Die Art und Weise, wie Daten gespeichert und verarbeitet werden, hat sich in den letzten Jahren stark verändert. Insbesondere machen die Nutzung des Internets, Cloud Computing und Big-Data-Anwendungen eine Anpassung der Datenschutzregulatorien unumgänglich. Dies gilt für die Schweiz gleichermassen wie für die Europäische Union, welche bereits letztes Jahr ihre Datenschutzgrundverordnung angepasst hat und vor allem für personenbezogene Daten ein höheres Mass an Sicherheit verlangt. Die im Mai 2016 in Kraft getretene Verordnung sieht eine zweijährige Übergangsfrist vor, das heisst. bis zum 25. Mai 2018 müssen sich Unternehmen den neuen Datenschutzbestimmungen anpassen – und dies europaweit. Die Schweiz wird ihrerseits bei der Revision des Datenschutzgesetzes der EU-Richtlinie folgen. Dazu hat im Dezember 2016 der Bundesrat die Totalrevision des Datenschutzgesetzes in die Vernehmlassung geschickt. Diese soll sicherstellen, dass für Schweizer Unternehmen die grenzüberschreitende Datenübermittlung weiterhin gesetzeskonform gewährleistet ist. Darüber hinaus soll mit der Revision auch der europäischen "Konvention zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten", welche aktuell im Europarat modernisiert wird, Rechnung getragen werden. All diese Anpassungen sind nötig, damit die EU die Schweiz weiterhin als Drittstaat mit angemessenem Datenschutzniveau anerkennt und somit grenzüberschreitende Datenverarbeitung auch für Schweizer Unternehmen möglich ist.
Mit dem neuen Gesetz soll besonders die Transparenz bei der Verarbeitung von Daten erhöht und den Betroffenen mehr Selbstbestimmung zugestanden werden. Dies bedeutet in der Praxis, dass die Informationspflichten der für die Datenverarbeitung verantwortlichen Organisationen ausgeweitet und das Auskunftsrecht präzisiert wird. Ausserdem soll explizit das Recht auf Löschung der eigenen Daten verankert werden. Die Verantwortung für den rechtskonformen Umgang mit Personendaten wird künftig nicht mehr nur beim Inhaber der Datensammlung liegen, sondern für private und juristische Personen gelten, die über Zweck, Mittel und Umgang der Bearbeitung der Daten entscheiden. Bei diesen neu im Gesetz als "Verantwortliche" bezeichneten Parteien setzt die Schweiz aber hauptsächlich auf Eigenverantwortung und Selbstregulierung. So sieht der Vorentwurf zur Gesetzesrevision vor, dass der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) Empfehlungen für Best Practices erlässt oder genehmigt, um die Vorschriften zu konkretisieren.
Gabriel Gabriel ist Schweizer Managing Director der Niederlassung von Brainloop. Das Unternehmen ist Anbieter von Lösungen für die sichere Zusammenarbeit mit vertraulichen Informationen und Dokumenten im Unternehmen und darüber hinaus. Die hochsicheren cloudbasierten Lösungen unterstützen mit ihrer Logik die revisionssichere Einhaltung von gesetzlichen Vorgaben sowie Compliance Policies. (Quelle: Brainloop)
Was das EU-Recht für die Schweiz bedeutet
Die Schweiz wird die neue Datenschutzgrundverordnung der EU in die aktuelle Revision des Datenschutzgesetzes miteinbeziehen und mehrheitlich mit diesem in Übereinstimmung bringen. Die neuen Bestimmungen auf europäischer und Schweizer Ebene sind vor allem für Schweizer Unternehmen verbindlich, die in der Schweiz Daten für Niederlassungen oder Tochterfirmen in der EU verarbeiten, aber auch wenn ein Schweizer Anbieter von Rechenzentrumsdienstleistungen für in der EU ansässige Unternehmen arbeitet. Ebenso sind Schweizer Unternehmen betroffen, die Daten von in der EU lebenden Personen verarbeiten, etwa, wenn sie ihnen Dienste oder Waren in der EU anbieten. Schweizer Unternehmen sind auch dann in der Pflicht, wenn sie das Verhalten von in der EU ansässigen Personen beobachten. Dies kann der Fall sein, wenn ein Anbieter Besuche aus der EU auf einer Schweizer Webseite oder Nutzer einer App analysiert. Das bereits bestehende EU-Recht und die Bestimmungen, die mit der Revision des Schweizer Datenschutzgesetzes einhergehen, haben beispielsweise für Schweizer Online-Shops, Exporteure oder Anbieter von Online-Bestellplattformen Bedeutung.
