Wie viel IT-Sicherheit braucht es für ­ausreichenden Datenschutz?

Am 1. September dieses Jahres tritt das neue Schweizer Datenschutzgesetz in Kraft. Damit wird das Schweizer Recht demjenigen der EU angeglichen, Betroffenenrechte gestärkt und neue Pflichten für Unternehmen verankert. Eine Pflicht, die bereits unter dem heute gültigen Gesetz gilt, ist die Forderung, «durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit» zu gewährleisten, sodass Verletzungen der Datensicherheit vermieden werden. Wer dies missachtet, dem droht neu eine Busse von bis zu 250 000 Franken. Dies verleiht der Forderung Brisanz und nicht wenige Verantwortliche fragen sich, was «geeignete» Massnahmen und eine «angemessene» Datensicherheit sind.

Was verlangt die neue Gesetzgebung?

Das Gesetz selbst verweist auf Mindestanforderungen, die der Bundesrat zu definieren hat. Dieser ist den Anforderungen in streitbarer Qualität nachgekommen, indem in der neuen Datenschutzverordnung Ziele für Sicherheitsmassnahmen definiert wurden.

Was das bedeutet, darüber lässt sich philosophieren und streiten. Klarheit dürften zukünftig abgeschlossene Strafverfahren bieten. Nicht nur Expertenmeinungen und von Bundesstellen veröffentlichte Leitlinien, sondern auch Bussbescheide aus dem europäischen Umland können zur Orientierung beitragen. Die Europäische Datenschutzgrundverordnung (EU-DSGVO) kennt die Forderung nach adäquaten technischen und organisatorischen Massnahmen ebenso und ist bereits seit fünf Jahren in Kraft.

Von aktuell über 1800 öffentlich bekannten Bussgeldern und Strafen, die von Behörden in der EU im Rahmen der EU-DSGVO verhängt wurden, sind mehr als 20 Prozent auf unzureichende technische und organisatorische Massnahmen zurückzuführen. Bei der näheren Betrachtung dieser Urteile fallen zwei Punkte auf: Erstens muss einer Untersuchung nicht zwingend eine Hackerattacke oder eine anderweitig schwere Datenschutzverletzung vorangehen. Teilweise genügt auch eine Anzeige aufgrund kleinerer Vorfälle, in deren Folge die Datenschutzbehörden Ermittlungen aufnehmen und auf grössere Missstände treffen. So wurde beispielsweise die italienische Datenschutzbehörde vor Kurzem aktiv, nachdem eine Person die Krankenakte eines Namensvetters ausgeliefert bekommen hatte. Die Behörde stellte in der Folge Mängel fest und sprach ein Bussgeld von über 120 000 Euro aus.

Zweitens ist in den detaillierter beschriebenen Fällen eine Vielfalt in Bezug auf die gerügten Mängel festzustellen. Von Passwörtern, die im Klartext im Internet abrufbar sind, über Mitarbeitende, die unverschlüsselte USB-Sticks mit tausenden von Sozialversicherungsnummern verlieren, und Banken, die unverschlüsselt Videostreams von Überwachungskameras übers Internet transferieren, bis hin zu Webportalen mit ungepatchten Sicherheitslücken, findet sich eine grosse Bandbreite an urteilsrelevanten Missständen. 

Was tun?

Unternehmen sind gut beraten, sich eine Übersicht über den aktuellen Stand ihrer Datensicherheit zu verschaffen und etwaige Lücken zu schliessen. Und zwar noch bevor die ersten entsprechenden Strafverfahren in der Schweiz abgeschlossen und bekannt werden. Dabei darf nicht vergessen werden, dass die Angriffsfläche auch dadurch verkleinert werden kann, indem weniger Daten gespeichert und verarbeitet werden.