aktuellen Kund:innen via Website sammeln? Wie kann Ihr Team bei ausgewählten Projekten erhöhte Compliance-Anforderungen erfüllen? Was gilt es bei der Wahl von Treuhandsoftware zu beachten, damit sämtliche Daten bestmöglich geschützt sind? In diesem Blogbeitrag erhalten Sie einen Überblick über die Besonderheiten von Datenschutz und Compliance im digitalen Zeitalter.
Compliance beschreibt laut dem Gabler Wirtschaftslexikon die «Einhaltung von Gesetzen, Regeln und Normen». Je nach Branche oder Projekt haben Unternehmen höhere Compliance-Anforderungen, da sie mit besonders sensiblen oder schützenswerten Personen und deren Daten arbeiten. Im Gesundheits- oder Sozialhilfewesen unter anderem ist es zentral, dass alle Datenbearbeiter:innen die Compliance- und Datenschutzauflagen strikt befolgen. Was bedeutet dies für Treuhandunternehmen?
Treuhänder:innen müssen die von ihnen verarbeiteten und allenfalls gespeicherten Personendaten vor unbefugtem Zugriff, Lecks und Verlusten schützen. Dies gilt nicht nur für die Daten von Kund:innen und Interessent:innen, sondern auch unternehmensintern. Die Digitalisierung stellt Treuhandunternehmen diesbezüglich vor neue Herausforderungen. Einerseits können digitale Unterlagen mit sensiblen Daten heute mittels Passwörter und Zugriffskontrollen besser geschützt werden als physische Unterlagen in einem Papierordner. Andererseits nehmen Cyber-Angriffe von internationalen Hackerbanden zu. In den letzten Monaten sorgten beispielsweise Attacken auf Schweizer Unternehmen, Organisationen und Institute durch die Ransomware-Gruppe Lockbit für Schlagzeilen. Ransomware ist ein Schadprogramm, das den Zugriff auf Daten und Systeme einschränkt oder unterbindet. Für die Freigabe stellen die Angreifenden eine Lösegeldforderung.
Basisversionen von Security-Software reichen heute nicht mehr aus
Weil Daten in der digitalen Ära die wohl wertvollste Währung sind und Cyber-Kriminelle ihre Angriffsstrategien ständig weiterentwickeln, müssen Treuhandunternehmen ihre Ansätze für Cybersicherheit und Datenschutz ebenfalls anpassen. Die Basisversion von standardisierter Antivirus-Software reicht meistens nicht mehr aus, um die Cyber-Bedrohungen von heute abzuwehren und höchste Datenschutzstandards einhalten zu können.
Schützen Sie Ihre Workloads, Daten und Anwendungen Ihres Treuhandunternehmens stattdessen über mehrere Domänen hinweg. Dokumentieren Sie die ergriffenen Massnahmen und Prozesse, damit Sie diese bei Bedarf dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) im Rahmen der gesetzlich vorgeschriebenen Rechenschaftspflicht vorlegen können. Sensibilisieren Sie auch Ihre Mitarbeitenden für das Thema Cyber-Security. Manchmal identifizieren Cyber-Kriminelle Sicherheitslücken nämlich nicht in Anwendungen, sondern im Prozessablauf oder im Verhalten von Mitarbeiter:innen.
Verhaltenstipps: So können Sie und Ihr Team Cyber-Risiken minimieren
Ihr Team sollte sensible Daten ausschliesslich auf passwortgeschützten Plattformen und Systemen hinterlegen. Geben Sie keine Logindaten an externe Personen heraus. Falls Sie von Arbeitskolleg:innen oder dem IT-Team um die Herausgabe eines Passwortes gebeten werden, sollten Sie sich vergewissern, dass hinter der Anfrage tatsächlich diese Person steckt. Nehmen Sie dazu über einen zusätzlichen Kanal Kontakt auf. Definieren Sie strikte Zugriffsrechte für Ihre Systeme. Aus Datenschutz- und Compliancegründen sollten Sie vor der Implementierung neuer Apps und Tools zur Arbeitsorganisation oder Kommunikation zudem immer nach dem Datenaufbewahrungsort erkundigen. Viele Softwarekonzerne haben ihren Hauptsitz in den USA, wo der Zugriff auf Unternehmensdaten mittels des Patriot Acts ohne richterliche Kontrolle möglich ist. In der Schweiz hingegen ist dies nicht erlaubt.
