Mit der zunehmenden Digitalisierung werden immer mehr Daten produziert, die u.a. für kriminelle Zwecke, wie beispielsweise gezielte Attacken, missbraucht werden können. Dadurch kommt dem Schutz der Daten eine immer grössere Bedeutung zu. Beim Datenschutz steht der Schutz der Persönlichkeit im Zentrum, der Schutz der Daten ist das entsprechende Mittel dazu. Cybersicherheit und Datenschutz gehen Hand in Hand. Ohne adäquate Massnahmen ist es für Unbefugte möglich, in die Systeme einzudringen und Zugriff auf Daten zu erlangen, so dass der Datenschutz nicht mehr gewährleistet ist. Es ist somit zentral, Cybersicherheit als Teil des Datenschutzes zu verstehen.
Für Schweizer Datenverarbeiter gelten folgende Gesetzgebungen:
Weltweit gibt es viel Bewegung was Regulierungen im Datenschutz-Umfeld betrifft. Viele Länder verfolgen entweder einen mit GDPR vergleichbaren Ansatz oder einen an die US-Gesetzgebung angelehnten Ansatz, der auf IT-Sicherheit fokussiert.
Betroffenen Personen die teilweise Kontrolle und den Zugang zu den eigenen Personendaten zu gewähren, ist ein lösbares Problem. Schwieriger wird es bei der Kontrolle von Datenfluss, Datenbearbeitung und der Beibehaltung einer impliziten oder expliziten Zweckbindung der Datennutzung im Anschluss an die Freigabe. Es sollte sichergestellt werden, dass Datenflüsse und Manipulation von Daten nachträglich analysiert werden können und Verantwortlichkeiten nachvollziehbar und nicht manipulierbar sind. In diesem Sinne ist anzustreben, dass betroffenen Personen eine gewisse Kontrolle über ihre eigenen personenbezogenen Daten ermöglicht wird.
Die systematische Kontrolle und Nachvollziehbarkeit von Datenflüssen und Datenbearbeitung personenbezogener Daten über mehrere Organisationen bzw. Stationen hinweg ist heute höchstens teilweise gelöst.
Anonymisierung und Pseudonymisierung von personenbezogenen Daten sind nicht trivial und die bekannten Methoden bieten nicht immer genügenden Schutz der Vertraulichkeit oder Integrität der Daten.
Datenverarbeitende Organisationen sollten ein angemessenes und systematisches Datenschutz-Management (DSMS) betreiben – als aufbau- und ablauforganisatorische Basis zur Umsetzung des Datenschutzes. In der Praxis werden bereits fundamentale Sicherheitsmassnahmen oft nur unvollständig oder ineffektiv umgesetzt.
Die systematische Kontrolle und Nachvollziehbarkeit von Datenbearbeitungen und Datenflüssen Bedarf weiterer Forschungs- und Entwicklungsarbeiten.
Um die datenschutzgesetzlichen Anforderungen (Schweiz und EU) nachhaltig zu erfüllen, sind für Anonymisierung und Pseudonymisierung Minimalstandards und Good Practices zu definieren und kontinuierlich der Entwicklung der Analysemethoden und -lösungen anzupassen.
Anonymisierung/Pseudonymisierung: Wie gängige Methoden zur Anonymisierung von Daten versagen