Aus- & Weiterbildung, CAS Cybersecurity

Cybersecurity: Was darf guter Datenschutz kosten? Datenschutzverletzungen 2020: Arten und Strafen

3. März 2021

Ob nun das neue DSG (Bundesgesetz über den Datenschutz) oder die DSGVO (Datenschutz-Grundverordnung) betrachtet wird, die fortschreitende Digitalisierung birgt grosse wirtschaftliche und gesellschaftliche Opportunitäten für die Schweiz. Gleichermassen muss berücksichtigt werden, dass grosse Herausforderungen auf schweizerische Unternehmen zukommen, beispielsweise die gesetzlichen Vorgaben einzuhalten und die Sicherheit von Daten zu gewährleisten. Insbesondere Personendaten müssen ökonomisch tragbar bleiben. Das Investitionskalkül von Unternehmen wird aufgrund der gesetzlichen Anforderungen grundlegend verändert.

Wohlstand braucht Sicherheit

„Es ist schon eindrücklich, wie viele Betriebe wir in der Schweiz haben; kleine, mittlere und auch grössere aus ganz verschiedenen Branchen. In jedem noch so kleinen Ort hat es einige Unternehmer, findige Köpfe, die sich mit ihren Produkten einen Platz auf dem Markt erkämpft haben.“, sagte Uli Maurer in einem Referat vor der Industrie- und Handelskammer Thurgau in 2011 (Mauer, 2011). Die Schweizer Wirtschaft ist, wie kaum eine andere, dem stetigen Wandel unterworfen. Der technologische Wandel, das sich rasant ändernde Konsumverhalten und das Näherrücken entfernter Märkte, die sogenannte Globalisierung, implizieren eine immer fortschreitende Notwendigkeit für die Digitalisierung schweizerischer Produkte. Diese Entwicklung bedeutet insbesondere, dass die Nutzung und Verarbeitung von Daten für die Konzeption, Herstellung und Vertrieb von Erzeugnissen und Dienstleistungen in viel höherem Masse stattfindet. Das sogenannte Big Data, ein Begriff aus dem Englischen, das neben dem Umfang von Daten drei weitere Dimensionen beschreibt: Geschwindigkeit oder Echtzeit, die Bandbreite der Quellen und Typen sowie die Echtheit von Daten. Zeitgleich angewendet bedeuten diese vier Dimension eine phänomenale Zunahme der Datenverarbeitung in Unternehmen. Diese Entwicklung bietet viele neue Möglichkeiten für die Zukunft, für Wirtschaft und Gesellschaft, um das Wohlergehen der Schweiz langfristig zu sichern und auszubauen. Gleichzeitig gilt aber auch, dass mit einer zunehmenden Digitalisierung von Unternehmen und Gesellschaft auch die Anfälligkeit für den Missbrauch von Daten steigt und dadurch die Notwendigkeit, Daten und insbesondere die Personen, über die Daten bearbeitet werden besonders zu schützen.

Datenschutz – Das wichtigste in Kürze

Deshalb wurde zum Schutz von Persönlichkeit und Grundrechten von Personen das DSG vom 19. Juni 1992 in einer ersten Fassung verabschiedet. Die neue Fassung des Gesetzes, das sich an die DSGVO angleicht, wird nach einer dreijährigen Revision voraussichtlich im Jahr 2021 offiziell verabschiedet. Der Geltungsbereich umfasst die Bearbeitung von Daten von juristischen und privaten Personen. In diesem Zusammenhang versteht man unter Bearbeitung von Daten alle Aktivitäten, die das Sammeln, Speichern, Löschen, Übertragen, Bekanntgeben und Archivieren (siehe Art. 3 DSG) von Daten ermöglichen. Personendaten sind dabei sämtliche Daten, die sich auf eine bestimmbare Person beziehen. Das inkludiert beispielsweise Kreditkartennummer, Passnummer, Krankenkassennummer oder sogar die Matrikelnummer an der Universität. Zu den besonders schützenswerten Personendaten zählen insbesondere medizinische Daten oder Informationen, die die Ansichten einer Person zur Weltanschauung oder Politik betreffen sowie strafrechtliche Informationen zu einer Person.

Grundrechtsverletzung – Wann liegt eine Datenschutzverletzung vor?

