EDÖB veröffentlicht Leitfaden zu den technischen und organisatorischen Massnahmen des Datenschutzes


Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) veröffentlichte im Dezember 2018 einen Leitfaden zu den technischen und organisatorischen Massnahmen des Datenschutzes. Dieser richtet sich in erster Linie an Personen, die für Informationssysteme zuständig sind und sich direkt mit der Verwaltung von Personendaten beschäftigen. Der Leitfaden führt in die Gefahren ein, welche die modernen Informationssysteme aus der Sicht des Datenschutzes mit sich bringen. Er soll den verantwortlichen Personen und Organisationen helfen, technische und organisatorische Massnahmen zu realisieren, die einen optimalen und angemessenen Schutz der von ihnen erfassten Personendaten sicherstellen.


Allgemeiner Überblick

Der Ende Dezember 2018 veröffentlichte Leitfaden orientiert sich an vier Schwerpunkten, zu welchen jeweils Massnahmen vorgeschlagen werden, die als generelle Richtlinien zu verstehen und an das spezifische Projekt und die Organisation anzupassen sind. Diese Massnahmen müssen also, je nach Sensibilität der Daten, nach Art der Bearbeitung und nach Umfang der benutzten Informationen, dem Einzelfall Rechnung tragen. Dabei sind stets der Stand der Technik und allfällige situationsbedingte Risiken zu berücksichtigen.

Die unten abgebildete Übersicht über die technischen und organisatorischen Massnahmen ist in folgende vier Teile gegliedert: Zugang zu den Daten (A), Lebenszyklus von Daten (B), Datentransfer (C) und Auskunftsrecht (D).

Der Leitfaden basiert auf den Anforderungen des geltenden Bundesgesetzes über den Datenschutz (DSG) und die dazugehörigen Ausführungsbestimmungen der Verordnung zum Bundesgesetz über den Datenschutz (VDSG) – nicht jedoch denjenigen der EU-DSGVO und des Entwurfes des revidierten DSG. Konkret stützt er sich insbesondere auf Artikel 7 DSG (Grundsatz der Datensicherheit) und die Artikel 8-11 sowie 20 und 21 VDSG.


Zugang zu den Daten

Der erste Schwerpunkt liegt auf dem Zugang der verschiedenen Nutzerinnen und Nutzer zu den Daten. Die folgende Abbildung aus dem Leitfaden zeigt die unterschiedlichen Gefahrenquellen und die gefährdeten Räumlichkeiten und Einrichtungen dieses Themenkreises auf.

Unter diesem Schwerpunkt sind gemäss EDÖB Massnahmen zentral, welche die entsprechenden Räumlichkeiten sichern sowie den Schutz der Server und Arbeitsplätze sicherstellen. Es müsse zudem gewährleistet werden, dass die Benutzerinnen und Benutzer identifiziert und authentifiziert werden, der Zugang zu den Benutzerdaten geschützt wird und der Onlinezugang kontrolliert wird.

  • Zugangskontrollsystem

Es gelte mittels eines strikten Zugangskontrollsystems zu garantieren, dass nur dazu befugte Personen Zugang zu den Räumlichkeiten, Serverräumen und Arbeitsplätzen erhalten. Für die Umsetzung geeignet seien dabei technische Hilfsmittel wie Alarmsysteme, Badges, Zugangscodes, Schlösser oder andere elektronische Zugangskontrollen.

  • Überprüfung, Kontrolle und Beaufsichtigung von Aussenstehenden

In Bezug auf Aussenstehende sind im Leitfaden organisatorische Massnahmen aufgeführt, welche es ermöglichen, Besucherinnen und Besuchern oder Unberechtigten den Einblick in Personendaten zu verunmöglichen. Zu diesem Zweck werden Vorkehrungen wie Eingangskontrollen am Empfang, eine Protokollführung bezüglich den sich im entsprechenden Bereich befindenden Personen und die dauernde Überwachung über Kameras oder mit Hilfe von Begleitpersonen genannt. Weiter gelte es zu beachten, dass jegliche sensible Gegenstände, Dokumente und Bildschirme von Aussenstehenden nicht frei einsehbar oder entfernbar sind. Regelmässig zu aktualisierende Antivirus-Programme, die Ankettung von Hardware und das Ausrichten der Bildschirme, so dass diese nicht von Türen oder Fenstern aus eingesehen werden können, verschaffen dabei Abhilfe.

