DSV

Artikel 1 Art. regelt die Grundsätze, die bei der Bestimmung der Massnahmen zu beachten sind. Er übernimmt im Wesentlichen das Regelungskonzept von Artikel 8 Absätze 2 und 3 VDSG, wobei bestimmte Aspekte präziser geregelt werden. Artikel 8 Absatz 1 VDSG wurde hingegen gestrichen, da die Ziele zur Gewährleistung der Datensicherheit neu auf Gesetzesebene angesiedelt sind. Artikel 8 Absatz 2 nDSG legt namentlich fest, dass die Massnahmen der Datensicherheit es ermöglichen müssen, Verletzungen der Datensicherheit zu vermeiden. Eine Verletzung der Datensicherheit liegt gemäss Artikel 5 Buchstabe h nDSG vor, wenn Personendaten unbeabsichtigt oder widerrechtlich verlorengehen, gelöscht, vernichtet oder verändert werden oder Unbefugten offengelegt oder zugänglich gemacht werden. Daraus lassen sich die herkömmlichen IT-Schutzziele der Vertraulichkeit, Integrität, Verfügbarkeit und Nachvollziehbarkeit ableiten.

Gemäss Artikel 8 Absatz 1 nDSG müssen der Verantwortliche und der Auftragsbearbeiter eine dem Risiko angemessene Datensicherheit gewährleisten. In Artikel 1 Art. wird dieses Schutzziel in einem neuen Absatz 1 aufgenommen. Ausserdem werden verschiedene Kriterien zur Beurteilung des Schutzbedarfs (Abs. 2) sowie zur Beurteilung des Risikos für die Persönlichkeit oder die Grundrechte der betroffenen Person (Abs. 3) festgelegt. In Absatz 4 wird präzisiert, dass bei der Festlegung der technischen und organisatorischen Massnahmen, die zur Gewährleistung einer angemessenen Datensicherheit erforderlich sind, weitere Kriterien berücksichtigt werden können (Abs. 4). Die Liste der Kriterien lehnt sich an das geltende Recht an.

Artikel 1 Absatz 2 Art. übernimmt Artikel 8 Absatz 2 Buchstaben a und b VDSG in inhaltlicher Hinsicht und ergänzt diesen, um die Schutzbedarfsanalyse zu regeln. Der Schutzbedarf wird auf der Grundlage der Art der bearbeiteten Daten sowie des Zwecks, der Art, des Umfangs und der Umstände der Datenbearbeitung beurteilt. Dabei geht es insbesondere um das Schutzniveau, das angesichts des Risikos für die Persönlichkeits- und Grundrechte der betroffenen Personen gewährleistet werden muss. Je höher der Schutzbedarf, desto strenger sind die Anforderungen an die Massnahmen. Bei der Beurteilung des Schutzbedarfs sollten die folgenden Kriterien berücksichtigt werden:

Die Art der bearbeiteten Daten (Bst. a): Es ist beispielsweise entscheidend, ob besonders schützenswerte Personendaten (Art. 5 Bst. c nDSG) bearbeitet werden.

Zweck, Art, Umfang und Umstände der Datenbearbeitung (Bst. b): Der Zweck bezieht sich auf den Zweck der Bearbeitung und insbesondere auf die Prüfung, ob der Bearbeitungszweck ein erhöhtes Risiko für die Persönlichkeitsrechte und die Grundrechte mit sich bringt; bei der Art der Bearbeitung ist von Interesse, wie die Daten bearbeitet werden. Der Schutzbedarf kann beispielsweise bei einer vollständig automatisierten Entscheidung (Einsatz künstlicher Intelligenz) höher sein; der Umfang der Bearbeitung steht insbesondere im Zusammenhang mit der Anzahl der von der Bearbeitung betroffenen Personen (z. B. wenn umfangreich Daten bearbeitet werden oder systematisch umfangreiche öffentliche Bereiche überwacht werden). Bei der Nutzung einer Cloud kann der Schutzbedarf höher sein als wenn Daten auf einem internen Server ohne externe Zugriffsmöglichkeit gespeichert sind. Buchstabe b wurde entsprechend Artikel 22 Absatz 2 nDSG mit dem Ausdruck der “Umstände” der Datenbearbeitung ergänzt. Dabei handelt es sich um Aspekte, die im Einzelfall von besonderer Bedeutung sein können, weil sie Auswirkungen auf die anderen Kriterien haben. So können Kriterien einbezogen werden, die nicht in die Definition der bereits erwähnten Kriterien passen würden.

