GOhack24 - Symposium, Bug-Bounty-Challenge & EDU-Programm

Warum KMUs sich besser frühzeitig mit dem neuen Datenschutzgesetz auseinandersetzen sollten

Am 1.9.2023 tritt das revidierte Datenschutzgesetz in Kraft. Bei Verstössen gegen zentrale Themen drohen inskünftig Strafsanktionen von bis zu CHF 250’000. Und zwar gegen einzelne Entscheidungsträger im Unternehmen, nicht gegen die Firma selbst. Lukas Bühlmann, Co-Head Digital, Data Privacy & E-Commerce bei MLL Legal rät Unternehmen, sich frühzeitig mit ihren Prozessen und Sicherheitsmassnahmen auseinanderzusetzen und entsprechende Aktivitäten in ihr Sicherheitskonzept zu integrieren. Ein Bug-Bounty-Programm und Pentesting können hier hilfreich sein.

GBF_Blog-GOTalk-DE-Lukas-Bühlmann.png
Lukas Bühlmann, Co-Head Digital, Data Privacy & E-Commerce bei MLL Legal

Daten haben enorm an Bedeutung dazugewonnen. Unternehmen gewinnen daraus wichtige Informationen über ihre Kundschaft, für Marketing und Produktentwicklung. Gleichzeitig steigt die Häufigkeit von Cyber Incidents und Data Breaches, was zu einer nicht zu unterschätzenden Gefahr für Firmen, sowie auch für die betroffenen Personen führt. Das revidierte Datenschutzgesetz (DSG) wird am 1.9.2023 in Kraft treten und will den Datenschutz und die Datensicherheit an die aktuellen technologischen Realitäten anpassen. Neben dem Ausbau von inhaltlichen und formellen Vorschriften stellt das massiv verschärfte Sanktionssystem bei Verstössen eine der wichtigsten Neuerungen dar. Dieses richtet sich nicht gegen die für die Datenbearbeitung verantwortlichen Unternehmen, sondern gegen die Leitungspersonen und die verantwortlichen Mitarbeiter in den Unternehmen. Diese werden neu für bestimmte Gesetzesverletzungen mit Bussen von bis zu CHF 250’000 bedroht. Der Umgang mit dieser Ausgangslage fordert insbesondere KMU stark.

Lukas, warum braucht es ein neues Datenschutzgesetz (DSG)?

Die technologische Entwicklung hat sich in den letzten Jahren bekanntlich rasant entwickelt. Die Art und Weise, wie wir mit Daten umgehen, hat sich entsprechend ebenfalls fundamental verändert. Gleichzeitig hat die Bearbeitung von Daten gesellschaftlich und wirtschaftlich enorm an Bedeutung gewonnen. Für Unternehmen ist es deshalb wichtig, dass sie Rechtssicherheit haben; wann und in welcher Form dürfen sie Daten, insb. Personendaten rechtmässig nutzen? Auf der anderen Seite besteht aufgrund des zunehmenden Interesses an Daten auch zunehmend die Gefahr, dass diese Personendaten missbraucht werden. Darum besteht auch ein entsprechend grosses Bedürfnis, diese betroffenen Personen vor Missbrauch zu schützen.

Das geltende Datenschutzgesetz entstand vor langer Zeit und ist vor einem ganz anderen technologischen und gesellschaftlichen Hintergrund entstanden. Entsprechend kann das aktuelle Recht die zentralen Fragen, die sich aus Sicht Unternehmen und betroffenen Personen stellen, nicht mehr beantworten. Darum ist es eigentlich unumstritten: Das Datenschutzrecht muss an die modernen Gegebenheiten angepasst werden.

Wann tritt das neue Gesetz in Kraft?

