Datensicherheit: das Fundament für Datenschutz
Datenschutz und Datensicherheit sind zwei Seiten derselben Medaille. Während Datenschutz die rechtliche und ethische Dimension definiert, liefert Datensicherheit die praktischen Werkzeuge zur Umsetzung. Eingebettet in die übergeordneten Konzepte der Informationssicherheit und Cybersecurity bilden sie gemeinsam ein umfassendes Schutzkonzept für die wertvollste Ressource unserer Zeit: Information.
Dieser Blogbeitrag dient ausschliesslich dazu, grundlegendes Wissen zu Compliance und regulatorischen Anforderungen zu vermitteln und aufzuzeigen, dass UMB diese Aspekte im Rahmen ihrer Services berücksichtigt.
Datenschutz dient dem Schutz der Persönlichkeitsrechte und gewährleistet, dass Personendaten rechtskonform beschafft und bearbeitet werden. Personendaten sind dabei alle Angaben, die sich auf eine bestimmte oder bestimmbare (natürliche) Person beziehen. Anonymisierte Daten fallen nicht in diese Kategorie.
Klare gesetzliche Vorgaben
Wenn Personendaten bearbeitet werden, müssen die datenschutzrechtlichen Grundsätze eingehalten werden. Unsere Grafik zeigt die Fragen, die sich ein Unternehmen, welches Daten bearbeitet, stellen muss, um Grundsätze wie Rechtmässigkeit, Datenrichtigkeit, Treu und Glauben, Transparenz, Zweckbindung und Datensicherheit einzuhalten. Eine Verletzung dieser Grundsätze führt zu einer Persönlichkeitsverletzung, welche jedoch unter Umständen gerechtfertigt sein kann. Das Schweizer Datenschutzgesetz (DSG)[i] kennt drei Rechtfertigungsgründe: die ausdrückliche Einwilligung der betroffenen Person, ein überwiegendes privates oder öffentliches Interesse oder eine gesetzliche Grundlage, die die Bearbeitung erlaubt oder sogar vorschreibt.
Datenbearbeitung: Der Kunde ist König
Besonders relevant für IT-Dienstleister: Sobald wir Personendaten im Auftrag unserer Kunden bearbeiten, gelten wir als Auftragsdatenbearbeiter – und haben damit klare gesetzliche Pflichten. Wesentliche Pflichten sind insbesondere die folgenden zwei: Wir dürfen die Daten ausschliesslich im Rahmen des Auftrages und nach Weisungen des Kunden bearbeiten. Zudem müssen wir jederzeit geeignete technische und organisatorische Massnahmen treffen, damit das Schutzniveau mindestens jenem entspricht, das der Kunde selbst einhalten müsste.
Wo Datenschutz endet und Datensicherheit beginnt
Datensicherheit bildet das technische und organisatorische Fundament, ohne das ein wirksamer Datenschutz gar nicht möglich wäre, geht jedoch weit über den Schutz personenbezogener Daten hinaus. Datensicherheit schützt alle Unternehmensdaten – also Geschäftsgeheimnisse, Finanzdaten, technische Unterlagen oder sonstige sensible Informationen, die keinen Personenbezug haben. Umgesetzt wird Datensicherheit durch ein Zusammenspiel aus technischen und organisatorischen Massnahmen. Zu den technischen gehören unter anderem Verschlüsselung, moderne Zugangs- und Zugriffskontrollen, Firewalls, Intrusion-Detection-Systeme, Antivirenprogramme sowie zuverlässige Backup- und Recovery-Lösungen. Dazu kommt durchgehende Protokollierung plus kontinuierliches Monitoring der relevanten Systeme. Organisatorisch setzen wir bei UMB auf klare Richtlinien zur Klassifizierung von Daten und deren Handhabung, regelmässige Schulungen und Sensibilisierung aller Team-Mitglieder sowie auf eindeutige Zuständigkeiten und Genehmigungsprozesse. Ebenfalls wichtig: Notfall- und Wiederanlaufpläne sowie regelmässige Sicherheitsaudits und ein funktionierendes Business-Continuity-Management[ii].
Der grössere Rahmen: Informationssicherheit und Cybersecurity
Informationssicherheit bildet das übergeordnete Konzept und verfolgt die klassischen Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit von Informationen. Bewährte Standards wie ISO 27001 liefern den Rahmen für ein systematisches Informationssicherheits-Managementsystem (ISMS). Für Kunden, die eine strengere Wirksamkeitsprüfung wünschen, bieten Reports nach ISAE 3402 Type II, SOC 2 oder – je nach Branche – DORA zusätzliche Sicherheit.
In einer zunehmend vernetzten Welt rücken moderne Cyberbedrohungen wie Ransomware, Phishing oder Advanced Persistent Threats in den Fokus. Hier verschmelzen klassische IT-Security, die den Schutz der Infrastruktur sicherstellt, und Cybersecurity, die gezielt auf die Abwehr aktueller Angriffsszenarien ausgerichtet ist, zu einer ganzheitlichen Sicherheitsstrategie. Diese gehört zu einer verantwortungsvollen Unternehmenssteuerung und erfordert klare Verantwortlichkeiten.
Datenschutz als Teil der UMB Unternehmenskultur
Datenschutz und Datensicherheit sind schlicht unverzichtbar. Bei UMB nehmen wir diese Verantwortung ernst und setzen konsequent insbesondere technische wie organisatorische Massnahmen um.
Darauf können sich unsere Kunden verlassen: Compliance und verlässlicher Schutz sind bei uns keine teure Zusatzoption, sondern gehören zur Unternehmenskultur. Genau deshalb schlafen unsere Kunden nachts ruhig – und wir auch. Falls Sie mehr wissen möchten – wir stehen jederzeit gerne für ein Gespräch bereit.
Datenschutzgrundsätze
Welcher Grund liegt für die Verarbeitung vor: Ein Vertrag, eine Einwilligung oder eine andere rechtliche Grundlage (z.B. überwiegendes Interesse)?
Sind die erhobenen Daten nur für meinen aktuellen Arbeitsprozess bestimmt oder darf ich diese Daten innerhalb meines Unternehmens bzw. gegenüber Dritten preisgeben?
Versteht der/die betroffene Person, was mit den Daten geschieht und wozu diese verwendet werden? Würde ich selbst das verstehen, wenn ich betroffen wäre bzw. das meine Daten wären?
Könnte ich den Vorgang mit weniger erhobenen Daten durchführen? Sind alle Daten sinnvoll bzw. notwendig?
Sind die Antworten auf alle hier gestellten Fragen im Verzeichnis der Verarbeitungstätigkeiten dokumentiert?
Wissen betroffene Personen, dass deren Daten verarbeitet werden?
Wofür werden die Daten erhoben und was soll damit geschehen?
Darf ich bereits erhobene Daten weiterhin aufbewahren?
Habe ich den richtigen Speicherort und/oder Ablageort für die Daten gewählt?
Sind die Daten, die ich verwende, aktuell?
Ihre Ansprechpartner/innen