  • Verhinderung des internen Zugangs zu Daten durch Unberechtigte

Ein weiterer wichtiger Aspekt stellt die interne Zugangsbeschränkung der Daten dar. Es muss sichergestellt werden, dass diese ausschliesslich den dafür berechtigten Personen zugänglich sind. Als geeignete Massnahmen nennt der Leitfaden auf die einzelnen Berechtigten und deren Verantwortungsbereich zugeschnittene Benutzerkonten, auf welche nur mit Hilfe von starken Passwörtern zugegriffen werden kann. Es sind folglich differenzierte Zugangsrechte zu gewähren. Sofern Personen von ausserhalb auf die Daten zugreifen wollen oder müssen, soll ein geschützter Zugang eingerichtet werden. Die persönlichen Computer seien in diesem Fall mit einer Firewall zu schützen.


Lebenszyklus von Daten

In einem nächsten Schritt gilt es gemäss EDÖB die Unversehrtheit und Vertrauenswürdigkeit während dem gesamten Lebenszyklus der Daten gewährleistet werden, sprich vom Moment ihrer Einspeisung in das System über alle Bearbeitungsschritte bis hin zu ihrer Vernichtung, Anonymisierung oder Archivierung.

  • Kontrollierte Datenerfassung

Die korrekten und vollständigen Daten sollen dem Leitfaden zufolge von ausgebildeten und berechtigten Personen erfasst werden. Im System könnten Hilfsmechanismen errichtet werden, welche Informationslücken erkennen und auf den erfassten Daten Wahrscheinlichkeitstests durchführen. Datenbearbeitungen können dabei in zweckmässigen und gegen allfällige Attacken und unbefugte Zugriffe geschützten Protokollen festgehalten werden („Logfiles“). Diese Aufzeichnungen ermöglichen die Ermittlung, wo ein Zwischenfall, ein unbefugter Zugriff oder eine unbefugte Bearbeitung von Daten stattgefunden hat. Der EDÖB weist jedoch darauf hin, dass die Menge protokollierter Informationen und die Aufbewahrungsdauer für die Logfiles verhältnismässig sein müssen.

  • Pseudonymisierung und Anonymisierung

Wann immer möglich sollen gemäss EDÖB anonymisierte Daten verwendet werden. Lässt dies der Zweck des Projekts nicht zu, seien pseudonymisierte Daten zu verwenden. Erst wenn auch das nicht zielführend ist, soll mit personenbezogenen Daten gearbeitet werden. Sowohl bei der Pseudonymisierung als auch bei der Anonymisierung dürfe jedenfalls keine indirekt identifizierende Information bearbeitet werden. Dies sei der Fall, wenn verschiedene Informationen, die je einzeln zwar keine Rückschlüsse auf die Person zulassen, zusammen aber Aufschluss über die Identität der Person geben.

  • Verschlüsselung, Datenträger und Datensicherung

Wird mit personenbezogenen Daten gearbeitet und handelt es sich dabei um besonders schützenswerte Daten (vgl. Art. 3 lit. c DSG), sollte für diese gemäss EDÖB eine Verschlüsselung vorgenommen werden. Werden bei der Aufbewahrung von Personendaten externe Datenträger verwendet, empfiehlt der EDÖB eine Schulung der betroffenen Mitarbeiterinnen und Mitarbeiter über die Gefahren beim Anschliessen eines unbekannten externen Datenträgers. Zudem seien die Datenträger unter Verschluss aufzubewahren. Damit die Daten bei einer ungewollten Vernichtung oder Beschädigung wiederherstellbar sind, müsse ein Datensicherungsverfahren festgelegt werden.

  • Sichere Vernichtung

Ist die Aufbewahrungsdauer von Daten beendet, müssen diese endgültig vernichtet werden. Mobile Datenträger müssen physisch vernichtet werden. Sind Datenträger wiederbeschreibbar, müssen die sich darauf befindenden Daten gemäss EDÖB mit Spezialprogrammen physisch und endgültig gelöscht werden.

  • Auslagerung von Daten

Werden Arbeiten mit Daten oder Teile davon auf Drittunternehmen oder andere Organisationen ausgelagert („Auftrasgsdatenbearbeitung“), ist der Auftraggeber für die korrekte Einhaltung aller Regeln durch den Beauftragten verantwortlich. Im Vertrag mit dem Auftragnehmer sei festzuhalten, dass er die Regeln der Auftraggeberin einhalten muss. Diese habe regelmässig zu überprüfen, ob die Bedingungen des Datenschutzes eingehalten werden.


Datenaustausch

Der dritte Schwerpunkt befasst sich mit dem Austausch von Daten mit Dritten. Der Datenschutz muss auch bei der Übermittlung sichergestellt werden.

