Wie gehe ich rich­tig mit Daten um?

Die Digi­ta­li­sie­rung hat den Umgang mit Daten in mancher Hinsicht verein­facht. Doch sie bringt auch neue Risi­ken. In der Studie Horak / Baumül­ler 2018 (Umfrage des Öster­rei­chi­schen Control­ler-Insti­tuts) nann­ten 88 Prozent der befrag­ten Insti­tu­tio­nen «Erhöhte Anfor­de­run­gen an Daten­si­cher­heit» als gröss­ten erwar­te­ten Nach­teil der Digitalisierung.

Daten­si­cher­heit

Daten­si­cher­heit hat das tech­ni­sche Ziel, Daten jegli­cher Art in ausrei­chen­dem Masse gegen Verlust, Dieb­stahl, Mani­pu­la­tio­nen und andere Bedro­hun­gen zu sichern. Für die Sicher­heit der Daten ist die Leitung einer Orga­ni­sa­tion verant­wort­lich. Die Kontrolle obliegt der stra­te­gi­schen Führung. Es sind entspre­chende orga­ni­sa­to­ri­sche und tech­ni­sche Mass­nah­men zu treffen. 

Schüt­zen Sie Ihre Daten unter ande­rem mit folgen­den Massnahmen:

1. Adäquate Zugangs­kon­trolle zu Ihren Räum­lich­kei­ten und insbe­son­dere zur IT-Infra­struk­tur sowie Zugriffs­be­schrän­kun­gen auf Daten.
   
2. Hinrei­chend komplexe Kenn­wör­ter oder Mehrweg-Authentifikation.
   
3. Verwen­dung einge­schränk­ter Benut­zer­rechte, so dass zum Beispiel System­da­teien nicht verän­dert werden können.
   
4. Aktu­ell­hal­ten der Software.
   
5. Deinstal­lie­ren veral­te­ter, unsi­che­rer und unbe­nutz­ter Software.
   
6. Erstel­len von Siche­rungs­ko­pien auf einem sepa­ra­ten Spei­cher­me­dium, in einem zwei­ten Rechen­zen­trum mit redun­dan­ter Spie­ge­lung oder mithilfe von Cloud-Lösungen.
   
7. Verwen­den einer Antivirensoftware.
   
8. Verwen­den von Firewalls.
   
9. Deak­ti­vie­ren akti­ver Inhalte.
   
10. Verschlüs­seln sensi­bler Daten, insbe­son­dere bei der Übermittlung.

All diese Mass­nah­men helfen jedoch nicht, wenn die Mitar­bei­ten­den unsorg­fäl­tig handeln. Der Sensi­bi­li­sie­rung und Befä­hi­gung der Mitar­bei­ten­den ist daher hohe Prio­ri­tät einzu­räu­men. Ein effek­ti­ves Sicher­heits­kon­zept berück­sich­tigt neben tech­ni­schen auch orga­ni­sa­to­ri­sche und perso­nelle Massnahmen.

Daten­schutz

Die gesetz­li­che Grund­lage für den Umgang mit Daten hat die EU im vergan­ge­nen Jahr ange­passt. Per 25. Mai 2018 wurde in der EU die neue Daten­schutz-Grund­ver­ord­nung (DSGVO) wirk­sam. Sie ist in allen EU/EWR-Staa­ten verbind­lich und setzt neue Mass­stäbe im Bereich Daten­schutz und Daten­si­cher­heit. Aktu­ell berät das Schwei­zer Parla­ment den Entwurf für ein völlig revi­dier­tes Daten­schutz­ge­setz. Der Entwurf orien­tiert sich an den Normen der EU. Auch Schwei­zer Non-Profit-Orga­ni­sa­tio­nen werden in Zukunft mit erhöh­ten Anfor­de­run­gen an Infor­ma­tion, Doku­men­ta­tion oder mit erwei­ter­ten Auskunfts- und Melde­pflich­ten, verbun­den mit empfind­li­chen Straf­sank­tio­nen, konfron­tiert sein.

Non-Profit-Orga­ni­sa­tio­nen bear­bei­ten Perso­nen­da­ten, sei es von Spen­dern, Gönnern, Mitar­bei­ten­den oder Kontakt­per­so­nen von Part­ner­or­ga­ni­sa­tio­nen. Jegli­ches Bear­bei­ten, wie Sammeln, Weiter­lei­ten oder Spei­chern von Perso­nen­da­ten, wie z.B. Name und Adresse, ist durch das Daten­schutz­ge­setz geschützt. Es reicht, dass eine natür­li­che Person iden­ti­fi­zier­bar ist. Bei beson­ders schüt­zens­wer­ten Perso­nen­da­ten wie z.B. Infor­ma­tio­nen zu poli­ti­schen Meinun­gen, Gesund­heit, Sozi­al­hilfe oder zur sexu­el­len Orien­tie­rung, gelten beson­dere Anfor­de­run­gen. Damit solche Daten recht­mäs­sig bear­bei­tet werden dürfen, gelten zusätz­li­che Anfor­de­run­gen an die Infor­ma­tion der betrof­fe­nen Person. Unter Umstän­den muss eine Einwil­li­gung einge­holt werden.

Mit der Zahlung einer Spende, der Teil­nahme an einem Anlass oder der Anmel­dung zu einem News­let­ter gibt die Person keine gene­relle Einwil­li­gung, ihre Daten auch für andere Zwecke nutzen zu können.

Unab­hän­gig davon, ob die DSGVO zusätz­lich zum Schwei­zer Recht anwend­bar ist, besteht bei Non-Profit-Orga­ni­sa­tio­nen Handlungsbedarf:

Verant­wort­lich­kei­ten fest­le­gen (inkl. Ressour­cen, exter­ner Unter­stüt­zung und Defi­ni­tion des Reportings.

Über­sicht gewin­nen und Prio­ri­tä­ten fest­le­gen (Bestand an Perso­nen­da­ten doku­men­tie­ren, Risi­ken abschät­zen, tech­ni­sche und orga­ni­sa­to­ri­sche Mass­nah­men der IT und andere Mass­nah­men ablei­ten und doku­men­tie­ren).

Prozesse einrich­ten (Meldun­gen bei Daten­schutz­vor­fäl­len, Auskunfts­be­geh­ren, Berich­ti­gungs- und Lösch­be­geh­ren, Anpas­sun­gen IT).