In der Ära der Digitalisierung ist der Schutz von Informationen und persönlichen Daten von höchster Bedeutung. Die Schweiz hat reagiert und zwei wichtige Gesetze auf den Weg gebracht, um den Datenschutz und die Informationssicherheit auf ein neues Niveau zu heben: das Datenschutzgesetz (DSG) und das Informationssicherheitsgesetz (ISG). Im Folgenden wird ein kurzer Überblick über diese beiden Gesetze sowie deren Zusammenspiel gegeben.
Informationssicherheitsgesetz
Das ISG ist ein Meilenstein in der Sicherstellung der Informationssicherheit. Sein Hauptzweck besteht darin, die Vertraulichkeit, Integrität, Verfügbarkeit und Nachvollziehbarkeit von Informationen sicherzustellen, für die der Bund zuständig ist, sowie den sicheren Einsatz der Informatikmittel des Bundes. Hierbei liegt der Fokus auf der Gewährleistung der öffentlichen Sicherheit, innen- und aussenpolitischen Beziehungen sowie der Stabilität des Wirtschaftsverkehrs. Die Schutzziele umfassen sämtliche Bearbeitungsvorgänge, also auch Papierdokumente und mündliche Äusserungen.
Das ISG etabliert ein umfassendes Informationssicherheitsmanagement und bietet klare Schutzmechanismen, um potenzielle Gefahren und Risiken zu minimieren. Dazu gehören die Implementierung von Informationssicherheitsmanagementsystemen, die Klassifizierung von Informationen und die Sensibilisierung der Mitarbeitenden.
Datenschutzgesetz
Das DSG hingegen zielt darauf ab, die Privatsphäre und die Grundrechte der Personen im Zusammenhang mit der Verarbeitung ihrer persönlichen Daten zu schützen. Es umfasst primär die Datenbearbeitung durch Private.
Das DSG verfolgt einen risikobasierten Ansatz. Dabei erfolgt die Bewertung von Risiken aufgrund der Wahrscheinlichkeit, mit der ein Ereignis eintritt, und den Auswirkungen dieses Ereignisses auf die betroffenen Personen. Das DSG konkretisiert den verfassungsmässigen Schutz der informationellen Selbstbestimmung und den durch das Zivilgesetzbuch gewährleisteten Schutz der Persönlichkeit. Es legt die Regeln für die Verarbeitung personenbezogener Daten fest, definiert die Rechte der betroffenen Personen und verpflichtet die datenverarbeitenden Stellen zur Durchführung von Datenschutzfolgenabschätzungen in bestimmten Fällen.
Schutzmechanismen im DSG umfassen unter anderem die Einhaltung der Bearbeitungsgrundsätze nach Art. 6 DSG, die Gewährleistung der Datensicherheit, die Einwilligung der betroffenen Personen sowie die Anonymisierung und Pseudonymisierung von Daten. Eine Pflicht zur Etablierung eines Datenschutzmanagementsystems besteht nicht.
Zusammenwirken Informationssicherheitsgesetz und Datenschutzgesetz
Das Zusammenspiel zwischen dem ISG und dem DSG ist entscheidend, um eine umfassende Sicherheit und den Schutz der Privatsphäre zu gewährleisten. Während das ISG den Fokus auf die Sicherheit von Informationen legt, konzentriert sich das DSG auf den Schutz personenbezogener Daten. Dennoch gibt es Schnittstellen und gemeinsame Grundsätze. Beide Gesetze legen ihren Schwerpunkt auf die Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Nachvollziehbarkeit von Informationen und Daten sowie der zugehörigen Verarbeitungsprozesse.
In der Praxis wird es in Zukunft unpraktikabel sein, verschiedene Managementsysteme für Informationssicherheit und Datenschutz in einer Verwaltungseinheit zu haben. Lediglich durch die Anwendung dieses ganzheitlichen Ansatzes lassen sich die positiven Effekte nutzen, die sich aus der Zusammenarbeit und Integration der verschiedenen Disziplinen ergeben können.
Dieser Artikel basiert auf folgendem Beitrag: Sandra Husi-Stämpfli, Informationssicherheits- und Datenschutzgesetz: Chance auf ein neues Zeitalter, in: Jusletter 25. September 2023
