Informationssicherheitsgesetz: Schweiz - eine Insel in der Cyberwelt?

Die digitale Transformation ist seit Jahren in vollem Gange und nimmt stetig neue Dimensionen an. Kaum ein Lebensbereich der nicht davon betroffen ist und irgendwie mit der Cyberwelt verbunden wäre: Telekommunikation, Energie, Finanzen, Gesundheit, Schulen, Behörden, Privatpersonen, usw. Während die Vorteile und unbegrenzten Möglichkeiten technologischer Entwicklungen täglich hochgepriesen werden, geht die „Kehrseite der Medaille“ beinahe unter. Illegale Aktivitäten im Darknet und gut geplante, im Hintergrund laufende Cyberattacken finden ebenfalls täglich, grenzüberschreitend und bereichsübergreifend statt. Um dieser „dunklen Seite“ der Cyberwelt wirksam zu begegnen, sind ebensolche gut organisierte und geplante Massnahmen unabdingbar. Eine Massnahme wäre ein einheitliches Gesetz, welches die Grundsätze im sicheren Umgang mit Informations- und Kommunikationstechnologien (IKT) festhält.

Die Schweiz steht kurz davor, eine solche gesetzliche Grundlage mit minimalsten Anforderungen an die Sicherheit zu verabschieden. Das Informationssicherheitsgesetz, welches seit Jahren in Entwurf-Form vorliegt, könnte am 13. März 2018 endlich durch den Nationalrat verabschiedet werden (vgl. Geschäft des Bundesrates, 17.028). Der Geltungsbereich bezieht sich in erster Linie (aber immerhin) auf Bundesbehörden, ihre Informationen und Systeme. Während auf europäischer Ebene bereits im August 2016 zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen ein einheitlicher Rechtsrahmen in Kraft getreten ist (vgl. die NIS-Richtlinie), ist man in der Schweiz gerade daran, ein solches Gesetz zu Fall zu bringen. Zitat aus dem Tages-Anzeiger vom 2. März 2018: „(…) Heute seien zu viele Stellen zu unkoordiniert am Werk. Mit dem neuen Informatiksicherheitsgesetz will der Bund das Sicherheitslevel verbessern. Doch der Nationalrat soll am 13. März nicht einmal darüber diskutieren. Dazu rät ihm seine Sicherheitspolitische Kommission (SiK-NR). Zu teuer und zu aufwendig wäre das Ganze (…).“

Nichtstun und Abwarten hat bisher in keinem Lebensbereich zu einem nützlichen Ergebnis geführt. Wieso sollte dies gerade in der Cyberwelt bzw. bezüglich dem neuen Informationssicherheitsgesetz der Schweiz anders sein?


Neues Datenschutzgesetz für die Schweiz: Bundesrat hat heute die Botschaft verabschiedet

Heute in den Medienmitteilungen des Bundesrates: "Der Bundesrat will den Datenschutz an das Internet-Zeitalter anpassen und die Stellung der Bürgerinnen und Bürger stärken. Parallel dazu gleicht er das Schweizer Recht an die Entwicklung in der EU und im Europarat an und stellt so sicher, dass die freie Datenübermittlung zwischen Schweizer Unternehmen und solchen in der EU weiterhin möglich bleibt. Damit kommt der Bundesrat einem Anliegen der Schweizer Wirtschaft nach. Der Bundesrat hat an seiner Sitzung vom 15. September 2017 eine entsprechende Botschaft verabschiedet." Weitere Informationen und Dokumente finden Sie hier.


Datenschutz-Revision: Fitness-Apps, Big Data Analytics & Co.

Sommerliche Temperaturen und viel Zeit, um die Seele baumeln zu lassen... geniessen Sie den Sommer und überlassen Sie uns die Denkarbeit.

Am 25. Mai 2018 wird die neue EU-Datenschutz-Grundverordnung (DSGVO) in Kraft treten. Schweizer Unternehmen wie auch Behörden sind grundsätzlich davon betroffen. Warum? Weil die anstehende Revision des Schweizerischen Datenschutzgesetzes (DSG) die DSGVO grösstenteils inhaltlich übernehmen wird, damit der grenzüberschreitende Datenaustausch - insbesondere mit EU-Mitgliedstaaten - weiterhin möglichst effizient erfolgen kann. Für Strafverfolgungsbehörden ist zusätzlich die Richtlinie (EU) 2016/680, welche insbesondere die Datenbearbeitung im Rahmen der Strafverfolgung sowie der polizeilichen und justiziellen Zusammenarbeit im Rahmen des Schengen-Assoziierungsabkommens regelt, zu beachten. Die Botschaft des Bundesrates zum neuen Datenschutzgesetz wird per August / September 2017 erwartet.

Für Schweizer Unternehmen ist die DSGVO gar direkt anwendbar, soweit sie Personendaten von EU-Bürgern bearbeiten oder grenzüberschreitend tätig sind (vgl. Art. 3 DSGVO). Beispiele sind das Betreiben eines Online-Shops, welche auch für EU-Bürger zugänglich sind oder die Behandlung von EU-Bürgern in Schweizer Spitälern und Arztpraxen, wobei regelmässig besonders schützenswerte Personendaten (Gesundheitsdaten) bearbeitet werden. Die Digitalisierung bringt zusätzliche Bearbeitungsmöglichkeiten mit sich, welche entsprechenden Anforderungen genügen müssen: Sammlen und Auswerten von Fitness-App-Daten, Profiling im Rahmen von Versicherungsgeschäften oder Auswertungen riesiger Datenmengen zwecks Marketing und Forschung.

Hierbei ist zu beachten, dass nicht jede Organisation gleich stark von der Datenschutz-Revision und damit der Anpassung von Prozessen und Massnahmen betroffen ist. Massgebend sind insbesondere der aktuelle Umsetzungsgrad des Datenschutzes in der eigenen Organisation sowie deren spezifischen gesetzlichen Rahmenbedingungen (Vereine, Polizeibehörden, Industrieunternehmen, usw.). So verfügen die einen Organisationen bereits über einen unabhängigen Datenschutzverantwortlichen sowie ein etabliertes Managementsystem (Datenschutzmanagementsystem und/oder Informationssicherheitsmanagementsystem nach ISO 27001). Dies sind bereits zwei bedeutungsvolle Voraussetzungen, um die Datenschutz-Compliance zu erfüllen. Dazu kommen insbesondere die Grösse und Bedeutung der betroffenen Organisation, der Umfang und die Sensitivität der getätigten Datenbearbeitungen sowie die Verbreitung (Anzahl Zugriffsberechtigte) und Aufbewahrungs- und Bearbeitungsmodalitäten dieser Personendaten.

Prüfen Sie jetzt Ihre Organisation und Business-Tätigkeiten bezüglich der Compliance mit den künftigen Datenschutzgesetzen. Wir unterstützen Sie gerne dabei: Kontakt