Newsletter Anmeldung

Bleiben Sie mit dem Newsletter immer up to date.

Zur Anmeldung
Anfrage
arrow-to-top

Kategorie: Datenschutz

Data Sharing und Data Networks: ein Regelwerk für sichere Datenökonomie

Das Sitra Rulebook als internationaler Referenzrahmen

Vielfältige Gründe sprechen für einen Datenaustausch über Organisationsgrenzen hinweg. Während die Vorteile kaum strittig sind, gibt es jedoch große Bedenken bezüglich der Umsetzung. Ganz weit oben auf der Liste der Entscheider liegt der Wunsch nach Gewährleistung von Datenschutz und Datensicherheit sowie nach einer kontrollierbaren Weiterverwendung der Daten. Oftmals führt eine unzureichende Klärung dieser Hindernisse zu einer unvollständigen Individuallösung oder gar zur Verhinderung der Operationalisierung. Hier bietet nun ein Regelwerk Abhilfe, das ein strukturiertes Vorgehen ermöglicht und auch Vorlagen für die Umsetzung beinhaltet. Als maßgeblich Beteiligte bei dessen Erarbeitung stellen wir das Regelwerk für faire Datenökonomie des finnischen Innovationsfonds Sitra vor und berichten von ersten erfolgreichen Umsetzungsprojekten. Dieses Regelwerk kann für jedes Unternehmen, das ein eigenes Datennetzwerk aufbauen oder an einem Datenökosystem teilnehmen möchte, systematisch angepasst und implementiert werden.

Von Datenaustausch, Datennetzwerken und Datenräumen

Der Wert von Daten in Wirtschaft und Gesellschaft nimmt zu und wird im Informationszeitalter mit demjenigen von Öl im Industriezeitalter verglichen. Organisationen rund um die Welt erkennen, dass Daten für Unternehmen oft unerlässlich sind, um den Gewinn zu steigern, das Management und die Innovation zu verbessern und eine Ressource für das Erreichen langfristiger Nachhaltigkeit zu sein.

Andererseits sind Daten eine ganz andere Art von Ressource als Öl. Der Wert von Daten ist in hohem Maße kontextabhängig und verändert sich mit dem beabsichtigten Verwendungszweck und -zeitpunkt. Daten können wiederverwendet und weitergegeben werden, oft ohne das Risiko, dass sie erschöpft werden oder an Wert verlieren. Daher sind neue Strategien erforderlich, die es Unternehmen ermöglichen, das Beste aus ihren internen Daten herauszuholen und sich gleichzeitig an Ökosystemen für den Datenaustausch zu beteiligen.

Der Datenzugang und die gemeinsame Nutzung von Daten tragen auch dazu bei, bestimmte gesellschaftliche, politische und rechtliche Ziele zu erreichen, die im öffentlichen Interesse liegen. Auch der Einzelne kann davon profitieren, wenn Daten leichter zwischen Dienstanbietern ausgetauscht werden können und gleichzeitig das Recht auf Privatsphäre und Datensouveränität gewahrt bleibt. Dem entgegen stehen zahlreiche Bedenken. Typische Hemmnisse für Unternehmen und Organisationen, sich an Datenaustausch zu beteiligen, sind unter anderem:

  • Fehlende semantische Interoperabilität der Daten
  • Fehlende Einigung auf neue Rollen und deren Aufgabenbeschreibung
  • Unzureichende Datenqualität
  • Bedenken, die Kontrolle über ihre wertvollen Daten und Handelsgeheimnisse zu verlieren, wenn sie diese mit anderen teilen
  • Bedenken, Datenschutzregeln ungewollt zu unterlaufen
  • Schwierigkeiten, die Vorteile von Datenaustausch darzustellen; fehlende Definition von Erfolg und Wert von Datenökosystemen

Auch Privatpersonen verlangen nach Fairness, Transparenz und besseren Kontrollmöglichkeiten bei der Verwendung ihrer persönlichen Daten. Es besteht ein großer Bedarf, das Vertrauen in Daten und KI zu verbessern und gleichzeitig Vertrauen zwischen den beteiligten Parteien zu schaffen.

Doch wie können Hemmnisse reduziert und die vielversprechenden Vorteile in der Realität erreicht werden? Voraussetzung ist zunächst, dass die Organisation bereits reflektiert hat, worin der eigene Mehrwert der gemeinsamen Nutzung von Daten in einem Netzwerk besteht. Dann sollten die Hauptakteure gemeinsam eine Vision für ihre Bemühungen um die gemeinsame Nutzung von Daten formulieren. Dieser kollaborative Ansatz erleichtert es zu überlegen, wie die gewünschten Geschäftsziele in der Praxis erreicht werden können – und auf mögliche Schwachstellen des eigenen Geschäftsmodells zu achten, wenn die Datenressourcen einer Organisation gemeinsam genutzt werden.

Ein Unternehmen kann sich dann ein eigenes Datennetzwerk aufbauen, über das es mit seinen Geschäftspartnern den Austausch organisiert. Werden mehrere solcher Datennetzwerke zusammengelegt, spricht man von einem Datenökosystem.

Eine Möglichkeit, ein Datennetzwerk beziehungsweise Datenökosystem umzusetzen, ist die Schaffung von Datenräumen (Data Spaces). „Datenraum“ ist ein neues Konzept, das auf der Idee der dezentralen Integration von Daten über ein Netzwerk von Teilnehmern aufbaut, wobei die Daten „an der Quelle gespeichert“ bleiben sollen. Das Hauptziel von Datenräumen besteht darin, Unterstützung und Funktionalität für die gemeinsame Nutzung unterschiedlicher Datenquellen im Datenökosystem zu bieten. Da es keinen zentralen Datenspeicher gibt, erfolgt der Datenaustausch direkt zwischen den Teilnehmern.

