Neues Datenschutzgesetz: das ändert sich

Mit der Revision des Schweizer Datenschutzgesetzes (nDSG) ändern sich ab 2023 wichtige Bestimmungen über die Bearbeitung von Personendaten. Zukünftig gilt es, verschärfte Regeln zu beachten – Unternehmen sollten daher ihre bestehenden Richtlinien und Datenschutzerklärungen bis zum Inkrafttreten am 1. September 2023 anpassen.

 

Das sind die wichtigsten Änderungen:

 

  • Anpassungen an internationale Standards: Die Revision des Datenschutzgesetzes (DSG) wurde vorgenommen, um die Vorgaben der europäischen Datenschutz-Grundverordnung (DSGVO) zu berücksichtigen und eine bessere Harmonisierung der Datenschutzstandards zu erreichen. Dadurch wird der grenzüberschreitende Datenaustausch erleichtert.
  • Das revidierte DSG beschränkt sich wie die DSGVO auf den Datenschutz natürlicher Personen – statt wie bisher auch auf Daten juristischer Personen. Die Informationspflichten bei der Beschaffung von Personendaten werden ausgebaut und gelten nicht mehr nur bei der Beschaffung von besonders schützenswerten Personendaten. Folglich wird eine Datenschutzerklärung für sämtliche Unternehmen Pflicht.
  • Unternehmen ab 250 Mitarbeitenden müssen neu ein Verzeichnis der Bearbeitungstätigkeiten führen, in welchem sie sich in Bezug auf einzelne Bearbeitungen u.a. zu den Bearbeitungszwecken, den Kategorien der betroffenen Personen und Daten sowie der Aufbewahrungsdauer äussern.
  • Auftragsbearbeitungen, etwa durch IT-Provider, sind vertraglich durch sog. Auftragsdatenbearbeitungsvereinbarungen (ADV; data processing agreements, DPA) abzusichern.
  • Verletzungen der Datensicherheit müssen dem EDÖB gemeldet werden, wenn sie zu einem hohen Risiko für die Persönlichkeit oder der Grundrechte der betroffenen Person führen. Es ist durch geeignete technische oder organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit zu gewährleisten, d.h. es sind diejenigen technischen und organisatorischen Massnahmen zu ergreifen, welche in Anbetracht des Zwecks der Datenbearbeitung, des Risikos, dem Stand der Technik und der Implementierungskosten erforderlich und angemessen sind (z.B. Zugriffskontrollen, Zugangskontrollen, Datenträgerkontrollen, Speicherkontrollen, Benutzerkontrollen etc.)

 

Diese Änderungen im schweizerischen Datenschutzgesetz unterstreichen die wachsende Bedeutung des Datenschutzes und der Privatsphäre in einer zunehmend digitalisierten Welt. Unternehmen und Organisationen sind angehalten, sich intensiv mit den neuen Anforderungen vertraut zu machen und geeignete Massnahmen zu ergreifen, um die Datenschutzbestimmungen umzusetzen und die Rechte ihrer Kunden und Nutzer zu wahren.

 

Rechtsanwalt Marius Vischer, Partner in der Anwaltskanzlei epartners in Zürich, hat im Januar ein Interview zu dem neuen Datenschutzgesetz gegeben.

 

Übrigens: Eine sichere Aktenvernichtung ist entscheidend für den Datenschutz. Durch die sichere Vernichtung von vertraulichen Dokumenten und personenbezogenen Daten auf physischen Trägern wie Papier oder Festplatten wird Missbrauch und Identitätsdiebstahl verhindert.

 

Mit unserem umfassenden Service gewährleisten wir, dass Informationen endgültig und unwiederbringlich gelöscht werden, wenn sie nicht mehr benötigt werden. Erfahren Sie mehr zu unserem Angebot: https://www.reisswolf.ch/

Typische Datenlecks in Unternehmen

Sensible Unternehmensdaten können auf unterschiedlichen Wegen in die falschen Hände geraten. Eine mögliche Schwachstelle ist der sorglose Umgang mit Akten und Datenträgern am Ende des Lebenszyklus.

 

Gerade in der jüngeren Vergangenheit liest man immer wieder von schwerwiegenden Datenlecks bei Unternehmen. Von sozialen Netzwerken über Dating-Plattformen bis hin zu Banken und Online-Händlern – kaum ein Geschäftszweig bleibt von derlei Pannen verschont. Da die Medien meist nur über Vorfälle bei grossen Konzernen berichten, könnte schnell der Eindruck entstehen, dass KMU nichts zu befürchten haben. «Es macht sich doch niemand die Mühe, unsere Daten zu stehlen»: Diese Aussage trifft absolut nicht zu. Zudem geht sie von einer falschen Annahme aus. Denn Datenlecks kommen längst nicht immer durch gezielte Angriffe zustande. Häufig treten sie als Folge von organisatorischen Schwachstellen oder menschlichen Fehlern auf.

