Sich häufende Cyberattacken haben das Thema der Datensicherheit in den Fokus gerückt. Gleichzeitig handelt es sich bei der Datensicherheit um eine Vorgabe, die das Datenschutzgesetz an die Unternehmen stellt.
Die Datensicherheit ist Bestandteil des Datenschutzrechts und damit auch des Datenschutzgesetzes. Im aktuell noch geltenden Datenschutzgesetz (DSG) ist die Datensicherheit in Art. 7 DSG geregelt. Danach müssen Personendaten durch angemessene technische und organisatorische Massnahmen gegen unbefugtes Bearbeiten geschützt werden. Per September 2023 wird das revidierte Datenschutzgesetz (revDSG) in der Schweiz in Kraft treten.
Die dann massgebliche Vorschrift zur Datensicherheit ist Art. 8 revDSG. Die Vorschrift formuliert in Absatz 1 die Anforderungen an die Datensicherheit wie folgt: «Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.». Abs. 2 hält fest, dass die Massnahmen es ermöglichen müssen, Verletzungen der Datensicherheit zu vermeiden. Darüber hinaus bestimmt Abs. 3, dass der Bundesrat Bestimmungen über die Mindestanforderungen an die Datensicherheit erlässt.
Dies erfolgt konkret mittels der Verordnung zum Datenschutzgesetz (VDSG). Die Revision des DSG erfordert eine Anpassung der VDSG. Davon sind auch die Regelungen über die Mindestanforderungen an die Datensicherheit betroffen. Die VDSG befindet sich daher aktuell in der Revision, es ist bisher ein Entwurf (E-VDSG) veröffentlicht und in die (nunmehr bereits abgeschlossene) Vernehmlassung geschickt worden.
Im Rahmen der Vernehmlassung äusserten Anwender wie Verbände, Kanzleien und Unternehmen erhebliche Kritik am E-VDSG. Insbesondere kritisierten sie, dass der bisherige Entwurf zu detaillierte und zu umfangreiche Vorgaben für Unternehmen, insbesondere für KMU, enthalte. Im Hinblick auf hier noch zu erwartende Ergänzungen und/oder Anpassungen durch den Gesetzgeber bleibt abzuwarten, welches Anforderungsniveau und welche konkreten Massnahmen zur Datensicherheit die revidierte VDSG (revVDSG) an Unternehmen stellt. Die aktuelle Entwicklung hierzu sollten die Fachverantwortlichen im Unternehmen genau beobachten.
Vorgaben an die Datensicherheit nach dem aktuellen DSG
Zentrale Vorgabe der gesetzlichen Regelung ist es, Personendaten gegen die unbefugte Bearbeitung zu schützen. Dabei hat der Schutz der Daten vor den Risiken einer unbefugten Bearbeitung durch angemessene organisatorische und technische Massnahmen zu erfolgen. Üblicherweise erfolgt eine Analyse potentieller Risiken und erforderlicher Massnahmen im Rahmen eines Datensicherheitskonzepts. Dieses ermöglicht eine gesamtheitliche Bewertung und Einordnung der ergriffenen Massnahmen. In der VDSG sind verschiedene technische und organisatorische Massnahmen umschrieben. Zu beachten sind insbesondere die Art. 8 bis 11 VDSG sowie die Art. 20 und 21 VDSG (für Bundesorgane).
Bereits erkennbare Vorgaben aus der Botschaft zum revDSG
In den Gesetzgebungsmaterialien zum revDSG sind grundsätzliche Überlegungen zu den Anforderungen an die Datensicherheit enthalten. Die Vorschrift des Art. 8 revDSG geht von einem risikobasierten Ansatz aus. Die Botschaft (Botschaft Totalrevision Datenschutzgesetz BBl 2017 7031) formuliert hierzu «Je grösser das Risiko einer Verletzung der Datensicherheit, umso höher sind die Anforderungen an die zu treffenden Massnahmen.» Darüber hält die Botschaft fest, dass sowohl Verantwortliche als auch Auftragsbearbeiter dazu verpflichtet sind, «für ihre Systeme eine geeignete Sicherheitsarchitektur vorzusehen und sie z. B. gegen Schadsoftware oder Datenverlust zu schützen».
Bereits jetzt empfohlene, ausgewählte Massnahmen zur Daten- und Cybersicherheit
Bereits jetzt empfehlen sich verschiedene Massnahmen zur Datensicherheit. Dabei kommen sowohl technische als auch organisatorische Massnahmen in Betracht, welche das Risiko eines erfolgreichen Cyberangriffs mindern. Nachfolgend werden einzelne, ausgewählte Massnahmen vorgeschlagen. Es ist zu beachten, dass es sich dabei nicht um eine abschliessende oder vollumfängliche Aufzählung aller potentiellen oder relevanten Massnahmen handelt.
Schulung und Sensibilisierung von Mitarbeitenden
Eine wesentliche organisatorische Massnahme stellt die hinreichende Schulung und Sensibilisierung der Mitarbeitenden dar. Der menschliche Faktor ist in einer Sicherheitsarchitektur häufig eine Schwachstelle. Der unzureichende Schutz von Zugangscodes, Passwörtern, Zugangsberechtigungen, usw. stellt ein potentielles Einfallstor für unbefugte Zugriffe dar. Entsprechende Schulung der Mitarbeitenden kann ein erhebliches Mass an Awareness für Risikosituationen und das richtige Verhalten schaffen.