Daher müssen sich verschiedene Organisationen darauf einigen können, wie Daten nach bestimmten Regeln, die die Teilnehmer gemeinsam akzeptieren, gemeinsam genutzt werden können. Diese Regeln müssen von den relevanten Akteuren eines solchen Datenraums entwickelt, überarbeitet und harmonisiert werden, bevor der tatsächliche Datenaustausch realisiert wird.

Regelwerk für eine faire Datenwirtschaft

Es sind also Regeln notwendig, um sicherzustellen, dass alle Beteiligten in Bezug auf Datenverwaltung, Sicherheit und Datenschutz auf derselben Seite stehen. Ein Satz an kohärenten Regeln sind in einem Regelwerk zusammengefasst. Ein solches Regelwerk soll dazu beitragen, einen klaren Rahmen für die Datenverwaltung zu schaffen und festzulegen, wer unter welchen Bedingungen und zu welchem Zweck Zugang zu welchen Informationen hat. Regeln fördern das Vertrauen und die Transparenz, die für den Aufbau starker Beziehungen zwischen Unternehmen unerlässlich sind. Darüber hinaus reduzieren Regeln die Wahrscheinlichkeit von Datenschutzverletzungen und anderen Sicherheitsvorfällen. Dies könnte andernfalls dem Ruf eines Unternehmens schaden und es einer rechtlichen Haftung aussetzen. Ein klar definiertes Regelwerk hilft Unternehmen dabei, gesetzliche Vorschriften und Branchenstandards einzuhalten. Ohne solche Richtlinien könnte die gemeinsame Nutzung von Daten zufällig erfolgen und zu Konflikten, Datenschutzverletzungen und rechtlichen Problemen führen.

Ein Regelwerk schafft einen Mehrwert für ein Datennetzwerk, da es ein Mittel zur Lösung von Konflikten und zur Durchsetzung der Einhaltung von Vorschriften darstellt. Bei der gemeinsamen Nutzung von Daten zwischen Unternehmen treten schnell Probleme auf, zum Beispiel Meinungsverschiedenheiten über Eigentumsrechte oder unbefugten Zugriff. Eine Reihe von Regeln und Verfahren kann Unternehmen helfen, diese Konflikte zu bewältigen und einen klaren Weg zur Lösung zu finden.

Um den schwierigen Prozess zu einem Regelwerk zu erleichtern, stellen wir einen Rahmen vor, der es mehreren – und manchmal sogar konkurrierenden – Organisationseinheiten ermöglicht, zusammenzuarbeiten und Daten auf einer vertrauensbasierten Grundlage zu teilen: das Regelwerkmodell (Rulebook) für eine faire Datenwirtschaft des finnischen Innovationsfonds Sitra. Dieser Artikel erklärt diesen Regelwerkansatz, seine Grundprinzipien und Gestaltungsüberlegungen sowie die Erkenntnisse aus seiner praktischen Umsetzung. Außerdem wird gezeigt, wie der Prozess der Anpassung eines solchen Regelwerks an einen bestimmten Anwendungsfall der gemeinsamen Datennutzung die organisatorische Entwicklung fördert, neue Vertrauensbeziehungen zwischen den Teilnehmern eines Netzwerks für die gemeinsame Datennutzung schafft und dazu beiträgt, die gemeinsame Grundlage für Daten-Skalenerträge zu bilden.

Das Sitra Rulebook

Das Template des Sitra Rulebooks zielt darauf ab, die oben beschriebenen Hürden zu beseitigen. Sitra begann 2019 mit der Entwicklung von Grundregeln für die gemeinsame Nutzung von Daten. Eine breit angelegte Arbeitsgruppe aus Vertretern von Industrie, Wissenschaft, Interessenverbänden und Behörden erstellte 2020 die erste veröffentlichte Version des Rulebooks für eine faire Datenwirtschaft (Version 1.1) und aktualisierte es im Januar 2021 (1.2), im August 2021 (1.3) und im April 2022 (1.4). Die letzte Version 2.0 wurde im August 2022 veröffentlicht. Sie enthält auch einen neuen Sicherheitsteil: das Datensicherheits-Betriebsmodell. Alle Versionen des Rulebooks wurden zunächst auf Englisch veröffentlicht und dann ins Finnische übersetzt. Aufgrund der internationalen Nachfrage wurde die Version 1.2 des Regelwerkmodells 2021 vom SPMS – Shared Services des portugiesischen Gesundheitsministeriums in Portugiesisch veröffentlicht. Die Übersetzung der Version 2.0 ins Deutsche und Französische ist ebenfalls in Arbeit.

Ausgangspunkt für die Entwicklung des Regelwerks war es, alle verschiedenen Perspektiven des Datenaustauschs abzudecken, nämlich die geschäftliche, ethische, rechtliche, technische und sicherheitsrelevanten Perspektiven. Das Modell soll das Vertrauen stärken und den Aufbau eines Datenaustauschnetzes erleichtern. Um fair zu sein, wurde es als wesentlich erachtet, dass die Grundregeln die Privatsphäre und den Datenschutz stützen. Außerdem war die Vision, dass es die Zusammenarbeit und den Datenaustausch auch zwischen mehreren Netzwerken untereinander fördern würde, wenn sie alle die gleiche „DNA“ haben, das heißt über Regelwerke verfügen, die auf dem Sitra-Modell und den gleichen allgemeinen Geschäftsbedingungen basieren.