In Artikel 1 Absatz 3 Art. wird Artikel 8 Absatz 2 Buchstabe c VDSG aufgenommen und präzisiert. Mit der Bestimmung wird die Beurteilung des Risikos einer Verletzung der Persönlichkeit oder der Grundrechte der betroffenen Person eingeführt. Wie im vorherigen Absatz wird eine Reihe von Kriterien festgelegt. Der Absatz wird umformuliert, damit deutlich wird, dass die Ursachen des Risikos (Bst. a), die hauptsächlichen Gefahren (Bst. b), die zur Verringerung des Risikos ergriffenen oder vorgesehenen Massnahmen (Bst. c) sowie die Wahrscheinlichkeit und Schwere einer Verletzung der Datensicherheit (Bst. d) entscheidend sind. Dabei handelt es sich um eine Beurteilung gemäss einem Kaskadensystem: Das Ergebnis der Beurteilung nach einem Kriterium ist massgebend für die weitere Risikobeurteilung. Zu den einzelnen Punkten finden sich hier nähere Ausführungen:

Die Ursachen des Risikos (Bst. a): Es muss festgestellt werden können, welche Personen (z. B. eine IT-Verantwortliche, ein Nutzer, eine Konkurrentin) oder Ereignisse (z. B. Feuer, Computervirus) dem Risiko zugrunde liegen könnten.

Die hauptsächlichen Gefahren (Bst. b): Anhand dieses Kriteriums können Bedrohungen eruiert werden, die zu Verletzungen der Datensicherheit führen könnten (verlorene, beschädigte, veränderte, unsachgemäss oder betrügerisch verwendete Daten usw.).

Die getroffenen oder ergriffenen Massnahmen, um das Risiko zu verringern (Bst. c): Die verschiedenen technischen und organisatorischen Massnahmen, die zur Verringerung des Risikos vorgesehen oder ergriffen werden können, werden in Artikel 3 Art. präzisiert.

Die Wahrscheinlichkeit und Schwere einer Verletzung der Datensicherheit trotz der ergriffenen oder vorgesehenen Massnahmen (Bst. d): Die potenziellen Auswirkungen auf die betroffenen Personen müssen ermittelt werden, wenn beispielsweise Personen unrechtmässig auf Daten zugreifen (und sie weitergeben), sie ändern (was zu falschen Informationen über die betroffene Person führt) oder löschen (wodurch sie Gefahr laufen, notwendige Daten zu verlieren; hier ist z. B. an ein Patientendossier zu denken, in dem einige Daten vernichtet wurden, wodurch eine angemessene medizinische Behandlung verhindert wird). Dabei gilt: Je wahrscheinlicher der Eintritt einer Verletzung der Datensicherheit und je grösser die Auswirkungen für die betroffenen Personen, desto höher die Anforderungen an die Massnahmen. An dieser Stelle sei darauf hingewiesen, dass nicht jede Verletzung der Datensicherheit im Sinne von Artikel 5 Buchstabe h nDSG auch eine Verletzung der Mindestanforderungen im Sinne von Artikel 8 Absatz 3 nDSG und somit eine Verletzung der Sorgfaltspflichten gemäss Artikel 61 Buchstabe c nDSG darstellt. Eine absolute Sicherheit kann und soll nicht verlangt werden. So ist insbesondere vorstellbar, dass der Verantwortliche alle angemessenen Massnahmen getroffen hat, eine Verletzung der Datensicherheit aber dennoch eintritt, namentlich, weil sich das Restrisiko realisiert hat. Dieses kann dem Verantwortlichen nicht angelastet werden. Es ist im Rahmen der Mindestanforderungen vielmehr zu prüfen, ob der Verantwortliche und der Auftragsbearbeiter angesichts der konkreten Sachlage die angemessenen Massnahmen zur Gewährleitung der Datensicherheit getroffen haben, und zwar unabhängig davon, ob eine Verletzung der Datensicherheit eintritt.

In Anlehnung an Artikel 8 Absatz 2 Buchstabe d VDSG werden in Artikel 1 Absatz 4 Art. noch weitere Kriterien eingeführt, die bei der Festlegung der technischen und organisatorischen Massnahmen zur Gewährleistung der angemessenen Datensicherheit berücksichtigt werden können. Der Ausdruck “Festlegung” umfasst die “Beurteilung” und den “Entscheids” (in der französischen Fassung wird der Begriff “détermination” verwendet). Die Kriterien lauten wie folgt: der Stand der Technik (Bst. a) und die Implementierungskosten (Bst. b). Diese Kriterien geben nur indirekt Aufschluss darüber, ob Massnahmen ergriffen werden müssen und ob die zu ergreifenden Massnahmen angemessen sind.

Stand der Technik (Bst. a): Die Massnahmen sind unter Berücksichtigung des Stands der Technik (technischer und wissenschaftlicher Kenntnisstand) zu bestimmen und ggf. anzupassen. Der Stand der Technik meint die Berücksichtigung des gegenwärtigen Standes. Es ist also ausreichend, Massnahmen zu treffen, die bereits zur Verfügung stehen und sich entsprechend bewährt haben. Hingegen kann nicht verlangt werden, dass brandneue unerforschte Techniken oder solche die sich noch im Entwicklungsprozess befinden, eingesetzt werden.

