Privacy + Security: CH-DSG, CH-e-ID, EU-DSGVO, EU-GDPR – all for „the best privacy by design“ ?!

Aktualisierte oder neue Regulationen wie die in der Schweiz in Vernehmlassung stehenden Datenschutzgesetz (CH-DSG), Elektronische Identität (CH-e-ID), Bundesgesetz über das elektronische Patientendossier (CH-EPDG) und auch europäische / internationale Gesetze und Standards wie die Datenschutz-Grundverordnung (EU-DSGVO) / General Data Protection Regulation (EU-GDPR) haben anspruchsvolle und je nach Business Modell (z.B. bezüglich dem Umgang und Nutzung von personensensitiven Daten) tiefgreifende Auswirkungen und möglichst frühzeitige Massnahmen zur Folge in der Organisation / Prozesse / ICT-Prozesse bis hin zur Firmen- und ICT-Strategie. Beim EU-DSGVO / GDPR ist das als Beispiel bis spätestens dem Mai 2018 der Fall.

Mittels Regeln soll die Verarbeitung von personenbezogenen Daten (auch Datenhoheit, Daten-Selbst- oder Mit-Bestimmung, Datenlöschung, privacy by design, privacy by default) durch private Unternehmen und öffentliche Stellen EU-weit vereinheitlicht werden. Dadurch soll einerseits der Schutz von personenbezogenen Daten innerhalb der Europäischen Union sichergestellt, andererseits der freie Datenverkehr innerhalb des Europäischen Binnenmarktes gewährleistet werden. Dass hierbei das Binnenland Schweiz sich im Rahmen der eigenen Regulation nicht abschotten darf und kann ist aus meiner Sicht selbsterklärend. Schliesslich muss sich auch die Schweiz im Rahmen der Industrie 4.0 / Digitalisierung orientieren an Europa bzw. internationale Standards und nur dadurch von adaptierbare Innovationen von neuesten Entwicklungen in den Bereichen wie z.B. CyberSecurity, Privacy, Clouds, AI, Big Data, Data Science mitprofitieren kann im globalen Wettbewerb.

Was das in der Praxis bedeutet erfährt derzeit eine inflationäre Meinungsbreite. Folgend einige persönliche Meinungen:

Eigentlich kann der Datenschutz als Hochseil-Balanceakt und Gratwanderung zwischen den Unternehmensanforderungen in Zeiten der Digitalisierung und des Erfüllungsgrades der zunehmenden Bürokratie verstanden werden. Die Frage nach dem Fangnetz oder Balance-Werkzeug (z.B. von Strategie, Technologie und Prozessen) ist berechtigt.

Obwohl derzeit noch keine ausreichende Langzeit-Daten oder Erfahrungswerte vorhanden sind kann man eigentlich derzeit nur eine weitere Meinung einnehmen oder kundtun bzw. derzeit in “secure minded best practices” Prozess- und Technologie-Gestaltung vorbereiten und stufenweise einführen. Dabei sollte man auch eine gewisse Flexibilität für die anzunehmende Dynamik der weiteren Entwicklung beibehalten in der entsprechenden ICT-Gesamtarchitektur.

Derzeit gehören sicherlich die Aspekte des benötigten Datenschutzbeauftragten DSB / “data protection officer” DPO und der denkbaren Datenschutzverletzungen zur Risikominimierung (“data breach notification”) / Datenschutzfolgenabschätzungen (wird zu einem Teilbereich von “Risk Management”, internen Kontrollsystemen IKS oder “Incident Response Management”) zu den ersten praktischen Prioritäten. Bei den offiziellen Gesetzes-Vernehmlassungen zum CH-DSG , CH-e-ID, CH-EDPG seitens Bundesbern (bei welchem ich mit grossem Eigen- und Unternehmer-Interesse mitwirkte in Taskforces seitens isss.ch) ist entsprechende diesbezügliche Anpassung oder nötige Orientierung an die europäische Gesetzesgebung bzw. internationalen Standards abzusehen. Ungeachtet dessen kommt (zum Glück, aber jedoch nur wenigstens…) unverändert die einzuhaltende Pflicht gemäss CH-OR zur Anwendung von “Treue und Sorgfaltspflicht” beim Umgang mit Daten von Kunden und Geschäftspartnern.

In Anbetracht der umfassenden Überarbeitung und Zukunftsausrichtung von Privacy / Datenschutz ist natürlich erkennbar, dass prinzipiell ALLE Unternehmen, Branchen, Anbieter, Provider betroffen sind und alle zu “Hochseil-Tänzern” (hoffentlich mit besagtem Fangnetz oder Balance-Werkzeug) werden (müssen). Speziell genannt seien auch das Gesundheitswesen (eHealth, EPDG), Schulen, Universitäten, Personalwesen (HR Analytics, Recruiting, Assessment, Work Analytics), Platform-Economy (z.B. CRM, Nutzerverhalten, Einkaufsverhalten, Social Media / Engagement Analytics) und generell die “digitale Gesellschaft”.