Schematischer Inhalt des Sitra Rulebooks. Die Ausformulierung der Dokumente erfolgte unter Berücksichtigung rechtlicher, geschäftlicher, sicherheitsrelevanter, technologischer und ethischer Perspektiven

Als Resultat stellt das Sitra Rulebook einen detaillierten Leitfaden dar, der aber für jeden Anwendungsfall gemäß der unterschiedlichen Natur des jeweiligen Geschäfts angepasst werden muss. Es besteht aus mehreren Komponenten. Es gibt eine allgemeine Einführung (Teil 1), die Leitlinien für die Anwendung des Modells unter verschiedenen Gesichtspunkten enthält. Diese Einführung ist als Webseite von Sitra veröffentlicht. Teil 2 hingegen enthält Mustervorlagen für rechtliche, geschäftliche, technische und administrative Regeln, eine Reihe von Kontrollfragen und Vorlagen für den Verhaltenskodex. Der zweite Teil ist ebenso auf der Website von Sitra verfügbar, passenderweise in bearbeitbarer Form als MS-Word-Dokumente:

  • Es wird zunächst das vertragliche Rahmenwerk mit allgemeinen Geschäftsbedingungen vorgestellt; der Gründungsvertrag und die Beitrittsverträge werden aufgesetzt. Dies beinhaltet die Beschreibung der möglichen Rollen der Teilnehmer (Data Provider, Service Provider, End User, Operator, Third Party End User) und auch ein Governance-Modell.
  • Die Beschreibung des Datennetzwerks wird in den Dimensionen Business/Geschäftslogik und Technologie über einen Leitfaden und ein Canvas ermöglicht.
  • Es wird ein Datensicherheits-Betriebsmodell vorgeschlagen.
  • Dem Thema Ethik wird ein angemessener Rahmen eingeräumt.

Prozess der Regelwerkentwicklung

Wenn die Entscheidung zur Schaffung eines Datennetzwerks getroffen wurde, werden folgende Schritte für einen Schnellstart der Regelwerkadaption vorgeschlagen:

  • Durchlesen der Einführung (Teil 1), um sich mit den verschiedenen Dimensionen des Modells vertraut zu machen
  • Kernteam bestimmen: Business Developer, Rechtsexperten, Technologieexperten, Ansprechpartner in Ethikfragen
  • Templates des Regelwerks aus Teil 2 mit den Spezialisten aus dem Kernteam durchgehen
  • Canvas für die Beschreibung des Datennetzwerks durchgehen; ebenso für den Geschäfts- und Betriebsteil und auch für den Technologie- und Sicherheitsteil; die Checkliste durchgehen und die dortigen Fragen für die Vertragsanhänge beantworten
  • Prüfen, ob das vorgeschlagene Glossar vollständig ist oder weitere Begriffe hinzugefügt werden sollen
  • Vertragsteil durchlesen und darüber entscheiden, wie er vervollständigt werden soll und welche Bestimmungen für den vorliegenden Fall angepasst werden sollen
  • Gründungsmitglieder des Datennetzwerks bitten, das grundlegende Vertragswerk zu unterschreiben; Start des Datenaustauschs: neue Mitglieder können über Abschluss des Beitrittsvertrags (Accession Agreement) teilnehmen

Da wir mehrere Implementierungen des Regelwerkmodells für verschiedene Anwendungsfälle und Datennetzwerke bereits durchgeführt haben, hat sich auf der Grundlage unserer Erfahrungen eine Sammlung von Best Practices für die Regelwerkentwicklung herausgebildet. Als Richtwert für die Dauer des Regelwerkentwicklungsprozesses gelten drei Monate. Die Vorbereitungsphase besteht darin, die relevanten Teilnehmer zusammenzubringen und sie mit dem Inhalt des Regelwerks und dem geplanten Prozess vertraut zu machen. In der nächsten Phase werden die geschäftlichen, rechtlichen, ethischen, technischen und sicherheitstechnischen Ziele und Grundsätze anhand der Fragen einer Checkliste durchgesprochen. Erst danach ist es ratsam, dass die Teilnehmer den ersten Entwurf des Regelwerks und der rechtlichen Vereinbarungen erstellen.

Zeitstrahl eines exemplarischen Regelwerk-Implementierungsprozesses, wie ihn 1001 Lakes in den vorgestellten Anwendungsfällen verwendet hat.

Der Prozess beinhaltet mehrere Iterationen, bis die endgültige Version von den Teilnehmern durch aktive Workshops und Rückmeldungen aus der rechtlichen Überprüfung festgestellt wird. Die letzte Phase umfasst die formale Annahme des Regelwerks durch die Gemeinschaft, das dann in Gebrauch genommen wird. Die operative Phase umfasst die Pflege des Regelwerks, aber auch andere Aktivitäten wie die Verfolgung, welche Teilnehmer das Regelwerk unterzeichnet haben, wer die aktiven Mitglieder sind und wie die Einhaltung des Regelwerks überwacht wird.

Anwendungsfälle: Wie lässt sich das Regelwerk in der Praxis anwenden?

