Leitfaden Datenschutz

EDÖB veröffentlicht Leitfaden zu den technischen und organisatorischen Massnahmen des Datenschutzes


Ihre Kontakte

Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) veröffentlichte im Dezember 2018 einen Leitfaden zu den technischen und organisatorischen Massnahmen des Datenschutzes. Dieser richtet sich in erster Linie an Personen, die für Informationssysteme zuständig sind und sich direkt mit der Verwaltung von Personendaten beschäftigen. Der Leitfaden führt in die Gefahren ein, welche die modernen Informationssysteme aus der Sicht des Datenschutzes mit sich bringen. Er soll den verantwortlichen Personen und Organisationen helfen, technische und organisatorische Massnahmen zu realisieren, die einen optimalen und angemessenen Schutz der von ihnen erfassten Personendaten sicherstellen.

Allgemeiner Überblick

Der Ende Dezember 2018 veröffentlichte Leitfaden orientiert sich an vier Schwerpunkten, zu welchen jeweils Massnahmen vorgeschlagen werden, die als generelle Richtlinien zu verstehen und an das spezifische Projekt und die Organisation anzupassen sind. Diese Massnahmen müssen also, je nach Sensibilität der Daten, nach Art der Bearbeitung und nach Umfang der benutzten Informationen, dem Einzelfall Rechnung tragen. Dabei sind stets der Stand der Technik und allfällige situationsbedingte Risiken zu berücksichtigen.

Die unten abgebildete Übersicht über die technischen und organisatorischen Massnahmen ist in folgende vier Teile gegliedert: Zugang zu den Daten (A), Lebenszyklus von Daten (B), Datentransfer (C) und Auskunftsrecht (D).

Der Leitfaden basiert auf den Anforderungen des geltenden Bundesgesetzes über den Datenschutz (DSG) und die dazugehörigen Ausführungsbestimmungen der Verordnung zum Bundesgesetz über den Datenschutz (VDSG) – nicht jedoch denjenigen der EU-DSGVO und des Entwurfes des revidierten DSG. Konkret stützt er sich insbesondere auf Artikel 7 DSG (Grundsatz der Datensicherheit) und die Artikel 8-11 sowie 20 und 21 VDSG.

Zugang zu den Daten

Der erste Schwerpunkt liegt auf dem Zugang der verschiedenen Nutzerinnen und Nutzer zu den Daten. Die folgende Abbildung aus dem Leitfaden zeigt die unterschiedlichen Gefahrenquellen und die gefährdeten Räumlichkeiten und Einrichtungen dieses Themenkreises auf.

Unter diesem Schwerpunkt sind gemäss EDÖB Massnahmen zentral, welche die entsprechenden Räumlichkeiten sichern sowie den Schutz der Server und Arbeitsplätze sicherstellen. Es müsse zudem gewährleistet werden, dass die Benutzerinnen und Benutzer identifiziert und authentifiziert werden, der Zugang zu den Benutzerdaten geschützt wird und der Onlinezugang kontrolliert wird.

  • Zugangskontrollsystem

Es gelte mittels eines strikten Zugangskontrollsystems zu garantieren, dass nur dazu befugte Personen Zugang zu den Räumlichkeiten, Serverräumen und Arbeitsplätzen erhalten. Für die Umsetzung geeignet seien dabei technische Hilfsmittel wie Alarmsysteme, Badges, Zugangscodes, Schlösser oder andere elektronische Zugangskontrollen.

  • Überprüfung, Kontrolle und Beaufsichtigung von Aussenstehenden

In Bezug auf Aussenstehende sind im Leitfaden organisatorische Massnahmen aufgeführt, welche es ermöglichen, Besucherinnen und Besuchern oder Unberechtigten den Einblick in Personendaten zu verunmöglichen. Zu diesem Zweck werden Vorkehrungen wie Eingangskontrollen am Empfang, eine Protokollführung bezüglich den sich im entsprechenden Bereich befindenden Personen und die dauernde Überwachung über Kameras oder mit Hilfe von Begleitpersonen genannt. Weiter gelte es zu beachten, dass jegliche sensible Gegenstände, Dokumente und Bildschirme von Aussenstehenden nicht frei einsehbar oder entfernbar sind. Regelmässig zu aktualisierende Antivirus-Programme, die Ankettung von Hardware und das Ausrichten der Bildschirme, so dass diese nicht von Türen oder Fenstern aus eingesehen werden können, verschaffen dabei Abhilfe.

