Mit der zunehmenden Digitalisierung werden immer mehr Daten produziert, die u.a. für kriminelle Zwecke, wie beispielsweise gezielte Cyberattacken, missbraucht werden können. Dadurch kommt dem Schutz der Daten eine immer grössere Bedeutung zu. Beim Datenschutz steht der Schutz der Persönlichkeit im Zentrum, der Schutz der Daten ist das entsprechende Mittel dazu.
Cybersicherheit und Datenschutz gehen Hand in Hand. Ohne die Einführung adäquater Sicherheitsmassnahmen ist es für Unbefugte beispielsweise möglich, in Computersysteme einzudringen und Zugriff auf Daten zu erlangen, so dass der Datenschutz nicht mehr gewährleistet ist. Es ist somit zentral, Cybersicherheit als Teil des Datenschutzes zu verstehen.
Für Schweizer Datenverarbeiter gelten folgende Gesetzgebungen:
Neues schweizerisches Datenschutzgesetz (revDSG): Das totalrevidierte DSG wurde in der Herbstsession 2020 von National- und Ständerat angenommen und im September 2023 in Kraft gesetzt (das vorher gültige DSG war seit 1992 in Kraft). Eine Totalrevision wurde einerseits aus Gründen der Anpassung an moderne Datenverarbeitungsmethoden nötig. Anderseits ist mit der europäischen DSGVO seit Mai 2018 eine Verordnung in Kraft, an die sich die totalrevidierte Schweizer Gesetzgebung anlehnen soll: Die Schweiz verfügt somit über ein äquivalentes und vergleichbares Datenschutzrecht.
EU-Datenschutz-Grundverordnung (DSGVO / GDPR): Die DSGVO definiert die Sorgfaltspflicht für Datenverarbeiter und betrifft Schweizer Unternehmen, sofern sie Waren oder Dienstleistungen im Europäischen Wirtschaftsraum (EWR) anbieten.
Weltweit gibt es viel Bewegung bezüglich Regulierungen im Datenschutz-Umfeld. Viele Länder verfolgen entweder einen mit DSGVO / GDPR vergleichbaren Ansatz oder einen an die US-Gesetzgebung angelehnten Ansatz, der auf Cybersicherheit fokussiert.
Datenschutz umfasst drei zentrale Aspekte: Es geht darum, die Vertraulichkeit, die Integrität und die Verfügbarkeit der Daten zu gewährleisten. Ziel der Einhaltung des Datenschutzes ist es somit, betroffenen Personen die teilweise Kontrolle und den Zugang zu den eigenen Personendaten zu gewähren und gleichzeitig die Daten vor ungerechtfertigtem Zugriff (Vertraulichkeit) bzw. vor unbefugter oder unbeabsichtigter Änderung (Integrität) zu schützen. Gleichzeitig soll dafür gesorgt werden, dass die Daten für den autorisierten Benutzenden bei Bedarf zugänglich sind (Verfügbarkeit).
Bereits die Einhaltung dieser drei zentralen Aspekte des Datenschutzes stellt für viele Unternehmen eine Herausforderung dar. Die grösste Schwierigkeit besteht jedoch in der Kontrolle des Datenflusses, der Datenbearbeitung und der Beibehaltung einer impliziten oder expliziten Zweckbindung der Datennutzung im Anschluss an die Freigabe der Daten. Es ist daher zentral, dass Datenflüsse und Manipulationen von Daten nachträglich analysiert werden können und Verantwortlichkeiten nachvollziehbar und nicht manipulierbar sind. Die systematische Kontrolle und Nachvollziehbarkeit von Datenflüssen und die Bearbeitung personenbezogener Daten über mehrere Organisationen bzw. Stationen hinweg ist heute technisch höchstens teilweise gelöst.