Wir haben Anwendungsfälle sowohl im industriellen als auch im öffentlichen Bereich betreut. Es können sowohl individuelle Datennetze gestaltet werden als auch Rulebook-Spezialisierungen für ganze Datenökosysteme und Datenräume. Im Folgenden zwei Beispiele.

Ökosystem für Verkehrsdaten

Um die bestmögliche Grundlage für ein nachhaltiges Verkehrssystem in Finnland zu schaffen und einen Durchbruch bei der Innovation neuer Verkehrsdienste und -lösungen zu ermöglichen, müssen die Daten zwischen Strecken, Fahrzeugen, Dienstleistern und Endnutzern reibungslos fließen. Um dieses Ziel zu erreichen, haben die Verkehrsbetreiber und -akteure in Finnland ihre Kräfte gebündelt, um Lösungen für die Datennutzung und ein faires und offenes digitales Betriebsumfeld innerhalb eines offenen Datenökosystems zu schaffen. Diese Zusammenarbeit zielt darauf ab, wettbewerbsfähige und skalierbare Verkehrs- und Mobilitätsdienste für den finnischen und internationalen Markt bereitzustellen – Lösungen, die sicheres, emissionsarmes und nutzerorientiertes Reisen und Transportketten ermöglichen, die verschiedene Verkehrsträger kombinieren. Beispielsweise soll ein Nahverkehrsticket in der einen Stadt künftig auch für dieselbe Person in einer anderen Stadt gültig sein.

Das Traffic Data Ecosystem ist ein offenes Ökosystem, das im Jahr 2021 gegründet wurde und mehr als 150 Mitglieder hat (Stand März 2023). Ein offenes Ökosystem ist ein Betriebsmodell, bei dem Unternehmen durch die gemeinsame Nutzung von Daten und die Bereitstellung von Diensten füreinander gemeinsam einen Mehrwert für die Kunden des Netzwerks schaffen, den keiner von ihnen allein erreichen könnte. Alle Mitglieder des Netzes erhalten ihren gerechten Anteil an dem Mehrwert, der für den Kunden generiert wird. Unter [8] befinden sich auch die bezüglich der konkreten Aufgabenstellung ausgefüllten Templates des Sitra Regelwerkmodells als Download.

Der Beitritt bedeutet, dass man sich bereit erklärt, das Regelwerk des Verkehrsdatenökosystems einzuhalten, das auf dem Rulebook für faire Datenwirtschaft von Sitra basiert. Es schafft einen vertraglichen Rahmen, der die gemeinsame Nutzung von Daten und den Aufbau von gegenseitigem Vertrauen innerhalb des Verkehrssektors erleichtern wird. Das Regelwerk des Verkehrsdatenökosystems ermöglicht es Organisationen und Einzelpersonen, eine bessere Kontrolle über die von ihnen gemeinsam genutzten Daten auszuüben und unabhängig über die Nutzerrechte für diese Daten zu entscheiden. In der Praxis wird dies das Vertrauen in Datenintegrität, -qualität, -sicherheit, Betreiberidentität, Betreiberrollen und Nutzungsbedingungen stärken.

MyData für Städte

Ein weiteres Beispiel ist das Regelwerkmodell, das von der Stadt Helsinki eingeführt wurde, um die Nutzung personenbezogener Daten in den von der Stadt angebotenen Diensten zu steuern, oft zusammen mit anderen öffentlichen und privaten Organisationen, die in das breitere städtische Datenökosystem eingebunden sind. Mögliche Anwendungsfälle reichen von der Genehmigung der Nutzung stadteigener Fahrzeuge über die Überprüfung der Einkommensverhältnisse der Eltern im Zusammenhang mit Vorschulzuschüssen bis hin zur effizienteren Nutzung persönlicher App-Daten in städtischen Gesundheitsdiensten. Auch das separate An- und Abmelden bei einem Umzug von einer Stadt in eine andere kann hierdurch entfallen.

Aus einer auf den Menschen ausgerichteten Perspektive basiert die gemeinsame Nutzung von Daten auf vertrauensvollen, ausgewogenen und fairen Beziehungen zwischen Einzelpersonen und Organisationen, die Dienstleistungen anbieten. Die Städte als öffentliche Akteure haben das Potenzial, eine stärker auf den Menschen ausgerichtete Digitalisierung zu fördern, bei der die Bürger besser in der Lage sind, die Verwendung ihrer persönlichen Daten in den von den Städten angebotenen Diensten zu verwalten und zu verstehen, ohne ihre Privatsphäre zu gefährden. Die Bürger müssen in der Lage sein, ihre Zustimmung zur Verarbeitung ihrer personenbezogenen Daten für einen begrenzten Zweck problemlos zu erteilen oder zurückzuziehen, wenn beispielsweise keine rechtliche Verpflichtung für eine Behörde zur Verarbeitung dieser Daten besteht. In jedem Fall müssen die Menschen über die Verarbeitung personenbezogener Daten informiert werden und verstehen können, wie ihre Daten verwendet werden.

Um den notwendigen Informationsaustausch zu ermöglichen, befasst sich das „MyData-for Cities-Regelwerk“ mit der gemeinsamen Nutzung von Daten durch die verschiedenen Parteien. Dieses Regelwerk hilft Datenanbietern und Datennutzern, die Anforderungen geltender Gesetze und Verträge für städtische Daten zu bewerten, und leitet sie zu Praktiken an, die die Datennutzung und das Risikomanagement fördern. Gleichzeitig hilft das Regelwerk den Städten bei der Verwaltung ihrer Ad-hoc-Datennetze.

