News

Seit meiner Präsentation im Rahmen der 8. Tagung zum Datenschutz – Jüngste Entwicklungen am EuropaInstitut an der Universität Zürich zum Informationssicherheitsgesetz (ISG) vom 27. Januar 2015 hat es in der Schweiz doch noch einige wichtige rechtliche Entwicklungen im Bereich der Cybersicherheit gegeben. Letztere war die lang ersehnte Verabschiedung des ISG. Dieses Gesetz gilt namentlich für Bundesbehörden wie das Parlament der Schweiz oder die Schweizerische Nationalbank. Aus Sicht Wirtschaft sind insbesondere die Betreiber von kritischen Infrastrukturen wie z.B. Energie, Finanzen oder Gesundheit angesprochen.

Der Bundesrat hat am 8. November 2023 entschieden, das neue ISG zusammen mit dessen vier Ausführungsverordnungen per 1. Januar 2024 in Kraft zu setzen. Zum Ausführungsrecht des ISG gehören die folgenden Verordnungen:

• eine neue Informationssicherheitsverordnung (ISV);
• eine neue Verordnung über die Personensicherheitsprüfungen (VPSP);
• eine neue Verordnung über das Betriebssicherheitsverfahren (VBSV); und
• eine Änderung der bestehenden Verordnung über Identitätsverwaltungs-Systeme und Verzeichnisdienste des Bundes (IAMV).

Die neue Informationssicherheitsverordnung (ISV) ersetzt und erweitert die bisherigen Verordnungen zu Cyberrisiken und Informationsschutz. Sie regelt das Management der Informationssicherheit, den Schutz klassifizierter Informationen, die Informatiksicherheit sowie Massnahmen zur personellen und physischen Sicherheit. Bundesämter müssen ein Informationssicherheits-Managementsystem (ISMS) einführen, welches alle notwendigen Vorschriften, Verfahren und Massnahmen umfasst. Kantone sind betroffen, wenn sie mit klassifizierten Informationen des Bundes arbeiten oder auf Bundesinformatikmittel zugreifen und müssen in diesen Fällen die ISV-Vorschriften einhalten oder eine gleichwertige Informationssicherheit gewährleisten.

Am 22. Mai 2024 hat der Bundesrat die Vernehmlassung zu einer weiteren Verordnung eröffnet: die künftige Verordnung über die Cybersicherheit (Cybersicherheitsverordnung, CSV) soll in Ergänzung zur ISV insbesondere die Meldepflicht von Cyberangriffen auf kritische Infrastrukturen regeln und die Rolle des "neuen" Bundesamtes für Cybersicherheit BACS (bisher «NCSC» und davor bekannt als «MELANI») konkretisieren. Obwohl die CSV einen starken Fokus auf die Meldepflicht legt, gilt meines Erachtens zu beachten, dass präventive Massnahmen, wie sie z.B. in der Nationalen Cyber Strategie des Bundes verankert sind, und ein sicherer Informationsaustausch weiterhin von besonderer Bedeutung sind. Schliesslich definiert die CSV den Umfang der Meldepflicht, die meldepflichtigen Cyber-Angriffe und die Verfahren zur Erfüllung der Meldepflicht. Ausnahmen von der Meldepflicht gelten für Behörden und Unternehmen, bei denen ein Cyber-Angriff keine unmittelbaren Auswirkungen auf die Wirtschaft oder die Bevölkerung hat. Die Vernehmlassung zur CSV dauert bis zum 13. September 2024. Weitere Informationen finden Sie in der Medienmitteilung des Bundesrates.

Die Europäische Kommission hat in ihrem Bericht vom 15. Januar 2024 bestätigt, dass die Schweiz weiterhin ein angemessenes Datenschutzniveau hat. Dies bedeutet, dass das total revidierte Datenschutzgesetz der Schweiz (DSG), welches am 1. September 2023 in Kraft getreten ist, ein äquivalentes Datenschutzniveau wie die europäische Datenschutz-Grundverordung (DSGVO) hat. Obschon die EU der Schweiz seit dem Jahr 2000 ein angemessenes Datenschutzniveau attestiert, wurde mit dem Inkrafttreten der strengeren Datenschutz-Verordnung DSGVO eine Neubeurteilung des schweizerischen Datenschutzrechts notwendig. Mit dieser Bestätigung können Personendaten weiterhin ohne zusätzliche Garantien aus einem EU- oder EWR-Mitgliedstaat in die Schweiz übermittelt werden. Für den Wirtschaftsstandort Schweiz und deren Wettbewerbsfähigkeit ist diese Bestätigung der EU von grosser Bedeutung. Weitere Informationen finden Sie beim zuständigen Bundesamt für Justiz wie auch auf der Website der schweizerischen Datenschutzbehörde EDÖB.

Am 10. Juli hat die Europäische Kommission einen neuen Angemessenheitsbeschluss für den sicheren und vertrauenswürdigen Datenverkehr zwischen der EU und den USA erlassen. Das neue EU-U.S. Data Privacy Framework ist der Nachfolger des "Privacy Shield", welches im bekannten EuGH-Urteil Schrems II vom Juli 2020 als ungültig erklärt worden ist. Auf der Grundlage des neuen Angemessenheitsbeschlusses können personenbezogene Daten sicher aus der EU an US-Unternehmen übermittelt werden. Voraussetzung ist allerdings, dass die datenempfangenden US-Unternehmen an diesem neuen Framework teilnehmen bzw. entsprechend zertifiziert sind. Zusätzliche Datenschutzgarantien wie z.B. SCCs (Standardvertragsklauseln) benötigt es bei Beachtung der im Framework enthaltenen Verpflichtungen nicht mehr.

Das neue Framework führt neue verbindliche Garantien ein. So ist vorgesehen, dass der Zugang von US-Nachrichtendiensten zu EU-Daten auf ein notwendiges und verhältnismässiges Mass beschränkt ist und ein Gericht zur Datenschutzüberprüfung (Data Protection Review Court, DPRC) geschaffen wird, zu dem Einzelpersonen in der EU Zugang haben.

Inwiefern das neue Framework den heutigen Anforderungen des EU-Datenschutzrechts gerecht wird, wird sich in der Praxis zeigen. Für EU-Unternehmen wie auch für CH-Unternehmen bleibt Vorsicht beim Datenaustausch mit den USA geboten, weil Schrems das neue Framework ebenfalls vor den EuGH bringen wird. Denn es sei weitgehend eine Kopie des gescheiterten "Privacy Shield" und das grundsätzliche Problem der Zugriffsrechte der US-Nachrichtendienste auf EU-Personendaten nach wie vor nicht gelöst.

Weitere Informationen finden Sie hier:

• Pressemitteilung der Europäischen Kommission
• EU-U.S. Data Privacy Framework (aktuell nur in Englisch)
• Umfassende Informationen zu Datenübermittlungen zwischen der EU und den USA (aktuell nur in Englisch)
• EDÖB Pressemitteilung: Kenntnisnahme des neuen Frameworks (heisst: für CH-Unternehmen ändert sich aktuell nichts)