UPDATES

HOW WE CAN HELP

Archives

Webinar “Der digitale Staat” am 29. April 2021, 10:30 Uhr

Unter dem Titel “der digitale Staat” lassen wir am 29. April 90 Minuten lang ein Forum für Austausch, Wissenstransfer und Vernetzung entstehen. Zum Einen hören wir von der Eidgenössischen Zollverwaltung EZV, die ein umfassendes digitales Transformationsprogramm durchführt. Daraus wird uns ein konkretes Praxisbeispiel vorgestellt. Zum Anderen hat der Bundesrat Ende 2020 beschlossen, den Aufbau eines Kompetenznetzwerks für künstliche Intelligenz in der Bundesverwaltung an die Hand zu nehmen. Was darf man sich davon erhoffen und wohin führt die Reise? Danach bleibt Zeit für Fragen und Austausch. 

  • 10:30 Uhr: Begrüssung und Einführung – Dr. Esther Zysset
  • 10:45-11:15 Uhr: Mit Tempo 60 über die Grenze – Die Digitalisierung der Eidgenössischen Zollverwaltung am Praxisbeispiel – Doris Reber und Christine Vetsch, EZV, Transformationsprogramm DaziT
  • 11:20-11:35 Uhr: Das Kompetenznetzwerk KI: Business Case für künstliche Intelligenz in der Verwaltung? – Dieter J. Tschan, Kompetenznetzwerk KI Bundesverwaltung
  • 11:35-12:00 Uhr: Austausch und Q&A mit den Vortragenden


Der Anlass ist unentgeltlich und richtet sich primär an Mitarbeitende des öffentlichen Sektors jeglicher Ebene (nicht nur Juristinnen und Juristen) – aber auch andere interessierte Personen sind selbstverständlich willkommen. Anmeldungen sind bis 27. April unter webinar@publicsector.ch möglich. Wir freuen uns auf Sie!

March 10th, 2021
Liebe E-ID: Wie hast du’s mit dem Staat?

Die staatliche Aufsicht über die elektronischen Identifizierungsdienste (E-ID) wirkt beim Blick in das Gesetz, das am 7. März zur Abstimmung gelangt, nicht gerade schlagkräftig. Doch der Eindruck täuscht, denn zusammen mit den Befugnissen des eidgenössichen Datenschutzbeauftragten (EDÖB) könnte ein ansehnliches Arsenal an Aufsichtsmassnahmen bei Datenschutzmissbräuchen im Zusammenhang mit elektronischen Identitäten zur Anwendung kommen. 

Die Streitfrage


Die Debatte im Abstimmungskampf um das Bundesgesetz über die elektronischen Identifizierungsdienste (E-BGEID) tobt intensiv. Der grösste Stein des Anstosses der Gegner: Es ist der Staat selbst, der die E-ID herausgeben sollte; eine derart wichtige Aufgabe solle nicht in die Hand privater Anbieter gelegt werden. Ein Gegenargument der Befürworter: Staatliche IT-Projekte haben sich in der Vergangenheit nicht den besten Ruf eingeholt; es ist besser, wenn der Staat Rahmenbedingungen setzt und für die technische Umsetzung auf das Know-how der Privatwirtschaft setzt. Zudem wäre so oder so zu erwarten, dass der Staat Serverleistung einkaufen würde und somit auch eine “eigene” staatliche E-ID mithilfe privater Dienstleister herausgeben würde. 
Hinter dem Disput “Staat vs. nicht Staat” liegt die Frage, welche Rolle der Staat in Ausstellung und Betrieb einer digitalen Identität zukommen sollte – welche Rolle nötig ist, um die Ziele des Gesetzes zu erreichen, nämlich u.a. die sichere Identifizierung im elektronischen Geschäftsverkehr unter Privaten und mit Behörden und der Schutz der Persönlichkeit und der Grundrechte von Personen, über die Daten bearbeitet werden (Art. 1 Abs. 2 lit. a und b E-BGEID). Die Position “pro staatliche E-ID”, die das Gesetz ablehnt, geht dabei von folgender Annahme aus: “staatliche E-ID” = gut kontrolliert und sicher, “private E-ID” = viel Missbrauchspotential.

Im Folgenden soll untersucht werden, wie das staatliche “Involvement” in die E-ID gemäss E-BGEID ausgestaltet ist und welche Aufsichtsmechanismen vorgesehen sind. Ob diese genügend ausfallen oder nicht, darf dann jede Stimmbürgerin und jeder Stimmbürger selbst entscheiden. 