Implementierungskosten (Bst. b): Der Begriff “Kosten” ist im weiten Sinn zu verstehen. Er ist nicht auf die finanziellen Kosten beschränkt, sondern umfasst auch die erforderlichen personellen und zeitlichen Ressourcen. Diese Terminologie entspricht der des europäischen Rechts (Richtlinie [EU] 2016/680 und DSGVO). Die Implementierungskosten sind – wie aus dem “Kommentar des Bundesamts für Justiz zur Vollzugsverordnung vom 14. Juni 1993 (Stand am 1. Januar 2008) zum Bundesgesetz über den Datenschutz (VDSG, SR 235.11)” (Ziff. 6.1.1) hervorgeht – auch gemäss geltendem Recht ein Kriterium bei Beurteilung der Angemessenheit der Massnahmen. In erster Linie ist allerdings darauf abzustellen, welche technischen und organisatorischen Massnahmen angesichts der Kriterien in Buchstaben a – c erforderlich sind. Verantwortliche und Auftragsbearbeiter können sich insbesondere nicht mit der Begründung von der Pflicht einer angemessenen Datensicherheit befreien, dass damit übermässige Kosten verbunden sind; vielmehr müssen sie jedenfalls in der Lage sein, eine angemessene Datensicherheit zu gewährleisten. Es kann auch nicht argumentiert werden, dass sich bei fehlendem Konzept bei der Entwicklung die Implementierungskosten zur Umsetzung der Datensicherheit nach Inbetriebnahme als zu hoch erweisen. Bei Legacy Applikationen (Altanwendungen) muss vielmehr die geplante Zeit bis hin zur Ablösung einbezogen werden (Lifecycle). Das Kriterium der Kosten kann jedoch bedeuten, dass bei mehreren zur Verfügung stehenden Massnahmen zur Gewährleistung eines stets angemessenen Datenschutzniveaus die kostengünstigere Variante bevorzugt werden darf.

Zur Gewährleistung der Datensicherheit kommen unterschiedliche Massnahmen in Betracht. Vorliegend seien beispielshaft drei Massnahmen erwähnt:

die Anonymisierung, Pseudonymisierung und Verschlüsselung von Personendaten: Die Anonymisierung trägt insbesondere dazu bei, dass allfällig negative Auswirkungen für die betroffenen Personen reduziert werden, die sich beispielsweise durch eine unbefugte Offenlegung von Personendaten ergeben können. Liegt eine Anonymisierung vor, so kommt das DSG gemäss dessen Anwendungsbereich gar nicht zur Anwendung.

Verfahren zur Identifikation, Bewertung und Evaluierung der Risiken und Überprüfung der Angemessenheit der getroffenen Massnahmen: Ab einem gewissen Risiko wird es in vielen Fällen sinnvoll beziehungsweise sogar notwendig sein, dass standardisierte Verfahren und Prozesse implementiert werden, welche die Risiken und die Angemessenheit der getroffenen Massnahmen nicht nur regelmässig überprüfen, sondern auch bewerten und evaluieren. Solche Massnahmen sind insbesondere bei automatisierten Systemen bedeutsam. Sie tragen dazu bei, dass die Datensicherheit dauerhaft gewährleistet wird und auch ihr Nachweis einfacher erbracht werden kann.

die Schulung und Beratung der mit der Umsetzung betrauten Personen: Diese Massnahme ist aus Sicht des Bundesrats bedeutsam, da die Umsetzung und Wirksamkeit der Datensicherheit auch insbesondere davon abhängt, ob die involvierten Personen die festgelegten Massnahmen anwenden. So kann eine fehlende Schulung und Beratung zu einer Datensicherheitsverletzung führen. Beispielsweise sollten die Mitarbeiter und Mitarbeiterinnen über das Risiko, Malware zu öffnen, aufgeklärt werden.

Letztlich bleiben bei der Bestimmung der Massnahmen selbstredend die Umstände des Einzelfalls massgeblich.

Die Massnahmen sind gemäss Artikel 1 Absatz 5 wie gemäss geltendem Recht laufend zu überprüfen und ggf. anzupassen. Insbesondere ist zu überprüfen, ob die Massnahmen noch immer dem Risiko angemessen und wirksam sind. Statt “periodisch” muss die Überprüfung neu “über die gesamte Bearbeitungsdauer hinweg” erfolgen. Der Überprüfungsbedarf hängt insbesondere von der Gefährdungslage für die Persönlichkeitsrechte und Grundrechte Betroffener ab: Je höher er ist, desto häufiger müssen die Massnahmen regelmässig überprüft werden. Die neue Formulierung geht in Richtung einer ständigen Überprüfung. Sie lässt dem Verantwortlichen und dem Auftragsbearbeiter jedoch einen grossen Ermessensspielraum. Eine Überprüfung kann sich zusätzlich aufdrängen, wenn eine Verletzung der Datensicherheit erfolgt oder die Bearbeitung von Personendaten angepasst worden ist. Artikel 1 Absatz 5 stellt darüber hinaus klar, dass nicht nur die technischen und organisatorischen Massnahmen während der gesamten Dauer der Bearbeitung, also während des gesamten “Lifecycles” der Personendaten, überprüft werden müssen, sondern auch der Schutzbedarf und die Risiken. Durch die Überprüfung des Schutzbedarfs und der Risiken wird (indirekt) auch überprüft, ob die technischen und organisatorischen Massnahmen geeignet sind.