Die Revision wurde bereits vom Parlament abgeschlossen. Der Bundesrat hat jetzt entschieden, dass das neue Datenschutzgesetz am 1. September 2023 in Kraft treten wird. Wichtig zu beachten ist dabei: Es wird keine Übergangsfrist geben. Das heisst, es ist jetzt an der Zeit, sich mit den neuen Regelungen vertraut zu machen und sich und sein Unternehmen auf das Inkrafttreten vorzubereiten.

Bisher war das Schweizer Datenschutzrecht zahnlos. Das ändert sich jetzt.
Lukas Bühlmann, Co-Head Digital, Data Privacy & E-Commerce bei MLL Legal

Was sind die wichtigsten Neuerungen?

Das Kernkonzept des Datenschutzrechts bleibt unverändert. Bei der Verarbeitung von Daten muss es für die betroffenen Personen jederzeit erkennbar sein, was mit ihren Daten gemacht werden soll, welchen Zwecken die Bearbeitung dient und wer Zugang zu den Daten bekommt. Diese Grundregeln gelten weiterhin.

Was sich aber verändert ist, dass Vorgaben betr. bestimmte Bearbeitungen (zum Beispiel, das Profiling) präziser beschrieben werden und Unternehmen viel mehr formelle Pflichten bezüglich Prozesse, Dokumentation und den Umgang mit Betroffenenrechten wahrnehmen müssen.

Gleichzeitig gibt das Gesetz ausführlicher und genauer Auskunft über die Rechte der betroffenen Personen und welche die Leitplanken sind, wenn sie ausgeübt werden sollen. Hier geht es beispielsweise um das Recht auf Auskunft oder Löschung.

Was jedoch für viele Unternehmen am bedrohlichsten erscheint, ist der deutlich grössere Fokus auf die Durchsetzung der neuen Regelungen. Bisher war das Datenschutzrecht in der Schweiz weitgehend zahnlos. Das ändert sich jetzt. Im neuen Gesetz gibt es Strafsanktionen für Verstösse gegen einzelne, besonders zentrale Vorgaben, etwa die Informationspflicht oder die Anforderungen an die Datensicherheit. Diese Sanktionen richten sich dabei nicht etwa gegen das Unternehmen, sondern gegen die Angestellten, die als Entscheidungsträger für die jeweilige Datenverarbeitung verantwortlich sind. Das ist ein Paradigmenwechsel.

Ansätze wie ein Bug-Bounty-Programm, das auf der kreativen Kraft und der Schwarmintelligenz von Friendly Hacker basieren, sind sehr interessant und zukunftsträchtig.
Lukas Bühlmann, Co-Head Digital, Data Privacy & E-Commerce bei MLL Legal

Welche Rolle spielt dabei die IT-Sicherheit?

Als Entscheidungsträger muss ich gewährleisten, dass Daten in meinem Einflussbereich sicher sind. Die Massnahmen bezüglich IT-Security müssen dabei immer dem neuesten Stand der Technik entsprechen. Dies zu gewährleisten stellt eine grosse Herausforderung dar, nicht nur für KMUs. Der Einsatz von Ansätzen wie zum Beispiel Bug Bounty Programm und Pentesting können hier ein attraktives Instrument darstellen.

Wenn Daten in meinem Unternehmen zum Beispiel gehackt und verschlüsselt werden und sich herausstellt, dass die Daten nicht geschützt waren oder sich auf einem Datenspeicher befunden haben, der jedermann im Unternehmen zugänglich ist, wäre das wahrscheinlich nicht "State of the Art” - weder organisatorisch noch technisch. Dann könnte ein solcher Vorfall, der aufgrund seiner unmittelbaren Auswirkungen bereits so schon unangenehm ist, auch noch ein Sanktionsverfahren wegen Verletzung der Vorgaben an die Datensicherheit nach sich ziehen. Ein Strafverfahren gegen einen IT-Leiter scheint dann nicht ausgeschlossen.