Welche Behörden sind in die E-ID involviert und wie?


a) Die Kommission


Zentrale Aufsichtsbehörde gemäss E-BGEID ist die Eidgenössische E-ID-Kommission (EIDCOM). Sie ist es, die Identity Providers (IdPs), die basierend auf dem E-BGEID Identitäten ausstellen wollen, anerkennt (Art. 13 E-BGEID). Die EIDCOM wird aus fünf bis sieben unabhängigen Sachverständigen zusammengestellt und ist weisungsunabhängig von der Zentralverwaltung (Art. 25 E-BGEID). Ihre Rolle ist es, die Einhaltung des Gesetzes zu überwachen und Entscheide zu treffen, bzw. Verfügungen zu erlassen, die für den Vollzug notwendig sind. Bevor die Befugnisse der EIDCOM etwas genauer unter die Lupe genommen werden, ist zuerst die Liste aller weiteren gemäss Gesetzesentwurf involvierten Bundesbehörden zu erstellen: 

b) Das fedpol


Das Bundesamt für Polizei (fedpol) hat u.a. folgende Aufgaben: 

  • Es stellt die E-IDs zuhanden der IdPs (und auf Antrag derselben) aus (Art. 6 Abs. 1 E-BGEID). Es kann die initiale Identitätsprüfung an diejenige Stelle delegieren, die auch gemäss Ausweisgesetz für die Erstellung von Ausweisen zuständig ist. Diese Stellen werden jeweils von den Kantonen (bzw. vom Bund für Ausweisdokumente, die im Ausland ausgestellt werden) designiert (im Aargau ist dies das Ausweiszentrum Aargau. Bitte, gern geschehen!)
  • Es übermittelt die nötigen Personendaten an den IdP, falls die gesetzlichen Voraussetzungen erfüllt sind (Art. 6 Abs. 2 E-BGEID sowie auch Art. 23 E-BGEID), protokolliert diese Datenübermittlungen (Art. 6 Abs. 3 E-BGEID) und führt ein Informationssystem zur Erfüllung seiner Aufgaben im Zusammenhang mit der E-ID (Art. 24 E-BGEID).

c) Der Bundesrat


Der Bundesrat ist der Superstar des E-BGEID: Er ist diejenige Behörde, die mittels Verordnung viele ausführende Bestimmungen zum Gesetz erlässt. Wenn ich richtig gezählt habe, enthält das E-BGEID dreizehn (13) Delegationsbestimmungen in 35 Artikeln, zu allen möglichen Themen, u.a. genauere Vorschriften zum Ausstellungsprozess, nähere Vorschriften zu den Voraussetzungen für die Anerkennung von IdPs oder zur Ausgestaltung von E-ID-Systemen und Meldepflichten der IdPs. Betrachtet man die lange Liste an Delegationsbefugnissen, so ist tatsächlich zu bedauern, dass der Verordnungsentwurf noch nicht ersichtlich ist. 

Zusätzlich zu seiner Verordnungskompetenz wählt der Bundesrat die Mitglieder der EIDCOM sowie die Direktion des EIDCOM-Sekretariats (Art. 25 und 28 E-BGEID). Er genehmigt das Organisationsreglement der EIDCOM (Art. 25 Abs. 6 E-BGEID) und kann bei Marktversagen entscheiden, ein eigenes E-ID-System zu betreiben oder sich an einem IdP beteiligen (Art. 10 Abs. 1 E-BGEID). 

Was versteht man unter staatlicher Aufsicht?


Ziel der Aufsicht ist es, die Einhaltung der anwendbaren rechtlichen Vorschriften, hier also des E-BGEID, zu überwachen und durchzusetzen. Wie gut und schlagkräftig diese Aufsicht effektiv ist, bemisst sich an den Instrumenten, das der Behörde im konkreten Fall zur Verfügung steht. Zu denken ist an Auskunfts- und Inspektionsrechte, Widerruf von Bewilligungen, Bussen, etc.; die Liste theoretisch möglicher Aufsichtsinstrumente ist lang. Nur gilt für alles staatliche Handeln das Legalitätsprinzip, d.h. gerade bei Sanktionen ist zu verlangen, dass eine möglichst solide Verankerung in einem vom Parlament erlassenen Gesetz erfolgt (auch wenn hier gewisse Ausnahmen möglich sind). 


