Sicherheit im Internet ist keine Hexerei – und trotzdem befassen sich viele Nutzer erst damit, wenn es schon zu spät ist. Mit wenigen Massnahmen können Daten besser vor Missbrauch geschützt werden. Wir zeigen Ihnen anhand ein paar Beispielen auf, wie Sie Ihre digitale Sicherheit erhöhen.

 

Im Internet ist es leider leicht, Opfer von Datenklau und Schadsoftware zu werden. Die Auswirkungen dabei sind verheerend und gehen nicht selten mit hohen Kosten einher. Viele Nutzer sind sich dessen bewusst, zögern aber nach wie vor, ihre persönliche digitale Sicherheit zu verbessern.

 

Mit verschiedenen Massnahmen schützen Sie Ihre Daten schnell und unkompliziert. Wir geben Ihnen eine Auswahl:

 

Verwenden Sie sichere Passwörter

 

Achten Sie bei der Wahl Ihrer persönlichen Passwörter und wählen Sie möglichst lange Passwörter aus. Denn ein Passwort zu knacken, dauert immer weniger lang. Inzwischen kann ein Rechner ein 8-stelliges Passwort bereits in einer Stunde knacken, selbst wenn dieses aus Gross- und Kleinbuchstaben besteht.

 

Ein sicheres Passwort sollte also immer aus Gross- und Kleinbuchstaben, Zahlen und Sonderzeichen (z.B. § & ? * ! ?) bestehen und nicht in einem Wörterbuch zu finden sein oder mit Ihnen und Ihrer Familie im Zusammenhang stehen. Verwenden Sie also keine Namen, Geburtsdaten, Telefonnummern oder Ähnliches.

 

Es sollte keine reine Zahlenfolge (12345…), alphabetische Buchstabenfolge (abcdef…) oder eine Reihe benachbarter Tasten auf der Tastatur (qwertz…) darstellen.

 

Updaten Sie Geräte und Apps regelmässig

 

Achten Sie darauf, alle Ihre Geräte und Apps immer auf dem neuesten Stand zu halten, indem Sie diese regelmässig aktualisieren. Denn in jedem Update stecken kleine Sicherheitsmassnahmen, die Fehler und Lücken beseitigen und damit die persönlichen Daten besser schützen.

 

Daten bis zum Ende gut schützen

 

Ein in diesem Zusammenhang häufig vernachlässigter Aspekt sind Daten auf nicht mehr benötigten elektronischen Geräten wie PCs, Laptops, Tablets, Festplatten oder auch USB-Sticks. Gerade für Unternehmen empfiehlt es sich, erhöhte Vorsicht walten zu lassen. Denn das gerne als «Plattmachen» bezeichnete, oberflächliche Löschen aller Daten auf einem Rechner bedeutet keineswegs, dass diese für immer im digitalen Nirwana verschwunden sind.

VOLLSTÄNDIGE DATENTRÄGERVERNICHTUNG SCHAFFT SICHERHEIT

 

Doch ein derartiges «Löschen» der Datei schützt nicht vor weiterem Zugriff darauf. Auf dem Markt gibt es zahlreiche völlig legale Angebote, die genau dies ermöglichen. Zu Recht, so sei ergänzt, schliesslich haben wir alle schon versehentlich Dateien «gelöscht» und anschliessend verzweifelt versucht, wieder Zugriff darauf zu bekommen. Dies bedeutet jedoch auch: Wenn Sie eine Festplatte oder einen USB-Stick leeren und das Gerät anschliessend in fremde Hände gelangt, kostet es keine allzu grosse Mühe, die alten Daten wiederherzustellen. Ganz ähnlich verhält es sich, wenn Sie einen Datenträger formatieren. Dieser Vorgang führt zwar ein wenig näher an das gewünschte Ergebnis, doch unbrauchbar werden Ihre Daten auch damit nicht.

