Newsletter Anmeldung

Bleiben Sie mit dem Newsletter immer up to date.

Zur Anmeldung
Anfrage
arrow-to-top

Kategorie: Fachartikel Swiss Infosec AG

Swiss-U.S. Data Privacy Framework

10/2024 – Fachartikel Swiss Infosec AG

Hintergrund

Nach den Schrems 1 (2015) und Schrems 2 (2020) -Urteilen durch den EuGH und der Ungültigerklärung des Safe Harbor-Abkommens und des Privacy Shield-Abkommens folgt nun das Data Privacy Framework (DPF) oder auch Trans-Atlantic Data Privacy Framework (TADPF) genannt. Das DPF wurde anfangs 2022 angekündigt und sollte in erster Linie die Lücken schliessen, die der EuGH mit dem Schrems 2-Urteil geschaffen hatte. Durch den EuGH wurden im Schrems 2-Urteil insbesondere zwei Punkte des US-Rechts kritisiert: einerseits fehlende bzw. ungenügende gesetzliche Grundlagen für staatliche Datenzugriffe und das Fehlen von wirksamen Rechtsbehelfen.

Der neue Datenschutzrahmen ermöglicht nun einen sicheren Austausch von Personendaten zwischen der Schweiz und den zertifizierten US-Unternehmen. Zu diesem Schluss kam der Bundesrat an seiner Sitzung vom 14. August 2024. Das CH-US DPF ist am 15.09.2024 in Kraft getreten. Dadurch erlangt die USA einen Platz auf der Liste der Länder mit einem angemessenen Datenschutzniveau (PDF-Download).

Was bedeutet das neue DPF für Ihr Unternehmen?

Vom CH-U.S. Data Privacy Framework erfasst werden nur Direkttransfers von Personendaten an US-Unternehmen, die sich im Rahmen eines Zertifizierungsmechanismus (hier zur Liste der Unternehmen) zur Einhaltung von bestimmten Datenschutzgrundsätzen verpflichtet haben. Ausschlaggebend für die Lokalität (USA) ist nicht die physische Übermittlung, sondern wo sich der Empfänger der Daten rechtlich befindet. Voraussetzung für eine Zertifizierung ist, dass das betreffende US-Unternehmen der Aufsicht der U.S. Federal Trade Commission oder des U.S. Department of Transportation unterliegt.

Eine Übermittlung von Personendaten in die USA an ein zertifiziertes US-Unternehmen bedarf keiner Standard Contractual Clauses (SCC) mehr oder sonstigen zusätzlichen Massnahmen zur Sicherstellung eines angemessenen Datenschutzes (Art. 16 Abs. 2 DSG / Art. 46 Abs. 1 DSGVO). Bereits bestehende und in Verträgen integrierte SCC können weiterverwendet werden. Auch Intra-Group-Datenübermittlungen können sich auf das DPF stützen, sofern das Unternehmen zertifiziert ist. Insoweit behalten auch konzerninterne Weisungen zum Umgang mit Personendaten ihre Gültigkeit. Unternehmen, die sich auf Binding Corporate Rules abstützen, haben insoweit auch keinen Handlungsbedarf.

Ein Transfer Impact Assessment (TIA) ist nicht mehr notwendig, soweit sich eine Übermittlung auf das DPF stützt.

Einige US-Unternehmen haben keine Zertifizierung für HR-Daten erlangt. In einem solchen Fall dürfen an diese US-Unternehmen keine Personaldaten auf Grundlage des DPF übermittelt werden. Ob eine entsprechende Zertifizierung vorliegt (HR/Non-HR) kann aus obiger Liste entnommen werden. CH- und EU- Unternehmen müssen daher vor der Übermittlung von Personaldaten an US-Unternehmen eine entsprechende Vorprüfung vornehmen.

Betreffend Datentransfers in die USA durch Bundesorgane und kantonale Behörden wird abzuwarten sein, wie die öffentlichen Organe mit dem neuen Framework umzugehen versuchen bzw. ob sie davon profitieren können.

Was gilt es weiterhin zu beachten?

Weiterhin muss die Rechtmässigkeit der Bearbeitung von Personendaten sichergestellt werden. Dies umfasst insbesondere die Beachtung der allgemeinen Datenbearbeitungsgrundsätze nach Art.6 ff. DSG / Art. 5 ff. DSGVO. Zudem sollten jegliche Datenschutzhinweise (Datenschutzerklärungen, Banner etc.) auf ihre Richtigkeit überprüft werden. Falls Datenübermittlungen in die USA gestützt auf das DPF stattfinden, muss darüber entsprechend informiert werden (Art. 19 Abs. 4 DSG / Art. 13 Abs. 1 lit. f DSGVO). Ferner gilt es zu beachten, dass die Datenbearbeitungsverzeichnisse gestützt auf Art. 12 DSG / Art. 30 DSGVO in Bezug auf den Angemessenheitsbeschluss und die Rechtsgrundlage angepasst werden müssen.