Zugriffsberechtigungen
Wenn unternehmensintern über alle Stufen und Abteilungen hinweg weitgehende Zugriffsrechte auf sämtliche Informationen und Daten bestehen, wird dies häufig mit flachen Hierarchien und schnellen Entscheidungswegen gerechtfertigt. Unter dem Aspekt der Datensicherheit müssen indessen tatsächlich nur sehr wenige Mitarbeitende derart weitreichende Zugriffsrechte haben. Um Daten auch intern vor nicht erforderlichen Zugriffen und damit potentiellen Risiken zu schützen, wird empfohlen nur diejenigen Zugriffsrechte zu gewähren, die der Mitarbeitende für seine Tätigkeit auch tatsächlich benötigt. Zur Vermeidung der (unbeabsichtigten) Installation von Schadsoftware ist in diesem Zusammenhang überdies zu empfehlen, dass die Berechtigung zur Installation von Software nur sehr eingeschränkt vergeben wird und stattdessen den Mitarbeitenden ein verstärkter IT-Support zur Verfügung steht.
Aktualität der eingesetzten IT-Anwendungen
Schadsoftware nutzt häufig Lücken in veralteten Softwareanwendungen aus. Daher wird empfohlen die Betriebssysteme stets mit den aktuellen Updates/Sicherheitsupdates auf den neusten Stand zu bringen. Zugleich sind auch Browser und sonstige Softwareanwendungen im Hinblick auf die Aktualität ihrer Updates zu prüfen. Zudem sollten alle im Einsatz befindlichen Geräte, also nicht nur Laptops, sondern auch Mobiltelefone, Drucker, Tablets, usw. daraufhin kontrolliert werden, ob ihre Betriebssysteme und Sicherheitsupdates auf dem neusten Stand sind. Auch wenn Mitarbeitende eigene Geräte nutzen (BYOD), ist auf die Aktualität der Schutzmassnahmen zu achten. Schliesslich gilt es entsprechende Schutzsoftware (sog. Virenschutz) vorzuhalten und Firewalls zum Schutz des eigenen Systems zu aktivieren.
Verschlüsselung
Bei der Bearbeitung von wichtigen und/oder sensiblen Daten ist stets darauf zu achten, dass diese nur verschlüsselt gespeichert, übermittelt oder transportiert werden.
Vertragsmanagement
Im Zusammenhang mit der Bearbeitung und Auslagerung von Datenbearbeitungsvorgängen, beispielsweise indem Cloud-Dienstleister, (Online-)CRMs, Analyse-Tools usw., zum Einsatz kommen, ist stets die Frage nach der Wahrung der Sicherheit für die betroffenen Datensätze zu beachten. Hier kommen insbesondere vertragsrechtliche Regelungen mit der anderen Partei in Betracht. Diese regeln die einzuhaltenden Standards, beinhalten klare Vorgehensweisen bei Verstössen gegen die Datensicherheit, bestimmen Meldepflichten an den Vertragspartner und benennen Haftungsregeln, Verantwortungssphären usw. Darüber hinaus können Unternehmen vom Vertragspartner auch verlangen, dass er ein Sicherheitskonzept vorlegt. Wie die Einhaltung der vereinbarten Sicherheitsstandards kontrolliert wird oder werden kann, ist üblicherweise Teil des Vertrags zwischen dem Unternehmen und dem Partner, welcher Daten extern bearbeitet.
Weitere zusätzliche Regelungsinhalte werden dann erforderlich, wenn es sich um einen ausländischen Vertragspartner handelt. Hat dieser seinen Sitz darüber hinaus in einem Land, das kein gleichwertiges Datenschutzniveau bietet (vgl. hierzu die Länderliste des EDÖB), werden weitere vertragliche (u. a. Verwendung von Standardvertragsklauseln) und prozessuale (DTIAs = Data Transfer Impact Assessments; Risikoabschätzung hinsichtlich der geplanten Datentransfers) Massnahmen erforderlich, um die Datensicherheit hinreichend zu gewährleisten. Dies ist insbesondere im Fall von Datentransfer in die USA, bspw. bei Nutzung von US-Cloud-Dienstleistungen, Online-CRMs, usw., erforderlich.
Empfehlung
Die Datensicherheit ist eine zentrale datenschutzrechtliche Vorgabe, die im DSG wie auch dem revDSG festgehalten ist. Zur Umsetzung der Datensicherheit im Unternehmen empfiehlt es sich ein Sicherheitskonzept zu erstellen, das den rechtlichen Anforderungen entspricht und diese technisch umsetzt. Darüber hinaus kommt der vertraglichen Ausgestaltung zur Datensicherheit bei Datentransfers eine besondere Bedeutung zu. Hinsichtlich der neuen und konkretisierten Anforderungen an die Datensicherheit durch die revVDSG bleibt der Umfang der umzusetzenden Massnahmen abzuwarten. Diese Massnahmen lassen sich je nach Ausmass der Anforderungen indessen in ein bestehendes Sicherheitskonzept integrieren, so dass sich dessen Erstellung schon jetzt anbietet.
Marcel Griesinger
Rechtsanwaltskanzlei Griesinger, Marcel Griesinger
marcel.griesinger@kanzlei-griesinger.ch
+41 79 871 52 56
Der Autor
Marcel Griesinger, Rechtsanwalt, Inhaber Rechtsanwaltskanzlei Griesinger, die auf Business Law und Corporate Privacy Law spezialisiert ist, Hochschuldozent Wirtschafts- und Datenschutzrecht
Download Artikel
Swiss Insights News #09
Alle SWISS INSIGHTS News finden Sie hier: SWISS INSIGHTS NEWS