Seit dem 1. September 2023 ist in der Schweiz ein neues, deutlich strengeres Datenschutzgesetz in Kraft. Franco Odermatt von Boll Engineering erläutert im Interview, was das für Unternehmen bedeutet und wie Cybersecurity-Lösungen helfen können.
D.S.: Das neue Schweizer Datenschutzgesetz (kurz nDSG) ist seit Kurzem in Kraft. Welche Konsequenzen hat das für Schweizer Unternehmen?
Franco Odermatt: Gute Frage, denn viele wissen nicht, was konkret zu unternehmen ist und ob das nDSG sie überhaupt etwas angeht. Der zweite Punkt ist sonnenklar: Das neue Datenschutzgesetz gilt für alle Unternehmen und jede Organisation, die irgendwie mit personenbezogenen Daten zu tun haben. Alle müssen ihre Situation analysieren und das nDSG im Rahmen der Machbarkeit umsetzen.
D.S.: "Im Rahmen der Machbarkeit" – was heisst das?
Frano Odermatt: Auch ein kleiner Handwerksbetrieb muss seine Kundendaten schützen – aber es ist wohl nicht zumutbar, dafür die gleichen Ressourcen einzusetzen wie ein multinationaler Grosskonzern, zum Beispiel einen dedizierten Datenschutzbeauftragten anzustellen. Auf der anderen Seite ist der Datenschutz für ein KMU mit relativ wenigen, klar zu verortenden Daten oft weniger komplex als für eine grosse Organisation mit vielen Mitarbeitenden und Standorten.
D.S.: Welche Daten müssen geschützt werden?
Frano Odermatt: Als schützenswert gelten grundsätzlich alle personenbezogenen Daten, zum Beispiel Kundenlisten mit Namen, Adressen und weiteren Angaben, Termine mit Kunden und Geschäftspartnern, Gesundheits- und Biometriedaten. Von Staates wegen nicht schützenswert sind dagegen Daten, die nur das Unternehmen selbst betreffen – von Preislisten und Produktinformationen bis zu Konzepten und Strategien.
D.S.: Was bedeutet Datenschutz in diesem Zusammenhang?
Franco Odermatt: Es muss dafür gesorgt werden, dass keine schützenswerten Daten in unbefugte Hände gelangen können – zum Beispiel durch Datenklau im Zug eines Ransomware-Angriffs oder schlicht wenn ein USB-Stick verloren geht. Passiert so etwas, sieht das Gesetz eine Meldepflicht vor: Der Datenabfluss muss den betroffenen Personen mitgeteilt und den Behörden, etwa dem NCSC, dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) oder der Polizei gemeldet werden. Nur so kann der Bund mit seinem umfassenden Dispositiv an Spezialisten eingreifen.
D.S.: Was sind die Voraussetzungen für einen erfolgreichen Datenschutz?
Franco Odermatt: Zunächst muss anhand einer Datenklassifizierung klar sein, wo und wie – eventuell verschlüsselt – welche Daten gespeichert werden, was in welchen Geschäftsprozessen damit passiert und wer auf welche Daten Zugriff haben soll. Da das Geschäft heute oft weitgehend digitalisiert ist, beeinflusst die Umsetzung des nDSG direkt auch die IT. Jedes Unternehmen muss sich überlegen, wie es das Gesetz intern verankern soll. Das Stichwort heisst hier Data Governance. Man muss zum Beispiel dokumentieren können, wie eine Datenlöschung vor sich geht, und sicherstellen, dass sie tatsächlich erfolgt ist, inklusive aller Back-ups.
D.S.: Wie unterstützt Boll Engineering die Umsetzung des nDSG?
Franco Odermatt: Als Distributor bieten wir unseren Partnern und deren Kunden Cybersecurity-Lösungen an, die letztlich alle dem Datenschutz dienen und keineswegs bei unabdingbaren Basics wie Firewall oder Endpunktschutz enden. Für einen sicheren E-Mail-Verkehr etwa die Lösungen von Seppmail oder Proofpoint. PAM-Lösungen (Privileged Access Management), etwa von Wallix oder Fudo, gewährleisten punktgenaue Zugriffskontrolle und erlauben die Überwachung und Aufzeichnung aller Aktivitäten interner und externer Nutzer – wichtig für die Dokumentationspflicht. Genauso wichtig ist es, die Mitarbeitenden für Phishing und andere Angriffsmethoden zu sensibilisieren. Dazu dienen regelmässige Security-Awareness-Trainings, die verschiedene Anbieter im Programm haben.
D.S.: Und welche Hilfe bietet der Staat an?
Franco Odermatt: Der Bund hat einen IKT-Mindeststandard formuliert, der unbedingt eingehalten werden sollte. Der Standard enthält ein Excel-Modell mit 108 Kriterien, mit dem sich die aktuelle Situation auswerten und Lösungsvorschläge einholen lassen. Der Mindeststandard ist im Fall einer Zivilklage wegen Datenschutzverletzung matchentscheidend: Wird er nicht eingehalten, drohen hohe Bussen. Und diese – auch das ist vielen unbekannt – zahlt nicht etwa das Unternehmen, sondern ganz persönlich die für den Datenschutz Verantwortlichen.
Weitere Infos: Boll Engineering AG, Jurastrasse 58, 5430 Wettingen
Tel. 056 437 60 60, info@boll.ch, www.boll.ch