Diskussion und Zukunftsaussichten

Regelwerke helfen dabei, kritische Aspekte im Zusammenhang mit der gemeinsamen Datennutzung zu ermitteln, zu strukturieren und zu kommunizieren. Sie funktionieren wie ein Handbuch, das in Schlüsselbereiche (Wirtschaft, Ethik, Recht, Technologie, Sicherheit) und Schlüsselverträge unterteilt ist, die die Grundsätze der gemeinsamen Datennutzung zwischen den Beteiligten konkretisieren.

Zusätzlich zu den oben beschriebenen Anwendungsfällen wurde der Regelwerkansatz in zahlreichen anderen Kontexten angewandt, zum Beispiel im Gesundheitswesen (ECHO-Netzwerk von Kinderkrankenhäusern in ganz Europa), in der Landwirtschaft (Ernteplanung und Logistik für eine hochwertige Getreidekette) und in der intelligenten Fertigung (Entwicklung eines besseren Situationsverständnisses und Risikomanagements in einer Lieferkette). Wir gehen davon aus, dass in den nächsten Jahren Hunderte von Regelwerken auf der Grundlage dieses Ansatzes entstehen werden.

Das Sitra Rulebook wurde auch bei internationalen Aktivitäten im Bereich der Datenräume eingesetzt. Die International Data Spaces Association (IDSA) hat ein Schema für die gemeinsame Nutzung von Daten (IDS) definiert, das eine Referenzarchitektur, Open-Source-Bausteine und ein Zertifizierungssystem für die Schaffung und den Betrieb von Datenräumen umfasst. Das Ziel der IDSA ist es, internationale Datenräume (IDS) zu einem globalen Standard für den Datenaustausch und die Datensouveränität zu machen. Die IDSA hat ihr IDSA-Regelwerk veröffentlicht, das die funktionalen, technischen, betrieblichen und rechtlichen Aspekte für Datenräume spezifizieren soll, die den Anforderungen der IDS entsprechen. Das IDSA-Regelwerk enthält auch Leitlinien und bewährte Verfahren zur Umsetzung der Governance-Aspekte von IDS-konformen Datenräumen und empfiehlt zu diesem Zweck nachdrücklich das Regelwerkmodell von Sitra.

Da die Datenwirtschaft wächst und Organisationen mit immer komplexeren Datensätzen, Prozessen und Vorschriften umgehen müssen, wird die Verwaltung der Daten schwierig. Der Regelwerkansatz wurde als Planungs- und Entwicklungsinstrument für die gemeinsame Nutzung von Daten entwickelt. Er richtet sich an Unternehmen und Personen, die Geschäfte auf der Grundlage von Daten entwickeln, die von anderen Unternehmen oder Quellen stammen, und zwar innerhalb von Datenräumen und über Datenräume hinweg. Die Verwendung dieses systematischen Regelwerkansatzes zur Umsetzung der Governance-Aspekte der gemeinsamen Datennutzung kann viel Zeit, Geld und Kopfzerbrechen sparen.

Handlungsempfehlungen

  1. Beim Aufbau einen Datennetzwerks auf transparenten Regeln aufsetzen (Sitra Rulebook). Projekt mit allen Stakeholdern aufsetzen, erfahrene Beratung für Best Practices hinzuziehen
  2. Geschäftslogik für Datennetzwerk anhand des Canvas festlegen
  3. Schnellstart anhand öffentlich zugänglicher Vorlagen und Vorgehensmodell

Zur einfacheren Lesbarkeit wurden die Quell- und Literaturverweise entfernt.

Turpeinen, M., Pitkänen, O., Bub, U. et al. Data Sharing und Data Networks: ein Regelwerk für sichere Datenökonomie. Wirtsch Inform Manag 15, 174–183 (2023)

https://doi.org/10.1365/s35764-023-00473-3

http://creativecommons.org/licenses/by/4.0/deed.de

Kategorie: Datenschutz

Data Breach – Schon fast alltägliche Praxis!

07/2024 – Fachartikel von Thomas Nydegger & Ursula Thier, Swiss Infosec AG

Einleitung
In den letzten Jahren wurden Schweizer Unternehmen verstärkt zum Ziel von Hackerangriffen und Cyberkriminalität. Diese Angriffe richten sich nicht nur gegen Grossunternehmen wie Swiss, SBB, Ruag und Swissport, sondern zunehmend auch gegen KMUs. Die Vorfälle verdeutlichen die allgegenwärtige Bedrohung durch Cyberkriminalität und die Notwendigkeit verstärkter Sicherheitsmassnahmen und -strategien.

Eine fehlende Incident-Organisation kann bei einem Hackerangriff verheerende Folgen haben. Viele KMUs kennen keine Krisenszenarien für solche Vorfälle. Ohne definierte Prozesse wird die Reaktionszeit verzögert, was den Angreifern mehr Raum gibt. Eine solche Schwäche kann zu rechtlichen und finanziellen Konsequenzen führen. Unternehmen müssen sich dabei auch mit Datenschutzfragen und Meldepflichten gemäss den einschlägigen Gesetzen auseinandersetzen.