Welche Aufsichtsmassnahmen sind genau vorgesehen?


a) E-BGEID


Nun zu den eigentlichen Aufsichtsmassnahmen, denn hier wird es interessant. Der Entwurf sieht vor, dass die EIDCOM insbesondere für die Anerkennung von IdP und den Entzug der Anerkennung zuständig ist sowie für die “Anordnung von Massnahmen” (Art. 26 Abs. 2 lit. a i.V.m. Art. 19 E-BGEID). Ferner kann sie im Streitfall über Fragen des Zugangs zur E-ID und zur Interoperabilität entscheiden (Art. 26 Abs. 2 lit. c E-BGEID). Einigermassen explizit wird das Gesetz mit einer Art Massnahmen-Generalklausel in Art. 19, wo die EIDCOM befähigt wird, Massnahmen anzuordnen “zur Wiederherstellung des rechtmässigen Zustandes”, wenn ein IdP Gesetz, Ausführungsbestimmungen oder von der EIDCOM auferlegte Pflichten missachtet. Der Entzug der Anerkennung ist dabei die einzige explizit im Gesetz ausformulierte Sanktion, was aus gesetzgeberischer Sicht durchaus etwas heikel erscheint. Der EIDCOM werden weder der Erlass von Bussen noch spezifische Untersuchungs-, Inspektions- oder Auditbefugnisse eingeräumt; das Sekretariat der Kommission erhält aber die Befugnis, selbständig Verfügungen zu erlassen und in den Betrieb eines IdP einzugreifen, “sofern die Verhältnisse es erfordern” (Art. 27 Abs. 3 und 4 E-BGEID). 


Was die im E-BGEID fehlenden Untersuchungsbefugnisse anbelangt, so dürfte das Verwaltungsverfahrensgesetz (Bundesgesetz über das Verwaltungsverfahren VwVG, SR 172.021) zumindest teilweise in die Bresche springen: Es ist anwendbar auf Verfahren in Verwaltungssachen, die durch Verfügungen eidgenössischer Kommissionen zu erledigen sind (Art. 1 Abs. 1 und 2 lit. d VwVG). Es sieht vor, dass die Behörde den Sachverhalt von Amtes wegen abklären kann und dazu verschiedene Beweismittel, darunter immerhin Dokumente (“Urkunden”) und den “Augenschein”, beiziehen kann (Art. 12 VwVG). Die Mitwirkungspflicht von IdPs dürfte vorliegend im Rahmen des VwVG aber beschränkt ausfallen.  
Daneben werden der EIDCOM vor allem beratende und informelle Instrumente in die Hand gelegt (Art. 26 E-BGEID). 


b) Datenschutzgesetz


Was allerdings in der Praxis bedeutsam werden könnte – und in diesem langen Text bisher gänzlich ignoriert wurde – ist die Rolle des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB). Auch der Entwurf des E-ID-Gesetzes gibt sich dazu eher wortkarg; namentlich bei der Anerkennung von IdPs sieht es vor, dass der EDÖB vorgängig anzuhören ist (Art. 13 Abs. 1 E-BGEID). Da die Bestimmungen des Bundesgesetzes über den Datenschutz (DSG) auch auf den Betrieb der E-ID-Systeme anwendbar sein werden, sind für die Frage nach der Aufsicht auch die Kompetenzen des EDÖB einzuberechnen. 


Gemäss dem neuen DSG, das voraussichtlich 2022 in Kraft treten dürfte, wird der EDÖB von Amtes wegen oder auf Anzeige hin Untersuchungen durchführen können, bei denen auch diejenigen Massnahmen angeordnet werden können, die im E-BGEID fehlen: Zugang zu allen relevanten Unterlagen und Personendaten, zu Räumlichkeiten und Anlagen, Zeugeneinvernahmen, Begutachtungen durch Sachverständige (Art. 49-50 DSG neu). Er kann Verwaltungsmassnahmen (Art. 51 DSG neu) und einschneidende Bussen anordnen (Art. 60-64 DSG neu). Das DSG sieht im Gegensatz zum E-BGEID auch eine Koordinationsbestimmung vor, wonach auch Aufsichtsbehörden des Bundesrechts den EDÖB zur Stellungnahme einladen, bevor sie in datenschutzrechtlichen Angelegenheiten eine Verfügung erlassen. Wenn sowohl gemäss E-BGEID und DSG Verfahren laufen, sind beide zu koordinieren (Art. 53 DSG neu).


