Der Austausch von Personendaten bleibt ein Flickenteppich
Aufgrund der Einführung der neuen EU-Datenschutz-Grundverordnung (DSGVO) und des angepassten Schweizer Datenschutzgesetzes veranlasste die EU im Frühjahr 2019 eine Neubeurteilung des Datenschutzniveaus der Schweiz: Unser Land benötige einen Angemessenheitsbeschluss der EU-Kommission, um Personendaten aus einem EU- oder EWR-Land in die Schweiz zu übermitteln. Dieser ist nun erfolgt. Weshalb damit nicht alle Probleme gelöst sind, lesen Sie in diesem Beitrag.
Bürgerinnen und Bürger sowie Unternehmen haben ein Recht auf Datenschutz. Das betrifft die Verfügbarkeit der Daten, den Schutz vor Manipulation sowie die Vertraulichkeit derselben. Ganz besonders relevant ist dies im Bereich von kritischen Infrastrukturen, wie beispielsweise im Gesundheitssektor oder auch im Finanzwesen.
Patienten und Patientinnen im Krankenhaus verlangen zurecht, dass etwa Laborergebnisse, die für die Behandlung notwendig sind, inhaltlich korrekt und zum richtigen Zeitpunkt am richtigen Ort verfügbar sind. Alles andere gefährdet die Behandlungsqualität und damit die Gesundheit der Betroffenen. Ebenso haben Bankkundinnen und Bankkunden ein berechtigtes Interesse daran, dass ihre Daten geschützt bleiben und nicht in falsche Hände geraten. In der Realität braucht es ein komplexes Zusammenspiel aus technischen und organisatorischen Massnahmen, um diesem Anspruch gerecht zu werden.
Die Bedeutung des grenzüberschreitenden Datenaustauschs
In einer digital vernetzten Welt kann diese Aufgabe nicht mehr von einem einzelnen Staat allein garantiert werden. Oder anders gesagt: Die nationalstaatliche Sichtweise, welche Jahrhunderte genügte, kann mit der technischen Entwicklung und den globalen Gegebenheiten nicht mehr Schritt halten. Das gilt zum Beispiel für den Schutz vor Hackerangriffen in Schweizer Spitälern – wo auch ausländische Staatsbürger und -bürgerinnen behandelt werden – oder umgekehrt, wenn Schweizerinnen und Schweizer im Ausland medizinische Hilfe benötigen.
Einerseits profitieren Patientinnen und Patienten davon, wenn Daten grenzüberschreitend vorhanden und sicher sind. Andererseits verlangt der Datenschutz die Einhaltung von Cybersicherheitsmassnahmen und stellt damit einen bestmöglichen Schutz vor Hackerangriffen sicher – sowohl in der Schweiz als auch im Ausland.
Cybersicherheitsdienstleister, Behörden und Unternehmen sind jederzeit auf Rechtssicherheit angewiesen: Nur so können sie den Datenschutz gegenüber ihren Kunden gewährleisten und nur so ist der Datenaustausch mit dem Ausland möglich. Für IT-Unternehmen kann der Datenaustausch z.B. aufgrund einer globalen Kundenbasis, einer Niederlassung im Ausland oder einer Zusammenarbeit mit internationalen Unternehmen relevant sein.
Am 15. Januar 2024 hat die EU gegenüber der Schweiz festgestellt, dass die Datenschutzbestimmungen der Schweiz angemessen sind (lesen Sie hier mehr dazu). Das wurde im entsprechend publizierten Angemessenheitsbeschluss des Eidgenössischen Datenschützers festgehalten.
Damit wurde ein wichtiges Zwischenziel für die Schweizer Digitalwirtschaft erreicht. IT-Unternehmen in der Schweiz können ihren EU-Kunden und -Kundinnen rechtssicher bestätigen, dass die von ihnen getroffenen Cybersicherheitsmassnahmen ein angemessenes Schutzniveau für Personendaten bieten. So sind Schweizer IT-Unternehmen für die EU interessante Geschäftspartner.
Der Bundesrat hält dazu fest, dass "die unbürokratische grenzüberschreitende Datenübermittlung aus der EU oder aus dem EWR für den Schweizer Wirtschaftsstandort und die schweizerische Wettbewerbsfähigkeit zentral ist".
Für die Schweiz ist der Datenschutz nur in 43 Ländern angemessen
Umso unverständlicher ist es, dass die Schweiz aktuell nur gerade 43 Staaten weltweit als entsprechend angemessen anerkennt und nur mit ihnen der Austausch von Daten rechtssicher möglich ist. Die Schweiz teilt diese Länder ausserdem in drei verschiedene Niveaus ein, mit entsprechend unterschiedlichen Anforderungen an technische Cybersicherheitsmassnahmen:
- Es gibt Länder, mit denen der Datenaustausch mit der Schweiz gemäss der EU-Richtlinie 2016/680 inklusive Personendaten zulässig ist.
