Cybersecurity: Kundenvertrauen im Hinblick kommender Regulationen

Ergebnisse aus aktuellen Umfragen

Eine vom Sicherheitsanbieter Gemalto in Auftrag gegebene und im Dezember 2015 veröffentlichte Umfrage ergab, dass

  • 75% der Teilnehmer denken, dass von den Firmen der Schutz ihrer Daten nicht sehr ernst genommen wird.
  • 64% der Teilnehmer äusserten, dass diese wahrscheinlich die Geschäftsbeziehung beenden würden, falls finanzielle oder sensitive Daten gestohlen würden.
  • 31% der Teilnehmer bereits Opfer eines Data Breachs waren.
  • 23% dieser Opfer sich überlegen Klage gegenüber den Firmen zu erheben.

Weiter zeigt der von PwC 2016 veröffentliche Global State of Information Security Survey“ (GSISS) unter anderem auf, dass 38% mehr Sicherheitsvorfälle sowie einen Anstieg um 56% bei Diebstählen von intellektuellem Eigentum gegenüber dem Vorjahr zu verzeichnen waren.

Auch wenn solche Umfragen meiner Meinung nach kritisch zu hinterfragen sind, so zeigen diese zumindest Sorgen und Tendenzen, die es wahrzunehmen zu gilt. Es lohnt sich deshalb, entsprechende angemessene Cybersecurity-Massnahmen zu definieren und wirksam zu implementieren.

 

EU-Strategie 2020

Die Europäische Union hat bereits 2010 in den Grundsätzen 1 „digitalen Binnenmarkt“ sowie 3 „Trust & Security“ ihrer Strategie 2020 verschiedene Tätigkeiten und Massnahmen definiert, um unter anderem das Vertrauen in IT-Dienstleistungen zu erhöhen und die Sicherheit von Daten und kritischen Infrastrukturen sicherzustellen. Im Eurobarometer zu Cybersecurity im Jahr 2012 haben sich beispielsweise 38% der Internetbenutzer geäussert, dass Sicherheitsbedenken hinsichtlich Online-Zahlungen bestehen.

Zwei dieser Tätigkeiten sind der Review und Überarbeitung der Europäischen Datenschutzregeln sowie die Gewährleistung einer hohen Netz- und Informationssicherheit (NIS). Beide Tätigkeiten sind bereits weit fortgeschritten. So wurden die Triloge zur NIS-Richtlinie am 8. Dezember 2015 resp. am 15. Dezember für die neue Datenschutzregulation abgeschlossen. Es ist deshalb zu erwarten, dass die resultierenden Gesetzgebungen 2016 vom Rat und vom Europäischen Parlament endgültig verabschiedet werden können.

 

Cybersecurity-Richtlinie oder NIS-Richtlinie

Der Entwurf zur Richtlinie „über Massnahmen zur Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit“ (NIS- / Cybersecurity-Richtlinie) sieht vor, dass das Vertrauen der Öffentlichkeit gestärkt wird durch:

  • Erhöhung der Abwehrbereitschaft der Mitgliedsstaaten u.a. durch Ausarbeitung nationaler NIS-Strategien und national zuständiger Behörden
  • Verbesserte Zusammenarbeit und Koordination unter den Mitgliedsstaaten
  • Bildung nationaler IT-Notfallteams (CERT)
  • Definition von verbindlichen Sicherheitsanforderungen an öffentliche Verwaltungen und Betreiber kritischer Infrastrukturen in den Sektoren Energie, Transport, Banking, Finanzmarktinfrastrukturen, Internet Exchange Points, Lebensmittelkette und Gesundheitswesen.

Die verbindlichen Sicherheitsanforderungen sollen diese Akteure verpflichten, geeignete Schritte zu unternehmen, um Risiken zu identifizieren und zu behandeln sowie gravierende Sicherheitsvorfällen den zuständigen Behörden zu melden. Hiervon betroffen sind sämtliche Akteure, welche Dienste in der EU bereitstellen.

Den nationalen Behörden sollen dabei entsprechende Umsetzung- und Durchsetzungsbefugnisse zugeteilt werden. Diese Befugnisse erlauben unter anderem Untersuchungen bei Verstössen oder das Einfordern von Evidenzen einer effektiven Implementation ihrer Sicherheitsrichtlinien beispielsweise durch Berichte einer unabhängigen Stelle. Weiter sollen die Mitgliedsstaaten Sanktionen erlassen, welche wirksam, angemessen, aber auch abschreckend sind.

Sobald diese Richtlinie in der EU angenommen wurde, haben die Mitgliedsstaaten voraussichtlich 21 Monate Zeit die Richtlinie umzusetzen und weitere sechs Monate, um die Betreiber wesentlicher Dienste zu bestimmen.

 

General Data Protection Regulation (GDPR)

Hinsichtlich dem Schutz von Personendaten sieht das kommende GDPR eine Verstärkung in verschiedenen Aspekten gegenüber der derzeitigen europäischen Datenschutzdirektive 95/46/EG vor. Insbesondere folgende, vorhandene Änderungen könnten geeignet sein, um das Vertrauen der betroffenen Personen in digitale Dienstleistungen zu erhöhen:

  • Verbindliche Anforderungen für Firmen hinsichtlich der Erkennung von Risiken und Auswirkungen sowie der Definition von angemessenen Sicherheitsmassnahmen, der Data Portabilität sowie dem Recht auf Vergessen
  • Früheres Greifen des Datenschutzes („Data Protection by Design and by Default“)
  • Bessere Mittel zur Rechtdurchsetzung
  • Stärkung der Datenschutzaufsichtsbehörden
  • Sanktionen von bis zu 1 Million Euro oder 2% des Umsatzes

 

Stand und Auswirkungen für die Schweiz

Der schweizerische Gesetzgeber ist ebenfalls aktiv und hat die Revision des aktuellen Datenschutzgesetzes angestossen. Obschon der exakte Gesetzestext noch nicht vorliegt, so ist bekannt, dass die Stossrichtung und Konzepte, welche für die GDPR bereits vorliegen auch im Schweizerischen Datenschutzgesetz in gleicher oder ähnlicher Form vorzufinden sein werden („Swiss Finish“).

Im Bereich Cybersecurity gibt es die nationale Strategie zum Schutz der Schweiz vor Cyber-Risiken (NCS) in welcher Massnahme 16 den Handlungsbedarf für rechtliche Grundlagen erfassen soll. Gemäss Jahresbericht 2014 zur NCS besteht jedoch derzeit nebst den laufenden ordentlichen Gesetzgebungsverfahren (*8) kein dringender Rechtsetzungsbedarf. Es ist jedoch anzunehmen, dass um eine gleichberechtigte Teilnahme am „digitalen Binnenmarkt“ der EU zu gewährleisten die europäische Cybersecurity-Richtlinie durch die Schweiz (in Teilen) übernommen wird.

Für Schweizer Firmen, welche Dienste in der EU anbieten, wird die GDPR wie auch, falls kritische Infrastruktur betrieben wird, die EU-Cybersecurity-Richtlinie, verbindlich sein.

 

Fazit:

Nebst den rechtlichen Anpassungen in der kommenden Gesetzgebungen, welche verpflichtende Anforderungen an Firmen stellen werden, sollte aber auch bereits heute ein entsprechend starkes Engagement einer jeden einzelnen Firma in Cybersecurity und Datenschutz vorhanden sein, um das Kundenvertrauen zu stärken resp. nicht zu verlieren.

 

 

Save the date:

Gerne machen wir Sie auf unser Webinar am Dienstag 26. Januar um 16.00 Uhr aufmerksam, in welchem wir Sie über den zu diesem Zeitpunkt aktuellen Stand zum Datenschutz sowie zur Cybersecurity-Richtlinie informieren möchten. Eine entsprechende Einladung mit weiteren Details erhalten Sie von uns im Januar.

Bei Fragen wenden Sie sich an:

Marco Schurtenberger, Cyber Security & IT Compliance Specialist marco.schurtenberger@ch.pwc.com, +41 58 792 22 33

Safe Harbor: stürmische See in Europa – aufziehende Sturmfront für die Schweiz?

Der Europäische Gerichtshof hat am 6. Oktober 2015 die Entscheidung (2000/520) der Europäischen Kommission aus dem Jahr 2000 (Safe Harbor), in der festgestellt wurde, dass die Vereinigten Staaten von Amerika ein angemessenes Schutzniveau für übermittelte Personendaten gewährleisten, für ungültig erklärt.

Safe Harbor Framework

Dieses Safe Harbor Framework war eine von mehreren rechtlichen Grundlagen, um Personendaten aus der EU in die USA an die etwa 5500 nach Safe Harbor selbstzertifizierten US-Unternehmen übermitteln zu dürfen. Mit dem Wegfall dieser Rechtsgrundlage muss die Datenübermittlung deshalb neu auf eine andere rechtliche Basis gestellt werden, so wie in Artikel 26 der EU-Direktive 95/46/EC vorgegeben.

Ungültigkeitserklärung

Der Europäische Gerichtshof hat die Ungültigkeitserklärung unter anderem wegen des ungenügenden Schutzes der übermittelten Personendaten vorgenommen, da das Safe Harbor Framework den Eingriff des amerikanischen Staates in die Grundrechte der Personen gestützt auf Gründe der nationalen Sicherheit und des öffentlichen Interesses oder auf Rechtsvorschriften der Vereinigten Staaten nicht angemessen begrenzt, sondern diesen Zielsetzungen gar Vorrang gegenüber den Grundsätzen von Safe Harbor einräumt. Es ist damit nicht genügend gewährleistet, dass der Zugriff auf Personendaten nur dann erfolgt, wenn er –gemäss europäischem Verständnis – erforderlich ist, und nur so weit, wie er verhältnismässig ist. Für die übermässige Verwertung von Personendaten durch staatliche Organe sei auf das von Edward Snowden offengelegte PRISM-Programm verwiesen.

Auswirkungen für die Schweiz

Für die Schweiz hat dieser Entscheid des Europäischen Gerichtshofs zwar vorerst nicht direkte Auswirkungen. Die Schweiz und die USA haben ein eigenes, allerdings mit dem US/EU-Agreement beinahe identisches Safe-Harbor-Regelwerk vereinbart, welches derzeit für etwa 3900 selbstzertifizierte US-Unternehmen ein ausreichendes Datenschutzniveau gewährleistet. Es ist jedoch damit zu rechnen, dass die stürmische europäische See mittelbar auch auf das schweizerische Datenschutzmeer überschwappt und der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte EDÖB ebenfalls zum Schluss kommen wird, dass das Schweizer Safe Harbor Framework den Anforderungen des schweizerischen Datenschutzrechts nicht mehr genügt. In seiner ersten Stellungnahme hat sich der EDÖB denn auch geäussert, dass durch den Entscheid des Europäischen Gerichtshofs auch das Abkommen zwischen der Schweiz und den USA in Frage gestellt sei, und dass für die Schweiz bei einer Neuverhandlung nur ein international koordiniertes Vorgehen, unter Einbezug der EU, zielführend sein könne.

Update:

Der EDÖB hat nun am 22.10.2015 festgehalten, dass das Safe-Harbor-Framework zwischen der Schweiz und der USA keine ausreichende rechtliche Grundlage für Datentransfer in die USA mehr bildet. Schweizer Unternehmen, welche Daten in die USA transferieren und sich für den Datentransfer auf das Safe-Harbor-Framework abstützen, müssen bis Ende Januar 2016 Garantien zur Gewährleistung eines angemessenen Schutzniveaus mit dem US-Unternehmen vertraglich vereinbaren. Damit wird zwar das Problem des unverhältnismässigen Behördenzugriffs nicht gelöst, allerdings kann das Datenschutzniveau so etwas verbessert werden. Weiter müssen betroffene Personen entsprechend klar und umfassend informiert werden, insbesondere im Hinblick auf die möglichen Behördenzugriffe .

Kontaktieren Sie unsere Experten, wenn Sie Safe Harbor diskutieren möchten: