Kategorien
Blog

Die outgesourcte IT – der Auftragsverarbeitung-Vertrag zu Ihrem Schutz

Die outgesourcte IT – der Auftragsverarbeitung-Vertrag zu Ihrem Schutz

Die Medien berichten täglich über Cybervorfälle, denn die Opfer werden prominenter und zahlreicher. In vielen Unternehmen wächst die Einsicht, mehr in IT-Security investieren zu müssen. Dabei verlassen sich viele auf ihr betreuendes Systemhaus, frei nach dem Motto „die werden schon dafür sorgen, dass bei uns nichts passiert“. Handeln Sie nach diesem Motto?

Dann würde den Verantwortlichen für die Datenverarbeitung im Unternehmen im Fall einer Datenschutzverletzung dennoch eine schmerzliche Geldbusse treffen können, wenn man feststellt, dass ein Auftragsverarbeitungsvertrag nicht vorliegt. Der Vertrag wird dem Datenrisiko gerecht, insbesondere mit der Beschreibung der technischen Schutzmassnahmen. Warum?

Nun, weil das Unternehmen, dass die IT-outgesourct, die gesetzlichen Vorgaben der Datenschutz-Grundverordnung bzw. des revidierten Datenschutzgesetzes nur dann ausreichend berücksichtigt. 

Gemäss Art. 28 DSGVO/Art. 5 DSG liegt eine Auftragsverarbeitung vor, wenn eine Stelle im Auftrag und auf Weisung personenbezogene Daten verarbeitet. Das ist sicherlich der Fall bei dem externen IT-Dienstleister. Nur, warum muss dieser auch auf Weisung des Verantwortlichen handeln? Was bedeutet das? Aus datenschutzrechtlicher Sicht verarbeiten Spitäler, Industrieunternehmen, Banken, öffentliche Gemeinden oder auch Behörden personenbezogene Daten mit unterschiedlicher Sensibilität: personenbezogene Daten unterscheiden sich demzufolge auch in ihrem individuellen, technischen Schutzgrad. Der verantwortliche Entscheidungsträger muss die Risiken personenbezogener Daten von Patienten, Kunden, Lieferanten etc. auf Basis einer Risikoanalyse identifizieren, bewerten und mit zu bestimmenden organisatorischen und technischen Schutzmassnahmen vor Verlust, Missbrauch und Veränderung durch unbefugte Dritte schützen: für die Integrität der Daten kommen Schutzmassnahmen wie Verschlüsselung, Pseudonymisierung, Anonymisierung etc. in Frage, die Vertraulichkeit wird mit einem Rechte- und Rollenkonzept als Zugangskontrolle für Daten gewährleistet und die Verfügbarkeit mit Redundanzen von Datenträgern – um nur drei Beispiele zu nennen. Die Entscheidung über die Mittel der Massnahmen darf der verantwortliche Entscheider nicht delegieren an den externen IT-Dienstleister.

Was ist zu tun? Werden personenbezogene Daten im Auftrag durch andere Stellen verarbeitet, so ist der Auftraggeber für die Datenschutzvorschriften verantwortlich. Der Auftragnehmer darf die Daten nur im Rahmen der Weisungen des Auftraggebers verarbeiten. Beide Seiten sind verpflichtet, in einem solchen Fall eine sogenannte Auftragsverarbeitungs-Vereinbarung abzuschliessen mit aufgelisteten Schutzmassnahmen in der Anlage. Auf Seiten der Systemhäuser müssen die richtigen Tools auch im Portfolio vorhanden sein; der IT-Dienstleister darf bei der Auswahl dieser beraten!

Beispiele für den Abschluss eines Auftragsverarbeitungs-Vertrages sind u.a. die externe Lohnbuchhaltung, die externe Buchhaltung aber auch die Verwendung von Multifunktionsdruckern im Netzwerk mit Speicherfunktion, aber nicht der Steuerberater oder der Rechtsanwalt!

Die Ausführungen sind nicht abschliessend und die Risikoanalyse und der Auftragsverarbeitungs-Vertrag sind auch nur zwei Aufgaben von vielen, die Ihr/e Datenschutzberater/in gern für Sie mit Ihrer Unterstützung ausführt.

Kategorien
Blog

Wie und wodurch das Datenschutzgesetz so relevant ist und dazu beiträgt, unsere Privatsphäre zu schützen

Wie schützen wir unsere Daten im maschinengesteuerten Zeitalter?

Warum Datenschutz relevant ist

Shermin Voshmgir, Wirtschaftsinformatik, Universität Heidelberg, 2018, unterstreicht in Ihrem Vortrag die Notwendigkeit des Datenschutzgesetzes, indem sie beiläufig auf eine der zentralen Vorgaben, nämlich «Privacy by Design», aufmerksam macht: Geräte, Applikationen, Informationssysteme etc. müssen bereits bei ihrer technischen Entwicklung so konzipiert werden, dass sie möglichst datenschutzfreundlich sind, damit sie unsere Privatsphäre schützen. Die Gründe erfahren Sie in meiner freien Übersetzung vom Englischen ins Deutsche:

«…Im daten- und maschinengesteuerten Zeitalter kann jeder ständig durch Digitalisierung und das IoT von irgendjemanden, Institutionen, irgendein Gerät, Kameras oder eine Maschine auf den Fersen verfolgt werden: Mobilephones, Fitnesstracker, über das WLAN kommunizierende, elektronisch gesteuerte Staubsauger, und Rasenmäher sogar Küchengeräte ermitteln und steuern problemlos unser Konsum- und Essverhalten.

Die Privatsphäre ist der Zustand, frei von öffentlicher Aufmerksamkeit zu sein, von niemandem beobachtet oder gestört zu werden, auch nicht durch die Polizei. Der Schutz der Privatsphäre ist uns allen heilig und ein Grundrecht, das sich u.a. im Briefgeheimnis wiederfindet.

Seit 1989 gibt es das Internet. Es verbindet alle Computer miteinander, denn es sollte eine demokratische Quelle für alle Menschen von frei verfügbaren Informationen und Dienstleistungen sein. Das Internet erleichtert unser Leben durch viele Dienstleistungen, Wikipedia, Social Media, der Verkauf und Handel von Produkten, Onlinebanking, viele gute Aspekte. Nur bezahlen wir nicht direkt dafür, sondern mit unserer Privatsphäre, unseren Daten.

Die Datenübertragung im E-Mail-Verkehr zwischen Computern wird zwar gewährleistet und erlaubt durch das Kommunikationsprotokoll, TCP (Transmission Control Protocol) und das IP (Internet Protocol), aber Kommunikationsprotokolle sind nur formale Beschreibungen von digitalen Nachrichtenformaten und Regeln. Da das Internet nie mit einer eingebauten Kryptographie Schicht aufgesetzt wurde, werden beim Hochladen und Veröffentlichen von Informationen in Facebook oder in den Social Media immer Daten im Internet gespeichert. Daten werden dabei gesteuert durch Unternehmen und Institutionen, und in diesen Momenten verlieren wir die Kontrolle über sie.

Die Privatsphäre soll ein Persönlichkeitsrecht bleiben; die Datenschutz-Grundverordnung stellt zudem das «Recht auf Vergessen und Löschung von Daten» in den Vordergrund. Zur Datensicherung ist die Verschlüsselung eine schon lang bekannte Technik, die wir aber immer noch und zu wenig bis gar nicht einsetzen. Terroristische Aktivitäten haben im November 2002 in Amerika den «Homeland Security Act» ins Leben gerufen, der u.a. auch Standards zur Wahrung der Informationssicherheit und eine jährliche unabhängige Bewertung festlegte. Verfassungsgemässe Rechte sollen nicht aufgegeben werden. Und dennoch müssen wir zur Kenntnis nehmen, dass nicht nur die Brexit Campagne und die Wahlen durch Steuerung von Daten missbräuchlich beeinflusst wurde.

Die Block-Chain Technologie könnte das Internet stabilisieren, denn keiner kann die Daten steuern. Die Finanzierungsstruktur wird durch Verschlüsselung des Protokoll-Layer getragen. Mit der Einführung von Bitcoin wird aber nur die Datenstruktur von einem zentralisierten zu einem dezentralisierten Ansatz hin verändert, aber der Bitcoin bleibt deshalb nicht anonym! ……». Privacy by design ist unabdingbar. Eine Technologie ist und bleibt nur ein Werkzeug! Das Datenschutzgesetz gibt vor, sie so zu gestalten, dass sie die Menschen nicht kontrolliert, sondern uns hilft, die Privatsphäre zu schützen. Deshalb ist der Datenschutz so relevant!

Kategorien
Blog DSGVO

Europäische Datenschutz-Grundverordnung: neue Rechtslage für Schweizer Exporteure

Das EuGH Urteil Schrems II oder das Ende des Privacy Shield

Europäische Datenschutz-Grundverordnung: neue Rechtslage für Schweizer Exporteure

Die Europäische Datenschutz-Grundverordnung (DSGVO) regelt seit 2018 die Verarbeitung von personenbezogenen Daten in der EU. Ein Gerichtsurteil weitet den Geltungsbereich nun auch auf Personendaten von EU-Bürgern aus, die in Drittländer transferiert werden. Dies kann für Schweizer KMU bereits bei der Zahlungsabwicklung über internationale Dienstleister oder der Nutzung von Cloud-Services der Fall sein.

Anlass dieses Urteils war der Rechtsstreit von Maximilian Schrems, Jurastudent in Österreich, mit der irischen Aufsichtsbehörde aufgrund der Übermittlung von Personendaten durch Facebook ohne vorliegende Einwilligung der betroffenen irischen Bürger zum Mutterkonzern in die USA. Ein Aussetzen von Datentransfers durch Behörden ist durch das Urteil ab sofort möglich. Die Geldbusse für Facebook bleibt abzuwarten.

Die Europäische Datenschutz-Grundverordnung (DSGVO) regelt seit 2018 die Verarbeitung von personenbezogenen Daten in der EU. Ein Gerichtsurteil weitet den Geltungsbereich nun auch auf Personendaten von EU-Bürgern aus, die in Drittländer transferiert werden. Dies kann für Schweizer KMU bereits bei der Zahlungsabwicklung über internationale Dienstleister oder der Nutzung von Cloud-Services der Fall sein.

Die Kernaussage:

  • Die DSGVO findet Anwendung in den USA und in einem Drittland, in dem es aus Gründen der nationalen Sicherheit oder Verteidigung zu einem Zugriff auf Personendaten durch die Geheimdienste dieses Landes kommt. Gemäss DSGVO sind alle Länder ausserhalb der EU und des EWR sog. „Drittländer“, d.h. personenbezogene Daten dürfen nicht ohne Weiteres in diese Länder transferiert werden. Dazu könnte am 1.1.2021 auch UK gehören.
  • Das Privacy Shield der USA (vergleichbar mit dem Angemessenheitsbeschluss der EU-Kommission über ein EU-adäquates Datenschutzniveau) ist ab sofort ungültig.
  • Die sogenannten Standard Security Clauses (SSC) sind weiterhin gültig, aber ggfs. nur mit zusätzlichen Sicherheitsmassnahmen. In einer Einzelfallprüfung durch den Datenimporteur/-Exporteur muss geprüft werden, ob im Zielland ein der EU gleichwertiges Datenschutzniveau besteht.

Zur internationalen Übermittlung von Personendaten zählen u.a. auch Kreditkartendaten, z.B. aus dem Onlineshop, insbesondere aber auch Daten in der Cloud, sofern der Anbieter in den USA oder in einem anderen Drittland ansässig ist.

Der EuGH entscheidet nicht für die Schweiz. Aber, für exportorientierte Unternehmen in der Schweiz bedeutet dies, wie bereits auch vor Safe Harbor, dass sie Exporte von Personendaten aus der Schweiz oder Europa identifizieren und dokumentieren müssen, die sie in Drittstaaten ohne Angemessenheitsbeschluss transferieren. Hinzu kommt die Prüfung aller Datentransfers auf ein der EU gleichwertiges Datensicherheitsniveau, aber auch, ob ein Datenzugriff auf Rechenzentren stattfinden kann und die Datentransfers innerhalb der gesamten Supply Chain.  

Festzustellen ist, ob Datentransfers nur auf dem Privacy Shield oder den SSC basieren oder ob ein anderer Rechtsgrund zur Anwendung kommt. Das Risiko ist die Aussetzung des Datentransfers, aber auch eine Busse der Aufsichtsbehörde von max. 250‘000 CHF, die an den CEO adressiert wird und ein Strafregistereintrag, der 20 Jahre nicht löschbar ist. Das muss nicht sein – wir unterstützen Sie! Rufen Sie uns an T. 079 348 55 63.

Kategorien
Blog

Worauf ist beim Datenschutz vor dem Hintergrund eines ungeregelten Brexit zu achten? Sind Sie vorbereitet?

Worauf ist beim Datenschutz vor dem Hintergrund eines ungeregelten Brexit zu achten?

Brexit und die Auswirkungen im Datenschutzgesetz

Nach dem Austritt von Grossbritannien (UK) aus der EU endet die Übergangsphase am 31.12.2020. Was Sie in und vor allem nach der Übergangsphase beachten und wie Sie sich vorbereiten müssen, erfahren Sie in diesem Beitrag.

Wann ist der Brexit für ein Schweizer KMU relevant?

  • Sie verfügen über eine Niederlassung in UK.
  • setzen Dienstleister aus UK zur Ausführung Ihrer Leistungen ein (Warenlieferanten).
  • Sie nutzen in UK basierte Cloud/SaaS-Dienste, Onlinemarketing-Tools.

Betroffene Personengruppen:

  • Ihre Kund/innen.
  • Nutzer/innen Ihrer Onlinedienste oder Websitebesucher.
  • Mitarbeiter/innen oder Bewerber/innen bei Onlinebewerbungsdiensten.

Wenn UK zu einem datenschutzrechtlich unsicheren Drittland wird, drohen nach der Übergangsphase in diesen Fällen Datenschutzverstösse. Gemäss DSGVO sind alle Länder ausserhalb der EU und des EWR sog. „Drittländer“, d.h. personenbezogene Daten dürfen nicht ohne Weiteres in diese Länder transferiert werden.

Wenn die EU-Kommission UK zu einem datenschutzrechtlich sicheren Drittland wie bspw. die Schweiz erklärt, müsste der Angemessenheitsbeschluss im Rekordtempo erfolgen. Passiert das nicht, müssen Sie sich um das Datenschutzniveau selbst kümmern.

UK wird ohne Angemessenheitsbeschluss datenschutzrechtlich von der EU abgeschnitten und muss wie Russland, China… behandelt werden. Aber auch dann gibt es Möglichkeiten, Datentransfers und die Zusammenarbeit mit britischen Unternehmen datenschutzrechtlich sicher zu regeln, wie durch

  • Vertraglich erforderliche Datentransfers
  • Einwilligungen von Betroffenen
  • Sonstige Garantien (Binding-Corporate-Rules..)

Wir empfehlen, Datenverarbeitungsprozesse, Datenschutzerklärungen, Einwilligungen und Auskunftsverfahren bezüglich der Übermittlung von Personendaten zu überprüfen. Seien Sie vorbereitet, dass UK sein sicheres Datenschutzniveau verlieren kann.

Kategorien
Blog

Datenschutzgesetz – Totalrevision und Änderungen weiterer Erlasse zum Datenschutz

Datenschutzgesetz – Totalrevision und Änderungen weiterer Erlasse zum Datenschutz

Verschlüsselung im Datentransfer.

Die DSGVO wird im schweizerischen DSG verankert. Am 24. September 2020 hat der Nationalrat auch den lange umstrittenen schärferen Profiling-Regeln zugestimmt und damit einen Absturz der Vorlage verhindert. Der nun angenommene Kompromissvorschlag bei den Profiling-Regeln bedeutet, dass zwischen «normalem» Profiling und Profiling mit «hohem Risiko» unterschierden wird. Für Letzteres ist eine ausdrückliche Einwilligung der Betroffenen nötig.

​Der vorliegende Gesetzesentwurf hat das Ziel, den Datenschutz zu stärken – wodurch?

  • Verbesserung der Transparenz in der Datenbearbeitung, Kontrollmöglichkeiten der betroffenen Personen
  • Erhöhung des Verantwortungsbewusstsein z.B. durch die Verpflichtung, bereits bei der Planung von neuen Datenverarbeitungssystemen die Einhaltung der Datenschutzvorschriften zu berücksichtigen. Schulungen der Mitarbeiter sollen auch das Gefahrenbewusstsein von Cyberangriffen stärken.
  • Erleichterung des internationalen Datentransfer
  • Förderung und Entwicklung neuer Wirtschaftszweige im Bereich Digitalisierung 
  • Aufsicht über die Einhaltung der Datenschutznormen durch den EDÖB.

Die EU-DSGVO liefert nicht nur den Anlass sondern auch die notwendige Unterstützung zur Reflexion über neue Grundsätze in puncto Datensicherheit, um das Business zukunftssicher aufzustellen in einer digitalisierten Welt. Die DSGVO ist bereits in vielen Unternehmen als “best practice” anerkannt und eine der wesentlichsten Voraussetzungen für das Vertrauen der Benutzer in das Internet – im Zusammenspiel mit der Einführung innovativer internetbasierter Dienste in einer globalen Wirtschaft wird somit das Wirtschaftswachstum unterstützt. 

Implementieren Sie die DSGVO Compliance in Ihrem Unternehmen. Sie bietet Rechtskonformität und ist Ihr Wettbewerbsvorteil gegenüber Ihren Mitbewerbern.

Kategorien
Blog

Das Cookie-Urteil und seine Folgen

EuGH: Keine Cookie-Speicherung ohne aktive Einwilligung des Internetnutzers

Cookies - einwilligen oder nicht?

Es liegt keine wirk­sa­me Ein­wil­li­gung des In­ter­net­nut­zers in das Spei­chern von Coo­kies vor, wenn der An­bie­ter der Web-Seite ein An­kreuz­käst­chen mit einem vor­ein­ge­stell­ten Häk­chen ver­wen­det. Die Er­laub­nis zum Set­zen von Coo­kies er­for­de­rt viel­mehr die ak­ti­ve Ein­wil­li­gung des In­ter­net­nut­zers, be­ton­te der Ge­richts­hof der Eu­ro­päi­schen Union in einem Ur­teil vom 01.10.2019 (Az.: C-673/17).

Ein Akzeptieren von Cookies darf nicht voreingestellt sein

Der Gerichtshof hat entschieden, dass die für die Speicherung und den Abruf von Cookies auf dem Gerät des Besuchers einer Website erforderliche Einwilligung durch ein voreingestelltes Ankreuzkästchen, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss, nicht wirksam erteilt wird. Es mache insoweit keinen Unterschied, ob es sich bei den im Gerät des Nutzers gespeicherten oder abgerufenen Informationen um personenbezogene Daten handele oder nicht. Weder eine «Opt-Out» noch eine «Soft-Opt-In» (weitersurfen) Lösung stellen eine rechtswirksame Einwilligung dar.

Die Einwilligung muss immer für den konkreten Fall erteilt werden

Das Unionsrecht solle den Nutzer vor jedem Eingriff in seine Privatsphäre schützen, insbesondere gegen die Gefahr, dass „Hidden Identifiers“ oder ähnliche Instrumente in sein Gerät eindringen. Die Einwilligung müsse deshalb für den konkreten Fall erteilt werden. Die Betätigung der Schaltfläche für die Teilnahme am Gewinnspiel stellt noch keine wirksame Einwilligung des Nutzers in die Speicherung von Cookies dar. In diesem Zusammenhang sei der Dienstanbieter gegenüber dem Nutzer verpflichtet, hinsichtlich der Cookies Angaben zur Funktionsdauer und zur Zugriffsmöglichkeit Dritter zu machen. Es macht keinen Unterschied, ob es sich um personenbezogene oder anonyme Daten, die gespeichert werden, handelt.

Kategorien
Blog

Zukunftsorientierte Datenpolitik: Datenschutz und Cybersecurity sind ein perfektes Paar…

Schadsoftware Trojaner - datenschutzrechtliche Anforderungen

Zukunftsorientierte Datenpolitik: Datenschutz und Cybersecurity sind ein perfektes Paar…

Stress am Arbeitsplatz durch zu geringe Ressourcen und Fahrlässikeiten sind der grösste Risikofaktor. «….88 % der Teilnehmenden erkennen, dass die Digitalisierung mit zusätzlichen Cyber-Risiken einhergeht, und dass neben den sichtbaren Chancen auch die unsichtbaren Gefahren wachsen. Laut bsi.bund.de  erkennen nur 29 % der befragten Institutionen Cyber- Sicherheit und den Datenschutz als Wettbewerbsvorteil…»

Ein Beispiel: nachdem ein lokaler Kontrollraum des Unternehmens ausgefallen war, stand fest, dass die Rechner mit einer Ransomeware infiziert waren. Auslöser war die «smarte» Kaffeemaschine,  mit dem Internet verbunden, die selbständig Nachbestellungen orderte. Die Kaffeemaschine war nicht nur mit einem isolierten Wi-Fi Netzwerk verbunden, sondern auch mit dem Netzwerk des lokalen Kontrollraums. Es fehlte die Endpoint Security, Netzwerksegmentierung und eine Application Network Communication Control.

“Best practice” zur systematischen Identifikation von Risiken ist die neutrale Risikoaufnahme, die Systematik und Objektivität sichert. Das Ergebnis ist eine Übersicht des Gefahrenpotentials und eine Risikobewertung für Präventionsmassnahmen:

  • damit Ausfälle in digitalen Lieferketten keine Ursachen mehr für Betriebsunterbrechungen (BU) sind;
  • damit die Vorteile neuer Technologien – Künstliche Intelligenz, IoT etc. – und die Digitalisierung effizienzsteigernd genutzt werden können,
  • damit Feuer, Explosionen und Naturkatastrophen IT-Systeme, Rechenzentren und Cloud-Dienste nicht mehr bedrohen, sondern Redundanzen Ausfallsicherheit und Wiederherstellbarkeit schützen,
  • und Cybersicherheit weitestgehend als Schutz dient für digitale Transformation und Datenschutz. 

Stellen Sie Ihr Unternehmen  zukunftssicher auf mit einer Datenpolitik des Vertrauens für Fortschritt und Innovation. Es ist ein Qualitätsmerkmal. Sie beeinflusst positiv den Erfolg des Unternehmens und führt zu höherer Mitarbeiterzufriedenheit.