  • Netzsicherheit

Da Datentransfers in den internen Netzwerken einer Organisation zahlreich sind, kann es vorkommen, dass Personen ausserhalb der Räumlichkeiten der Organisation arbeiten und von dort aus Zugang zum Intranet haben. Dieser Zugang erfolgt regelmässig über das Internet. Dabei müssen gemäss EDÖB gesicherte Übertragungsprotokolle (TLS-Protokoll, Transport Layer Security) eingesetzt werden. Auch VPN-Verbindungen (Virtuelles Privatnetzwerk) würden zur Sicherung des Intranet-Zugangs beitragen.

  • Verschlüsselung und Unterzeichnung von Mitteilungen

Damit eine sichere Übermittlung der Daten gewährleistet werden kann, müssen Mitteilungen gemäss EDÖB verschlüsselt werden. Die Art der Verschlüsselung sei entsprechend der Sensibilität der Daten und den Drittpersonen, mit denen die Organisation zu tun hat, zu bestimmen. Muss ein Verschlüsselungsmechanismus eingerichtet werden, sei es sinnvoll, diesen an die Unterschrift von Mitteilungen zu koppeln. Eine Unterzeichnung der Mitteilung ist vorteilhaft, wenn sich der Adressat der Mitteilung versichern muss, dass die Absenderin tatsächlich die Person ist, die sie vorgibt zu sein. Zentral zu beachten sei, dass die Mitarbeiterinnen und Mitarbeiter geschult werden. Ihnen muss bekannt sein, wann und wie Mitteilungen verschlüsselt und unterzeichnet werden müssen.

  • Protokollierung sämtlicher Schritte des Datenaustauschs

Auch unter diesem Schwerpunkt gilt das Prinzip der verhältnismässigen Protokollierung. Wesentliche Inhalte des Protokolls sind laut EDÖB die Beschreibung der Absender und Empfänger und die wichtigen Punkte des Weges, welchen die Daten zurücklegen.


Auskunftsrecht

Der Leitfaden legt den letzten und vierten Schwerpunkt auf das Auskunftsrecht der betroffenen Personen und hebt die folgenden zwei Teilaspekte hervor:

  • Gewährleistung der Rechte der betroffenen Person

Verlangen betroffene Personen Auskunft über ihre Daten oder die Berichtigung, Sperrung oder Vernichtung derjenigen, muss die Organisation in der Lage sein, solche Gesuche angemessen zu behandeln. Sie hat dies gemäss EDÖB mit Hilfe eines Systems durchzuführen, das mit einem vertrauenswürdigen Suchmechanismus ausgestattet ist. Es solle ein internes Verfahren eingerichtet werden, welches den Mitarbeiterinnen und Mitarbeitern bekannt gemacht und protokolliert werde.

  • Mechanismus des Verfahrens

Es muss ein klar festgelegter und reproduzierbarer Mechanismus zum oben erwähnten Verfahren vorhanden sein. Ist das Verfahren im System vorprogrammiert, können alle Mitarbeiterinnen und Mitarbeiter entsprechend diesem und somit einheitlich vorgehen.


Anmerkungen

Der ausführliche Leitfaden des EDÖB bietet den Unternehmen eine praktische Handlungsanleitung für die systematische Implementierung von Massnahmen zur Gewährleistung der Datensicherheit. Zu beachten ist dabei jedoch, dass die gesetzlich verlangten Massnahmen stets von den Umständen des Einzelfalls abhängig sind, wozu namentlich die Sensibilität der Daten zählt. Damit lässt sich wohl auch erklären, weshalb der Leitfaden teilweise den Eindruck erweckt, als sei eine bestimmte Massnahme zwingend erforderlich und an anderer Stelle zum gleichen Punkt aber bloss eine Prüfung verlangt wird, ob diese eingeführt werden soll. Einleitend betont der EDÖB jedenfalls, dass es sich bei den Massnahmen bloss um Vorschläge handelt.

Aus Sicht der Vielzahl von Schweizer Unternehmen, die auch den Vorgaben der EU-DSGVO unterstehen, und mit Blick auf die laufende Totalrevision des Schweizer Datenschutzrechts erscheint es zwar bedauerlich, dass der Leitfaden auf die geltenden Regelungen des Schweizer DSG ausgerichtet ist. Allerdings sind auch die Vorgaben in diesen beiden Erlassen im Wesentlichen dieselben, wie im aktuellen Schweizer Recht. Hervorzuheben ist dabei jedoch, dass Datensicherheitsverletzungen (Data Breaches) nach der DSGVO und dem Entwurf zum neuen DSG meldepflichtig sind (vgl. auch MLL-News vom 21. September 2017 und MLL-News vom 2. Dezember 2017).

Weitere Informationen: