UPDATES

HOW WE CAN HELP

Archives

EuGH-Urteil “Schrems II”: Gilt es auch für kantonale Behörden?

Mit dem EuGH-Urteil «Schrems II» entfällt für EU-Unternehmungen die Grundlage zur vereinfachten Datenübermittlung in die USA. Das gilt aufgrund einer analogen Bestimmung im DSG auch für Schweizer Unternehmungen und Bundesbehörden. Doch was gilt eigentlich für kantonale Behörden?

Was das Urteil besagt

Mit dem Urteil Schrems II hat der Europäische Gerichtshof (EuGH) das EU-USA Abkommen «Privacy Shield» für ungültig erklärt. Darin anerkannten die EU und die USA gegenseitig die Angemessenheit ihrer Datenschutzniveaus, was Datentransfers in die USA ohne zusätzliche Garantien ermöglichte. Durch den Wegfall dieses Abkommens besteht für Unternehmungen, die dem Anwendungsbereich der EU-Datenschutz-Grundverordnung (DSGVO) unterstehen, jetzt Handlungsbedarf. Die DSGVO sieht nämlich vor, dass personenbezogene Daten nur weitergegeben werden dürfen, wenn im Drittland ein angemessenes Schutzniveau sichergestellt wird.

Die Situation in der Schweiz

Die Schweiz muss zwar Urteile des EuGH zur DSGVO nicht direkt umsetzen. Da das Bundesgesetz über den Datenschutz (DSG) aber denselben Angemessenheitsmechanismus vorsieht und die Schweiz mit einem eigenen CH-USA Privacy Shield ebenfalls am Datenschutzarrangement mit den USA teilnahm, ist das Urteil auch für die Schweiz von Bedeutung. Der Eidgenössische Datenschutzbeauftragte (EDÖB) änderte die Bemerkungen zu den USA in seiner Länderliste dahingehend, dass das CH-USA Privacy Shield die Anforderungen an einen angemessenen Datenschutz i.S. des DSG nicht mehr erfülle. Schweizer Unternehmungen und Bundesbehörden müssen deshalb neu bei der Übermittlung personenbezogener Daten in die USA eine Prüfung des Schutzniveaus vornehmen. Ob ein solches durch Garantien in Standardvertragsklauseln (sog. «Standard Contractual Clauses», kurz «SCC») zugesichert werden kann, ist derzeit noch unklar. Der EDÖB empfiehlt den Schweizer Unternehmungen jedoch andere Lösungen anzustreben – beispielsweise die vorgängige Anonymisierung der Daten –oder andernfalls auf den Datenexport in die USA zu verzichten.

Was gilt in den Kantonen?

Doch was heisst das alles nun für kantonale Behörden? Darf ein Kantonsspital personenbezogene Daten von Patienten in der Cloud eines amerikanischen IT-Dienstleisters abspeichern? Da das DSG auf kantonale öffentlich-rechtliche Institutionen keine Anwendung findet, gelten die Vorschriften des entsprechenden Datenschutzgesetzes des Trägerkantons des Spitals. Dieser ist in der Ausgestaltung seines Datenschutzgesetzes aber nicht gänzlich frei, sondern untersteht gewissen völkerrechtlichen Minimal-Standards.

Zu nennen ist einerseits die Schengen-Richtlinie 2016/680 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, welche in Art. 35 und 36 die Übermittlung personenbezogener Daten in Drittländer im Rahmen der Polizei- und Justizzusammenarbeit weitgehend analog zur DSGVO regelt (angemessenes Schutzniveau oder SCC). Die Schweiz ist durch das Schengen-Assoziierungsabkommen verpflichtet, die Richtlinie umzusetzen, was auf Bundesebene mit Bundesgesetz vom 28. September 2018 erfolgt ist. Andererseits hat die Schweiz das Europarats-Abkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten (Konvention 108) sowie deren Zusatzprotokoll Nr. 181 ratifiziert. Letzteres sieht vor, dass grenzüberschreitende Datenübermittlung an Drittstaaten nur gestattet sind, wenn der Empfängerstaat ein enstprechendes Datenschutzniveau aufzuweisen hat – massgeblich ist auch hier das “angemessene Schutzniveau” (Art. 2). Das neuste Protokoll zur Konvention 108 von 2018 (Vertrag-Nr. 223), welches vom Bundesparlament bereits genehmigt wurde, führt diese zur DSGVO analogen Regeln für den Verkehr personenbezogener Daten weiter (vgl. Art. 17). Das kantonale Datenschutzgesetz des Trägerkantons im obigen Beispiel des Kantonsspitals beinhaltet im Soll-Zustand also Vorschriften, wonach bei der Weitergabe von personenbezogenen Daten an Drittländer geprüft werden muss, ob das entsprechende Land über ein angemessenes Schutzniveau verfügt.

