Das neue Schweizer Datenschutzgesetz steht vor der Tür. Doch was bringt es? Wie ist die Bedeutung speziell für die IT-Sicherheit. Und wer muss jetzt dringend handeln? Da das neue Gesetz noch nicht verabschiedet wurde, sind zwar noch Änderungen möglich, die wichtigen Eckpunkte sind jedoch bekannt.
Angemessenheitsentscheid der EU-Kommission: weshalb ist das so wichtig?
Die sogenannte Datenschutz-Angemessenheitsprüfung der EU-Kommission für Schweizer Unternehmen ist alle paar Jahre erforderlich. Warum? Die EU möchte, dass Personendaten bei einer Übermittlung aus der EU an ein Drittland über einen angemessenen Schutz verfügen. Würde die Beurteilung der EU-Kommission negativ ausfallen, so dürften Personendaten ausser in bestimmten Ausnahmefällen nur noch dann in die Schweiz übermittelt werden, wenn vorab zwischen dem Übermittler in der EU und dem Empfänger in der Schweiz spezielle Garantien – wie z.B. Standarddatenschutzklauseln – vereinbart würden. Dies würde den Datenfluss und somit die Zusammenarbeit zwischen Unternehmen in der EU und Unternehmen in der Schweiz unnötig erschweren und beinträchtigen. Es ist für Unternehmen in der Schweiz deshalb von grossem praktischem Interesse, dass die EU-Kommission die Schweizer Datenschutzgesetzgebung weiterhin als angemessen betrachtet.
Was jetzt zu tun ist
Besonders für die IT-Sicherheit haben die Neuerungen im Schweizer Datenschutzgesetz Konsequenzen. Diese betreffen Hardware, Software und Mitarbeiter. In Zukunft gibt es eine ausdrückliche Verpflichtung das Datenschutzgesetz auf organisatorischer und technischer Ebene zu berücksichtigen.
Das bedeutet, das bereits präventiv alles dafür getan werden muss das die Regularien eingehalten werden. Auch die persönliche Haftung von Personen in Verantwortung sollte sehr ernst genommen werden – es drohen unter Umständen hohe Geldbussen.
Vor diesem Hintergrund stellt sich natürlich die Frage welche Schritte jetzt zuerst unternommen werden sollten. An erster Stelle sollte jetzt die Erstellung und Führung eines Verzeichnisses der Bearbeitungstätigkeiten betreffend Personendaten stehen. Dabei ist es sehr wichtig jetzt auch Betriebsabläufe zu analysieren und zu dokumentieren. Dazu gehört das Erstellen von internen Weisungen sowie Policies und allenfalls vertiefenden Rolebooks oder Playbooks. Darin wird z.B. festgelegt, was bei einem Sicherheitsvorfall passieren soll oder wie bei einem Auskunftsgesuch umzugehen ist (Zuständigkeiten, Reaktionszeiten, Eskalationsprozess, etc.). Eine immer wichtigere Rolle spielen – insbesondere auch bei grösseren Unternehmen – Zertifizierungen, wie z.B. die ISO 27000-Reihe.
Die wichtigsten Schritte in 4 Stufen
Ein effizienter praxiserprobter Prozess zur Herstellung der Compliance an der Basis könnte so aussehen:
1. Man identifiziert den grundsätzlichen Scope des Projekts.
2. Man erfasst im Sinne einer Bestandsanalyse, was bisher beim Thema Datenschutz getan wurde. Welche Personendaten werden zu welchen Zwecken wo bearbeitet, bestehen allenfalls bereits Verzeichnisse der Bearbeitungsaktivitäten, gibt es interne Weisungen sowie Datenschutzerklärungen, etc.?
3. Man betreibt eine intensive Gap Analyse und identifiziert Lücken zwischen den schon umgesetzten Massnahmen und den rechtlichen Anforderungen an den Datenschutz. Häufig werden hier Defizite im Bereich der internen Dokumentation, Zuständigkeiten, Datenschutzerklärungen, vertraglichen Vereinbarungen mit Dritten sowie grenzüberschreitenden Datenfluss festgestellt.
4. Jetzt folgt der zeitaufwändigste Teil. Die Gaps werden durch entsprechende zusätzliche Massnahmen "gefüllt", z.B. Anpassung der Datenbearbeitungsaktivitäten, Erstellung der internen Dokumentationen sowie Datenschutzerklärungen, Erstellung von Standardverträgen, etc.
Dabei ist es wichtig zu wissen, dass die Herstellung der Compliance natürlich ein fortlaufender Prozess ist. Denn alle Neuerungen müssen wieder mit den sich ständig verändernden Bedingungen abgeglichen werden.
Ausser Bürden nichts gewesen?
Ausser dem Schutz der Kundendaten gibt es für Unternehmen aber auch viel zu gewinnen. Der Datenschutz kann für ein positives Image beim Kunden sorgen und damit sogar zum Wettbewerbsvorteil für ein Unternehmen werden.
Neben dem Sanktionsrisiko kann die Verletzung von datenschutzrechtlichen Anforderungen zu einem grossen Reputationsschaden führen.