Der Umgang mit Sicherheitsrisiken wird immer schwieriger. Man muss sich präventiv Gedanken dazu machen: Sind meine Systeme sicher? Dazu sind zusätzliche Ansätze wie ein Bug-Bounty-Programm, das auf der kreativen Kraft und der Schwarmintelligenz von Friendly Hacker basiert, durchaus sehr interessant und zukunftsträchtig.

Wie sieht es bei den Schweizern KMU aus?

Seit der Ankündigung des Inkrafttretens des revidierten DSG hat die Sensibilisierung für die Themen deutlich zugenommen und der Wille zur Compliance ist durchaus vorhanden. Die neuen Regeln im Unternehmen umzusetzen und die Prozesse entsprechend anzupassen, stellt jedoch eine sehr schwierige, aufwändige und komplexe Herausforderung dar. Die dazu notwendige Investition von Zeit und Geld bringt keinen Umsatz und muss nebenher stattfinden. Entsprechend pragmatisch muss die Beratung in diesem Thema sein.

Grundsätzlich ist man gut beraten, wenn man sich Schritt für Schritt auf das Ziel hinarbeitet, mit den neuen Regeln compliant zu werden. Dabei ist die Erwartung, mit einem einmaligen Projekt 100% compliant zu werden kein realistisches Ziel. Man muss einzelne Schritte gestützt auf eine sinnvolle und unternehmensspezifische Priorisierung angehen. Das Wichtigste ist, dass man die Notwendigkeit kennt. Das hat stattgefunden. Es gibt aber sicher in der Schweiz sehr viel zu tun.

Gibt es eine Versicherung, die ein Unternehmen abschliessen kann?

Gegen Strafsanktionen kann es keine Versicherung geben. Das ist bekanntlich nicht nur im Datenschutzrecht so. Ein Unternehmen darf zudem eine Strafsanktion, etwa eine Busse gegen einen Angestellten, nicht übernehmen. Geht es um Cyber Incidents, gibt es natürlich Versicherungen. Diese werden aber sehr schnell sehr teuer, da die Cyberrisiken rasant zunehmen und die Konsequenzen je länger, je schwieriger versicherbar sind. Die Versicherungsprodukte haben Bedingungen, Ausschlüsse und Vorbehalte. Zudem werden oft Zusicherungen an die vorhandene Infrastruktur und das Level of Security verlangt, die im KMU-Umfeld nicht realistisch sind. Solche Versicherungen unbesehen abzuschliessen, ohne zu prüfen, wie weit man die Vorgaben an die vorhandene IT-Umgebung erfüllt, ist nicht zu empfehlen. Unter Umständen bezahlt man eine teure Versicherung, deren Deckung im Schadensfall dann nicht besteht.

Welchen Rat gibst du einem Schweizer KMU, damit dieses optimal auf die Herausforderungen rund um Cybersicherheit und Compliance mit dem neuen DSG vorbereitet ist?

Man sollte sich grundsätzlich mit dem Thema auseinandersetzen. Vielleicht auch einen Workshop im Unternehmen organisieren, damit die zentralen Mitarbeiter auch “up-to-speed” sind. Dann wird eine Auseinandersetzung mit dem schwierigen Thema einfacher und man kann sich strukturiert fragen: Wo sind wir compliant? Wo nicht? Was ist prioritär? Und dann Schritt für Schritt die vorhandenen Lücken schliessen. Wichtig ist, dass das Top-level Management hinter dem Datenschutz als Thema steht und deren Wichtigkeit in der Organisation transportiert.

Das klingt alles sehr mühsam und aufwändig. Und das stimmt. Aber man muss sich bewusst sein, die Bedeutung von Daten hat immens zugenommen. Daten haben ein grosses wirtschaftliches Potenzial, generieren Mehrwert, ermöglichen die Lancierung von neuen Produkten. Man verdient damit Geld. Unternehmen müssen schauen, dass sie nachhaltig Daten erheben und mit diesen umgehen. Dazu gehört auch das Thema Compliance. Nur so kann der erwartete Mehrwert mittel- und langfristig erzielt werden.