 

Ob bewusste Attacke oder simple Unachtsamkeit: Während sich manche Gefahren relativ leicht ausschalten lassen, erfordert es bei anderen grösseren Aufwand, sie zu entschärfen. Als zertifizierter Spezialist für Akten- und Datenträgervernichtung können wir Ihnen versichern: Für Punkt 6 genügt ein Anruf bei uns, und Ihre Sorgen haben sich erledigt. Ausserdem können wir Ihnen nur ans Herz legen, ein Sicherheitskonzept für Ihr Unternehmen auszuarbeiten und Ihre Mitarbeitenden immer wieder für die Thematik zu sensibilisieren.

 

  1. Phishing
    Das kennen wir alle aus dem Posteingangsfach unserer E-Mail-Konten: Auf mehr oder weniger geschickte Weise wird versucht, uns Passwörter oder andere Zugangsdaten zu entlocken. Leider werden diese Angriffe immer professioneller. Vor einigen Jahren genügte beinahe immer ein kritischer Blick, um betrügerische Mails als solche zu entlarven. Mittlerweile ist dies deutlich schwieriger geworden und sämtliche Mitarbeitende müssen immer wieder für dieses Thema sensibilisiert werden. Eine Regel hat jedoch weiterhin Gültigkeit: Wenn Sie in einer E-Mail «Passwort» lesen, sollten alle Alarmglocken läuten.
  2. Malware
    Dies schliesst direkt an Punkt 1 an, da auch Malware häufig über E-Mails eingeschleust wird . Solche Schadprogramme kommen in unterschiedlichen Formen und können verschiedene Auswirkungen haben. Dazu gehört die Verschlüsselung von Dateien auf einem Rechner oder in einem gesamten Netzwerk, für deren Freigabe dann Lösegeld gefordert wird (Ransomware). Oder beispielsweise auch das Öffnen von Hintertüren, die Cybergangstern ermöglichen, Ihre Daten zu entwenden.
  3. Nicht aktuelle Software
    Diese Gefahrenquelle liegt auf der Hand: Je länger ein Programm auf dem Markt ist, desto mehr Zeit haben Angreifer, Schwachstellen darin zu finden. Diese werden regelmässig von den Herstellern der Programme behoben und in Form von Updates ausgespielt. Wer diese Updates nicht installiert, macht sich respektive die verwendeten Geräte zu einem leichten Ziel.
  4. Unsichere Passwörter
    Ein Dauerbrenner: Passwörter schützen unsere Daten vor fremdem Zugriff. Doch um diese Aufgabe zu erfüllen, dürfen sie nicht einfach zu «erraten» sein. Natürlich ist damit längst nicht mehr der klischeehafte Hacker gemeint, der in einem dunklen Hinterzimmer einzelne Passwörter eintippt und auf einen Treffer hofft. Heutige Angriffe erfolgen automatisiert mit einer Unzahl von Versuchen in wenigen Sekunden. Deswegen lassen die meisten Anwendungen mittlerweile gar keine wirklich unsicheren Passwörter mehr zu. Am zuverlässigsten schützen «Passwort-Safes» – Programme, die komplett sichere Passwörter generieren und für Sie verwalten. Denn Sie machen auch eine weitere Gefahrenquelle überflüssig: Das Notieren von Passwörtern auf dem Schreibtisch oder in abgespeicherten Textdokumenten.
  5. Böse Absicht
    Bei den meisten Datenlecks kommt die kriminelle Energie von Menschen ausserhalb Ihres Unternehmens. Dennoch sollte man die Möglichkeit nicht ausser Acht lassen, dass beispielsweise auch verärgerte Mitarbeitende auf den Gedanken kommen könnten, Daten zu entwenden. Deswegen sollten Sie für solche Fälle über Prozesse zur Vorbeugung verfügen. Beispielsweise sollte die Möglichkeit bestehen, den Zugang zu allen wesentlichen Ressourcen schnell sperren zu können, ohne vorher noch mühsam eine Liste erstellen zu müssen, worauf ein Mitarbeiter überhaupt Zugriff hat.
  6. Sorgloser Umgang am Ende der Lebenszeit
    Ob Papierdokument, Festplatte oder Mitarbeiter-Handy: Alle Akten und Datenträger haben irgendwann ausgedient. Auch dieser Zeitpunkt verdient Aufmerksamkeit bezüglich der Sicherheit. Denn eine achtlose Entsorgung, etwa im Altpapier oder im Fall von elektronischen Geräten im Elektroschrott, macht Ihre Daten relativ einfach für andere zugänglich. Wie eingangs bereits erwähnt, gibt es für diesen Punkt die vermutlich unkomplizierteste Lösung: Mit unserer jahrelanger Erfahrungvernichten wir zuverlässig alles, was Ihr Archiv verlässt. Dafür verfügen wir über eingespielte zertifizierte Prozesse, und mindestens ebenso wichtig:über bestens geschulte, langjährige Mitarbeitende.

Der sichere Umgang mit dem Diensthandy

Viele Unternehmen stellen Mitarbeitenden Handys zur geschäftlichen Nutzung zur Verfügung. Aus der Perspektive der Datensicherheit bringt dies diverse Herausforderungen, aber auch einige Vorteile mit sich.

 

Keine Frage, mobile Devices erleichtern die Arbeit und steigern die Produktivität spürbar. Von unterwegs am Team-Meeting teilnehmen, auf online gespeicherte Dokumente zugreifen oder über interne Messaging-Dienste wie Slack vor dem Meeting noch schnell die aktuellsten Infos austauschen – an viele der Vorzüge haben wir uns längst gewöhnt. Davon profitieren Unternehmen wie Mitarbeitende gleichermassen. Denn mal ehrlich: Natürlich fällt es leichter, am Abend nochmals schnell die E-Mails checken, wenn man es bequem vom Sofa aus am Handy erledigen kann, statt den Laptop hochzufahren.

 

Nicht wenige Firmen stellen Ihren Mitarbeitende deswegen gerne Diensthandys zur Verfügung, um sie beim mobilen Arbeiten zu unterstützen. Grundsätzlich bringt dieser Ansatz auch mehr Sicherheit mit sich als das Verwenden privater Smartphones in der geschäftlichen IT-Umgebung (BYOD, «Bring your own Device»). Dies gilt allerdings nur, wenn Sie einige klare Regeln für die Nutzung des Firmenhandys festlegen – und am Ende des Lebenszyklus auf eine vollständige und physische Zerstörung achten, wie sie bei Reisswolf angeboten wird.

 

  1. Diensthandy nur für berufliche Zwecke verwenden

    Auch wenn dies im ersten Moment restriktiv klingen mag, werden die allermeisten Mitarbeitenden keine Einwände gegen diese Massnahme haben. Schliesslich möchten sie ihre Privatsphäre ebenso schützen wie der Arbeitgeber die Unternehmensdaten. Eine strikte Trennung zwischen dem privaten und dem geschäftlichen Handy erweist sich somit für beide Seiten als sinnvoll.

  2. Daraus resultiert: nur vorinstallierte Apps

    Wenn das Diensthandy ausschliesslich beruflich genutzt wird, gibt es für Mitarbeitende keinen Grund, «eigene» Apps zu installieren. Die verantwortliche Person oder Abteilung im Unternehmen kann alle Geräte mit den notwendigen und sinnvollen Programmen ausstatten, so dass keine weiteren Anwendungen geladen werden müssen. Dies gilt ganz besonders für Social-Media-Plattformen, die häufig auf die im Handy gespeicherten Kontakte zugreifen. Mitarbeitende im Aussendienst beispielsweise könnten allerdings auf den Einsatz von Whatsapp angewiesen sein. Dann empfiehlt es sich, die Einstellungen so anzupassen, dass Whatsapp zwar auf das Telefonbuch, nicht aber auf andere Speicherorte für Kontakte zugreifen kann, wie beispielsweise Outlook.

  3. Sicherheit bei Verlust oder Diebstahl

    Dass eine Entsperrung des Handys durch die üblichen Massnahmen – Gesichtserkennung, Fingerabdruck oder Code – erforderlich sein muss, versteht sich von selbst. Richten Sie zudem bei allen Geräten die Möglichkeit ein, im Verlustfall alle Daten remote zu löschen. Dass bei jeglichem Zugriff auf Unternehmensdaten eine Zwei-Faktor-Authentifizierung zum Einsatz kommt, sollte für alle Mitarbeitenden selbstverständlich sein, nicht nur, wenn sie mobile Devices verwenden.

  4. Gerät nach Rückgabe sicher vernichten

    Wenn Mitarbeitende aus dem Unternehmen ausscheiden, geben sie Ihr Diensthandy zurück. Unter Umständen könnte in solchen Fällen der Gedanke aufkommen, einfach alle Daten zu löschen und das Gerät zu verkaufen. Dies lässt allerdings ausser Acht, dass so etwas wie eine vollständige Löschung nicht existiert. Beim Veräussern des Handys können Ihre Daten wiederhergestellt werden und so in falsche Hände geraten. Falls das Gerät also nicht innerhalb Ihres Unternehmens weiterverwendet wird, kann nur eine endgültige physische Zerstörung umfassende Sicherheit gewährleisten.

 

Reisswolf vernichtet nicht nur gebrauchte Handys, sondern sämtliche Datenträger wie Festplatten, Notebooks und Tablets, aber auch Kreditkarten, Zutritts-Badges oder CDs und DVDs. Die Prozesse sind nach DIN 66399 zertifiziert und entsprechen damit höchsten internationalen Standards. Für weitere Informationen oder ein Beratungsgespräch stehen wir Ihnen gerne zur Verfügung.