  • Verhinderung des internen Zugangs zu Daten durch Unberechtigte

Ein weiterer wichtiger Aspekt stellt die interne Zugangsbeschränkung der Daten dar. Es muss sichergestellt werden, dass diese ausschliesslich den dafür berechtigten Personen zugänglich sind. Als geeignete Massnahmen nennt der Leitfaden auf die einzelnen Berechtigten und deren Verantwortungsbereich zugeschnittene Benutzerkonten, auf welche nur mit Hilfe von starken Passwörtern zugegriffen werden kann. Es sind folglich differenzierte Zugangsrechte zu gewähren. Sofern Personen von ausserhalb auf die Daten zugreifen wollen oder müssen, soll ein geschützter Zugang eingerichtet werden. Die persönlichen Computer seien in diesem Fall mit einer Firewall zu schützen.

Lebenszyklus von Daten

In einem nächsten Schritt gilt es gemäss EDÖB die Unversehrtheit und Vertrauenswürdigkeit während dem gesamten Lebenszyklus der Daten gewährleistet werden, sprich vom Moment ihrer Einspeisung in das System über alle Bearbeitungsschritte bis hin zu ihrer Vernichtung, Anonymisierung oder Archivierung.

  • Kontrollierte Datenerfassung

Die korrekten und vollständigen Daten sollen dem Leitfaden zufolge von ausgebildeten und berechtigten Personen erfasst werden. Im System könnten Hilfsmechanismen errichtet werden, welche Informationslücken erkennen und auf den erfassten Daten Wahrscheinlichkeitstests durchführen. Datenbearbeitungen können dabei in zweckmässigen und gegen allfällige Attacken und unbefugte Zugriffe geschützten Protokollen festgehalten werden («Logfiles»). Diese Aufzeichnungen ermöglichen die Ermittlung, wo ein Zwischenfall, ein unbefugter Zugriff oder eine unbefugte Bearbeitung von Daten stattgefunden hat. Der EDÖB weist jedoch darauf hin, dass die Menge protokollierter Informationen und die Aufbewahrungsdauer für die Logfiles verhältnismässig sein müssen.

  • Pseudonymisierung und Anonymisierung

Wann immer möglich sollen gemäss EDÖB anonymisierte Daten verwendet werden. Lässt dies der Zweck des Projekts nicht zu, seien pseudonymisierte Daten zu verwenden. Erst wenn auch das nicht zielführend ist, soll mit personenbezogenen Daten gearbeitet werden. Sowohl bei der Pseudonymisierung als auch bei der Anonymisierung dürfe jedenfalls keine indirekt identifizierende Information bearbeitet werden. Dies sei der Fall, wenn verschiedene Informationen, die je einzeln zwar keine Rückschlüsse auf die Person zulassen, zusammen aber Aufschluss über die Identität der Person geben.

  • Verschlüsselung, Datenträger und Datensicherung

Wird mit personenbezogenen Daten gearbeitet und handelt es sich dabei um besonders schützenswerte Daten (vgl. Art. 3 lit. c DSG), sollte für diese gemäss EDÖB eine Verschlüsselung vorgenommen werden. Werden bei der Aufbewahrung von Personendaten externe Datenträger verwendet, empfiehlt der EDÖB eine Schulung der betroffenen Mitarbeiterinnen und Mitarbeiter über die Gefahren beim Anschliessen eines unbekannten externen Datenträgers. Zudem seien die Datenträger unter Verschluss aufzubewahren. Damit die Daten bei einer ungewollten Vernichtung oder Beschädigung wiederherstellbar sind, müsse ein Datensicherungsverfahren festgelegt werden.

  • Sichere Vernichtung

Ist die Aufbewahrungsdauer von Daten beendet, müssen diese endgültig vernichtet werden. Mobile Datenträger müssen physisch vernichtet werden. Sind Datenträger wiederbeschreibbar, müssen die sich darauf befindenden Daten gemäss EDÖB mit Spezialprogrammen physisch und endgültig gelöscht werden.

  • Auslagerung von Daten

Werden Arbeiten mit Daten oder Teile davon auf Drittunternehmen oder andere Organisationen ausgelagert («Auftrasgsdatenbearbeitung»), ist der Auftraggeber für die korrekte Einhaltung aller Regeln durch den Beauftragten verantwortlich. Im Vertrag mit dem Auftragnehmer sei festzuhalten, dass er die Regeln der Auftraggeberin einhalten muss. Diese habe regelmässig zu überprüfen, ob die Bedingungen des Datenschutzes eingehalten werden.

