Technische und organisatorische Maßnahmen im Ländervergleich
Bei der Bereitstellung technischer und organisatorischer Maßnahmen (TOM) zum Schutz personenbezogener Daten kennen das Schweizer DSG und das deutsche BDSG vergleichbar gesetzliche Anforderungen:
§ 11 Abs. 1 und 2 BDSG verpflichtet die verantwortliche Stelle (Auftraggeber), seine Dienstleister sorgfältig auszuwählen und zu kontrollieren.
Das Schweizer Recht verpflichtet im Art. 10a Abs. 2 DSG den Auftraggeber sich zu vergewissern, dass der Dienstleister den Datenschutz und die Datensicherheit gewährleistet.
Die TOMs zur Gewährleistung des Datenschutzes und der Datensicherheit sind im BDSG sowie in der Verordnung zum DSG geregelt. Weitestgehend stimmen die Regularien beider Länder überein:
TOM | Deutschland | Schweiz |
Zutrittskontrolle | § 9 BDSG Nr. 1 der Anlage | Zugangskontrolle Art. 9 Abs. 1aVDSG |
Zugangskontrolle | § 9 BDSG Nr. 2 der Anlage | Benutzerkontrolle Art. 9 Abs. 1f VDSG |
Zugriffskontrolle | § 9 BDSG Nr. 3 der Anlage | Personendatenträgerkontrolle, Speicherkontrolle, Zugriffskontrolle Art. 9 Abs. 1b, e und g VDSG |
Weitergabekontrolle | § 9 BDSG Nr. 4 der Anlage | Transportkontrolle, Bekanntgabekontrolle Art. 9 Abs. 1c und d VDSG |
Eingabekontrolle | § 9 BDSG Nr. 5 der Anlage | Eingabekontrolle Art. 9 Abs. 1 h VDSG |
Auftragskontrolle | § 9 BDSG Nr. 6 der Anlage | Der Auftraggeber muss sich insbesondere vergewissern, dass der Dritte die Datensicherheit gewährleistet. Art. 10a Abs. 2 DSG |
Verfügbarkeitskontrolle | § 9 BDSG Nr. 7 der Anlage | Kein Pendant im DSG. Sichergestellt durch Allgemeine Maßnahmen. Art. 8 Abs.1 VDSG |
Trennungskontrolle | § 9 BDSG Nr. 8 der Anlage | Kein Pendant im DSG. Festlegung gemäß Art. 10a Abs. 1 DSG möglich. |
Datenschutzverantwortlicher & Betrieblicher Datenschutzbeauftragter
Ähnlich wie im DSG 2000 (österreichisches Datenschutzgesetz) gibt es in der Schweiz keine gesetzliche Verpflichtung zur Bestellung einesDatenschutzverantwortlichen. Das Schweizer Recht kennt in Art. 12a VDSG die Möglichkeit, einen betrieblichen Datenschutzverantwortlichen zu bestellen. Mit der Bestellung wird das Unternehmen von seiner Pflicht befreit, seine Datensammlungen gemäß Art. 11 Abs. 5e DSG anzumelden. Beide Gesetze kennen desweiteren die Verpflichtung für Personen, die personenbezogene Daten verarbeiten: Art. 8 Abs. 1 VDSG (Vertraulichkeit, Verfügbarkeit, Integrität) und § 5 BDSG (Datengeheimnis).
Die Schweiz hatte 2008 ein bilaterales Rahmenabkommen zur Datenübermittlung in die USA geschlossen - ein sogenanntes "Safe Harbor"-Abkommen. Diese Vereinbarung ist vom EuGH-Urteil vom 06. Oktober 2015 betroffen und wird in Frage gestellt.
- 9 Tipps für den Datenschutz
Ein paar einfache Grundregeln, zusammengestellt vom Datenschutz-Anbieter Varonis, erhöhen die Online-Sicherheit. - 1. Wo sind die Daten?