Meldepflichten für Unternehmen

Bei einer Datenschutzverletzung handelt es sich um eine Verletzung der Sicherheit, die dazu führt, dass Personendaten unbeabsichtigt oder widerrechtlich verlorengehen, gelöscht, vernichtet oder verändert werden oder Unbefugten offengelegt oder zugänglich gemacht werden (Art. 5 lit. h Datenschutzgesetz [DSG]). Das DSG verlangt vom Verantwortlichen, dass er Verletzungen der Datensicherheit (oder auch «Data Breaches»), die zu einem hohen Risiko für die betroffenen Personen führen, so rasch als möglich dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) (Art. 24 DSG) meldet. Meldepflichtig sind nur jene Verletzungen der Datensicherheit, die eine gewisse Schwere aufweisen. Eine blosse Gefahr einer Verletzung der Vertraulichkeit, Integrität oder Verfügbarkeit von Personendaten begründet noch keine Verletzung der Datensicherheit. Verlangt wird eine effektiv eingetretene Verletzung. Irrelevant ist, ob bloss eine Gefahr bestand, dass Unbefugte Daten einsehen können oder ob sie effektiv davon Kenntnis genommen haben.

Beispiel: Ein USB-Stick, auf welchem Personendaten gespeichert sind, wird im Zug liegengelassen. Zu prüfen ist, ob effektiv eine Verletzung der Datensicherheit vorliegt. Ist der USB-Stick dermassen verschlüsselt, dass es praktisch unmöglich ist, Kenntnis vom Inhalt zu nehmen, liegt keine Verletzung der Datensicherheit vor. Anders liegt der Fall, wenn der USB-Stick nicht oder ungenügend verschlüsselt ist. Im letzteren Fall ist eine Beurteilung vorzunehmen, ob durch die Verletzung der Datensicherheit ein hohes Risiko für die betroffene Person eingetreten ist. Je sensibler die Daten auf dem USB-Stick sind, umso höher wird das Risiko sein.

Unter Umständen sind auch die betroffenen Personen zu orientieren, vor allem dann, wenn Massnahmen zu ihrem Schutz getroffen werden müssen. Von dieser Information sind Ausnahmen möglich, beispielsweise weil eine gesetzliche Geheimhaltungspflicht dies verbietet oder weil die Information unmöglich oder mit unverhältnismässigem Aufwand verbunden ist (Art. 24 Abs. 5 DSG).

In der EU liegt die Schwelle für eine Meldung tiefer als beim DSG: Eine Meldung muss bereits erfolgen, wenn irgendein Risiko für die betroffene Person nicht ausgeschlossen ist. Die Meldung hat gemäss Art. 33 der europäischen Datenschutz-Grundverordnung (DSGVO) innerhalb von 72 Stunden an die Aufsichtsbehörde zu erfolgen. Gemäss Art. 34 DSGVO sind die betroffenen Personen zu informieren, wenn voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Person besteht.

Eventuell sind auch weitere Datenschutzgesetze (z.B. kantonale Datenschutzgesetze, ausländische Datenschutzbestimmungen) zu beachten.

Schweizer Unternehmen, die sowohl dem DSG als auch der DSGVO unterstehen, müssen prüfen, ob sie sowohl in der EU (nachfolgend sind jeweils sämtliche Staaten im Europäischen Wirtschaftsraum EWR mitgemeint) wie auch in der Schweiz die Meldung vornehmen müssen. Ist dies der Fall und hat das Unternehmen keine Hauptniederlassung in der EU, hat das Unternehmen die verschiedenen Aufsichtsbehörden in der EU parallel zu informieren und kann nicht vom „One-Stop-Shop“-Konzept gemäss Art. 56 DSGVO profitieren.

Schliesslich hat das Unternehmen zu prüfen, ob weitere Meldepflichten bestehen, beispielsweise aus Vertragsrecht oder besonderen regulatorischen Vorgaben (z.B. Art. 29 Abs. 2 nach dem Finanzmarktaufsichtsgesetz [FINMAG] oder Art. 74a ff. des Informationssicherheitsgesetzes [ISG]).

Praktische Umsetzung der Meldepflicht nach DSG und DSGVO

Umsetzung nach DSG

Bei einer Datenschutzverletzung ist es wichtig, schnell und strukturiert zu handeln, um die gesetzlichen Vorgaben zu erfüllen und potenzielle Schäden zu minimieren. Die Meldung an den EDÖB erfolgt in mehreren klar definierten Schritten.

