Datenschutzgesetz: Alle Personendaten sind schützenswert

Von Gabriel Gabriel am 15. Februar 2018

Frau klappt Notebook zu

Bei vielen Unternehmen herrscht Unsicherheit darüber, inwiefern sie Personendaten –hauptsächlich ihrer Kunden, Partner oder Mitarbeitenden – von Gesetzes wegen schützen müssen. Die Diskussion um die Neuerungen beim sich aktuell in Revision befindlichen Schweizer Datenschutzgesetz hat dieses Thema in den letzten Monaten wieder verstärkt ins Bewusstsein bei den Verantwortlichen in Unternehmen gerufen.

Darüber hinaus machen immer häufiger Meldungen über Diebstähle sehr grosser Datenbestände die Runde.
Häufig geraten mit solch unerfreulichen Schlagzeilen weltweit agierende Konzerne in ein zweifelhaftes Licht. Kürzlich erwischte es aber auch das Schweizer Telekommunikationsunternehmen Swisscom. Bereits im Herbst letzten Jahres wurden durch Datenabfragen eines Partners Kontaktdaten von rund 800'000 Kunden entwendet. Die Daten wurden also im vorliegenden Fall nicht durch Hackerangriffe gestohlen. Der Vorfall wurde möglich, weil die Zugriffsberechtigungen des Partners den Missbrauch zuliessen. Gestohlen wurden Informationen wie Name, Vorname, Adresse, Geburtsdatum und Telefonnummer der Kunden. Insbesondere das Geburtsdatum ist sicherlich für viele Menschen ein gefühlt besonders schützenswertes Gut.

Schützenswert versus besonders schützenswert

Während für den Eidgenössischen Datenschutzbeauftragten kein Anlass zur Einleitung formeller Schritte bestand, versuchte sich das Unternehmen in Schadensbegrenzung mit der Bemerkung, es handle sich nicht um „besonders schützenswerte Daten“. Dabei lassen sich aus den entwendeten Daten in Kombination mit anderen Informationen Persönlichkeitsprofile herstellen. Aber abgesehen davon ist der Sachverhalt aus gesetzlicher Sicht eindeutig: Personendaten müssen durch angemessene, technische und organisatorische Massnahmen geschützt werden, unabhängig davon, ob es sich um Namen, Adressen oder Geburtsdaten oder um sogenannt „besonders schützenswerte“ Daten wie Informationen zu Gesundheit, strafrechtlichen Sachverhalten, Religionszugehörigkeit, politischer Gesinnung etc. handelt.

Rechtsanwälte wiesen in den Medien deshalb zurecht darauf hin, dass der Datendiebstahl nicht harmlos sei, bloss weil gemäss Datenschutzgesetz keine „besonders schützenswerte“ Daten betroffen waren. Tatsächlich konnte im vorlegenden Fall der falsche Eindruck entstehen, es gebe beim Datenschutz eine Kategorie nicht schützenswerter Personendaten. Im Gegenteil verlangt aber das Gesetz für alle Personendaten, sie gegen Diebstahl oder widerrechtliche Verwendung zu schützen und dabei dem gegenwärtigen Stand der Technik Rechnung zu tragen.

Sicherungsmassnahmen

Swisscom will deshalb auch künftig grössere Datenabfragen durch Dritte mit der Vergabe von besonderen Zugriffsrechten verunmöglichen und plant die Einführung einer Zweifaktorauthentifizierung. Aus Sicht von Brainloop sind solche Schutzmassnahmen unabdingbar, will man nun das Datenschutzgesetz einhalten oder vertrauliche Unternehmensinformationen gegen missbräuchlichen Zugriff schützen. Bei unseren Produkten kommen darüber hinaus weitere wichtige Vorkehrungen hinsichtlich Datensicherheit und Datenschutz wie beispielsweise hochsichere Verschlüsselung bei der Speicherung und beim Transport der Daten, ISO-zertifizierte Rechenzentren in den jeweiligen Ländern, die getrennte Administration von Datenräumen oder externe Sicherheits-Audits zum Tragen – letztere etwa um die strengen Auflagen der Eidgenössischen Finanzmarktaufsicht Finma zu erfüllen. Weitere Informationen zur Sicherheitsarchitektur von Brainloop finden Sie hier.

Compliance, Schweiz

Das könnte Sie auch interessieren:

Auf dem Weg zum High Performance Board: Effizienzprüfung des Aufsichtsrats

Auf dem Weg zum High Performance Board: Effizienzprüfung des Aufsichtsrats

Weiterlesen
Lokale Cloud-Speicher für kritische Unternehmensdaten

Lokale Cloud-Speicher für kritische Unternehmensdaten

Weiterlesen
Datenschutz-Sorglospaket für Schweizer Unternehmen

Datenschutz-Sorglospaket für Schweizer Unternehmen

Weiterlesen
Mein, dein, sein: So schützt Brainloop Daten DSGVO-konform

Mein, dein, sein: So schützt Brainloop Daten DSGVO-konform

Weiterlesen