Kontaktieren Sie uns und erfahren Sie in einem unverbindlichen Beratungsgespräch, was unsere Spezialistinnen und Spezialisten in Sachen Datenschutz für Sie tun können: +41 41 984 12 12, infosec@infosec.ch

Swiss Infosec AG; 25.09.2024
Kompetenzzentrum Datenschutz

Kategorie: Datenschutz | Fachartikel Swiss Infosec AG
Dominic Zbinden
Consultant
Anfrage
Dominic Zbinden
Consultant
Anfrage

Awareness: mehr als nur eLearning

Über das richtige Verhalten im Umgang mit Informationen

09/2024 – Fachartikel Swiss Infosec AG

In der modernen Cybersecurity-Landschaft ist das menschliche Verhalten ein entscheidender Faktor für die Sicherheit eines Unternehmens. Technologische Schutzmassnahmen allein reichen nicht aus, um gegen die vielfältigen und stetig wachsenden Bedrohungen gewappnet zu sein. Viele erfolgreiche Angriffe zielen direkt auf die Mitarbeitenden ab, indem sie menschliche Schwächen und fehlendes Sicherheitsbewusstsein ausnutzen. Phishing-Angriffe, Social Engineering und andere Manipulationstechniken sind darauf ausgelegt, Mitarbeitende zu täuschen und Sicherheitslücken zu öffnen.

Deshalb ist die Sensibilisierung der Mitarbeitenden unerlässlich. Sie schärft das Bewusstsein der Mitarbeitenden für potenzielle Bedrohungen und vermittelt ihnen das Wissen und die Fähigkeiten, um sicherheitsbewusste Entscheidungen zu treffen. Indem sie erkennen, wie Angreifer vorgehen und welche Sicherheitsmassnahmen sie ergreifen müssen, können Mitarbeitende aktiv dazu beitragen, das Unternehmen vor Cyberbedrohungen zu schützen. Kurz gesagt: Der Faktor Mensch ist oft das schwächste Glied in der Sicherheitskette, doch durch gezielte Awareness-Massnahmen kann er zur stärksten Verteidigungslinie werden.

Es gibt umfassende Awareness-Dienstleistungen, die weit über traditionelle eLearning-Programme hinausgehen und darauf abzielen, das Bewusstsein für Sicherheitsrisiken zu schärfen und das richtige Verhalten im Umgang mit Informationen zu fördern.

Awareness-Plattformen

Effektive Awareness-Plattformen können das Engagement der Mitarbeitenden signifikant steigern. Eine solche Plattform ist eine digitale Lösung, die es ermöglicht, verschiedene Inhalte wie interaktive Lernmodule, regelmässige Updates, Gamification-Elemente, Phishing-Simulationen, Lernvideos, usw. zentral zu verwalten und bereitzustellen, welche das Lernen spannend und relevant halten. Durch die gezielte Auswahl und Implementierung einer solchen Plattform können Unternehmen sicherstellen, dass ihre Mitarbeitenden aktiv in das Thema Informationssicherheit eingebunden werden.

Awareness-Kampagnen

Gezielte Awareness-Kampagnen, die auf die spezifischen Bedürfnisse eines Unternehmens abgestimmt sind, tragen massgeblich zur nachhaltigen Steigerung des Sicherheitsbewusstseins bei. Die Kampagnen nutzen verschiedene Kommunikationskanäle wie E-Mail-Newsletter und Plakatkampagnen, um kontinuierlich zu sensibilisieren und sicherzustellen, dass die Botschaften klar und einprägsam sind.

Phishing-Simulationen

Phishing ist eine Methode, bei der Angreifer versuchen, sensible Informationen wie Passwörter, Kreditkartendaten oder andere persönliche Daten von Personen zu stehlen, indem sie sich als vertrauenswürdige Quellen ausgeben. Daher sind Phishing-Simulationen per E-Mail, SMS und Telefon wirksame Methoden, um die Reaktionsfähigkeit der Mitarbeitenden zu testen und ihre Fähigkeit zur Erkennung und Abwehr von Phishing-Angriffen zu verbessern. Auch Simulationen von Deepfake- und USB-Stick-Angriffen bieten wertvolle Erkenntnisse und fördern ein tiefgehendes Verständnis der Bedrohungslage.