Doch wie sieht der tatsächliche Ist-Zustand bei den Kantonen heute aus? In den meisten kantonalen Datenschutzgesetzen ist eine Umsetzung dieser völkerrechtlichen Vorgaben bereits vorgenommen und eine entsprechende Klausel zur Weitergabe von Daten in Drittländer mit angemessenem Schutzniveau verankert worden (bspw. in den Kantonen ZH, AG, BE, BS). In diesen Kantonen wird das Urteil Schrems II indirekt Wirkung entfalten, wenn es um die Frage geht, welche Länder ein angemessenes Schutzniveau einhalten. Besonders klar ist die Lage in St. Gallen und Zürich, wo im Gesetz bzw. in der Verordnung dazu auf das DSG und die Liste des EDÖB verwiesen wird. Zusammenfassend sind kantonale Behörden wie unser fiktives Kantonsspital gut beraten, die Entwicklungen in der EU mitzuverfolgen und nebst den Äusserungen der kantonalen Datenschutzbehörden auch die Empfehlungen des EDÖB hinsichtlich des angemessenen Datenschutzniveaus zu beachten. In Bezug auf Datenübermittlungen an amerikanische IT-Dienstleister ist aufgrund des Urteils Schrems II also auch für kantonale öffentliche Organe erhöhte Vorsicht geboten.



Dieser Beitrag wurde mit Unterstützung von Gian Heimann, Student Rechtswissenschaften an der Universität Zürich, verfasst. Danke, Gian!



PS: Die Datenschutzbeauftragte des Kantons Zürich hat sich unterdessen hier zur Bedeutung von Schrems II für die öffentlichen Organe des Kantons geäussert.

January 27th, 2021
Datenschutz versus Informationssicherheit – was braucht unsere Organisation?

Stetig zunehmende Anforderungen

Heutzutage kann es sich keine Organisation leisten, den Datenschutz zu ignorieren. Die gesetzlichen Anforderungen nehmen kontinuierlich zu und seit 2018 hat sich mit der Europäischen Datenschutzgrundverordnung (DSGVO/GDPR) ein neuer Goldstandard etabliert, der auch im Bewusstsein der Bürgerinnen und Bürger angekommen ist und von Organisationen mehr verlangt als bisher. Dies führt dazu, dass sich Organisationen gesamtheitlich auf den Datenschutz ausrichten müssen. Dies wiederum erfordert das Definieren von Prozessen und das Zuordnen von Verantwortlichkeiten; Anforderungen, die auch vor den Schweizerischen Datenschutzgesetzen (Bund und kantonale Gesetze) nicht Halt gemacht haben.

Gleichzeitig aber häufen sich, durch Pandemie und Homeoffice verstärkt, Berichte über IT-Sicherheitslücken, Cyberattacken und die Notwendigkeit eines firmen- oder organisationsweiten Informationssicherheitsmanagementsystems («ISMS»).

DSMS vs. ISMS

Worin liegt aber der Unterschied zwischen einem Datenschutz-Managementsystem («DSMS») und einem ISMS? Und wie geht eine Organisation vor, um zu entscheiden, was sie braucht? Ziel der Informationssicherheit ist der Schutz aller für eine Organisation relevanten Informationen vor unberechtigtem Zugriff, Verlust oder unbefugter Veränderung. Ziele sind mitunter die Vertraulichkeit, die Integrität und die Verfügbarkeit – oder in der englischen Terminologie der relevanten ISO-Norm 27001: Confidentiality, Integrity, Availability (C, I, A). Der Datenschutz ist dagegen zugleich enger und weiter als die Informationssicherheit. Enger deswegen, weil er nur Personendaten schützt, also Daten, die sich auf eine bestimmte oder bestimmbare Person beziehen. Weiter ist der Datenschutz deshalb, weil es um mehr als nur die Sicherheit von Personendaten geht. Nebst der Einhaltung grundlegender Prinzipien wie Verhältnismässigkeit, Zweckbindung, Transparenz, Richtigkeit, Rechtmässigkeit und Sicherheit enthalten Datenschutzgesetze meist eine Serie konkreter Pflichten wie etwa Informationspflichten an die betroffene Person, data breach notifications an die zuständige Behörde oder das Vornehmen von Datenschutz-Folgenabschätzungen. Die Informationssicherheit schützt den Informationsbestand einer Organisation als solchen, mit einem besonderen Fokus auf Geschäfts- oder Amtsgeheimnisse. Der Datenschutz hingegen bezweckt primär den Schutz von Privatsphäre und Persönlichkeitsrechten betroffener Personen, wenn Daten über sie bearbeitet werden. Beide Themen überschneiden sich in der Sicherheit von Personendaten:

Lesbarkeit ist relativ.

Wie gelangen wir zu einem Entscheid?