Eine Art Fazit: Wird es schlussendlich der EDÖB richten?


Aus gesetzgeberischer Sicht ist zu bedauern, dass nicht präzisere Verhaltenspflichten und Sanktionen bereits auf Gesetzesstufe im E-BGEID verankert werden, denn die weitgehende Delegation auf Verordnungsebene bringt gewisse Abstriche in der demokratischen Abstützung und in der Rechtssicherheit mit sich. Dies liegt gerade hinsichtlich der Befugnisse der EIDCOM wohl am Gesetzgebungsprozess, bei dem das Parlament in den Beratungen die EIDCOM nachträglich eingefügt hat – eine Ergänzung, die wiederum hinsichtlich der staatlichen Aufsicht und Kontrolle klar zu begrüssen ist. Umso wichtiger wird es sein, dass die Verordnung(en) des Bundesrats präzise verfasst werden und dass im Ausüben der Aufsichtsinstrumente die Verhältnismässigkeit hochgehalten wird. 


Der Umweg über das Datenschutzgesetz zeigt, dass die allgemeine Aufsicht bei Annahme des Gesetzes eingehender ausfallen dürfte, als dies das E-BGEID selbst vermuten lässt. Sofern es sich also um allgemeine Datenschutzverstösse bei IdPs handelt (und nicht um spezifische Pflichten aus dem E-BGEID), sind ab Inkrafttreten des neuen DSG schlagkräftige staatliche Aufsichtsinstrumente vorhanden, um diese zu ahnden. 

February 18th, 2021
EuGH-Urteil “Schrems II”: Gilt es auch für kantonale Behörden?

Mit dem EuGH-Urteil «Schrems II» entfällt für EU-Unternehmungen die Grundlage zur vereinfachten Datenübermittlung in die USA. Das gilt aufgrund einer analogen Bestimmung im DSG auch für Schweizer Unternehmungen und Bundesbehörden. Doch was gilt eigentlich für kantonale Behörden?

Was das Urteil besagt

Mit dem Urteil Schrems II hat der Europäische Gerichtshof (EuGH) das EU-USA Abkommen «Privacy Shield» für ungültig erklärt. Darin anerkannten die EU und die USA gegenseitig die Angemessenheit ihrer Datenschutzniveaus, was Datentransfers in die USA ohne zusätzliche Garantien ermöglichte. Durch den Wegfall dieses Abkommens besteht für Unternehmungen, die dem Anwendungsbereich der EU-Datenschutz-Grundverordnung (DSGVO) unterstehen, jetzt Handlungsbedarf. Die DSGVO sieht nämlich vor, dass personenbezogene Daten nur weitergegeben werden dürfen, wenn im Drittland ein angemessenes Schutzniveau sichergestellt wird.

Die Situation in der Schweiz

Die Schweiz muss zwar Urteile des EuGH zur DSGVO nicht direkt umsetzen. Da das Bundesgesetz über den Datenschutz (DSG) aber denselben Angemessenheitsmechanismus vorsieht und die Schweiz mit einem eigenen CH-USA Privacy Shield ebenfalls am Datenschutzarrangement mit den USA teilnahm, ist das Urteil auch für die Schweiz von Bedeutung. Der Eidgenössische Datenschutzbeauftragte (EDÖB) änderte die Bemerkungen zu den USA in seiner Länderliste dahingehend, dass das CH-USA Privacy Shield die Anforderungen an einen angemessenen Datenschutz i.S. des DSG nicht mehr erfülle. Schweizer Unternehmungen und Bundesbehörden müssen deshalb neu bei der Übermittlung personenbezogener Daten in die USA eine Prüfung des Schutzniveaus vornehmen. Ob ein solches durch Garantien in Standardvertragsklauseln (sog. «Standard Contractual Clauses», kurz «SCC») zugesichert werden kann, ist derzeit noch unklar. Der EDÖB empfiehlt den Schweizer Unternehmungen jedoch andere Lösungen anzustreben – beispielsweise die vorgängige Anonymisierung der Daten –oder andernfalls auf den Datenexport in die USA zu verzichten.

Was gilt in den Kantonen?