 

Deswegen gilt: Vor allem für Unternehmen ist bei der Entsorgung alter Datenträger besondere Sorgfalt geboten. Wenn eine Privatperson zulässt, dass ihre Informationen in falsche Hände fallen, schadet sie in erster Linie sich selbst. Doch ein Unternehmen unterliegt völlig anderen Verpflichtungen, sowohl gegenüber Kunden als auch gegenüber Mitarbeitenden und je nach Organisationsform den Shareholdern. Fahrlässiges Verhalten kann hier schnell eine Verletzung des Datenschutzgesetzes oder der Compliance bedeuten. Dabei ist es im Grunde gar nicht schwer, sich zu schützen. Eine physische Vernichtung aller zu entsorgenden Datenträger zerstört sämtliche noch vorhandenen Informationen und schliesst einen Missbrauch damit von Vornherein aus.

Am 1. September 2023 tritt das revidierte Datenschutzgesetz in Kraft. Welche Neuerungen damit auf Schweizer Unternehmen zukommen, erklärt Rechtsanwalt und Datenschutzexperte Marius Vischer im Gespräch mit Reisswolf Schweiz.

 

Herr Vischer, welche wichtigsten Änderungen bringt das neue DSG mit sich?

 

Marius Vischer: Die wichtigsten Neuerungen sind aus meiner Sicht die Folgenden:

 

  • Die Informationspflichten bei der Beschaffung von Personendaten werden ausgebaut und gelten nicht mehr nur bei der Beschaffung von besonders schützenswerten Personendaten. Folglich wird eine Datenschutzerklärung für sämtliche Unternehmen Pflicht.
  • Unternehmen ab 250 Mitarbeitenden müssen neu ein Verzeichnis der Bearbeitungstätigkeiten führen, in welchem sie sich in Bezug auf einzelne Bearbeitungen u.a. zu den Bearbeitungszwecken, den Kategorien der betroffenen Personen und Daten sowie der Aufbewahrungsdauer äussern.
  • Auftragsbearbeitungen, etwa durch IT-Provider, sind vertraglich durch sog. Auftragsdatenbearbeitungsvereinbarungen (ADV; data processing agreements, DPA) abzusichern.
  • Verletzungen der Datensicherheit müssen dem EDÖB gemeldet werden, wenn sie zu einem hohen Risiko für die Persönlichkeit oder der Grundrechte der betroffenen Person führen (siehe Frage 3).

 

Wo orten Sie die Stärken im neuen DSG?

 

Das revidierte DSG ist im Vergleich zur DSGVO wesentlich pragmatischer und kürzer, und dadurch auch einfacher verständlich. Da zudem die Bearbeitungsgrundsätze unter dem revidierten DSG im Wesentlichen unverändert Geltung haben werden, sind bisher zulässige Datenbearbeitungen grundsätzliche weiterhin zulässig. Unternehmen müssen deshalb nicht jede Datenbearbeitung hinterfragen. Neu gelten jedoch einige flankierende Massnahmen, die einen Ausbau der Governance zur Folge haben (siehe Frage 1).

 

Ein Kernpunkt des neuen Gesetzes ist die Datensicherheit. Was genau heisst das und welche Auswirkungen bringt diese Anpassung mit sich?

 

Es ist durch geeignete technische oder organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit zu gewährleisten, d.h. es sind diejenigen technischen und organisatorischen Massnahmen zu ergreifen, welche in Anbetracht des Zwecks der Datenbearbeitung, des Risikos, dem Stand der Technik und der Implementierungskosten erforderlich und angemessen sind (z.B. Zugriffskontrollen, Zugangskontrollen, Datenträgerkontrollen, Speicherkontrollen, Benutzerkontrollen etc.).