Extratipp: Mit datenschutzkonformer Treuhandsoftware wie Accounto können Sie sämtliche Daten auf einer sicheren Plattform aufbewahren und bearbeiten. Sie definieren die Zugriffsrechte selbst, sodass Sie die komplette Kontrolle haben, wer Daten einsehen und bearbeiten kann.
Welche Daten gelten in der Schweiz als besonders schützenswert?
Löhne, Sozialversicherungsnummern, Sozialhilfe-Massnahmen, Beziehungsstatus und Zuwendungen zu politischen Parteien: Als Treuhänder:in arbeiten Sie täglich mit sensiblen Daten. Personendaten über die religiösen, weltanschaulichen, politischen oder gewerkschaftlichen Ansichten und Tätigkeiten sowie Daten zum Gesundheitszustand, der sexuellen Orientierung und dem Bezug sozialer Hilfe gelten laut Schweizer Datenschutzgesetz als besonders schützenswert. Eine Verletzung der Datensicherheit kann in diesen Fällen schwerwiegende Konsequenzen für die betroffene Person haben. Mit dem revidierten Datenschutzgesetz (revDSG), das am 1. September 2023 in Kraft trat, werden zusätzlich genetische und biometrische Daten in die Definition der besonders schützenswerten Daten aufgenommen. Das revDSG solle der Schweizer Bevölkerung laut dem Schweizer Staatssekretariat für Wirtschaft (SECO) «einen angemessenen und an die technologischen und gesellschaftlichen Veränderungen unserer Zeit angepassten Datenschutz» garantieren. Die Kompatibilität des Schweizer Rechts mit dem EU-Recht, insbesondere mit der Datenschutzgrundverordnung (DSGVO), sei das zweite grosse Anliegen des neuen Gesetzes.
Das müssen Sie beachten, wenn Sie via Ihrer Website Personendaten sammeln
Das revDSG betrifft das Beschaffen, Speichern, Aufbewahren, Verwenden, Verändern, Teilen, Archivieren, Löschen sowie Vernichten von Personendaten. Bei einer vorsätzlichen Verletzung des Datenschutzgesetzes drohen Bussen von bis zu 250‘000 Franken. Neben finanziellen Sanktionen können Datenschutzverletzungen auch zu dauerhaften Reputationseinbussen und Vertrauensverlusten seitens Kund:innen, Interessent:innen und Partner:innen führen.
Eine der wichtigsten Änderungen, die das seit September 2023 geltende revDSG mitbrachte, ist eine erweiterte Informationspflicht: Vor jeder Beschaffung von Personendaten – und nicht mehr nur von sogenannten besonders schützenswerten Daten – müssen Sie die betroffene Person vorgängig informieren. Dazu sollten Sie auf Ihrer Website eine Datenschutzerklärung teilen und Besuchende darauf hinweisen, dass ihre Daten gesammelt und allenfalls verarbeitet werden. Es braucht einen Cookie-Banner, mit dem Sie die Einwilligung der Website-Besuchenden zur Datenbearbeitung einholen. Formulieren Sie den Banner-Inhalt so, dass er einfach zu verstehen und eindeutig ist.
Ihre Kund:innen, aktuellen und ehemaligen Mitarbeitenden sowie alle möglichen betroffenen Personen dürfen im Rahmen des im revDSG verankerten Auskunftsrechts jederzeit nachfragen, welche Daten Ihr Treuhandunternehmen über sie bearbeitet. Sie dürfen auch die Herausgabe oder das Löschen von Daten veranlassen. Bei Datenlöschungen müssen Sie unbedingte die gesetzliche Aufbewahrungspflicht befolgen.