Doch was heisst das alles nun für kantonale Behörden? Darf ein Kantonsspital personenbezogene Daten von Patienten in der Cloud eines amerikanischen IT-Dienstleisters abspeichern? Da das DSG auf kantonale öffentlich-rechtliche Institutionen keine Anwendung findet, gelten die Vorschriften des entsprechenden Datenschutzgesetzes des Trägerkantons des Spitals. Dieser ist in der Ausgestaltung seines Datenschutzgesetzes aber nicht gänzlich frei, sondern untersteht gewissen völkerrechtlichen Minimal-Standards.

Zu nennen ist einerseits die Schengen-Richtlinie 2016/680 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, welche in Art. 35 und 36 die Übermittlung personenbezogener Daten in Drittländer im Rahmen der Polizei- und Justizzusammenarbeit weitgehend analog zur DSGVO regelt (angemessenes Schutzniveau oder SCC). Die Schweiz ist durch das Schengen-Assoziierungsabkommen verpflichtet, die Richtlinie umzusetzen, was auf Bundesebene mit Bundesgesetz vom 28. September 2018 erfolgt ist. Andererseits hat die Schweiz das Europarats-Abkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten (Konvention 108) sowie deren Zusatzprotokoll Nr. 181 ratifiziert. Letzteres sieht vor, dass grenzüberschreitende Datenübermittlung an Drittstaaten nur gestattet sind, wenn der Empfängerstaat ein enstprechendes Datenschutzniveau aufzuweisen hat – massgeblich ist auch hier das “angemessene Schutzniveau” (Art. 2). Das neuste Protokoll zur Konvention 108 von 2018 (Vertrag-Nr. 223), welches vom Bundesparlament bereits genehmigt wurde, führt diese zur DSGVO analogen Regeln für den Verkehr personenbezogener Daten weiter (vgl. Art. 17). Das kantonale Datenschutzgesetz des Trägerkantons im obigen Beispiel des Kantonsspitals beinhaltet im Soll-Zustand also Vorschriften, wonach bei der Weitergabe von personenbezogenen Daten an Drittländer geprüft werden muss, ob das entsprechende Land über ein angemessenes Schutzniveau verfügt.

Doch wie sieht der tatsächliche Ist-Zustand bei den Kantonen heute aus? In den meisten kantonalen Datenschutzgesetzen ist eine Umsetzung dieser völkerrechtlichen Vorgaben bereits vorgenommen und eine entsprechende Klausel zur Weitergabe von Daten in Drittländer mit angemessenem Schutzniveau verankert worden (bspw. in den Kantonen ZH, AG, BE, BS). In diesen Kantonen wird das Urteil Schrems II indirekt Wirkung entfalten, wenn es um die Frage geht, welche Länder ein angemessenes Schutzniveau einhalten. Besonders klar ist die Lage in St. Gallen und Zürich, wo im Gesetz bzw. in der Verordnung dazu auf das DSG und die Liste des EDÖB verwiesen wird. Zusammenfassend sind kantonale Behörden wie unser fiktives Kantonsspital gut beraten, die Entwicklungen in der EU mitzuverfolgen und nebst den Äusserungen der kantonalen Datenschutzbehörden auch die Empfehlungen des EDÖB hinsichtlich des angemessenen Datenschutzniveaus zu beachten. In Bezug auf Datenübermittlungen an amerikanische IT-Dienstleister ist aufgrund des Urteils Schrems II also auch für kantonale öffentliche Organe erhöhte Vorsicht geboten.



Dieser Beitrag wurde mit Unterstützung von Gian Heimann, Student Rechtswissenschaften an der Universität Zürich, verfasst. Danke, Gian!



PS: Die Datenschutzbeauftragte des Kantons Zürich hat sich unterdessen hier zur Bedeutung von Schrems II für die öffentlichen Organe des Kantons geäussert.

January 27th, 2021
Datenschutz versus Informationssicherheit – was braucht unsere Organisation?

Stetig zunehmende Anforderungen

Heutzutage kann es sich keine Organisation leisten, den Datenschutz zu ignorieren. Die gesetzlichen Anforderungen nehmen kontinuierlich zu und seit 2018 hat sich mit der Europäischen Datenschutzgrundverordnung (DSGVO/GDPR) ein neuer Goldstandard etabliert, der auch im Bewusstsein der Bürgerinnen und Bürger angekommen ist und von Organisationen mehr verlangt als bisher. Dies führt dazu, dass sich Organisationen gesamtheitlich auf den Datenschutz ausrichten müssen. Dies wiederum erfordert das Definieren von Prozessen und das Zuordnen von Verantwortlichkeiten; Anforderungen, die auch vor den Schweizerischen Datenschutzgesetzen (Bund und kantonale Gesetze) nicht Halt gemacht haben.