Wo sollte eine Organisation nun ihre Prioritäten legen? Folgende Fragen können dabei Leitplanken geben:

  • Was schreibt das Gesetz vor?

Für eine öffentliche Organisation ist Ausgangspunkt aller Überlegungen das Gesetz: Besteht ein Gesetz, das gewisse Pflichten enthält, so muss dieses umgesetzt werden. Der Handlungsspielraum reduziert sich vom «ob» der Umsetzung auf das «wie». Zumindest in der Schweiz und in Europa bestehen im Datenschutz überall Gesetze – diese unterscheiden sich aber sowohl in ihrer Strenge als auch im Risiko von Sanktionen, wenn der Datenschutz nicht eingehalten wird.

  • Haben wir eine andere Verpflichtung, etwa aus einem Vertrag, ein ISMS einzuführen (oder eine Zertifizierung zu erlangen) oder gewisse Datenschutzstandards nachzuweisen?

Auch ein Vertragspartner kann ein Interesse daran haben, gewisse Standards vorzuschreiben oder deren Einführung bis zu einem vertraglich bestimmten Zeitpunkt zu verlangen. Auch eine vertragliche Pflicht kann das Vorgehen in diesem Thema beeinflussen und vorantreiben.

  • Wie sieht die Risikolage aus?

In ihrer konkreten Ausgestaltung beruhen sowohl der Datenschutz als auch die Informationssicherheit auf Risikoabschätzungen; diese können zur Erkenntnis führen, dass auch ohne formelle gesetzliche Verpflichtung die Einführung gewisser Prozesse oder Standards sinnvoll sein kann.

Bestehen besondere Risiken, denen die Organisation ausgesetzt ist, und wie gross sind die Nachteile, die entstehen, wenn sich ein solches Risiko materialisiert? Im Datenschutz sind nebst Reputationsrisiken zunehmend auch Sanktionen der Aufsichtsbehörden einzukalkulieren. Auch in der Informationssicherheit sind Reputationsrisiken zu beachten, dazu kommen aber auch konkrete politische Erpressbarkeit, Risiken für öffentliche Güter (wie etwa der Verlust von Leben bei einem Cyberangriff auf die IT-Infrastruktur eines öffentlichen Spitals oder der Zusammenbruch der Stromversorgung bei einem Angriff auf ein Elektrizitätsunternehmen) oder im kommerziellen Kontext wirtschaftliche Nachteile bei der Verletzung von Geschäftsgeheimnissen.

  • Welche Ressourcen sind intern vorhanden? In welchem Umfang können externe Ressourcen dazugenommen werden?

Beschränkte Ressourcen personeller oder finanzieller Natur können das Vorgehen ebenso beeinflussen und die Organisation dazu verpflichten, den Blick auf das Wesentliche zu legen: Wo drohen uns grössere Nachteile, wenn wir es nicht implementieren, im Datenschutz oder in der Informationssicherheit? Der Aufbau einer internen Compliance kann dann entsprechend den verfügbaren Ressouren organisiert werden (der Einwand, es seien überhaupt keine Ressourcen vorhanden, wird aber natürlich einen schweren Stand haben).

In jedem Falle: kontinuierlich und interdisziplinär

Gestützt auf diese Fragenkomplexe kann dann ein vorläufiger Entscheid gefällt werden: was soll implementiert werden, bis wann und in welcher Reihenfolge. Entscheidet sich eine Organisation, mit dem Datenschutz zu beginnen und vorerst ein DSMS einzuführen, können bestimmte Werkzeuge aus dem Bereich ISMS einbezogen werden (so etwa Schutzbedarfsanalysen). Dies kann die spätere Ausweitung auf Aspekte der Informationssicherheit vereinfachen. Nimmt man im Gegensatz die Informationssicherheit zum Ausgangspunkt, so bestehen verschiedene Möglichkeiten, den Datenschutz in einem zweiten Schritt zu ergänzen. Wird etwa die ISO-Norm 27001 für die Informationssicherheit verwendet, kann mithilfe der neueren Norm ISO 27701 ein bestehendes ISMS um den Datenschutz nach DSGVO ausgebaut werden.

Ob man mit einem ISMS oder einem DSMS beginnt: In jedem Falle beruht gutes Risikomanagement auf einer kontinuierlichen Evaluation, Anpassung und Verbesserung. Es empfiehlt sich zudem, ein Datenschutz-Management-System unter Einbezug einer Fachperson der Informationssicherheit aufzubauen und umgekehrt. Nebst einer besseren Risikoeinschätzung erlaubt ein solcher interdisziplinärer Ansatz eine bessere Implementierung und erleichtert die spätere Erweiterung, wenn das DSMS mit Informationssicherheit ergänzt werden soll oder umgekehrt.

January 11th, 2021