Datenschutz und GDPR: Worauf sollten Schweizer Firmen besonders achten?

Dr. iur. Jürg Schneider

Ein Interview mit Herrn Dr. iur. Jürg Schneider, Partner und Rechtsanwalt bei Walder Wyss Rechtsanwälte.

Es gibt viel in Sachen Cyber Security und Datenschutz zu beachten. Sowohl rechtliche und technische Aspekte als auch unternehmensspezifische Gegebenheiten sowie zukünftige Entwicklungen müssen berücksichtigt werden. Um keine wichtigen Punkte zu übersehen, empfiehlt es sich, den Rat von Experten einzuholen. BNC unterstützt Sie in allen Punkten und entwickelt ein ganzheitliches Konzept zur Absicherung der Daten und IT-Systeme in Ihrem Unternehmen.

Fachspezialist Dr. iur. Jürg Schneider von Walder Wyss Rechtsanwälte beantwortet im Experten-Interview mit BNC die wichtigsten Fragen zu Cyber Security und Datenschutz. Er ist seit vielen Jahren als Rechtsanwalt tätig und berät in- sowie ausländische Firmen in Rechtsfragen rund um die Themen Informationstechnologie, Datenschutz und Outsourcing.

BNC:
Guten Tag Herr Schneider
Wir freuen uns, dass Sie sich die Zeit für unser Interview nehmen! Legen wir gleich los:
Was kann man sich genau unter «Datenschutz» vorstellen und wo findet man die Datenschutz-bestimmungen?

Herr Schneider:
Unter Datenschutz im engeren Sinne versteht man den Schutz von Personendaten. Es geht da-bei grundsätzlich um den Schutz der Persönlichkeit und individuellen Selbstbestimmung von Per-sonen, über die Daten bearbeitet werden. Dieses Schutzbedürfnis besteht sowohl gegenüber dem Staat als auch gegenüber Privaten.
In der Schweiz findet man die Datenschutzregelung insbesondere im Bundesgesetz über den Datenschutz vom 19.06.1992 und in der entsprechenden Verordnung. Eine Besonderheit unseres Datenschutzgesetzes ist, dass nicht nur Informationen über Individuen, sondern auch Informatio-nen über juristische Personen – d. h. Firmen – geschützt werden. Die Bearbeitung von Perso-nendaten durch Kantonsorgane ist in den kantonalen Datenschutzgesetzen geregelt.

BNC:
Das IT-Research- und Beratungsunternehmen Gartner hat in einer Studie vier Faktoren identifi-ziert, die den Markt für Security-Software verändern: die zunehmende Nutzung von Advanced Analytics, grössere IT-Ökosysteme, wachsende Akzeptanz von Software as a Service und die Aussicht auf strengere Regulierung sowie drohende Strafen. Was halten Sie von diesem Ergeb-nis?

Herr Schneider:
Dem kann ich nur beipflichten. Alle diese Faktoren beeinflussen den Bedarf an neuen und innova-tiven Sicherheitstechnologien – sowohl in der Schweiz als auch weltweit. Dazu kommt sicher auch noch die weiter steigende Anzahl an sicherheitsrelevanten Vorfällen. Als Beispiel sei hier die WannaCry-Attacke zu erwähnen, bei der z. B. Spitäler in England zur vorübergehenden Einstel-lung ihrer Aktivitäten gezwungen worden sind.
Generell kann man sagen: Je mehr die Wirtschaft von IT-Systemen abhängt beziehungsweise mit ihnen verbunden ist, desto wichtiger wird Security-Software.

BNC:
Software as a Service – kurz: SaaS – wird immer beliebter. Welche sicherheitsrelevanten Fakto-ren sind zu berücksichtigen, wenn Software und IT-Infrastruktur bei einem externen IT-Dienstleister betrieben werden?

Herr Schneider:
Man sollte einen Anbieter mit einem Track Record und einer guten Reputation auswählen. Weiter-hin ist natürlich ein gewisser technischer Sachverstand notwendig, den man entweder bereits im Unternehmen hat oder auch einkaufen kann. Ausserdem ist eine angemessene Risikoeinschät-zung vorzunehmen. Das heisst, es ist vor der Inanspruchnahme einer derartigen Dienstleistung abzuwägen, wie viel Aufwand man betreiben möchte, was die konkreten Risiken sind und wie diese im Verhältnis zur Dienstleistung stehen.

BNC:
Welche rechtlichen Aspekte bezüglich Datenschutz von Servicemodellen wie beispielsweise SaaS und Cloud-Computing sind zu beachten?