Gleichzeitig aber häufen sich, durch Pandemie und Homeoffice verstärkt, Berichte über IT-Sicherheitslücken, Cyberattacken und die Notwendigkeit eines firmen- oder organisationsweiten Informationssicherheitsmanagementsystems («ISMS»).

DSMS vs. ISMS

Worin liegt aber der Unterschied zwischen einem Datenschutz-Managementsystem («DSMS») und einem ISMS? Und wie geht eine Organisation vor, um zu entscheiden, was sie braucht? Ziel der Informationssicherheit ist der Schutz aller für eine Organisation relevanten Informationen vor unberechtigtem Zugriff, Verlust oder unbefugter Veränderung. Ziele sind mitunter die Vertraulichkeit, die Integrität und die Verfügbarkeit – oder in der englischen Terminologie der relevanten ISO-Norm 27001: Confidentiality, Integrity, Availability (C, I, A). Der Datenschutz ist dagegen zugleich enger und weiter als die Informationssicherheit. Enger deswegen, weil er nur Personendaten schützt, also Daten, die sich auf eine bestimmte oder bestimmbare Person beziehen. Weiter ist der Datenschutz deshalb, weil es um mehr als nur die Sicherheit von Personendaten geht. Nebst der Einhaltung grundlegender Prinzipien wie Verhältnismässigkeit, Zweckbindung, Transparenz, Richtigkeit, Rechtmässigkeit und Sicherheit enthalten Datenschutzgesetze meist eine Serie konkreter Pflichten wie etwa Informationspflichten an die betroffene Person, data breach notifications an die zuständige Behörde oder das Vornehmen von Datenschutz-Folgenabschätzungen. Die Informationssicherheit schützt den Informationsbestand einer Organisation als solchen, mit einem besonderen Fokus auf Geschäfts- oder Amtsgeheimnisse. Der Datenschutz hingegen bezweckt primär den Schutz von Privatsphäre und Persönlichkeitsrechten betroffener Personen, wenn Daten über sie bearbeitet werden. Beide Themen überschneiden sich in der Sicherheit von Personendaten:

Lesbarkeit ist relativ.

Wie gelangen wir zu einem Entscheid?

Wo sollte eine Organisation nun ihre Prioritäten legen? Folgende Fragen können dabei Leitplanken geben:

  • Was schreibt das Gesetz vor?

Für eine öffentliche Organisation ist Ausgangspunkt aller Überlegungen das Gesetz: Besteht ein Gesetz, das gewisse Pflichten enthält, so muss dieses umgesetzt werden. Der Handlungsspielraum reduziert sich vom «ob» der Umsetzung auf das «wie». Zumindest in der Schweiz und in Europa bestehen im Datenschutz überall Gesetze – diese unterscheiden sich aber sowohl in ihrer Strenge als auch im Risiko von Sanktionen, wenn der Datenschutz nicht eingehalten wird.

  • Haben wir eine andere Verpflichtung, etwa aus einem Vertrag, ein ISMS einzuführen (oder eine Zertifizierung zu erlangen) oder gewisse Datenschutzstandards nachzuweisen?

Auch ein Vertragspartner kann ein Interesse daran haben, gewisse Standards vorzuschreiben oder deren Einführung bis zu einem vertraglich bestimmten Zeitpunkt zu verlangen. Auch eine vertragliche Pflicht kann das Vorgehen in diesem Thema beeinflussen und vorantreiben.

  • Wie sieht die Risikolage aus?

In ihrer konkreten Ausgestaltung beruhen sowohl der Datenschutz als auch die Informationssicherheit auf Risikoabschätzungen; diese können zur Erkenntnis führen, dass auch ohne formelle gesetzliche Verpflichtung die Einführung gewisser Prozesse oder Standards sinnvoll sein kann.

Bestehen besondere Risiken, denen die Organisation ausgesetzt ist, und wie gross sind die Nachteile, die entstehen, wenn sich ein solches Risiko materialisiert? Im Datenschutz sind nebst Reputationsrisiken zunehmend auch Sanktionen der Aufsichtsbehörden einzukalkulieren. Auch in der Informationssicherheit sind Reputationsrisiken zu beachten, dazu kommen aber auch konkrete politische Erpressbarkeit, Risiken für öffentliche Güter (wie etwa der Verlust von Leben bei einem Cyberangriff auf die IT-Infrastruktur eines öffentlichen Spitals oder der Zusammenbruch der Stromversorgung bei einem Angriff auf ein Elektrizitätsunternehmen) oder im kommerziellen Kontext wirtschaftliche Nachteile bei der Verletzung von Geschäftsgeheimnissen.

  • Welche Ressourcen sind intern vorhanden? In welchem Umfang können externe Ressourcen dazugenommen werden?

Beschränkte Ressourcen personeller oder finanzieller Natur können das Vorgehen ebenso beeinflussen und die Organisation dazu verpflichten, den Blick auf das Wesentliche zu legen: Wo drohen uns grössere Nachteile, wenn wir es nicht implementieren, im Datenschutz oder in der Informationssicherheit? Der Aufbau einer internen Compliance kann dann entsprechend den verfügbaren Ressouren organisiert werden (der Einwand, es seien überhaupt keine Ressourcen vorhanden, wird aber natürlich einen schweren Stand haben).

In jedem Falle: kontinuierlich und interdisziplinär

Gestützt auf diese Fragenkomplexe kann dann ein vorläufiger Entscheid gefällt werden: was soll implementiert werden, bis wann und in welcher Reihenfolge. Entscheidet sich eine Organisation, mit dem Datenschutz zu beginnen und vorerst ein DSMS einzuführen, können bestimmte Werkzeuge aus dem Bereich ISMS einbezogen werden (so etwa Schutzbedarfsanalysen). Dies kann die spätere Ausweitung auf Aspekte der Informationssicherheit vereinfachen. Nimmt man im Gegensatz die Informationssicherheit zum Ausgangspunkt, so bestehen verschiedene Möglichkeiten, den Datenschutz in einem zweiten Schritt zu ergänzen. Wird etwa die ISO-Norm 27001 für die Informationssicherheit verwendet, kann mithilfe der neueren Norm ISO 27701 ein bestehendes ISMS um den Datenschutz nach DSGVO ausgebaut werden.

Ob man mit einem ISMS oder einem DSMS beginnt: In jedem Falle beruht gutes Risikomanagement auf einer kontinuierlichen Evaluation, Anpassung und Verbesserung. Es empfiehlt sich zudem, ein Datenschutz-Management-System unter Einbezug einer Fachperson der Informationssicherheit aufzubauen und umgekehrt. Nebst einer besseren Risikoeinschätzung erlaubt ein solcher interdisziplinärer Ansatz eine bessere Implementierung und erleichtert die spätere Erweiterung, wenn das DSMS mit Informationssicherheit ergänzt werden soll oder umgekehrt.

January 11th, 2021
EU plant Leitplanken für Google & Co.

Vor Weihnachten durfte ich (Esther Zysset) mich in der Zeitschrift “Die Volkswirtschaft” / “La vie économique” (herausgegeben durch das SECO) zum neuen EU-Regulierungspaket “Digital Services Act” und “Digital Markets Act” äussern. Der Artikel findet sich hier auf Deutsch und hier auf Französisch.

Das neue Gesetzespaket ist interessant — u.a. deswegen, weil die EU damit eine umfassende, allgemeine Regulierung gewisser Aspekte der Onlinewelt beabsichtigt. Was offline illegal ist, soll es auch online sein und grosse Plattformen sollen neuen Verhaltensregeln unterworfen werden. Insbesondere will der EU-Regulator aktuelle Phänomene wie benutzerdefinierte Werbung (“targeted advertising”) oder das Ausnutzen grosser Datenmengen und Algorithmen zum Erlangen von Wettbewerbsvorteilen rechtlich einfassen. Auch die Schweiz unternimmt kleine Schritte in dieselbe Richtung. So befindet sich zurzeit die sogenannte “Lex Booking” in der Vernehmlassung — eine kleine Bestimmung im Bundesgesetz gegen den unlauteren Wettbewerb (UWG), die Online-Buchungsplattformen verbieten soll, Preisbindungsklauseln zu verwenden. Der neue Entwurf der EU wird viele Diskussionen auslösen; er könnte auch in der Schweiz zumindest als Diskussionsgrundlage dafür dienen, wie man das Internet regulieren könnte — oder eben nicht.

January 4th, 2021