Für die Nutzung von Daten, die von Gesetzes wegen nur in nichtattribuierbarer Form genutzt werden dürfen, ist eine Anonymisierung oder Pseudonymisierung notwendig. Diese Techniken zur Verschleierung personenbezogener Daten sind jedoch nicht trivial und die bekannten Methoden bieten nicht immer einen genügenden Schutz der Vertraulichkeit oder der Integrität der Daten.
Es bestehen zwar gesetzliche Grundlagen bezüglich Datennutzung – dennoch ist die effektive und effiziente Umsetzung eine Herausforderung. Ein unzureichendes Management der Daten rächt sich bei der Einführung jeder neuen Technologie, bei neuen Regulierungen oder Anforderungen, seien dies nun Anwendungen der Künstlichen Intelligenz, neue Cybersecurity-Frameworks und ähnliches. Es lohnt sich daher, eine adäquate und risikobasierte Basis des Datenschutzes umzusetzen.
Dies gilt für jede Branche und jede Unternehmensgrösse. So sollten datenverarbeitende Organisationen ein angemessenes und systematisches Informations- und Datenschutz-Managementsystem (ISMS & DSMS) betreiben – als aufbau- und ablauforganisatorische Basis zur Umsetzung des Datenschutzes.
Die systematische Kontrolle und Nachvollziehbarkeit von Datenbearbeitungen und Datenflüssen bedarf weiterer Forschungs- und Entwicklungsarbeiten.
Um die datenschutzgesetzlichen Anforderungen (Schweiz und EU) nachhaltig zu erfüllen, sind für Anonymisierung und Pseudonymisierung Minimalstandards und “Good Practices” zu definieren und diese kontinuierlich der Entwicklung der Analysemethoden und -lösungen anzupassen.
Die interkantonale Harmonisierung des Datenschutzes soll gefördert werden.
Der Bund soll Forschungsprogramme im Bereich systematische Kontrolle und Nachvollziehbarkeit von Datenbearbeitungen und Datenflüssen aufsetzen (z.B. via SNF)
Organisationen, die Daten verarbeiten, sollten einen adäquaten, risikobasierten Basis-Datenschutz in Form eines angemessenen und strukturierten Informations- und Datenschutz-Managementsystems (ISMS & DSMS) implementieren und pflegen.
Definition und kontinuierliche Pflege von Minimalstandards und “Good Practices” für Anonymisierung und Pseudonymisierung von Daten durch den Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB).
DSG Schweiz: https://www.admin.ch/opc/de/classified-compilation/19920153/index.html
VDSG Schweiz: https://www.admin.ch/opc/de/classified-compilation/19930159/index.html
VDSZ Schweiz: https://www.admin.ch/opc/de/classified-compilation/20071826/index.html
DSB Kanton Zürich: http://dsb.zh.ch
EDÖB Schweiz: https://www.edoeb.admin.ch/edoeb/de/home.html
DSGVO / GDPR: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:02016R0679-20160504
Anonymisierung/Pseudonymisierung: Wie gängige Methoden zur Anonymisierung von Daten versagen: http://www.heise.de/-4624450
So wenig nützt Daten-Anonymisierung: http://www.heise.de/-4479968
Umberto Annino, Microsoft | Matthias Bossardt, KPMG | Martin Leuthold, Switch | Andreas Wespi, IBM Research
Endre Bangerter, BFH | Alain Beuchat, Banque Lombard Odier & Cie SA | | Daniel Caduff, AWS | Adolf Doerig, Doerig & Partner | Stefan Frei, ETH Zürich | Roger Halbheer, Microsoft | Katja Dörlemann, Switch | Pascal Lamia, BACS | Hannes Lubich, Verwaltungsrat und Berater | Luka Malisa, SIX Digital Exchange | Adrian Perrig, ETH Zürich | Raphael Reischuk, Zühlke Engineering AG | Ruedi Rytz, BACS | Riccardo Sibilia, VBS | Bernhard Tellenbach, armasuisse | Daniel Walther, Swatch Group Services
