Datenschutz und GDPR: Worauf sollten Schweizer Firmen besonders achten?

Dr. iur. Jürg Schneider

Ein Interview mit Herrn Dr. iur. Jürg Schneider, Partner und Rechtsanwalt bei Walder Wyss Rechtsanwälte.

Es gibt viel in Sachen Cyber Security und Datenschutz zu beachten. Sowohl rechtliche und technische Aspekte als auch unternehmensspezifische Gegebenheiten sowie zukünftige Entwicklungen müssen berücksichtigt werden. Um keine wichtigen Punkte zu übersehen, empfiehlt es sich, den Rat von Experten einzuholen. BNC unterstützt Sie in allen Punkten und entwickelt ein ganzheitliches Konzept zur Absicherung der Daten und IT-Systeme in Ihrem Unternehmen.

Fachspezialist Dr. iur. Jürg Schneider von Walder Wyss Rechtsanwälte beantwortet im Experten-Interview mit BNC die wichtigsten Fragen zu Cyber Security und Datenschutz. Er ist seit vielen Jahren als Rechtsanwalt tätig und berät in- sowie ausländische Firmen in Rechtsfragen rund um die Themen Informationstechnologie, Datenschutz und Outsourcing.

BNC:
Guten Tag Herr Schneider
Wir freuen uns, dass Sie sich die Zeit für unser Interview nehmen! Legen wir gleich los:
Was kann man sich genau unter «Datenschutz» vorstellen und wo findet man die Datenschutzbestimmungen?

Herr Schneider:
Unter Datenschutz im engeren Sinne versteht man den Schutz von Personendaten. Es geht dabei grundsätzlich um den Schutz der Persönlichkeit und individuellen Selbstbestimmung von Personen, über die Daten bearbeitet werden. Dieses Schutzbedürfnis besteht sowohl gegenüber dem Staat als auch gegenüber Privaten.
In der Schweiz findet man die Datenschutzregelung insbesondere im Bundesgesetz über den Datenschutz vom 19.06.1992 und in der entsprechenden Verordnung. Eine Besonderheit unseres Datenschutzgesetzes ist, dass nicht nur Informationen über Individuen, sondern auch Informationen über juristische Personen – d. h. Firmen – geschützt werden. Das Bundesgesetz befindet sich gegenwärtig allerdings in Revision und unter revidiertem Recht sollen die Informationen von juristischen Personen nicht mehr durch das Datenschutzgesetz geschützt werden. Zudem sind weitere Anpassungen und Verschärfungen vorgesehen, welche insbesondere erweiterte Pflichten der Unternehmen bei der Bearbeitung von Personendaten, die Stärkung der Betroffenenrechte sowie einen erhöhten Bussenrahmen bei Verletzung der entsprechenden Vorschriften umfassen. Die Bearbeitung von Personendaten durch Kantonsorgane ist auch weiterhin in den kantonalen Datenschutzgesetzen geregelt.

BNC:
Das IT-Research- und Beratungsunternehmen Gartner hat in einer Studie vier Faktoren identifiziert, die den Markt für Security-Software verändern: die zunehmende Nutzung von Advanced Analytics, grössere IT-Ökosysteme, wachsende Akzeptanz von Software as a Service und die Aussicht auf strengere Regulierung sowie drohende Strafen. Was halten Sie von diesem Ergebnis?

Herr Schneider:
Dem kann ich nur beipflichten. Alle diese Faktoren beeinflussen den Bedarf an neuen und innovativen Sicherheitstechnologien – sowohl in der Schweiz als auch weltweit. Dazu kommt sicher auch noch die weiter steigende Anzahl an sicherheitsrelevanten Vorfällen. Als Beispiel sei hier die jüngst erfolgte Cyber-Attacke durch die Hacker Gruppe Maze zu erwähnen, welche Informatiksysteme eines französischen Baukonzerns einschliesslich seiner Tochtergesellschaften in der Schweiz zum Erliegen gebracht hat und nun ein Lösegeld fordert.
Generell kann man sagen: Je mehr die Wirtschaft von IT-Systemen abhängt beziehungsweise mit ihnen verbunden ist, desto wichtiger wird Security-Software.

BNC:
Software as a Service – kurz: SaaS – wird immer beliebter. Welche sicherheitsrelevanten Faktoren sind zu berücksichtigen, wenn Software und IT-Infrastruktur bei einem externen IT-Dienstleister betrieben werden?

Herr Schneider:
Man sollte einen Anbieter mit einem Track Record und einer guten Reputation auswählen. Weiterhin ist natürlich ein gewisser technischer Sachverstand notwendig, den man entweder bereits im Unternehmen hat oder auch einkaufen kann. Ausserdem ist eine angemessene Risikoeinschätzung vorzunehmen. Das heisst, es ist vor der Inanspruchnahme einer derartigen Dienstleistung abzuwägen, wie viel Aufwand man betreiben möchte, was die konkreten Risiken sind und wie diese im Verhältnis zur Dienstleistung stehen.