Wie Firmen mit Partnern aus den USA zusammenarbeiten
Angesichts der in den letzten Jahren stark gestiegenen Nutzung von Cloud-Services ist es aber nicht nur wahrscheinlich, dass persönliche Daten ausserhalb der eigenen Organisation in der EU gespeichert werden. Denn Firmen arbeiten vermehrt mit externen Partnern aus sogenannt unsicheren Drittländern wie den USA zusammen. Deshalb passt auch hier die Schweiz ihre gesetzlichen Rahmenbedingungen an und hat einen neuen Rahmen für die Übermittlung von Personendaten aus der Schweiz an Firmen mit Sitz in den USA für gut geheissen. Dieser Swiss-US Privacy Shield ersetzt die frühere Safe-Harbour-Vereinbarung, hatte doch der Europarat diese für ungenügend eingestuft und neue Regeln mit den USA ausgehandelt. Die Vereinbarung ist deshalb für Schweizer Unternehmen von Bedeutung, weil mit ihr die europäischen (und damit schweizerischen) Datenschutzprinzipien auch von US-Firmen angewendet werden. Dazu müssen sich allerdings US-Firmen, die Daten aus der Schweiz verarbeiten, nach dem Swiss-US Privacy Shield zertifizieren lassen. Somit werden Schweizer Firmen auch in Zukunft unter Einhaltung des Schweizerischen Rechts Personendaten in die USA übermitteln, ohne zusätzliche vertragliche Bedingungen mit diesen auszuhandeln. Schweizer Unternehmen verfügen damit über gleich lange Spiesse wie EU-Firmen, was die Zusammenarbeit mit Firmen in den USA angeht. Grundsätzlich tun aber Firmen immer gut daran, Daten in der Schweiz vorzuhalten und sich so von der Rechtsunsicherheit in anderen Ländern unabhängig zu machen.
Warum KMU selbst Verantwortung übernehmen müssen
Grundsätzlich müssen Unternehmen einfache und sichere Technologien zum Schutz personenbezogener Daten nutzen, um die neuen Datenschutzregulatorien einzuhalten und Kundeninformationen zu schützen. Weil das neue Datenschutzgesetz stärker als bisher auf die Eigenverantwortung der Unternehmen setzt, sind zur Gewährleistung des Schutzes Zertifizierungen von zentraler Bedeutung. Denn oftmals ermöglichen Anbieter den Anwendern keine Vor-Ort-Überprüfungen. Die Kunden müssen sich in diesem Fall auf die Aussage unabhängiger Zertifizierungsstellen verlassen können, um sicherzugehen, ob ein System die nötigen Anforderungen erfüllt (siehe "Wichtige Zertifizierungen für Cloud-Lösungen" am Ende des Artikels). Sie können die anspruchsvolleren Forderungen aber auch durch eigene Schutzmassnahmen erfüllen. So verunmöglichen Verschlüsselungsmethoden, dass Daten in die falschen Hände gelangen. Mit einer Zweifachauthentifizierung etwa ist garantiert, dass nur tatsächlich autorisierte Benutzer auf Dokumente Zugriff haben. Überdies kann mit Information Rights Management für jede Datei bestimmt werden, ob sie heruntergeladen oder ausgedruckt werden darf. Solche Massnahmen erleichtern Anbietern die Einhaltung der neuen Verordnungen der EU und der Schweiz.