  • Vorfall erkennen und bewerten: Sobald eine Datenschutzverletzung entdeckt wird, müssen Unternehmen sofort reagieren. Es gilt, alle relevanten Informationen über die Art und den Umfang der Verletzung zu sammeln. Eine interne Risikobeurteilung ist unerlässlich, um die potenziellen Auswirkungen auf die betroffenen Personen und das Unternehmen selbst einzuschätzen. Diese erste Bewertung legt den Grundstein für alle weiteren Schritte.
  • Dokumentation und Vorbereitung: Eine gründliche Dokumentation ist der Schlüssel zu einer erfolgreichen Meldung. Unternehmen müssen genau beschreiben, was passiert ist, welche Arten von personenbezogenen Daten betroffen sind und wie viele Personen betroffen sein könnten. Zudem sollten die sofort ergriffenen Massnahmen zur Eindämmung der Verletzung sowie eine Analyse der potenziellen Risiken und Folgen für die Betroffenen festgehalten werden.
  • Kontaktaufnahme mit dem EDÖB: Nachdem alle relevanten Informationen gesammelt und dokumentiert wurden, erfolgt die formelle Kontaktaufnahme mit dem EDÖB. Hierfür sollte das offizielle Meldeformular genutzt oder die Meldung schriftlich per Brief oder E-Mail eingereicht werden. Es ist wichtig, alle Kontaktdaten des Unternehmens und des Ansprechpartners für Datenschutzangelegenheiten anzugeben, um eine reibungslose Kommunikation sicherzustellen.
  • Inhalt der Meldung: Die Meldung an den EDÖB muss detaillierte Informationen enthalten. Dies umfasst eine genaue Beschreibung des Vorfalls, das Datum und die Uhrzeit der Feststellung der Verletzung sowie Details zu den betroffenen Datenkategorien und der Anzahl der betroffenen Personen. Weiterhin sollten die ergriffenen Sofortmassnahmen und geplanten weiteren Schritte zur Behebung der Verletzung beschrieben werden. Eine Einschätzung der möglichen Folgen und Risiken für die betroffenen Personen rundet die Meldung ab.
  • Nachverfolgung und Kommunikation: Nach Einreichung der Meldung ist es wichtig, auf eine Bestätigung und eventuelle Rückfragen des EDÖB zu warten. Unternehmen sollten bereit sein, bei Bedarf zusätzliche Informationen bereitzustellen. Gleichzeitig ist es erforderlich, die betroffenen Personen über die Datenschutzverletzung und die ergriffenen Massnahmen zu informieren, um Transparenz zu gewährleisten und das Vertrauen zu erhalten.
  • Interne Prozesse und Nachbereitung: Nach der Meldung ist eine gründliche Nachbereitung notwendig. Unternehmen sollten die Ursachen der Datenschutzverletzung analysieren und Massnahmen entwickeln, um diese zu beheben. Ein permanentes Monitoring und – bei Bedarf – eine Anpassung der bestehenden Sicherheitsmassnahmen ist ebenfalls entscheidend. Regelmässige Schulungen und Sensibilisierungsmassnahmen für Mitarbeitende im Bereich Datenschutz und Datensicherheit tragen dazu bei, zukünftige Verletzungen zu verhindern.

Umsetzung nach DSGVO

Die DSGVO legt strenge Anforderungen und klare Vorgaben für die Meldung von Datenschutzverletzungen fest, die sich in mehreren wesentlichen Punkten von den Anforderungen an eine Meldung an den EDÖB in der Schweiz unterscheiden.

Einer der bedeutendsten Unterschiede liegt in der Frist zur Meldung einer Datenschutzverletzung. Nach der DSGVO müssen Unternehmen eine Verletzung innerhalb von 72 Stunden nach Bekanntwerden an die zuständige Datenschutzbehörde melden, sofern die Verletzung ein Risiko für die Rechte und Freiheiten natürlicher Personen darstellt. Diese strikte Frist erfordert eine sehr schnelle und effiziente Risikobeurteilung, um sicherzustellen, dass die Meldung rechtzeitig erfolgt. In der Schweiz hingegen gibt es keine explizite Frist, obwohl es empfohlen wird, die Meldung «ohne Verzögerung» vorzunehmen.

Die DSGVO schreibt zudem detaillierte Dokumentationspflichten vor. Unternehmen müssen eine umfassende Beschreibung der Art der Verletzung, der betroffenen Daten und Personen sowie der ergriffenen Massnahmen zur Behebung und Eindämmung der Datensicherheitsverletzung liefern. Die Anforderungen sind rigoros und erfordern eine gründliche und detaillierte Dokumentation. Im Vergleich dazu sind die Dokumentationsanforderungen in der Schweiz weniger formell und detailliert, obwohl eine gründliche Dokumentation ebenfalls empfohlen wird.

Ein weiterer Unterschied besteht in der Art und Weise der Kontaktaufnahme mit der Datenschutzbehörde. Nach der DSGVO müssen Unternehmen die jeweils zuständige nationale Datenschutzbehörde informieren, wobei im Rahmen des One-Stop-Shop-Prinzips bei multinationalen Unternehmen mit Sitz in der EU eine federführende Behörde bestimmt wird. Dies erfordert eine klare Bestimmung der zuständigen Behörde und kann die Meldepflicht komplexer machen. Unternehmen mit Sitz in der Schweiz, die nicht über eine Niederlassung in der EU verfügen, sind aber vom One-Stop-Shop-Prinzip ausgenommen, was den Aufwand und die Komplexität nochmals erhöht.

Die Anforderungen an den Inhalt der Meldung sind unter der DSGVO sehr detailliert. Neben einer genauen Beschreibung des Vorfalls müssen Unternehmen auch die möglichen Folgen für die betroffenen Personen und die Massnahmen zur Behebung und Minimierung der Risiken angeben. Diese umfassenden Anforderungen stellen sicher, dass die Datenschutzbehörden ein klares Bild der Situation erhalten und angemessene Massnahmen ergreifen können.

Die DSGVO verlangt, dass Unternehmen die betroffenen Personen unverzüglich informieren, wenn die Datenschutzverletzung ein hohes Risiko für ihre Rechte und Freiheiten darstellt. Dies erfordert eine klare Kommunikation und gegebenenfalls zusätzliche Massnahmen, um die Betroffenen zu schützen. In der Schweiz besteht eine gesetzliche Verpflichtung zur Information der betroffenen Personen dann, wenn es zu ihrem Schutz erforderlich ist oder wenn es der EDÖB verlangt.