- Dann gibt es eine Gruppe von Ländern, mit denen der Austausch gemäss einem Durchführungsbeschluss der Europäischen Kommission zulässig ist, d.h. der Datenaustausch ist möglich, obwohl kein Angemessenheitsbeschluss vorliegt (lesen Sie hier und hier (PDF) mehr dazu),
- sowie eine Gruppe von Ländern, mit denen zwar Daten ausgetauscht werden dürfen, aber keine Personendaten – was mit Blick auf das erwähnte Beispiel von Gesundheitsdaten natürlich einem Verbot nahekommt.
- Und schliesslich noch Kanada, wo je nach kanadischer Provinz andere technische Massnahmen umzusetzen sind.
Positiv ausgedrückt kann man von Schweizer Gründlichkeit und einem typischen "Swiss Finish" sprechen. Kommentare von "Seldwyla" bis "Absurdistan" sind in der Cybersicherheitsbranche aber ebenso zu vernehmen. Schweizer Unternehmen dürfen z.B. Daten mit der Isle of Man, den Färöer, oder Monaco austauschen. Aber mit über 150 anderen Staaten nicht. – Darunter führende Wirtschaftsnationen wie Japan oder die USA. Die vollständige Liste findet sich in Anhang 1 der Verordnung über den Datenschutz.
Die Gründe dafür bleiben undurchsichtig. An mangelnder technischer Expertise der Schweizer Digitalwirtschaft kann es nicht liegen. So hat die EU, welche mit der DSGVO eine der strengsten Datenschutzgesetzgebungen weltweit erlassen hat, entschieden, dass personenbezogene Daten aus der EU an die USA fliessen dürfen, ohne dass weitere Massnahmen erforderlich sind.
Wettbewerbsnachteil für die Schweizer Wirtschaft
Spätestens seit diesem Zeitpunkt hat die Schweizer Wirtschaft einen klaren Wettbewerbsnachteil gegenüber Unternehmen aus der EU. Jedes Schweizer Unternehmen und jede Schweizer Behörde, die personenbezogene Daten verarbeitet, ist davon betroffen – egal wie gut die präventiven, mitigierenden oder reaktiven Cybersicherheitsmassnahmen sind. Für Schweizer Cybersicherheitsunternehmen bedeutet dies, dass sie noch so gute Arbeit leisten können und doch von weltweit agierenden Kunden nicht berücksichtigt werden, weil der rechtliche Rahmen fehlt bzw. oder nur teilweise als angemessen anerkannt wird.
Sehr häufig nutzen Schweizer Firmen technische Lösungen aus den USA, wie z.B. die Cloud oder Office Umgebung. Aufgrund der fehlenden Angemessenheitserklärung durch die USA sind diese Firmen aus Datenschutzsicht als Anbieter weniger attraktiv als ihre Konkurrenten aus der EU, so dass Schweizer Firmen das Nachsehen haben. Auf der Webseite des EDÖB findet sich einzig ein knappes Statement, dass es Aufgabe des Bundesrates sei, über die Angemessenheit des Datenschutzes eines Staates zu entscheiden.
Obwohl die Gespräche offenbar weit fortgeschritten sind, lässt der entsprechende Beschluss des Bundesrates weiter auf sich warten. Leidtragende sind die Schweizer Bevölkerung, die Schweizer Cybersicherheitsunternehmen und ihre Kunden.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
Für die verschiedenen Newsletter der SATW können Sie sich hier anmelden. "SATW News" informiert allgemein über die Aktivitäten der SATW und "MINT" fokussiert sich auf das Themengebiet Nachwuchsförderung. Beide werden auf Deutsch und Französisch angeboten.
Alle weiteren gemeinsamen Beiträge von SwissCybersecurity.net und der SATW finden Sie hier.
Partner
Protonmail lanciert Dark Web Monitoring
Schweden seit Nato-Beitritt verstärkt im DDoS-Visier
Update: Fast 34 Millionen Roblox-Zugangsdaten landen im Darknet
Bitdefender startet Förderprogramm für Start-ups
Wieso man nicht ziellos herumirren sollte beim Telefonieren
Update: Cloud-Anbieter nach Ransomware-Angriff Konkurs
Hamster entrinnt dem Regenbogen-Labyrinth
Scammer kommen via Phishing-Mail an Facebook-Bezahldaten
Gil Shwed über Rücktritt, Cybercrime und KI