BNC:
Welche rechtlichen Aspekte bezüglich Datenschutz von Servicemodellen wie beispielsweise SaaS und Cloud-Computing sind zu beachten?

Herr Schneider:
Aus datenschutzrechtlicher Sicht kommt es grundsätzlich darauf an, wer welche Daten wo und zu welchem Zweck bearbeitet. Es kommt dabei nicht auf die jeweilige Bezeichnung eines Service Models an wie z. B. SaaS oder Cloud-Service, sondern darauf, was mit den Daten effektiv geschieht und wer die Kontrolle über sie hat. Servicemodelle, bei denen die Daten in der direkten Kontrolle des Leistungsbezügers verbleiben, sind aus datenschutzrechtlicher Sicht weniger problematisch. Sobald der Leistungsbezüger jedoch Daten aus der Hand gibt, erhöht sich die Komplexität des Sachverhaltes. Je nach Kategorie und Sensibilität der Daten gelten allenfalls erhöhte rechtliche Anforderungen.
Ein Beispiel: Wenn ein Unternehmen seine Finanzdaten in die Cloud stellt, so betrifft das in der Regel „nur“ das Unternehmen. Sobald ein Unternehmen aber Personalinformationen in die Cloud stellt, so sind nicht nur das Unternehmen, sondern auch die Mitarbeiter betroffen.

BNC:
Welche Sicherheitsmassnahmen sollten im Hinblick auf Cloud Lösungen getroffen werden?

Herr Schneider:
Der Gesetzgeber gibt keine spezifischen oder allgemeingültigen Sicherheitsmassnahmen vor. Das Datenschutzgesetz ist technologieneutral verfasst. Die Datenschutzgesetzgebung verlangt, dass Personendaten durch angemessene technische und organisatorische Massnahmen gegen unbefugtes Bearbeiten geschützt werden. Dies gilt unter anderem natürlich auch für Cloud-Lösungen. Laut der Verordnung zum Bundesgesetz über den Datenschutz sind beispielsweise Zweck, Art und Umfang der Datenbearbeitung, mögliche Risiken für die betroffenen Personen sowie der gegenwärtige Stand der Technik zu berücksichtigen. Ist eine umfangreiche IT-Security aufgebaut worden, muss diese periodisch überprüft werden. Dies gilt sowohl für Cloud-Lösungen als auch für andere sicherheitsrelevante IT-Systeme.
Nach revidiertem Recht ist im Vorfeld einer geplanten Datenbearbeitung neu eine Datenschutz-Folgenabschätzung durchzuführen, wenn eine geplante Datenbearbeitung unter Umständen zu einem hohen Risiko für die betroffenen Personen führen kann. Damit sollen mögliche Sicherheitsrisiken bereits frühzeitig erkannt und geeignete Massnahmen in diesem Zusammenhang in die weitere Planung miteinbezogen werden, sodass mögliche, ggf. später auftretende Sicherheitslücken vermieden werden können. Es ist zurzeit davon auszugehen, dass das revidierte Recht nicht vor 2021 in Kraft treten wird.

BNC:
Haben Sie einen konkreten Tipp, mit dem sich Daten besser schützen lassen?

Herr Schneider:
Generell ist es sehr hilfreich, eine Kategorisierung der Daten vorzunehmen. Diese kann nach verschiedenen Gesichtspunkten angelegt werden. Empfehlenswert ist eine Kategorisierung nach Sensibilität, Risiken und Sachbestand. Ist eine derartige Unterteilung vorgenommen worden, kann wesentlich effizienter agiert werden, was das Risk-Management unterstützt. Des Weiteren können so auch besonders schützenswerte Daten priorisiert werden, wodurch Kosten für Sicherheitsmassnahmen eingespart werden können.
Ausserdem helfen die Grundsätze der Datenvermeidung, Datensparsamkeit und nicht unnötig lange Aufbewahrung von Daten, das Sicherheitsmanagement zu erleichtern.

BNC:
Wo haben es Cyberkriminelle in der Schweiz leicht?

Herr Schneider:
Zumeist sind KMU eher ungenügend auf cyberkriminelle Aktivitäten vorbereitet, da sie oft davon ausgehen, dass sie keine attraktiven Ziele sind. Durch dieses Denken vernachlässigen sie meist IT-Sicherheitsmassnahmen, was sie zu den idealen Opfern macht. Des Weiteren machen es unzureichend geschulte Mitarbeiter Cyberkriminellen oft sehr leicht. Schnell ist eine unseriöse E-Mail angeklickt und eine Schadsoftware heruntergeladen. Im Bereich der Schulung und Awareness der Mitarbeiter gibt es also sicher in einigen Unternehmen noch Optimierungspotenzial.

BNC:
Worauf sollten Schweizer Firmen in Sachen Cyber Security besonders achten?

Herr Schneider:
Es sollte ein ganzheitlicher Ansatz zugrunde liegen. Von der Auswahl der Hersteller bzw. Anbieter und Implementierung ausgesuchter sowie unternehmensgerechter Systeme über die Sicherstellung bzw. Beschaffung des technischen Know-hows bis hin zur Mitarbeitersensibilisierung und vertraglichen sowie versicherungstechnischen Absicherung sollten alle wichtigen Aspekte rund um das Thema Cyber Security berücksichtigt werden.

