Die DigiÂtaÂliÂsieÂrung hat den Umgang mit Daten in mancher Hinsicht vereinÂfacht. Doch sie bringt auch neue RisiÂken. In der Studie Horak / BaumülÂler 2018 (Umfrage des ÖsterÂreiÂchiÂschen ControlÂler-InstiÂtuts) nannÂten 88 Prozent der befragÂten InstiÂtuÂtioÂnen «Erhöhte AnforÂdeÂrunÂgen an DatenÂsiÂcherÂheit» als grössÂten erwarÂteÂten NachÂteil der Digitalisierung.
DatenÂsiÂcherÂheit
DatenÂsiÂcherÂheit hat das techÂniÂsche Ziel, Daten jegliÂcher Art in ausreiÂchenÂdem Masse gegen Verlust, DiebÂstahl, ManiÂpuÂlaÂtioÂnen und andere BedroÂhunÂgen zu sichern. Für die SicherÂheit der Daten ist die Leitung einer OrgaÂniÂsaÂtion verantÂwortÂlich. Die Kontrolle obliegt der straÂteÂgiÂschen Führung. Es sind entspreÂchende orgaÂniÂsaÂtoÂriÂsche und techÂniÂsche MassÂnahÂmen zu treffen.
SchütÂzen Sie Ihre Daten unter andeÂrem mit folgenÂden Massnahmen:
- Adäquate ZugangsÂkonÂtrolle zu Ihren RäumÂlichÂkeiÂten und insbeÂsonÂdere zur IT-InfraÂstrukÂtur sowie ZugriffsÂbeÂschränÂkunÂgen auf Daten.
- HinreiÂchend komplexe KennÂwörÂter oder Mehrweg-Authentifikation.
- VerwenÂdung eingeÂschränkÂter BenutÂzerÂrechte, so dass zum Beispiel SystemÂdaÂteien nicht veränÂdert werden können.
- AktuÂellÂhalÂten der Software.
- DeinstalÂlieÂren veralÂteÂter, unsiÂcheÂrer und unbeÂnutzÂter Software.
- ErstelÂlen von SicheÂrungsÂkoÂpien auf einem sepaÂraÂten SpeiÂcherÂmeÂdium, in einem zweiÂten RechenÂzenÂtrum mit redunÂdanÂter SpieÂgeÂlung oder mithilfe von Cloud-Lösungen.
- VerwenÂden einer Antivirensoftware.
- VerwenÂden von Firewalls.
- DeakÂtiÂvieÂren aktiÂver Inhalte.
- VerschlüsÂseln sensiÂbler Daten, insbeÂsonÂdere bei der Übermittlung.
All diese MassÂnahÂmen helfen jedoch nicht, wenn die MitarÂbeiÂtenÂden unsorgÂfälÂtig handeln. Der SensiÂbiÂliÂsieÂrung und BefäÂhiÂgung der MitarÂbeiÂtenÂden ist daher hohe PrioÂriÂtät einzuÂräuÂmen. Ein effekÂtiÂves SicherÂheitsÂkonÂzept berückÂsichÂtigt neben techÂniÂschen auch orgaÂniÂsaÂtoÂriÂsche und persoÂnelle Massnahmen.
DatenÂschutz
Die gesetzÂliÂche GrundÂlage für den Umgang mit Daten hat die EU im verganÂgeÂnen Jahr angeÂpasst. Per 25. Mai 2018 wurde in der EU die neue DatenÂschutz-GrundÂverÂordÂnung (DSGVO) wirkÂsam. Sie ist in allen EU/EWR-StaaÂten verbindÂlich und setzt neue MassÂstäbe im Bereich DatenÂschutz und DatenÂsiÂcherÂheit. AktuÂell berät das SchweiÂzer ParlaÂment den Entwurf für ein völlig reviÂdierÂtes DatenÂschutzÂgeÂsetz. Der Entwurf orienÂtiert sich an den Normen der EU. Auch SchweiÂzer Non-Profit-OrgaÂniÂsaÂtioÂnen werden in Zukunft mit erhöhÂten AnforÂdeÂrunÂgen an InforÂmaÂtion, DokuÂmenÂtaÂtion oder mit erweiÂterÂten Auskunfts- und MeldeÂpflichÂten, verbunÂden mit empfindÂliÂchen StrafÂsankÂtioÂnen, konfronÂtiert sein.
Non-Profit-OrgaÂniÂsaÂtioÂnen bearÂbeiÂten PersoÂnenÂdaÂten, sei es von SpenÂdern, Gönnern, MitarÂbeiÂtenÂden oder KontaktÂperÂsoÂnen von PartÂnerÂorÂgaÂniÂsaÂtioÂnen. JegliÂches BearÂbeiÂten, wie Sammeln, WeiterÂleiÂten oder SpeiÂchern von PersoÂnenÂdaÂten, wie z.B. Name und Adresse, ist durch das DatenÂschutzÂgeÂsetz geschützt. Es reicht, dass eine natürÂliÂche Person idenÂtiÂfiÂzierÂbar ist. Bei besonÂders schütÂzensÂwerÂten PersoÂnenÂdaÂten wie z.B. InforÂmaÂtioÂnen zu poliÂtiÂschen MeinunÂgen, GesundÂheit, SoziÂalÂhilfe oder zur sexuÂelÂlen OrienÂtieÂrung, gelten besonÂdere AnforÂdeÂrunÂgen. Damit solche Daten rechtÂmäsÂsig bearÂbeiÂtet werden dürfen, gelten zusätzÂliÂche AnforÂdeÂrunÂgen an die InforÂmaÂtion der betrofÂfeÂnen Person. Unter UmstänÂden muss eine EinwilÂliÂgung eingeÂholt werden.
Mit der Zahlung einer Spende, der TeilÂnahme an einem Anlass oder der AnmelÂdung zu einem NewsÂletÂter gibt die Person keine geneÂrelle EinwilÂliÂgung, ihre Daten auch für andere Zwecke nutzen zu können.
UnabÂhänÂgig davon, ob die DSGVO zusätzÂlich zum SchweiÂzer Recht anwendÂbar ist, besteht bei Non-Profit-OrgaÂniÂsaÂtioÂnen Handlungsbedarf:
VerantÂwortÂlichÂkeiÂten festÂleÂgen (inkl. RessourÂcen, exterÂner UnterÂstütÂzung und DefiÂniÂtion des Reportings.
ÜberÂsicht gewinÂnen und PrioÂriÂtäÂten festÂleÂgen (Bestand an PersoÂnenÂdaÂten dokuÂmenÂtieÂren, RisiÂken abschätÂzen, techÂniÂsche und orgaÂniÂsaÂtoÂriÂsche MassÂnahÂmen der IT und andere MassÂnahÂmen ableiÂten und dokuÂmenÂtieÂren).
Prozesse einrichÂten (MeldunÂgen bei DatenÂschutzÂvorÂfälÂlen, AuskunftsÂbeÂgehÂren, BerichÂtiÂgungs- und LöschÂbeÂgehÂren, AnpasÂsunÂgen IT).