Eine Datenschutzverletzung gemäss Art. 4 DSGVO liegt dann vor, wenn

  • die Sicherheit personenbezogener Daten verletzt ist und dadurch die Daten verloren gehen, vernichtet oder verändert werden oder
  • die Daten unrechtmässig offengelegt werden

Die schweizerische Melde- und Analysestelle Informationssicherung (MELANI), die neu beim Nationalen Zentrum für Cybersicherheit (NCSC) der Schweiz angesiedelt ist, verzeichnete in der ersten Hälfte des Jahres 2020 mehr Fälle von Datenabfluss und somit Datenschutzverletzungen. So wurde beispielsweise Easy Jet im Mai 2020 Opfer eines Hackerangriffs, bei dem die Datensätze von ca. neun Millionen Kunden und Kundinnen betroffen waren, das heisst offengelegt wurden. Bei den Datensätzen handelte es sich unter anderem um E-Mailaddressen, Reisedaten oder Kreditkartendaten von Privatpersonen. Solche medienwirksamen Ereignisse sind bei weitem keine Einzelfälle mehr. Dies wirft die allgemeine Frage der Haftbarkeit von schweizerischen Unternehmen in solchen Fällen auf.

Was kostet eine Datenschutzverletzung in der Schweiz?

Gemäss geltendem DSG beträgt die finanzielle Maximalstrafe aktuell CHF 10’000. Finanziell scheint eine solche Summe auch für KMUs generell tragbar zu sein. Jedoch sieht das revidierte DSG (neues DSG) Bussgelder in der Höhe von maximal CHF 250’000 CHF vor, was je nach Unternehmensgrösse bereits eine monetäre Katastrophe bedeuten kann. Zudem müssen schweizerische Firmen, die EU-Niederlassungen haben oder in der Schweiz EU-Kundendaten bearbeiten bei Datenschutzverletzungen mit weiteren empfindlichen Bussgeldern rechnen. Im vorherigen Beispielfall «Easy Jet» mit Hauptsitz in Grossbritannien (vor dem Brexit) gilt das Strafmass gemäss DSGVO. Dem Unternehmen droht gemäss Art. 83 DSGVO ein Bussgeld von bis zu 20 Millionen Euro oder 4% des Umsatzes, sofern ihm eine Fahrlässigkeit bei der Sicherung der personenbezogenen Daten nachgewiesen werden kann.

Zusammenfassend

Ob nun das neue DSG oder die DSGVO betrachtet werden, die fortschreitende Digitalisierung birgt grosse wirtschaftliche und gesellschaftliche Opportunitäten für die Schweiz. Gleichermassen muss berücksichtigt werden, dass grosse Herausforderungen auf schweizerische Unternehmen zukommen, beispielsweise die gesetzlichen Vorgaben einzuhalten und die Sicherheit von Daten zu gewährleisten, insbesondere der Personendaten. Die Massnahmen müssen aber ökonomisch tragbar bleiben. Das Investitionskalkül von Unternehmen wird aufgrund der gesetzlichen Anforderungen grundlegend verändert. Wieviel soll ein Unternehmen in den Datenschutz investieren, um Bussen zu vermeiden? Dieses Kalkül muss mögliche Reputationsschäden von Unternehmen berücksichtigen. „Wohlstand braucht Sicherheit“ sagte Uli Maurer in seinem Vortrag von 2011. Eine politische, gesellschaftliche und wirtschaftliche Weisheit, die im Rahmen des Datenschutzes ihre volle Bedeutung erlangt.

Literaturquellen

  1. https://www.ncsc.admin.ch/ncsc/fr/home.html
  2. https://www.fedlex.admin.ch/eli/cc/1993/1945_1945_1945/de (DSG)
  3. https://www.fedlex.admin.ch/eli/fga/2020/1998/de (nDSG)
  4. https://eur-lex.europa.eu/legalcontent/FR/TXT/PDF/?uri=CELEX:32016R0679&from=de
  5. https://www.ncsc.admin.ch/ncsc/de/home/dokumentation/berichte/lageberichte/halbjahresbericht-2020-1.html (MELANI)
  6. https://www.srf.ch/news/wirtschaft/kundendaten-erbeutet-hacker-angriff-auf-fluggesellschaft-easyjet (Easyjet)

Autoren:
Michéle Schoch
Johan van Schellebeeck

CAS Cybersecurity und Information Risk Management

Persönliche Beratung

Sie würden sich gerne persönlich beraten lassen? Senden Sie ein E-Mail an martina.dallavecchia@fhnw.ch und vereinbaren Sie einen Termin.

Dozenten in diesem sehr praxisorientierten Lehrgang sind:

Martina Dalla Vecchia (FHNW, Programmleitung)
Lukas Fässler (FSDZ Rechtsanwälte & Notariat AG)
Rainer Kessler (PwC)
Andreas Wisler (goSecurity GmbH)

Cybersecurity und Hacking für Schweizer KMU

Cybersecurity: Chancen & Gefahren der künstlichen Intelligenz

Schlagworte: Cybersecurity, Datensicherheit, Reaktionsplan, Sicherheitsvorfall

zurück zu allen Beiträgen

Kommentare

Keine Kommentare erfasst zu Cybersecurity: Was darf guter Datenschutz kosten? Datenschutzverletzungen 2020: Arten und Strafen

Neuer Kommentar

×