Die Industrie 4.0 und die entsprechende Digitalisierung fordert integrierte und robuste Prozesse als Rückgrat der integrierten Collaboration – auch auf Basis von ICT-Systemen / Clouds und Schnittstellen mit dem Fokus auf maximale, auditierbare Angriffs- und Betriebs-Sicherheit bei maximalen Datenschutz- / Privacy-Aspekten.

Es sollen möglichst produkte- und methoden-neutrale Ansätze / Fragestellungen, aber basierend auf Regulationen / Industriestandards und durch jede Firmen- / Projekt-Grösse adaptierbare «best practices» umfassend / verständlich aufgezeigt und passend eingeführt werden. Und zwar so automatisiert und integriert, dass der betroffene Anwender, Geschäftspartner oder Kunde dadurch nicht gestört oder eingeschränkt wird, jedoch zu den relevanten Auswirkungen im Bilde ist, informiert wird und die transparente Kontrolle erhält und behält bei Bedarf. Dabei sollten auditierbare Prozess-Zyklen unter den Aspekten «identify + classification» / «labeling» / «protection» / «share» / «monitoring + logging» / «report + auditing» beachtet werden.

Der «Plattform Kapitalismus» und die «massive Interkonnektion» im Rahmen der Industrie 4.0 / Digitalisierung und neuen Universen wie auch IoT, Big Data, Data Science, Künstliche Intelligenz AI, «Cyberphysical Systems» hinterlassen Konzept- und Security-Fragen welche dann auch «managed» und «auditiert» werden müssen.

Ein reiner «Schweizer Datenschutz» in der Regulierung / Standardisierung ist aktiv zu verhindern, verbannt die Zukunft ins Ausland und es gehen adaptierbare Innovationen und Entwicklungen (auch Aufträge) im Ausland verloren ansonsten.

Im Rahmen der «Nationale Strategie zum Schutz der Schweiz vor Cyberrisiken NCS» (Fridel Rickenbacher ist ebenfalls Akteur) werden ebenfalls adaptierbare «Outcomes» (der bisherigen 16 verabschiedeten und kommenden Massnahmen) von den kritischen Infrastrukturen wie z.B. Kraftwerke, Stromversorgung, Flugverkehr, Verkehr, Spitäler, Grossbauten zu erwarten sein. Die zweite Auflage des NCS wird derzeit erarbeitet und bis Ende 2017 sollten weitere Details hierzu verfügbar sein.

Seit letztes Jahr laufende «Digitalisierungstest der Schweizer Gesetze» seitens SECO Bern (siehe Interview seitens Fridel Rickenbacher mit Dr. Eric Scheidegger) bilden ein weitere Grundlage für kommende Standards und Merkblätter oder gar Normierungen in allen Bereichen.

«Open Systems / Open Standards» verlangen nach möglichst offener (cross-connect, transparency) aber zugleich möglichst sicherer Collaboration der Akteure (Mensch und Prozesse) als Widerspruch von möglichst isolierten, geschlossenen Systemen bei möglichst maximalen Sicherheits-Stufen.

Ein «Security minded» Modell dient auch als Sensibilisierung / Mindset zur maximalen Sicherheits-Orientierung und Auditierbarkeit in Systemarchitekturen mit allen Akteuren (Mensch – Prozesse – Technologie – unter Betrachtung der physischen und logischen Sicherheit).

Eine intelligent orchestrierte, vollintegrierte ICT-Gesamtarchitektur mit Maximierung von Angriffs- und Betriebs-Sicherheit wird zur einer mittragenden Säule für die Industrie 4.0 / neue Geschäftsmodelle bzw. in diesem Anwendungsfall für die Erreichung des höchsten «Maturity Levels» / Reifegrades von bestehenden oder neuen «Business Models» / Geschäftsmodellen.

Die Zukunft wird geprägt werden von (hoffentlich) secure minded «Business Model Maturity Empowering» oder «Data Monetization» von allen «Business Models» / Geschäftsmodellen mittels ICT, Big Data, AI, Data Science.

Der Betriff «Data Monetization» oder ganz einfach übersetzt «Daten zu Erfolg bringen und zu Geld machen» zeigt einen anspruchsvollen Weg (oder gar Widerspruch?!) auf von Fachbereichen (Hochseil-Akt wie besagt…) wie «Privacy & Security», «Information Ethics» oder Ideen / Konzepte / Visionen der «digitalen Gesellschaft» oder auch «Open Data».

fridel_rickenbacher_avata512by1512.png
About Fridel Rickenbacher 23 Articles

Fridel Rickenbacher ist Mitbegründer, DPO CISO und Verwaltungsrat der MIT-GROUP, einem Totalunternehmen für «Empowering for the 4th Industrial Revolution». Redaktion SwissICT.ch und Experten-Gruppen in den Bereichen CyberSecurity, Privacy, Auditing, AI, eHealth, Information Ethics, digitale Gesellschaft, Baudigitalisierung,