Bei vielen Unternehmen herrscht Unsicherheit darüber, inwiefern sie Personendaten –hauptsächlich ihrer Kunden, Partner oder Mitarbeitenden – von Gesetzes wegen schützen müssen. Die Diskussion um die Neuerungen beim sich aktuell in Revision befindlichen Schweizer Datenschutzgesetz hat dieses Thema in den letzten Monaten wieder verstärkt ins Bewusstsein bei den Verantwortlichen in Unternehmen gerufen.

Darüber hinaus machen immer häufiger Meldungen über Diebstähle sehr grosser Datenbestände die Runde.
Häufig geraten mit solch unerfreulichen Schlagzeilen weltweit agierende Konzerne in ein zweifelhaftes Licht. Kürzlich erwischte es aber auch das Schweizer Telekommunikationsunternehmen Swisscom. Bereits im Herbst letzten Jahres wurden durch Datenabfragen eines Partners Kontaktdaten von rund 800’000 Kunden entwendet. Die Daten wurden also im vorliegenden Fall nicht durch Hackerangriffe gestohlen. Der Vorfall wurde möglich, weil die Zugriffsberechtigungen des Partners den Missbrauch zuliessen. Gestohlen wurden Informationen wie Name, Vorname, Adresse, Geburtsdatum und Telefonnummer der Kunden. Insbesondere das Geburtsdatum ist sicherlich für viele Menschen ein gefühlt besonders schützenswertes Gut.

Schützenswert versus besonders schützenswert

Während für den Eidgenössischen Datenschutzbeauftragten kein Anlass zur Einleitung formeller Schritte bestand, versuchte sich das Unternehmen in Schadensbegrenzung mit der Bemerkung, es handle sich nicht um „besonders schützenswerte Daten“. Dabei lassen sich aus den entwendeten Daten in Kombination mit anderen Informationen Persönlichkeitsprofile herstellen. Aber abgesehen davon ist der Sachverhalt aus gesetzlicher Sicht eindeutig: Personendaten müssen durch angemessene, technische und organisatorische Massnahmen geschützt werden, unabhängig davon, ob es sich um Namen, Adressen oder Geburtsdaten oder um sogenannt „besonders schützenswerte“ Daten wie Informationen zu Gesundheit, strafrechtlichen Sachverhalten, Religionszugehörigkeit, politischer Gesinnung etc. handelt.

Rechtsanwälte wiesen in den Medien deshalb zurecht darauf hin, dass der Datendiebstahl nicht harmlos sei, bloss weil gemäss Datenschutzgesetz keine „besonders schützenswerte“ Daten betroffen waren. Tatsächlich konnte im vorlegenden Fall der falsche Eindruck entstehen, es gebe beim Datenschutz eine Kategorie nicht schützenswerter Personendaten. Im Gegenteil verlangt aber das Gesetz für alle Personendaten, sie gegen Diebstahl oder widerrechtliche Verwendung zu schützen und dabei dem gegenwärtigen Stand der Technik Rechnung zu tragen.

Sicherungsmassnahmen

Swisscom will deshalb auch künftig grössere Datenabfragen durch Dritte mit der Vergabe von besonderen Zugriffsrechten verunmöglichen und plant die Einführung einer Zweifaktorauthentifizierung. Aus Sicht von Brainloop sind solche Schutzmassnahmen unabdingbar, will man nun das Datenschutzgesetz einhalten oder vertrauliche Unternehmensinformationen gegen missbräuchlichen Zugriff schützen. Bei unseren Produkten kommen darüber hinaus weitere wichtige Vorkehrungen hinsichtlich Datensicherheit und Datenschutz wie beispielsweise hochsichere Verschlüsselung bei der Speicherung und beim Transport der Daten, ISO-zertifizierte Rechenzentren in den jeweiligen Ländern, die getrennte Administration von Datenräumen oder externe Sicherheits-Audits zum Tragen – letztere etwa um die strengen Auflagen der Eidgenössischen Finanzmarktaufsicht Finma zu erfüllen. Weitere Informationen zur Sicherheitsarchitektur von Brainloop finden Sie hier.

 

Geschrieben von Gabriel Gabriel


Compliance,  Schweiz


This could also be of interest:

Geschäftsgeheimnisse sind schützenswert – das weiß auch die EU

Der Erfolg eines Unternehmens steht und fällt mit seiner Geschäftsidee. Apple wäre beispielsweise nie so erfolgreich gewesen, wenn sie lediglich die Geräte von Nokia und…

Exportschlager Datenschutz: DSGVO prägt internationale Sicherheit

Kaum ein Thema wird so heiß diskutiert wie der Schutz personenbezogener Daten. An der Relevanz besteht kein Zweifel: Erst vor wenigen Tagen verhängte die französische…

Safer Internet Day: Zwischen Datenschutz und -sicherheit

Jährlich rückt der Safer Internet Day (SID) ein wichtiges Thema in den Vordergrund – die Bedeutung der Sicherheit in unserer vernetzten Welt. Im Jahr 2004…

Datenschutz in der Cloud

Vertrauen in eine Cloud darf nicht allein auf der Reputation eines Anbieters und seiner Kunden basieren, sondern muss systemisch begründet sein. Nur wenn ein System…

Newsletter

Niederlassungen

Brainloop AG
Theatinerstrasse 12
80333 München
Germany
+49 (0) 89 444 699 0