Herr Schneider:
Aus datenschutzrechtlicher Sicht kommt es grundsätzlich darauf an, wer welche Daten wo und zu welchem Zweck bearbeitet. Es kommt dabei nicht auf die jeweilige Bezeichnung eines Service Models an wie z. B. SaaS oder Cloud-Service, sondern darauf, was mit den Daten effektiv ge-schieht und wer die Kontrolle über sie hat. Servicemodelle, bei denen die Daten in der direkten Kontrolle des Leistungsbezügers verbleiben, sind aus datenschutzrechtlicher Sicht weniger prob-lematisch. Sobald der Leistungsbezüger jedoch Daten aus der Hand gibt, erhöht sich die Komple-xität des Sachverhaltes. Je nach Kategorie und Sensibilität der Daten gelten allenfalls erhöhte rechtliche Anforderungen.
Ein Beispiel: Wenn ein Unternehmen seine Finanzdaten in die Cloud stellt, so betrifft das in der Regel „nur“ das Unternehmen. Sobald ein Unternehmen aber Personalinformationen in die Cloud stellt, so sind nicht nur das Unternehmen, sondern auch die Mitarbeiter betroffen.

BNC:
Welche Sicherheitsmassnahmen sollten im Hinblick auf Cloud Lösungen getroffen werden?

Herr Schneider:
Der Gesetzgeber gibt keine spezifischen oder allgemeingültigen Sicherheitmassnahmen vor. Das Datenschutzgesetz ist technologieneutral verfasst. Die Datenschutzgesetzgebung verlangt, dass Personendaten durch angemessene technische und organisatorische Massnahmen gegen unbe-fugtes Bearbeiten geschützt werden. Dies gilt unter anderem natürlich auch für Cloud-Lösungen. Laut der Verordnung zum Bundesgesetz über den Datenschutz sind beispielsweise Zweck, Art und Umfang der Datenbearbeitung, mögliche Risiken für die betroffenen Personen sowie der ge-genwärtige Stand der Technik zu berücksichtigen. Ist eine umfangreiche IT-Security aufgebaut worden, muss diese periodisch überprüft werden. Dies gilt sowohl für Cloud-Lösungen als auch für andere sicherheitsrelevante IT-Systeme.

BNC:
Haben Sie einen konkreten Tipp, mit dem sich Daten besser schützen lassen?

Herr Schneider:
Generell ist es sehr hilfreich, eine Kategorisierung der Daten vorzunehmen. Diese kann nach verschiedenen Gesichtspunkten angelegt werden. Empfehlenswert ist eine Kategorisierung nach Sensibilität, Risiken und Sachbestand. Ist eine derartige Unterteilung vorgenommen worden, kann wesentlich effizienter agiert werden, was das Risk-Management unterstützt. Des Weiteren kön-nen so auch besonders schützenswerte Daten priorisiert werden, wodurch Kosten für Sicher-heitsmassnahmen eingespart werden können.
Ausserdem helfen die Grundsätze der Datenvermeidung, Datensparsamkeit und nicht unnötig lange Aufbewahrung von Daten, das Sicherheitsmanagement zu erleichtern.

BNC:
Wo haben es Cyberkriminelle in der Schweiz leicht?

Herr Schneider:
Zumeist sind KMU eher ungenügend auf cyberkriminelle Aktivitäten vorbereitet, da sie oft davon ausgehen, dass sie keine attraktiven Ziele sind. Durch dieses Denken vernachlässigen sie meist IT-Sicherheitsmassnahmen, was sie zu den idealen Opfern macht. Des Weiteren machen es un-zureichend geschulte Mitarbeiter Cyberkriminellen oft sehr leicht. Schnell ist eine unseriöse E-mail angeklickt und eine Schadsoftware heruntergeladen. Im Bereich der Schulung und Awareness der Mitarbeiter gibt es also sicher in einigen Unternehmen noch Optimierungspotenzial.

BNC:
Worauf sollten Schweizer Firmen in Sachen Cyber Security besonders achten?

Herr Schneider:
Es sollte ein ganzheitlicher Ansatz zugrunde liegen. Von der Auswahl der Hersteller bzw. Anbieter und Implementierung ausgesuchter sowie unternehmensgerechter Systeme über die Sicherstel-lung bzw. Beschaffung des technischen Know-hows bis hin zur Mitarbeitersensibilisierung und vertraglichen sowie versicherungstechnischen Absicherung sollten alle wichtigen Aspekte rund um das Thema Cyber Security berücksichtigt werden.

BNC:
Welche Sicherheitslücken kommen Ihres Erachtens nach häufig vor?