Leitfaden beachten und handeln
Wie findet man aber nun heraus, welche konkreten Anforderungen für die Speicherung von personenbezogenen Daten zu beachten sind? Grundsätzlich wird im Datenschutzgesetz verlangt, dass bei der Bearbeitung von Personendaten geeignete technische und organisatorische Massnahmen getroffen werden, um eine dem Risiko angemessene Datensicherheit zu gewährleisten. In der dazugehörigen Verordnung wird dies weiter präzisiert. Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) hat zudem einen Leitfaden zu den zu treffenden Massnahmen herausgegeben (Leitfaden zu den technischen und organisatorischen Massnahmen zum Datenschutz [1]). Dieser Leitfaden ist zwar rechtlich nicht direkt verbindlich. Hält man sich daran, so stimmt aber sicher schon mal die Marschrichtung. Einfach ausgedrückt: Je sensibler die Personendaten und je grösser das Risiko für die betroffenen Personen, desto striktere technische und organisatorische Massnahmen sollten getroffen werden. So ist z.B. bei einer Übertragung besonders schützenswerten Personendaten (z.B. Gesundheitsdaten) eine Verschlüsselung vorzusehen. Trotzdem sollten in diesem Bereich unbedingt Experten mit an Bord geholt werden.
Anonymisierung: ja oder nein?
Ob dabei eine Anonymisierung erforderlich ist, muss immer im Einzelfall überprüft werden. Grundsätzlich gelten natürlich die Grundsätze der Transparenz, Datensparsamkeit und Proportionalität. Vereinfacht gesagt: sammeln, speichern und bearbeiten Sie nicht mehr Personendaten, als dies mit dem bestimmten und für die betroffenen Personen erkennbaren Zweck vereinbar und erforderlich ist! Sofern es zum Zweck der Bearbeitung nicht mehr erforderlich ist, dass Personendaten bearbeitet werden, so sollten diese entweder vernichtet oder anonymisiert werden.
Daten teilen: Datenschutz in der Cloud
Vor dem Teilen der Daten muss ein Unternehmen sicherstellen, dass dieses unter strikter Einhaltung der datenschutzrechtlichen Anforderungen geschieht. So dürfen zum Beispiel bei einem Teilen keine gesetzlichen, vertraglichen oder anderweitigen Geheimhaltungspflichten oder Bearbeitungsverbote verletzt werden.
Zudem sind in den Verträgen mit den Kooperationspartnern, Kunden oder Dienstleistern die datenschutzrechtlichen Aspekte sowie die damit zusammenhängenden Pflichten und Verantwortlichkeiten der Parteien klar festzuhalten. Dies gilt insbesondere dann, wenn ein Unternehmen die Bearbeitung von Personendaten an einen Dienstleister überträgt, z.B. an einen Cloud-Provider. Obwohl das Schweizer Datenschutzgesetz hier keinen vertraglichen Mindestgehalt vorschreibt, haben sich in der Praxis schriftliche Datenverarbeitungsverträge gemäss den Anforderungen der DSGVO eingebürgert.
Meldepflicht bei Verletzung?
Das aktuelle Schweizer Datenschutzgesetz sieht keine explizite Meldepflicht von Datenschutzvorfällen vor. Unter dem neuen Schweizer Datenschutzgesetz ist dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) eine Verletzung der Datensicherheit so rasch als möglich zu melden, wenn der Vorfall voraussichtlich zu einem hohen Risiko für die Persönlichkeit der betroffene Person führt. Sofern es zum Schutz der betroffenen Person notwendig ist oder es vom EDÖB verlangt wird, sind zudem auch die betroffenen Personen zu informieren. Die Meldung an den EDÖB hat dabei mindestens folgendes zu beinhalten: die Art der Verletzung (was ist passiert, welchen Daten und Personen sind betroffen)? Was sind die Folgen dieser Verletzung? Welche Massnahmen wurden ergriffen und/oder sind vorgesehen?
Jetzt handeln um morgen vorbereitet zu sein
Abschliessend kann man Unternehmen nur Folgendes mit auf den Weg geben. Sie müssen nicht in Aktivismus verfallen. Aber nehmen Sie bitte das neue Datenschutzgesetz sehr ernst. Jetzt ist ein guter Zeitpunkt, sich frühzeitig mit den kommenden Regelungen zu befassen, allfällige Lücken zu erkennen und entsprechende Massnahmen rechtzeitig umzusetzen. Dann sind Sie vorbereitet. Engagieren Sie externe Fachleute, falls Sie intern nicht über die Ressourcen verfügen.
Für weitere Informationen zu den Themen GDPR sowie Cyber Security und Datenschutz in Zusammenarbeit mit Check Point, downloaden Sie unser kostenfreies E-Paper mit ausführlichen Erklärungen, Infografiken sowie Expertenmeinungen von Dr. iur. Jürg Schneider.
Quelle: Sämtliche Expertenmeinungen in diesem Artikel veröffentlichen wir mit freundlicher Genehmigung von Dr. iur. Jürg Schneider, Rechtsanwalt und Partner bei Walder Wyss Rechtsanwälte – Experte für Rechtsfragen rund um die Themen Informationstechnologie, Datenschutz und Outsourcing.
Die BNC Security Experten empfehlen bei Datenschutz und Compliance die Lösungen von Check Point: Neben Prävention von Datenverlusten, Dokumentverschlüsselung, Festplattenverschlüsselung, Compliance-Überwachung, gehört auch die Verwaltung von Sicherheitsvorfällen zu ihrem umfassenden Portfolio.
Referenzen:
[1] Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter. 2020. Technische und organisatorische Massnahmen des Datenschutzes. [Online]. [8 June 2020].
