Teil 4 – Datensicherheit: Anforderungen an Schweizer Unternehmen nach dem revidierten Datenschutzgesetz

Datensicherheitsmassnahmen

Art. 8 DSGneu sowie Art. 8 VDSG enthalten Vorschriften zur allgemeinen Datensicherheit. Genannter Artikel besagt, dass geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit gewährleisten sollen. Die Massnahmen müssen ermöglichen, Verletzungen der Datensicherheit zu vermeiden. Der Bundesrat wird noch einen Standard zur Mindestanforderung an die Datensicherheit festlegen müssen. Das wird im Rahmen der neuen Verordnungen erfolgen.

Wird dieser Standard dann nicht eingehalten, kann entsprechend – und ebenfalls bis CHF 250’000 – gebüsst werden. In Art. 7 DSGneu wird festgehalten, dass eine Datenbearbeitung technisch und organisatorisch so auszugestalten ist, dass alle Datenschutz-vorschriften eingehalten werden. Somit sind durch das DSGneu zwei neue Schlagworte geboren: „Privacy by Design“ und „Privacy by Default“. Letzteres besagt, dass alle Voreinstellungen möglichst so zu wählen sind, dass der grösstmögliche Datenschutz „by Default“ (gem. Voreinstellung) gewährleistet ist.

„Privacy by Design“ bedeutet, dass der grösstmögliche Datenschutz durch die Ausgestaltung der Internetseite sowie durch alles, was die Datenbearbeitung mitbeinhaltet (Bearbeitungsabläufe, Zugriffsrechte und Zuständigkeiten etc.) berücksichtigt werden muss. Diese zwei Punkte sind aber nicht bussenbewährt. 

Art. 25 DSGVO fasst Art. 6 und 7 DSGneu unter dem Titel „Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“ zusammen. „Privacy by Default“ bedeutet gemäss DSGVO eine standard-mässige Beschränkung der Datenverarbeitung auf ein Minimum sowie keine Veröffentlichung ohne Zustimmung der betroffenen Person. In den Grund-zügen ist das DSGneu mit der DSGVO gleich betreffend Datensicher-heitsmassnahmen und es muss keine Angleichung vorgenommen werden. 

Schutz vor Datenverlust und kriminellen Angriffen

Da Daten, die über Server mit dem Internet verbunden sind, auch immer Angriffsfläche für Hacker und Malware sind (Malware ist Software wie z. B. Viren, Würmer, Ransomware etc, die in Computersysteme eindringen und dort Störungen oder Schäden verursachen), müssen auch diesbezüglich alle Überlegungen und Massnahmen ergriffen werden, um die Datensicherheit zu gewährleisten. Malware kann auch zu Erpressungszwecken benutzt werden, was in neuster Zeit immer häufiger passiert.

Die Daten werden dazu von Hackern verschlüsselt und erst wieder freigegeben, wenn ein horrendes Lösegeld, im Durchschnitt sind es USD 178‘245, bezahlt wird. Deshalb ist es auch unerlässlich, immer aktuelle Sicherungskopien zu haben, die dem Zugriff durch Hacker garantiert entzogen sind, also z. B. offline auf externen Festplatten. Aus dem Gesagten wird klar, dass die Installation einer Firewall und einer Antiviren-Software alleine in vielen Fällen nicht genügen dürfte. 

Dementsprechend empfiehlt sich ein professioneller IT-Sicherheitsdienstleister zu Rate zu ziehen, um den Schutz vor Datenverlust und kriminellen Angriffen bestmöglich zu gewährleisten und bussgeldbewährte Verstösse zu vermeiden.

Ein weiterer wichtiger Punkt ist die Verschlüsselung der Daten, sei dies auf der Internetseite mittels HTTPS (englisch für „sicheres Hypertext-Übertragungs-protokoll“) oder im E-Mailverkehr mit der sog. TLS-Verschlüsselung (Transport Layer Security) oder auf dem Server Passwörter mit einem Hashwert zu versehen. Dabei unbedingt zu beachten ist, dass Unbefugte keinen Zugang zum Entschlüsselungscode haben und die Verschlüsselung stark genug sein muss, damit die Verschlüsselung auch wirklich als sicher gilt.

Fehlen diese Verschlüsselungen, ist das System viel vulnerabler für Datenverluste und kriminelle Angriffe. Dies wäre zudem ein Verstoss gegen Art. 32 DSGVO bzw. dem zu bestimmenden Standard der Datensicherheitsmassnahmen durch den Bundesrat. Es ist davon auszugehen, dass die genannten Verschlüsselungsmöglichkeiten zu diesem Standard gezählt werden und deshalb sollten diese Anpassungen unbedingt schon jetzt vorgenommen werden. Abschliessend will herausgehoben werden, dass IT-Sicherheit kein Zustand, sondern ein Prozess ist, der immerwährend erweitert und angepasst werden muss.

Externes Hosting

Die Internetseite wird der Welt zugänglich gemacht, wenn sie auf einem Webserver, der mit dem Internet verbunden ist, liegt und via Domain (www.das-ist-der-domainname.ch) von einem anderen Gerät, das ebenfalls mit dem Internet verbunden ist, abgerufen werden kann. Der Webserver, der die Internetseite bereitstellt, kann entweder „inhouse“ sein oder wie es in der Praxis wohl öfters vorkommt, von einem Dienstleister (sog. „Hoster“) zur Verfügung gestellt werden.

Zu diesem Thema dürfen zwei Punkte nicht unerwähnt bleiben. Einerseits muss an den Auftragsverarbeitungsvertrag (Art. 8 DSGneu und Art. 28 DSGVO; Rz. 62) mit dem Hoster gedacht werden, da dieser personenbezogene Daten im Auftrag des Internetseitenbetreibers verarbeitet und andererseits, dass auch der Hoster die Mindestanforderungen für die Datensicherheit, wie unter letztem Kapitel erläutert, einhalten muss. Hier gibt es enorm grosse Qualitätsunterschiede der Dienstleister und eine unvorsichtige Auswahl kann auf den Verantwortlichen der Datenbearbeitung bzw. den Internetseitenbetreiber zurückfallen.

Fragen zur Revision des Schweizer Datenschutzgesetzes?

Nutzen Sie die Chance und vereinbaren Sie einen Termin

Fenster schliessen
Jetzt anrufen