Datenschutz und Datensicherheit
Angriff ist die beste Verteidigung
Datenschutz und Datensicherheit kommen im Zuge der Digitalisierung eine wachsende Bedeutung zu. Nathanael Dänzer ist zuständig für das Thema Datenschutz bei Swisscom Health und erklärt, was der Unterschied zwischen Datenschutz und Datensicherheit ist und warum Swisscom Health ihre eigenen Systeme hacken lässt.
Text: Swisscom, Bild: Swisscom, 26. Oktober 2021
Datenschutz und Datensicherheit sind in aller Munde. Doch was ist der Unterschied?
Nathanael Dänzer: Ganz trennscharf sind die beiden Begriffe nicht, sie greifen ineinander. Aber grob kann man sagen, Datensicherheit bezieht sich auf die Infrastruktur. Also sind unsere Eingänge sicher, so dass nur befugte Personen Zugang zu den Büros und anderen Räumlichkeiten haben? Sind die Rechenzentren in einer sicheren Umgebung? Sind die IT-Systeme durch eine Firewall geschützt? Es geht darum, die Daten vor unbefugtem Zugriff und Verlust zu schützen. Beim Datenschutz geht es um den Umgang mit den Daten. Sprich unter welchen Voraussetzungen dürfen personenbezogene Daten erhoben, verarbeitet und genutzt werden?
Der Faktor Mensch spielt beim Datenschutz eine grosse Rolle?
Ja. Alle Personen, die mit sensiblen oder auch geheimnisgebundenen Daten zu tun haben, müssen wissen, wie damit umgegangen werden darf.
Gefühlt hört man immer öfter von erfolgreichen Hacker-Angriffen. Ein Beispiel ist Comparis. Auch von Gesundheitseinrichtungen sind solche Fälle bekannt, wie jüngst bei den Pallas Kliniken. Wie sicher sind unsere Produkte vor solchen Angriffen?
Vor dem Angriff kann man die Produkte nicht schützen, aber wir können den Erfolg der Hacker verhindern. Unsere Produkte sind sehr sicher. Wir tun auch einiges dafür. Bei Comparis handelte es sich um einen Ransomware-Angriff. Solche Angriffe werden meist über Sicherheitslücken in den Systemen gestartet oder über unvorsichtige Mitarbeitende, die beispielsweise schädliche Mailanhänge öffnen.
Was tun wir konkret dagegen?
Aus Sicht Datenschutz ist es so, dass bei Swisscom die Mitarbeitenden regelmässig auf diesem Thema geschult werden. Wir behandeln die uns anvertrauten Daten mit grösster Sorgfalt und im Einklang mit den gesetzlichen Vorgaben. Ein zentraler Punkt ist auch «Privacy by Design».
Was bedeutet «Privacy by Design» genau?
Das bedeutet, dass die Datenschutzgrundsätze bereits bei der Entwicklung der Produkte angemessen berücksichtig werden und zahlreiche organisatorische und technische Massnahmen getroffen werden, um den Datenschutz und die Datensicherheit zu gewährleisten.
«Vor dem Angriff kann man die Produkte nicht schützen, aber wir können den Erfolg der Hacker verhindern. Unsere Produkte sind sehr sicher. Wir tun auch einiges dafür.»
Nathanael Dänzer, Datenschutzbeauftragter
Und was tun wir aus Sicht Datensicherheit?
Aus Sicht Datensicherheit werden zum Beispiel die Daten von Swisscom verschlüsselt, so dass Dritte keine Einsicht in sie haben. Zudem beobachten wir zusammen mit zahlreichen Spezialisten die globale IT-Sicherheitssituation sowie die IT-Risiken für das Gesundheitswesen. Ein zusätzliches und effizientes Mittel zum Schutz vor Cyberangriffen beziehungsweise zur Überprüfung der Schutzmassnahmen sind Sicherheitstests.
Trifft Swisscom Health so regelmässig auf Sicherheitslecks?
Nicht regelmässig. Aber selbstverständlich kam das schon vor.
Was macht ihr, wenn ihr ein solches Sicherheitsleck entdeckt habt?
Wir verbessern die Produkte, treffen zusätzliche Sicherheitsmassnahmen und schliessen so die Lecks. Aber Swisscom Health allein kann den Datenschutz und die Datensicherheit nicht gewährleisten. Wir tragen als Provider zwar eine grosse Verantwortung, aber auch der Anwender unserer Software, also unsere Kunden, müssen ihren Teil der Aufgaben machen. In den Verträgen mit unseren Kunden sind daher klare Pflichten für beide Parteien hinsichtlich Datenschutz und Datensicherheit geregelt.
Was müssen unsere Kunden tun?
Sie müssen beispielsweise ihr Betriebssystem aktuell halten, sichere Passwörter verwenden und eine Mehr-Faktor-Authentifizierung nutzen.
Stichwort revidiertes Datenschutzgesetz: In der zweiten Hälfte des Jahres 2022 tritt es in Kraft. Was ändert sich dadurch für uns und unsere Kunden im Bereich Datenschutz?
Da unsere Kunden und damit auch wir mit besonders sensiblen Daten arbeiten, haben wir dem Datenschutz schon immer höchste Priorität geschenkt. Deshalb erfüllen wir bereits zum jetzigen Zeitpunkt viele Anforderungen des revidierten Datenschutzgesetzes. Wie bereits oben erwähnt ist «Privacy by Design» ein solcher Punkt. Bis zum Inkrafttreten des revidierten Datenschutzgesetzes werden wir mit unseren Kunden noch die Auftragsdatenbearbeitung regeln und sie dabei unterstützen, den betroffenen Personen Daten über ihre Person in einem gängigen elektronischen Format herauszugeben. Wir erfüllen bis Inkrafttreten des Gesetzes alle Anforderungen und werden diesbezüglich auch in Kontakt mit unseren Kunden treten.
Kontakt
Haben Sie Fragen zu Datenschutz und Datensicherheit sowie zum revidierten Datenschutzgesetz? Dann schreiben Sie uns ein E-Mail an Datenschutz.Health@swisscom.com.
Sie wollen allgemeine Informationen, wie wir mit Daten umgehen, die uns anvertraut wurden? Dann finden Sie diese in unserer Datenschutzinformation auf unserer Website.