Informieren Sie sich, wo Ihre persönlichen Daten gespeichert sind, wer Zugang dazu hat und was Service-Provider mit diesen Daten anfangen können, ohne Sie um Erlaubnis fragen zu müssen. - 2. Sensible Daten nicht per Mail
Schicken Sie niemals sensible Daten, wie etwa Kreditkarteninformationen, per Email. Hackern ist es ein Leichtes, an unverschlüsselte Daten heranzukommen. - 3. Starke Passwörter nutzen
Starke Passwörter sind der beste Schutz: Ein Mix aus Ziffern, Buchstaben und Sonderzeichen sind der beste Schutz. Und ein neues Passwort für jede Seite. Die folgenden Tipps gelten für die Unternehmensseite. - 4. Authentifikation
Das können Unternehmen tun: Sorgen Sie dafür, dass sich die Mitarbeiter möglichst über eine zweistufige Anmeldung in den Account einloggen. So haben Sie mehr Kontrolle. Das ist teuer, lohnt sich aber. Das gilt nur Firmen-intern, denn oft schreckt eine zweistufige Authentifizierung ab. - 5. Authorisierung
Jeder Mitarbeiter sollte nur so viele Zugänge haben wie nötig. Statten Sie die Kollegen nicht pauschal mit Berechtigungen aus – aber achten Sie darauf, dass das Zuweisen neuer Berechtigungen schnell und unkompliziert ist. Sie wollen die Mitarbeiter nicht durch langsame Prozesse verärgern und aufhalten. - 7. Aufmerksamkeit
Aktivitäten sollten ab und zu auf ungewöhnliche Verhaltensweisen analysiert werden. Starke Aktivität nachts um eins? So etwas sollte überprüft werden. Mit ein wenig Achtsamkeit kommen Sie Hackern oder Spyware schnell auf die Spur. - 8. Nur auf geschützten Plattformen unterwegs
Mitarbeiter sollten nur geschützte und authorisierte Plattformen verwenden. Das stellt CIOs vor große Probleme. Oft beachten Mitarbeiter die BYOD-Regeln nicht oder lagern wichtige Daten auf externen Servern. Das kann schnell zu Schaden führen. Erklären Sie Ihren Mitarbeiter wie wichtig es ist, nichts auf unauthorisierten Plattformen zu lagern. - 9. Die Balance finden
Schaffen Sie eine Balance zwischen Produktivität und Sicherheit. Mitarbeiter dürfen nicht durch umständliche oder unpraktische Sicherheitsmaßnahmen daran gehindert werden, effizient und modern zu arbeiten. - 6. Zugänge prüfen
Jeder Zugang zu verschiedenen Systemen muss überwacht werden. Achten Sie darauf, ob sich nicht vielleicht zu viele Mitarbeiter anmelden. Gleichzeitig muss die Privatsphäre der Mitarbeiter geschützt werden. Der Sicherheitsbeauftragte sollte sich daher mit dem Betriebsrat abstimmen, wie viel Kontrolle erlaubt ist. Und überprüfen Sie gelegentlich, ob alle Zugänge noch aktuell sind.
Datenschutzrisiko Drittländer: Beratung schafft Sicherheit
Bei der Datenübermittlung in sogenannte Drittländer gibt es viele Einzelheiten zu beachten. Es spielt eine Rolle, ob das Drittland über ein angemessenes Datenschutzniveau verfügt, in welche Richtung Daten fließen, woher diese kommen und ganz besonders: auf die individuelle Rechtslage im Drittland. Damit Unternehmen in diesem komplexen Umfeld keinen Schiffbruch erleiden und datenschutzrechtlich auf der sicheren Seite sind, empfiehlt sich eine professionelle Beratung und Betreuung durch einen Datenschutzbeauftragten. Er kennt die Notwendigkeiten und Rechtslagen der entsprechenden Länder und vermeidet auf diese Weise Wissenslücken, Rechtsbrüche und unnötigen juristischen Ärger. (fm)
- Softwareschwachstellen I
Die Anzahl der vom BSI erfassten Schwachstellen in Softwareprodukten ist 2015 deutlich angestiegen. - Softwareschwachstellen II
Kritische Schwachstellen der in der BSI-Schwachstellenampel erfassten Softwareprodukte bis September 2015 - Windows-Schädlinge
Die Anzahl bekannter Windows-Schadprogrammvarianten wächst exponenzial. Klassische AV-Lösungen und Firewalls reichen laut BSI allein nicht mehr aus. - Drive-by-Angriffe und Exploit-Kits
Ausnutzung neuer Schwachstellen in Drive-by-Angriffen und Exploit-Kits in 2015 - Gesamtbewertung der Gefährdungslage
Die Gefährdungslage der IT-Sicherheit in Deutschland 2015 wird vom BSI in vielen Bereichen als hoch bewertet. - Kausalität der aktuellen Gefährdungslage