 

Neu müssen Verletzungen der Datensicherheit dem EDÖB gemeldet, wenn sie zu einem hohen Risiko für die Persönlichkeit oder der Grundrechte der betroffenen Person führen. Solche Verletzungen der Datensicherheit sind z.B. Hackerangriffe oder E-Mail-Versand mit heiklen Daten an einen falschen Abnehmerkreis. Die Information des EDÖB hat raschestmöglich zu erfolgen. Eine besondere Frist besteht jedoch im Unterschied zur DSGVO (dort 72 Stunden) nicht. Da die Häufigkeit insb. von Hackerangriffen über die letzten Jahre stark zugenommen hat, lohnt es sich, sich damit zu befassen, wie bei einem solchen Vorfall vorgegangen wird (Data Breach Management).

 

Das neue DSG gilt als eine Annäherung an die DSGVO, aber nicht als Kopie. Warum wurde das DSG nicht einfach der DSGVO angepasst?

 

Zunächst einmal besteht zwischen dem DSG und der DSGVO (auch weiterhin) ein konzeptioneller Unterschied. Während in der Schweiz Datenbearbeitungen grundsätzlich zulässig sind und ein Rechtfertigungsgrund nur dann erforderlich ist, wenn die Bearbeitungsgrundsätze oder die Bestimmungen zur Datensicherheit nicht eingehalten werden oder wenn die betroffene Person der Bearbeitung widerspricht, ist unter der DSGVO stets ein Rechtfertigungsgrund notwendig. Nur schon deshalb konnte die DSGVO nicht kopiert werden. Darüber hinaus ist das Schweizer Gesetz im Wesentlichen pragmatischer ausgefallen (Swiss Finish).

 

Wie schützen Sie Ihre persönlichen Daten, worauf legen Sie wert?

 

Nach meinem Dafürhalten ist jeweils darauf zu achten, wem und welche persönlichen Daten zugänglich gemacht werden und wo diese gespeichert werden. Je heikler die Daten sind, desto wichtiger sind zudem die Massnahmen zur Gewährleistung der Datensicherheit. Eine wichtige Massnahme ist die Verwendung möglichst sicherer Passwörter. Hierzu verwende ich seit einiger Zeit einen Passwortmanager, der Passwörter generiert und speichert. Mit einer Zwei-Faktor-Authentisierung kann der Schutz noch zusätzlich erhöht werden, was bei heiklen Daten sicherlich angebracht ist (Gesundheitsdaten, Finanzdaten etc.).

 

Vielen Dank für das Gespräch.

 

Marius Vischer ist Rechtsanwalt und Partner in der Anwaltskanzlei epartners in Zürich. Er ist schwerpunktmässig im IT- und Technologierecht, im Datenschutz- sowie im Wettbewerbsrecht tätig; er ist sowohl beratend als auch prozessierend tätig und gibt regelmässig Schulungen und leitet Workshops.

Sicherheit und Diskretion sind unsere wichtigsten Anliegen, wenn es darum geht, vertrauliche Daten zu vernichten. Doch auch der ökologische Aspekt darf dabei nicht ausser Acht gelassen werden. Erfahren Sie mehr über unseren Prozess der sicheren Dokumentenvernichtung und wie Sie mit unseren Dienstleistungen auch einen Beitrag für die Umwelt leisten.

 

Die Sicherheit privater Informationen war für Unternehmen und Privatpersonen noch nie so wichtig wie heute. Denn der Schutz vertraulicher Daten verringert nicht nur das Risiko einer Datenpanne, sondern kann auch dazu beitragen, das Vertrauen von Mitarbeiterinnen und Mitarbeitern und Kunden zu stärken und zu erhalten. Die richtige Vernichtung von vertraulichen Dokumenten ist deshalb ein immens wichtiger Faktor und zeigt: nur geschredderte Daten sind zuverlässig gelöscht und damit vor Datenmissbrauch geschützt.

 

Dennoch entscheiden sich nach wie vor einige Privatpersonen und Unternehmen für die Entsorgung ihrer vertraulichen Dokumente über die herkömmliche Papiersammlung. Dies mag zwar als umweltfreundliche Entsorgungsmöglichkeit gelten, aber es führt dazu, dass vertrauliche Informationen ungeschützt und gefährdet sind. Um die Risiken besser zu verstehen, ist es wichtig, die verschiedenen Schwachstellen der Papiersammlung im Vergleich zum sicheren Aktenvernichtungsprozess von Reisswolf zu kennen.

 

Schwachstellen der traditionellen Dokumentenentsorgung

 

Die Entsorgung von Dokumenten über die Papiersammlung birgt das Risiko, dass vertrauliche Informationen preisgegeben werden. Denn wenn die Mitarbeiter ihre vertraulichen Dokumente nicht mehr benötigen, werfen sie sie in die nächstgelegenen Papiersammelbehälter. Dadurch wird der Inhalt der Dokumente potenziell für jeden im Büro zugänglich, auch für Gäste und andere Personen, die normalerweise keinen Zugang zu den vertraulichen Informationen haben.

 

Später laden Mitarbeitende von Entsorgungsbetrieben, die für das Einsammeln von Altpapier und Karton zuständig sind, die unversehrten Dokumente auf einen Lkw, um sie zur Sortieranlage zu transportieren und später dem Recyclingprozess zuführen zu können. Dies hat wiederum zur Folge, dass unzählige Personen Zugriff auf die Dokumente haben und die Daten ungeschützt sind.

 

Das Verfahren „Entsorgung über die Papiersammlung“ mag zwar die umweltfreundlichste Variante sein. Doch sind vertrauliche Daten dabei ungesichert und es besteht die grosse Gefahr einer Datenpanne. Es zeigt sich also, wie wichtig es ist, Dokumente sicher zu vernichten und ordnungsgemässe Verfahren zur Aktenvernichtung einzuführen.

 

Sichere Vernichtung und Recycling von sensiblen Informationen sind möglich

 

Wir haben den sicheren Aktenvernichtungsprozess unter Berücksichtigung verschiedener Schwachstellen entwickelt, um zu gewährleisten, dass vertrauliche Informationen vom ersten Wegwerfen eines Dokuments bis zum Recycling sicher sind. Unser Prozess umfasst dabei folgende Schritte:

 

  1. Die Mitarbeiter werfen ihre vertraulichen Dokumente in einen abschliessbaren Reisswolf-Container ein. Die Behälter sind mit unserem Sicherheitsschloss e.l.sy. und mit einem abgeschrägten Schlitz versehen, um den Zugriff auf die entsorgten Dokumente zu verhindern.

  • Unser professionelles Team leert die Container und schreddert alle Dokumente. Dabei stehen unseren Kunden verschiedene Prozesse zur Verfügung. Der Zweck der Aktenvernichtung ist der Schutz vor unbefugtem Zugriff auf geschützte Informationen. Bei einem herkömmlichen Entsorgungsprozess können Unbefugte vertrauliche Dokumente stehlen, selbst wenn sie manuell zerrissen wurden, aber durch das Schreddern werden sichere Dokumente unlesbar gemacht.

  • Sind die vertraulichen Dokumente vollumfänglich geschreddert und damit vor jeglichem Datenmissbrauch gesichert, liefert unser Team schliesslich die geschredderten Dokumente zum Recycling an eine Papierfabrik. Dabei werden im Recyclingprozess mehr als 90 Prozent der Wertstoffe zurückgewonnen. Unsere Kunden profitieren dabei von den Vorteilen des Recyclings, ohne auf die Informationssicherheit verzichten zu müssen.

 

Damit gelingt es uns, eine absolut sichere nach DIN 66399 zertifizierte und trotzdem umweltfreundliche Lösung unseren Kundinnen und Kunden anbieten zu können. Unser Dienstleistungspaket umfasst unter anderem: Bereitstellen von abschliessbaren Sammelbehältern deren Austausch oder Leerung vor Ort und Transport mit speziellen Fahrzeugen und die Vernichtung der Daten durch unsere Hochleistungsschredder in einem eigens dafür eingerichteten und streng überwachten Sicherheitsraum. Wir dokumentieren den Weg der Akten von der Übergabe bis zur Vernichtung.