(Zug)(PPS) Die Einführung des neuen Schweizer Datenschutzgesetzes (DSG) in 2023 lenkt die Aufmerksamkeit auf eine bisher wenig beachtete Datensicherheits-Schwachstelle: Personen- und Sicherheitsdaten verlassen über IT-Diagnose- und Protokoll-Daten – meist unbemerkt – Unternehmen und Behörden. In dem Webinar „IT-Diagnose- und Protokoll-Daten – datenschutzrechtliche Anforderungen und technische Sicherheits-Massnahmen“ informieren Experten am 27.9.2022 und 30.11.2022, jeweils um 13.30 – 14.15 Uhr, online über dieses Risiko im IT-Betrieb.
David Vasella, Anwalt und Partner bei der Walder Wyss AG, ordnet die Bedeutung von IT-Diagnose-Daten in dem Webinar datenschutzrechtlich ein:
„Bei der Umsetzung des Datenschutzrechts stehen Diagnose-, Log- und ähnliche Daten selten im Fokus. Haben sie Personenbezug, fallen sie aber unter das Datenschutzrecht. Daraus ergeben sich Auflagen und Einschränkungen bei der Speicherung solcher Daten, bei ihrer Bekanntgabe an Dritte und bei ihrer Auswertung.“
Er zählt zu den führenden Datenschutz-Experten und Herausgebern von Fach-Publikationen und ist Mitglied der SwissICT Rechtskommission.
Der IT-Security-Spezialist, Stephen Fedtke, spricht über technische Massnahmen wie Anonymisierung und Data Privacy For Diagnostics, um die schutzbedürftigen Daten in Dumps und Logs vor dem Zugriff Dritter zu bewahren. Der CTO bei Enterprise-IT-Security erklärt, warum Verschlüsselung den Zugang zu den Daten nicht verhindern kann.
IT-Diagnose-Daten in Form von Dumps, d.h. Speicherauszügen, und System-Logs, also IT-Protokoll-Dateien, entstehen bei technischen Problemen und Abstürzen von IT-Systemen und Applikationen. Daten, die sich zu einem solchen Zeitpunkt im Speicher befinden, haben aufgrund ihres Kontextes sehr häufig Personenbezug. Sie können sich z.B. auf Kunden oder Mitarbeitende beziehen. Darüber hinaus können sie auch Geschäftsgeheimnisse enthalten. Beispiele für diese Daten sind Personennamen, Kontaktdaten, Kontonummern, aber auch Krankheits-Diagnosen, Laborwerte, Schriftsätze oder Gesprächsprotokolle. Daneben enthalten sie sicherheitsrelevante Informationen wie IP Adressen, User IDs, Passwörter und Keys.
Zur Problemanalyse schickt der IT-Betrieb die IT-Diagnose-Daten an den Support externer Software-Anbieter und Dienstleister. Dieser wird oft aus Ländern ausserhalb der Schweiz geleistet, aus den USA, Indien oder China. In diesem Fall haben potentiell auch staatliche Behörden Zugriff auf diese Daten. Die Bekanntgabe von Personendaten in solche Staaten wirft schwierige datenschutzrechtliche Fragen auf.
Das neue Datenschutzgesetz fordert Massnahmen zur Gewährleistung der Datensicherheit: In Art. 8 Abs. 1 revDSG ist festgelegt:
„Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.“
Die am 31. August 2022 veröffentlichte Datenschutzverordnung sieht entsprechende Massnahmen vor. Eine Verletzung kann strafbar sein.
Für die technische Umsetzung des geforderten Schutzniveaus können die IT-Betriebe die nächsten Monate nutzen. Das revidierte Datenschutzrecht tritt am 1. September 2023 in Kraft.
Programm-Download und kostenfreie Anmeldemöglichkeit online:
Webinar „IT-Diagnose- und Protokoll-Daten – datenschutzrechtliche Anforderungen und technische Sicherheits-Massnahmen“ am 27.9.2022 und 30.11.2022, jeweils um 13.30 – 14.15 Uhr