Welche Bussen bei Nichtbeachtung drohen
Unternehmen sollten sich auf jeden Fall auf die neuen Verordnungen einstellen. Bei Nichtbeachtung der EU-Vorgaben ist beispielsweise mit Bussgeldern von bis zu vier Prozent des globalen Jahresumsatzes und rechtlichen Schritten zu rechnen. So mussten bereits Unternehmen wie Unilever, Punica und Adobe – verhältnismässig niedrige – Bussgelder in der Höhe von 11’000 Euro zahlen. Das Bussgeld fiel jedoch lediglich deshalb so gering aus, weil die Firmen noch während des Gerichtsprozesses ihre Datenschutzregelungen angepasst haben. In der Schweiz werden im Zuge der Neuformulierung des Gesetzes die Strafbestimmungen erheblich verschärft. Bei einem Verstoss wird die maximale Busse von heute 10’000 auf neu satte 500’000 Franken erhöht. Im Lichte dieser regulatorischen Veränderungen tun Unternehmen deshalb gut daran, sich mit den neuen Bestimmungen zu befassen, die Schutzwürdigkeit der von ihnen verarbeiteten Daten auf Basis dieser zu beurteilen und rechtzeitig entsprechende Massnahmen einzuleiten. Denn mit der neuen EU-Verordnung und dem neuen Schweizer Datenschutzgesetz wird der Begriff der persönlichen Daten weiter gefasst: Es werden mehr Informationen als bisher als persönlich klassifiziert. Das heisst konkret, dass alle darunter fallenden automatisch verarbeiteten Daten geschützt sind. Das Schweizer Gesetz muss mit dem Ende der EU-Übergangsfrist im Sommer 2018 unter Dach und Fach sein. Dabei hofft der EDÖB, dass Sanktionen überflüssig werden, weil Unternehmen die Eigenverantwortung wahrnehmen und den Datenschutz schon zu Beginn ihrer Projekte miteinbeziehen.
Wichtige Zertifizierungen für Cloud-Lösungen
ISAE 3402 ist ein internationaler Prüfungsstandard, der beurteilt, wie effektiv interne Kontrollsysteme von Dienstleistern sind. Unter anderem müssen hierfür Zutrittsbeschränkungen für physische und virtuelle Räume einer Prüfung unterzogen werden. Ausserdem werden Kontrollpunkte, die Prüfmethode, die Kontrollen sowie ihre Wirksamkeit beschrieben.
ISO/IEC 20000-1 ist ein internationaler Standard, der die Qualität des IT-Service-Managements abbildet. Insbesondere geht es dabei um Change-, Release-, Incident-, Problem- und Security-Management. Ein Zertifikat reflektiert, in welchem Masse ein Anbieter sich auf die Bedürfnisse seiner Kunden ausrichtet.
ISO/IEC 27001 ist ein internationaler Standard für IT-Sicherheit, der Anforderungen an ein Informationssicherheits-Management benennt, das alle IT- und Geschäftsprozesse sowie sensible Informationen einer Organisation abdeckt. Ein Zertifikat nach dieser Norm bescheinigt, dass ein Anbieter definierte technische und sicherheitsbezogene Anforderungen einhält. Zertifikate sind in der Regel zwei Jahre lang gültig.
ISO/IEC 27018 ist ein internationaler Datenschutz-Standard für die Auftragsdatenverarbeitung in der Cloud, der erst 2014 verabschiedet wurde. Er reflektiert alle Anforderungen der europäischen Datenschutzrichtlinie von 1995, soweit sie für das Informationssicherheitsmanagement eines Cloud-Anbieters, der als Auftragsdatenverarbeiter tätig ist, einschlägig sind. Welche Datenschutzgarantien gegeben sind, hängt jeweils von Zertifikat und Prüfbericht ab. Er ist für alle Arten von Unternehmen und Einheiten einsetzbar, welche die Verarbeitung von personenbezogenen Daten via Cloud-Computing anbieten.