Datenaustausch

Der dritte Schwerpunkt befasst sich mit dem Austausch von Daten mit Dritten. Der Datenschutz muss auch bei der Übermittlung sichergestellt werden.

  • Netzsicherheit

Da Datentransfers in den internen Netzwerken einer Organisation zahlreich sind, kann es vorkommen, dass Personen ausserhalb der Räumlichkeiten der Organisation arbeiten und von dort aus Zugang zum Intranet haben. Dieser Zugang erfolgt regelmässig über das Internet. Dabei müssen gemäss EDÖB gesicherte Übertragungsprotokolle (TLS-Protokoll, Transport Layer Security) eingesetzt werden. Auch VPN-Verbindungen (Virtuelles Privatnetzwerk) würden zur Sicherung des Intranet-Zugangs beitragen.

  • Verschlüsselung und Unterzeichnung von Mitteilungen

Damit eine sichere Übermittlung der Daten gewährleistet werden kann, müssen Mitteilungen gemäss EDÖB verschlüsselt werden. Die Art der Verschlüsselung sei entsprechend der Sensibilität der Daten und den Drittpersonen, mit denen die Organisation zu tun hat, zu bestimmen. Muss ein Verschlüsselungsmechanismus eingerichtet werden, sei es sinnvoll, diesen an die Unterschrift von Mitteilungen zu koppeln. Eine Unterzeichnung der Mitteilung ist vorteilhaft, wenn sich der Adressat der Mitteilung versichern muss, dass die Absenderin tatsächlich die Person ist, die sie vorgibt zu sein. Zentral zu beachten sei, dass die Mitarbeiterinnen und Mitarbeiter geschult werden. Ihnen muss bekannt sein, wann und wie Mitteilungen verschlüsselt und unterzeichnet werden müssen.

  • Protokollierung sämtlicher Schritte des Datenaustauschs

Auch unter diesem Schwerpunkt gilt das Prinzip der verhältnismässigen Protokollierung. Wesentliche Inhalte des Protokolls sind laut EDÖB die Beschreibung der Absender und Empfänger und die wichtigen Punkte des Weges, welchen die Daten zurücklegen.

Auskunftsrecht

Der Leitfaden legt den letzten und vierten Schwerpunkt auf das Auskunftsrecht der betroffenen Personen und hebt die folgenden zwei Teilaspekte hervor:

  • Gewährleistung der Rechte der betroffenen Person

Verlangen betroffene Personen Auskunft über ihre Daten oder die Berichtigung, Sperrung oder Vernichtung derjenigen, muss die Organisation in der Lage sein, solche Gesuche angemessen zu behandeln. Sie hat dies gemäss EDÖB mit Hilfe eines Systems durchzuführen, das mit einem vertrauenswürdigen Suchmechanismus ausgestattet ist. Es solle ein internes Verfahren eingerichtet werden, welches den Mitarbeiterinnen und Mitarbeitern bekannt gemacht und protokolliert werde.

  • Mechanismus des Verfahrens

Es muss ein klar festgelegter und reproduzierbarer Mechanismus zum oben erwähnten Verfahren vorhanden sein. Ist das Verfahren im System vorprogrammiert, können alle Mitarbeiterinnen und Mitarbeiter entsprechend diesem und somit einheitlich vorgehen.

Anmerkungen

Der ausführliche Leitfaden des EDÖB bietet den Unternehmen eine praktische Handlungsanleitung für die systematische Implementierung von Massnahmen zur Gewährleistung der Datensicherheit. Zu beachten ist dabei jedoch, dass die gesetzlich verlangten Massnahmen stets von den Umständen des Einzelfalls abhängig sind, wozu namentlich die Sensibilität der Daten zählt. Damit lässt sich wohl auch erklären, weshalb der Leitfaden teilweise den Eindruck erweckt, als sei eine bestimmte Massnahme zwingend erforderlich und an anderer Stelle zum gleichen Punkt aber bloss eine Prüfung verlangt wird, ob diese eingeführt werden soll. Einleitend betont der EDÖB jedenfalls, dass es sich bei den Massnahmen bloss um Vorschläge handelt.

