Datenschutz und Cybersecurity
29. Januar 2024
Dieser Blogpost basiert auf dem Fachartikel “Datenschutz, Datensicherheit, IT-Security und Cybersecurity – die Unterschiede praxisnah erklärt und eingeordnet” von Anja Schmitz (Projektas GmbH) und Marco Hiestand (BREVIT AG), erschienen in “Recht relevant. für Compliance Officers” (01/2024).
In der heutigen digitalisierten Welt sind Datenschutz, Datensicherheit, IT-Security und Cybersecurity essenziell. Die Autoren beleuchten in Ihrem Fachbeitrag die Unterschiede dieser Begriffe und erläutern die neuen Anforderungen des revidierten Datenschutzgesetzes (DSG) in der Schweiz.
Neue Anforderungen des Datenschutzgesetzes
Das revidierte DSG fordert angemessene Datensicherheit durch technische und organisatorische Massnahmen (TOMs). Neu ist, dass vorsätzliche Verstösse mit Bussgeldern bis zu CHF 250’000 sanktioniert werden können. Zudem besteht eine Meldepflicht für Datenverletzungen, bei denen personenbezogene Daten unbefugt offengelegt oder verändert werden könnten.
Unterschied zwischen Datenschutz und Datensicherheit
Datenschutz zielt darauf ab, die Persönlichkeits- und Grundrechte von Personen zu schützen, deren Daten verarbeitet werden. Datensicherheit hingegen umfasst den Schutz aller Informationen, unabhängig davon, ob sie einen Personenbezug haben. Die Schutzziele der Datensicherheit sind Vertraulichkeit, Integrität und Verfügbarkeit der Daten.
Abgrenzung von IT-Security und Cybersecurity
IT-Security fokussiert sich auf den Schutz der technologischen Systeme, während Cybersecurity den gesamten Cyber-Raum inklusive des Faktors “Mensch” einbezieht. Im Rahmen eines Cybersecurity-Konzepts sollten beispielsweise auch regelmässige „Awareness-Trainings“ für Mitarbeitende integriert werden, um die Schwachstellen in der Verteidigungskette zu minimieren.
Fazit: Klare Trennung der Sicherheitskonzepte
Datenschutz, Datensicherheit, IT-Security und Cybersecurity sind unterschiedliche, aber miteinander verbundene Konzepte, die klar getrennt werden müssen. Der Datenschutz bezieht sich auf gesetzliche Anforderungen zum Umgang mit personenbezogenen Daten und beantwortet die Frage, ob bestimmte Voraussetzungen erfüllt sind. Datensicherheit hingegen befasst sich mit der praktischen Umsetzung dieser Anforderungen, indem sie ein angemessenes Schutzniveau entsprechend dem Risikoprofil der Datenbearbeitung sicherstellt.
Das revidierte Datenschutzgesetz (DSG) gibt keine festen Mindestvorgaben vor, verlangt jedoch, dass die Datensicherheit an die Sensibilität der verarbeiteten Daten angepasst wird. Besonders schützenswerte Daten wie Gesundheitsinformationen erfordern höhere Sicherheitsmassnahmen. Eine robuste Datensicherheit erfüllt nicht nur die Anforderungen des DSG, sondern schützt auch andere sensible Unternehmensdaten, die nicht unter das DSG fallen, aber dennoch geschützt werden müssen.
Um unternehmenskritische Daten zu schützen, müssen Verwaltungsräte und Geschäftsleitungen aktiv an einem umfassenden Cybersecurity-Konzept arbeiten. Ein IT-Sicherheitsaudit durch externe Experten ist ein erster Schritt zur Bewertung und Verbesserung der bestehenden Sicherheitsmaßnahmen.
Die erste Seite des Fachartikels kann im folgenden PDF eingesehen werden. Den vollständigen Artikel finden Sie hier bei Swisslex (Login/Paywall).
Stay In Touch