Social Engineering und Live Hacking

Social Engineering-Tests und Live Hacking Sessions bieten praxisnahe Einblicke in die Methoden von Angreifern und helfen, Schwachstellen im Sicherheitsnetz eines Unternehmens aufzudecken. Diese Massnahmen erhöhen das Bewusstsein der Mitarbeitenden für die Gefahren des Social Engineerings und Phishings, indem sie live demonstrieren, wie Angreifer vorgehen.

Interaktive Awareness-Referate und Keynotes

Interaktive Referate und Keynotes, insbesondere zu aktuellen Themen wie Deepfakes, bieten eine spannende und informative Einführung in die Informationssicherheit. Diese Veranstaltungen sind darauf ausgelegt, das Interesse und Engagement der Mitarbeitenden zu wecken und das Bewusstsein für aktuelle Bedrohungen zu schärfen. Zudem können Mitarbeitende die Zeit gleich nutzen, um mögliche Fragen zu stellen.

Security Edutainments

Security Edutainments kombinieren Unterhaltung und Wissensvermittlung, wodurch das Thema Informationssicherheit auf ansprechende Weise vermittelt wird. Mit interaktiven Spielen und Simulationen wird Lernen zum Erlebnis, das in Erinnerung bleibt und die Sicherheitsprinzipien nachhaltig im Arbeitsalltag verankert.

Awareness Give-aways und Wettbewerbe

Durch kleine Geschenke und Wettbewerbe kann die Motivation der Mitarbeitenden gesteigert werden, sich kontinuierlich mit dem Thema Informationssicherheit zu beschäftigen. Solche Aktionen unterstützen den Lernprozess auf spielerische Weise und schaffen eine positive Einstellung zur Thematik.

Workshops und Präsenzschulungen

Workshops und Präsenzschulungen richten sich an Führungskräfte, neue Mitarbeitende oder spezifische Gruppen und fördern eine sicherheitsorientierte Unternehmenskultur. Diese Schulungen sensibilisieren die Mitarbeitenden von Anfang an für Informationssicherheit und vermitteln Führungskräften sowie Spezialisten ihre Rolle und Verantwortung.

Beiträge und Publikationen

Regelmässige Beiträge und Publikationen halten das Thema Informationssicherheit im Bewusstsein der Mitarbeitenden präsent und bieten kontinuierliche Lernmöglichkeiten. Aktuelle Artikel, Fallstudien und Whitepapers informieren und motivieren die Mitarbeitenden, ihr Wissen ständig zu erweitern.

Awareness Assessment

Ein umfassendes Awareness Assessment ermöglicht es, den aktuellen Stand des Sicherheitsbewusstseins in einem Unternehmen zu ermitteln und gezielte Verbesserungsmassnahmen zu identifizieren. Regelmässige Assessments helfen, Fortschritte zu messen und sicherzustellen, dass Schulungsprogramme effektiv sind und kontinuierlich verbessert werden.

Awareness Manager as a Service

Ein spezialisierter Awareness Manager kann das Sicherheitsbewusstsein in Ihrem Unternehmen nachhaltig verbessern. Dieser Experte entwickelt und implementiert massgeschneiderte Awareness-Programme, die kontinuierlich an aktuelle Bedrohungslagen angepasst werden. So wird sichergestellt, dass die Sicherheitskultur stets auf dem neuesten Stand ist, sich stetig weiterentwickelt und genügend Gewichtung erhält. Wenn Sie diese Ressource nicht selbst aufbringen können, lohnt es sich, Verstärkung von extern zu holen.

Expertise der Swiss Infosec AG nutzen

Unsere umfassenden Dienstleistungen im Bereich Awareness stellen sicher, dass Ihre Organisation nicht nur auf dem neuesten Stand der Technik bleibt, sondern auch eine starke Sicherheitskultur entwickelt. Kontaktieren Sie uns, um mehr über unsere massgeschneiderten Lösungen zu erfahren und wie wir Ihnen helfen können, die Sicherheitskompetenz Ihrer Mitarbeitenden zu stärken. Unsere pragmatischen Lösungen sind auf die individuellen Gegebenheiten Ihres Unternehmens zugeschnitten und bieten eine effiziente Umsetzung der erforderlichen Sensibilisierungsmassnahmen.

Sind Sie an detaillierteren Informationen interessiert, dann besuchen Sie unsere Themenseite Awareness oder kontaktieren Sie uns direkt für ein unverbindliches Beratungsgespräch.

Swiss Infosec AG; 19.07.2024
Kompetenzzentrum Consulting, +41 41 984 12 12, infosec@infosec.ch

Kategorie: Awareness | Fachartikel Swiss Infosec AG
Ardiana Krasniqi
Consultant
Anfrage
Ardiana Krasniqi
Consultant
Anfrage
© Swiss Infosec AG 2025