Herr Schneider:
Man trifft leider noch häufig auf veraltete interne Netzwerke und nicht mehr unterstütze Betriebs-systeme. Zudem werden oft elementare Sicherheitsvorschriften nicht beachtet. Zu diesen Vor-schriften gehören beispielsweise das Definieren von Passwortkriterien, die regelmässige Ände-rung der Passwörter und das Vermeiden von Standardpasswörtern.
Kontraproduktiv sind auch übertriebene Schutzmassnahmen, die zu Umgehungen führen und die Sicherheit dadurch insgesamt sogar vermindern. Eine derartige Umgehung könnte beispielsweise das Erstellen von Kopien sensibler Daten oder das Hochladen von Daten auf einen externen Filehostingdienst sein, um im Homeoffice zu arbeiten.

BNC:
Bedrohen die steigenden Ansprüche nach Flexibilität den Datenschutz?

Herr Schneider:
Ja, eindeutig. Die Ansprüche nach Mobilität und Flexibilität führen zu einer erhöhten Komplexität, die natürlich auch Risiken für den Datenschutz birgt. Daher muss ein adäquater Schutz aufgebaut werden, der auch die Risiken von z. B. Mobile Devices oder BYOD adressiert. Zu einem solchen Schutz können beispielsweise eine Zugangsverweigerung für Mobile Devices zu bestimmten Da-tenbanken oder Sicherheitsmassnahmen wie eine Authentifizierung gehören. Wichtig bei Mobile Devices sind sicher auch entsprechende Nutzer-Policies sowie Mitarbeiterschulungen.

BNC:
Ab dem 25.05.2018 tritt die EU General Data Protection Regulation – kurz: GDPR – in Kraft. Wie stehen Sie zur GDPR?

Herr Schneider:
Die GDPR sorgt für einen stark erweiterten Schutz der Personendaten und wird gegenüber den aktuellen EU-Richtlinien zu einer weitgehenden Harmonisierung des Datenschutzrechts in der EU führen. Sie geht in vielen Punkten weiter als die aktuellen Richtlinien und schafft zusätzliche An-forderungen mit sehr hohem Sanktionspotenzial. Aus meiner Sicht hätte man sich in vielen Punk-ten mit einer zurückhaltenderen Regelung begnügen können, ohne den Schutz der Persönlich-keitsrechte dabei in Frage zu stellen. Für viele Unternehmen wird die Umsetzung mit hohen Kos-ten verbunden sein.

BNC:
Welche Auswirkungen wird die GDPR konkret auf Schweizer Unternehmen haben?

Herr Schneider:
Die GDPR ist nicht nur auf Unternehmen anwendbar, die ihren Sitz in der EU haben oder Daten in der EU bearbeiten. Auch Unternehmen, die betroffenen Personen in der EU Waren bzw. Dienst-leistungen anbieten oder das Verhalten dieser Personen in der EU beobachten, unterliegen der GDPR. Des Weiteren haben viele Schweizer Unternehmen Tochterunternehmen in der EU, die natürlich ebenfalls per se der GDPR unterstehen. Schweizer Unternehmen kommen also in der Regel nicht drum herum, sich mit der GDPR auseinanderzusetzen und diese gegebenenfalls auch umzusetzen.

BNC:
Wie könnte sich die Cyber-Security-Lage künftig in der Schweiz entwickeln? Welche neuen Her-ausforderungen könnten kommen?

Herr Schneider:
Die Risiken werden sicher nicht kleiner. Im Gegenteil: Durch die zunehmende Digitalisierung wer-den sie eher noch grösser. Neue Herausforderungen können insbesondere im Zusammenhang mit Artificial Intelligence, Block Chain, Internet of Things und weiteren „neuen Technologien“ auf uns zukommen.

BNC: Vielen Dank für das Interview, Herr Schneider.

Wir bei BNC helfen Unternehmen, die kommenden Herausforderungen zu meistern. Seit dem Jahr 2000 arbeiteten unsere IT-Experten mit den Security-Lösungen unseres Technologiepart-ners Check Point – einem Marktleader in Sachen Cyber Security – zusammen. Er bietet umfas-sende Security Lösungen an, mit der wir die IT-Sicherheit vieler Unternehmen optimiert haben.

Hier finden Sie eine Auswahl unserer Security Dienstleistungen:

BNC Security Checkup
• BNC Netzwerk Zonenkonzept
• BNC Verwundbarkeitsanalyse

Für weitere Informationen zu den Themen Cyber Security, Datenschutz und GDPR downloaden Sie unser kostenfreies E-Paper mit ausführlichen Erklärungen, Infografiken sowie Expertenmeinungen von Dr. iur. Jürg Schneider und Prof. Dr. Hannes Lubich – Experte in den Bereichen Netzwerk- und Kooperationstechnologien, IT-Architekturen, Informationssicherheit und Risiko-Management. Erfahren Sie, was man genau unter den Begriffen zu verstehen hat, welche Risiken und Herausforderungen bestehen sowie nützliche Tipps.