Aus Sicht der Vielzahl von Schweizer Unternehmen, die auch den Vorgaben der EU-DSGVO unterstehen, und mit Blick auf die laufende Totalrevision des Schweizer Datenschutzrechts erscheint es zwar bedauerlich, dass der Leitfaden auf die geltenden Regelungen des Schweizer DSG ausgerichtet ist. Allerdings sind auch die Vorgaben in diesen beiden Erlassen im Wesentlichen dieselben, wie im aktuellen Schweizer Recht. Hervorzuheben ist dabei jedoch, dass Datensicherheitsverletzungen (Data Breaches) nach der DSGVO und dem Entwurf zum neuen DSG meldepflichtig sind (vgl. auch MLL-News vom 21. September 2017 und MLL-News vom 2. Dezember 2017).

Weitere Informationen:


Artikel teilen




Highlights

MLL Legal

MLL Legal ist eine der führenden Anwaltskanzleien in der Schweiz mit Büros in Zürich, Genf, Zug, Lausanne, London und Madrid. Wir beraten unsere Klienten in allen Bereichen des Wirtschaftsrechts und zeichnen uns insbesondere durch unsere erstklassige Branchenexpertise in technisch-innovativen Spezialgebieten, aber auch in regulierten Branchen aus.

MLL Legal

Newsletter

MLL-News 03/22 mit Beiträgen zum Digital Markets Act, Digital Services Act, PBV-Revision, Abmahnungen zu Google Fonts, Inbox-Adverting und vieles mehr.

Zugang MLL-News 03/22

Jetzt anmelden!

Unsere Geschichte

MLL Legal ist eine führende Schweizer Anwaltskanzlei, deren Geschichte bis ins Jahr 1885 zurückreicht. Die Kanzlei ist sowohl organisch als auch durch strategische Fusionen gewachsen, von denen die Jüngste am 1. Juli 2021 zwischen Meyerlustenberger Lachenal und FRORIEP vollzogen wurde.

Durch diesen Zusammenschluss hat sich MLL Legal zu einer der grössten Wirtschaftskanzleien der Schweiz mit über 150 Anwältinnen und Anwälten in vier Büros in der Schweiz entwickelt. Auch zwei Büros im Ausland, in London und Madrid, bieten Anlaufstellen vor Ort für Klientinnen und Klienten, die Beratung im Schweizer Wirtschaftsrecht suchen.

Die Kanzlei verfügt heutzutage über ein starkes internationales Profil und ein langjährig aufgebautes globales Netzwerk. MLL Legal vereint anerkannte Führungsqualitäten und Fachwissen in allen Bereichen des Schweizer und internationalen Wirtschaftsrechts.

Über uns

Publikationen

Hier geht’s zu unseren neuesten Publikationen

COVID-19

Lesen Sie alle unsere rechtlichen Updates zu den Auswirkungen von COVID-19 für Unternehmen.

COVID-19 Information

Offene Stellen

Sind Sie auf der Suche nach einer neuen Herausforderung?

Unsere talentierten und ambitionierten Teams sind von einer gemeinsamen Vision motiviert, erfolgreich zu sein. Wir schätzen eine offene und unkomplizierte Kommunikation über alle Ebenen der Organisation hinweg in einem unterstützenden Arbeitsumfeld.

Offene Stellen

Real Estate Legal Update

Hier gehts zum Real Estate Legal Update 01/24. Unser Real Estate Team hat wiederum Artikel in verschiedenen Gebieten verfasst, so dass hoffentlich für alle etwas Interessantes dabei ist. Wir wünschen viel Spass bei der Lektüre.

Registrieren Sie sich hier, um unser 2 x jährlich erscheinendes Real Estate Legal Update zu erhalten.

Unser Team

Unsere über 150 Anwältinnen und Anwälte unterstützen Sie dabei, den regulatorischen und technologischen Anforderungen im modernen globalen Wirtschaftsleben erfolgreich zu begegnen und ihre wirtschaftlichen Chancen zu nutzen.

Unser Team

Revision DSG

Auf unserer Themenseite rund um die Revision des Schweizerischen Datenschutzgesetzes finden Sie regelmässig aktualisierte und umfassende Informationen und Hilfsmittel. Es ist uns ein Anliegen, Sie bei der Implementierung der neuen Vorgaben zu unterstützen.

Revision DSG Themenseite

MLL Legal on Social Media

Folgen Sie uns auf LinkedIn.