Risikoerkennung und -bewertung

Die Pflicht zur Meldung gegenüber den Datenschutzbehörden oder gegenüber den betroffenen Personen erfordert in jedem Fall eine Risikoabwägung. Die Risikoerkennung bei Datenschutzverletzungen ist jedoch komplex und bedingt ein schnelles und präzises Handeln. Unternehmen müssen bewerten, welche Arten von Daten betroffen sind und welche potenziellen Auswirkungen dies auf die betroffenen Personen haben könnte. Unvollständige Informationen unmittelbar nach der Entdeckung einer Verletzung erschweren eine schnelle und präzise Risikoanalyse. Die Einschätzung des Risikos kann unterschiedlich ausfallen und erfordert enge Zusammenarbeit zwischen IT, Recht, Compliance und Management. Standardisierte Verfahren und Tools zur Risikoerkennung fehlen oft, was die Konsistenz und Qualität der Analyse beeinträchtigen kann. Effiziente Prozesse und Schulungen in den Bereichen Datenschutz, Informations- und IT-Sicherheit sind deshalb unerlässlich, um den gesetzlichen Vorgaben gerecht zu werden.

EU-Vertretung von Schweizer Unternehmen nach Art. 27 DSGVO

Schweizer Unternehmen ohne Sitz in der EU, die Daten von EU-Bürgern bearbeiten, müssen einen Vertreter in der EU benennen. Das Fehlen eines solchen Vertreters führt zu Rechtsunsicherheit, erhöhtem Haftungsrisiko und Bussgeldern. Die verzögerte Kommunikation und ein Vertrauensverlust bei EU-Kunden sind weitere Risiken. Die Bestellung eines EU-Vertreters nach Art. 27 DSGVO durch Schweizer Unternehmen stellt sicher, dass die Anforderungen der DSGVO erfüllt werden und die Zusammenarbeit mit den EU-Datenschutzbehörden gewährleistet ist. Schritte zur Bestellung umfassen die Auswahl eines Vertreters, eine schriftliche Vereinbarung, öffentliche Benennung, Bereitstellung von Kontaktinformationen und effektive Kommunikation.

Folgen einer unterlassenen oder inkorrekten Meldung

Zwischen dem DSG und der DSGVO gibt es auch Unterschiede, was die Unterlassung einer Meldung betrifft. Wird eine Verletzung der Datensicherheit nicht gemeldet, ist diese Unterlassung nach DSG nicht strafbar. Anders sieht dies die DSGVO vor: Ein Verstoss gegen die Meldepflicht kann zu einem Bussgeld von bis zu € 10 Mio. oder 2% des weltweit erzielten Vorjahresumsatzes führen. Schweizer Unternehmen sollten deshalb in jedem Fall bemüht sein, sich an die Meldepflicht nach DSG zu halten, insbesondere dann, wenn sie gleichzeitig auch der Meldepflicht nach der DSGVO unterstehen. Denkbar sind auch zivilrechtliche Konsequenzen, sei es aus Vertragsbruch oder weil ein Data Breach zu einer widerrechtlichen Verletzung der Persönlichkeitsrechte der Betroffenen führt.

Vorteile eines externen Datenschutzberaters in einer Incident-Organisation

Ein externer Datenschutzberater bietet im Falle eines Hackerangriffs zahlreiche Vorteile, die sowohl die sofortige Reaktion als auch die langfristige Datenstrategie eines Unternehmens optimieren können. Hier sind die wesentlichen Aspekte, die den Einsatz eines externen Datenschutzberaters innerhalb einer Incident-Organisation besonders wertvoll machen:

  1. Genaue Beurteilung der Lage: Ein externer Datenschutzberater bringt eine objektive Sichtweise ein und kann eine präzise Ist-Analyse durchführen.
  2. Risikobewertung und Meldepflichten: Ein externer Datenschutzberater kann fundierte Empfehlungen zur Risikobewertung und zur Erfüllung der Meldepflichten geben.
  3. Mandatierung einer EU-Vertretung: Ein externer Datenschutzberater kann den Prozess der Mandatierung einer EU-Vertretung effizient unterstützen.
  4. Einheitliche Kommunikation: Bei der Meldung von Datenschutzvorfällen ist es wichtig, dass die Informationen konsistent und widerspruchsfrei an alle relevanten Stellen übermittelt werden.
  5. Kontinuierliche Verfügbarkeit und Vertretung: Ein externer Datenschutzberater bietet ständige Bereitschaft und Vertretung auch während Urlaubs- oder Krankheitszeiten.
  6. Expertenwissen und Schulungen: Externe Datenschutzberater bieten tiefgehendes Expertenwissen und langjährige Erfahrung und können Mitarbeiterschulungen durchführen.

Schlusswort

Die Bedeutung der Cybersicherheit für Unternehmen kann nicht genug betont werden. Angesichts der zunehmenden Bedrohungen durch Cyberkriminalität müssen Unternehmen proaktive Massnahmen ergreifen, um ihre Daten und Systeme zu schützen. Eine gut strukturierte Incident-Organisation und namentlich der Beizug eines externen Datenschutzberaters ist von entscheidender Bedeutung, um im Falle eines Angriffs schnell und effektiv reagieren zu können.

Kontaktieren Sie uns und erfahren Sie in einem unverbindlichen Beratungsgespräch, was unsere Spezialistinnen und Spezialisten in Sachen Datenschutz für Sie tun können: +41 41 984 12 12, infosec@infosec.ch

Swiss Infosec AG; 01.07.2024
Kompetenzzentrum Datenschutz

Kategorie: Datenschutz | Fachartikel Swiss Infosec AG
Thomas Nydegger
Managing Consultant
Anfrage
Thomas Nydegger
Managing Consultant
Anfrage
© Swiss Infosec AG 2026