Datenschutz

Cybersecurity Map 08:26

Empfehlungen

  1. Bei der Ausarbeitung der Verordnung ist auf ausreichend präzise Vorgaben und Anforderungen zu achten, so dass der Datenschutz mittels wirkungsvoller Massnahmen umgesetzt wird.
  2. Die interkantonale Harmonisierung des Datenschutzes soll gefördert werden.
  3. Der Bund soll Forschungsprogramme im Bereich systematische Kontrolle und Nachvollziehbarkeit von Datenbearbeitungen und Datenflüssen aufsetzen (z.B. via SNF).
  4. Definition und kontinuierliche Pflege von Minimalstandards und Good Practices für Anonymisierung und Pseudonymisierung durch den Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB).

Stand der Dinge

Mit der zunehmenden Digitalisierung werden immer mehr Daten produziert, die u.a. für kriminelle Zwecke, wie beispielsweise gezielte Attacken, missbraucht werden können. Dadurch kommt dem Schutz der Daten eine immer grössere Bedeutung zu. Beim Datenschutz steht der Schutz der Persönlichkeit im Zentrum, der Schutz der Daten ist das entsprechende Mittel dazu. Cybersicherheit und Datenschutz gehen Hand in Hand. Ohne adäquate Massnahmen ist es für Unbefugte möglich, in die Systeme einzudringen und Zugriff auf Daten zu erlangen, so dass der Datenschutz nicht mehr gewährleistet ist. Es ist somit zentral, Cybersicherheit als Teil des Datenschutzes zu verstehen.

Für Schweizer Datenverarbeiter gelten folgende Gesetzgebungen:

  • Neues Schweizerisches Datenschutzgesetz (DSG): Das totalrevidierte DSG wurde in der Herbstsession 2020 von National- und Ständerat angenommen. Es wird erwartet, dass das Gesetz per 2021 in Kraft gesetzt wird. Das schweizerische Datenschutzgesetz ist seit 1992 in Kraft. Eine Totalrevision wurde einerseits aus Gründen der Anpassung an moderne Datenverarbeitungsmethoden nötig. Anderseits ist mit der europäischen DSGVO seit Mai 2018 eine Verordnung in Kraft, an die sich die totalrevidierte Schweizer Gesetzgebung anlehnen soll: Die Schweiz strebt ein äquivalentes und vergleichbares Datenschutzrecht an.
  • EU-Datenschutz-Grundverordnung (DSGVO oder GDPR): Definiert Sorgfaltspflicht für Datenverarbeiter und betrifft Schweizer Unternehmen, sofern sie Waren oder Dienstleistungen im Europäischen Wirtschaftsraum (EWR) anbieten.

Weltweit gibt es viel Bewegung was Regulierungen im Datenschutz-Umfeld betrifft. Viele Länder verfolgen entweder einen mit GDPR vergleichbaren Ansatz oder einen an die US-Gesetzgebung angelehnten Ansatz, der auf IT-Sicherheit fokussiert.

Herausforderungen

Betroffenen Personen die teilweise Kontrolle und den Zugang zu den eigenen Personendaten zu gewähren, ist ein lösbares Problem. Schwieriger wird es bei der Kontrolle von Datenfluss, Datenbearbeitung und der Beibehaltung einer impliziten oder expliziten Zweckbindung der Datennutzung im Anschluss an die Freigabe. Es sollte sichergestellt werden, dass Datenflüsse und Manipulation von Daten nachträglich analysiert werden können und Verantwortlichkeiten nachvollziehbar und nicht manipulierbar sind. In diesem Sinne ist anzustreben, dass betroffenen Personen eine gewisse Kontrolle über ihre eigenen personenbezogenen Daten ermöglicht wird.

Die systematische Kontrolle und Nachvollziehbarkeit von Datenflüssen und Datenbearbeitung personenbezogener Daten über mehrere Organisationen bzw. Stationen hinweg ist heute höchstens teilweise gelöst.

Anonymisierung und Pseudonymisierung von personenbezogenen Daten sind nicht trivial und die bekannten Methoden bieten nicht immer genügenden Schutz der Vertraulichkeit oder Integrität der Daten.

Handlungsbedarf

Datenverarbeitende Organisationen sollten ein angemessenes und systematisches Datenschutz-Management (DSMS) betreiben – als aufbau- und ablauforganisatorische Basis zur Umsetzung des Datenschutzes. In der Praxis werden bereits fundamentale Sicherheitsmassnahmen oft nur unvollständig oder ineffektiv umgesetzt.

Die systematische Kontrolle und Nachvollziehbarkeit von Datenbearbeitungen und Datenflüssen Bedarf weiterer Forschungs- und Entwicklungsarbeiten.

Um die datenschutzgesetzlichen Anforderungen (Schweiz und EU) nachhaltig zu erfüllen, sind für Anonymisierung und Pseudonymisierung Minimalstandards und Good Practices zu definieren und kontinuierlich der Entwicklung der Analysemethoden und -lösungen anzupassen.

Referenzen

DSG Schweiz

VDSG Schweiz

VDSZ Schweiz

DSB Kanton Zürich

EDÖB Schweiz

GDPR / DSGVO

Anonymisierung/Pseudonymisierung: Wie gängige Methoden zur Anonymisierung von Daten versagen

So wenig nützt Daten-Anonymisierung

Weitere Beiträge aus der Cybersecurity Map