BNC:
Welche Sicherheitslücken kommen Ihres Erachtens nach häufig vor?

Herr Schneider:
Man trifft leider noch häufig auf veraltete interne Netzwerke und nicht mehr unterstütze Betriebssysteme. Zudem werden oft elementare Sicherheitsvorschriften nicht beachtet. Zu diesen Vorschriften gehören beispielsweise das Definieren von Passwortkriterien, die regelmässige Änderung der Passwörter und das Vermeiden von Standardpasswörtern.
Kontraproduktiv sind auch übertriebene Schutzmassnahmen, die zu Umgehungen führen und die Sicherheit dadurch insgesamt sogar vermindern. Eine derartige Umgehung könnte beispielsweise das Erstellen von Kopien sensibler Daten oder das Hochladen von Daten auf einen externen privaten Filehostingdienst durch Mitarbeiter sein, um im Homeoffice zu arbeiten.

BNC:
Bedrohen die steigenden Ansprüche nach Flexibilität den Datenschutz?

Herr Schneider:
Ja, eindeutig. Die Ansprüche nach Mobilität und Flexibilität führen zu einer erhöhten Komplexität, die natürlich auch Risiken für den Datenschutz birgt. Daher muss ein adäquater Schutz aufgebaut werden, der auch die Risiken von z. B. Mobile Devices oder BYOD adressiert. Zu einem solchen Schutz können beispielsweise eine Zugangsverweigerung für Mobile Devices zu bestimmten Datenbanken oder Sicherheitsmassnahmen wie eine Authentifizierung gehören. Wichtig bei Mobile Devices sind sicher auch entsprechende Nutzer-Policies sowie Mitarbeiterschulungen. Auf Grund des Coronavirus arbeiten zudem viele Mitarbeiter zurzeit im Home Office. Auch hier ist es unabdingbar, dass die Unternehmen entsprechende Schutzmassnahmen ergreifen, um die damit zusammenhängenden datenschutzrechtlichen Risiken adäquat zu adressieren.

BNC:
Seit dem 25.05.2018 gilt die EU General Data Protection Regulation – kurz: GDPR. Wie stehen Sie zur GDPR?

Herr Schneider:
Die GDPR sorgt für einen stark erweiterten Schutz der Personendaten und vereinheitlicht gegenüber der früheren EU-Richtlinie das Datenschutzrecht in der EU. Sie geht in vielen Punkten weiter als die vormals geltende Richtlinie und schafft zusätzliche Anforderungen mit sehr hohem Sanktionspotenzial. Für viele Unternehmen ist die Umsetzung mit hohen Kosten verbunden.

BNC:
Welche Auswirkungen hat die GDPR konkret auf Schweizer Unternehmen?

Herr Schneider:
Die GDPR ist nicht nur auf Unternehmen anwendbar, die ihren Sitz in der EU haben oder Daten in der EU bearbeiten. Auch Unternehmen, die betroffenen Personen in der EU Waren bzw. Dienstleistungen anbieten oder das Verhalten dieser Personen in der EU beobachten, unterliegen der GDPR. Des Weiteren haben viele Schweizer Unternehmen Tochterunternehmen in der EU, die natürlich ebenfalls per se der GDPR unterstehen. Schweizer Unternehmen kommen also in der Regel nicht drum herum, sich mit der GDPR auseinanderzusetzen und diese gegebenenfalls auch umzusetzen.

BNC:
Wie könnte sich die Cyber-Security-Lage künftig in der Schweiz entwickeln? Welche neuen Herausforderungen könnten kommen?

Herr Schneider:
Die Risiken werden sicher nicht kleiner. Im Gegenteil: Durch die zunehmende Digitalisierung werden sie eher noch grösser. Neue Herausforderungen kommen insbesondere im Zusammenhang mit Artificial Intelligence, Block Chain, Internet of Things und weiteren „neuen Technologien“ auf uns zu.

BNC: Vielen Dank für das Interview, Herr Schneider.

Wir bei BNC helfen Unternehmen, die kommenden Herausforderungen zu meistern. Seit dem Jahr 2000 arbeiteten unsere IT-Experten mit den Security-Lösungen unseres Technologiepartners Check Point – einem Marktleader in Sachen Cyber Security – zusammen. Er bietet umfassende Security Lösungen an, mit der wir die IT-Sicherheit vieler Unternehmen optimiert haben.

Hier finden Sie eine Auswahl unserer Security Dienstleistungen:

BNC Security Checkup
• BNC Netzwerk Zonenkonzept
• BNC Verwundbarkeitsanalyse

Für weitere Informationen zu den Themen GDPR sowie Cyber Security und Datenschutz in Zusammenarbeit mit Check Point, downloaden Sie unser kostenfreies E-Paper mit ausführlichen Erklärungen, Infografiken sowie Expertenmeinungen von Dr. iur. Jürg Schneider.