Sondiert

Swissmedic setzt neue Gesetzgebung um Datenschutz und Informationssicherheit geniessen hohe Priorität

Swissmedic ist sich der Verantwortung für die ihr anvertrauten Informationen bewusst. Ein vertrauenswürdiger Datenschutz und eine robuste Informationssicherheit sind deshalb für Swissmedic als agile und datenzentrierte Behörde unabdingbar. Wie hat Swissmedic Projekte zur neuen Gesetzgebung im Bereich Datenschutz und Informationssicherheit umgesetzt?

Am 1. September 2023 ist in der Schweiz das totalrevidierte Datenschutzgesetz (DSG) in Kraft getreten. Es soll den Datenschutz verbessern, die Transparenz bei der Datenerhebung und -verarbeitung erhöhen und das Recht auf informationelle Selbstbestimmung der Bürgerinnen und Bürger stärken. «Es trägt den veränderten technologischen und gesellschaftlichen Rahmenbedingungen und Entwicklungen Rechnung und nimmt die Herausforderungen auf, die durch die verstärkte Nutzung digitaler Lösungen entstehen», sagt Helga Horisberger, Leiterin Recht und Mitglied der Geschäftsleitung von Swissmedic. «Zur Umsetzung der neuen Regelungen haben wir einen rechtskonformen, aber möglichst pragmatischen Ansatz verfolgt», erklärt sie. «Dabei unterliegt Swissmedic als Bundesbehörde strengeren Anforderungen als beispielsweise private Unternehmen – das macht alles sehr viel komplexer.»

Ebenso wichtig wie die technische Realisierung entsprechender Massnahmen sei die Sensibilisierung aller Mitarbeitenden. Damit sichergestellt ist, dass nur die wirklich erforderlichen Daten erhoben und gespeichert werden – so viel wie nötig, so wenig wie möglich. Denn: «Die grösste Gefahr für den Datenschutz liegt nicht in der Digitalisierung, sondern beim einzelnen Menschen», stellt die Expertin klar. «Individuelles Verhalten und Entscheide minimieren datenschutzrechtliche Gefahren – oder potenzieren sie.»

«Die grösste datenschutzrechtliche Gefahr liegt nicht in der Digitalisierung, sondern im individuellen Verhalten des Menschen.»

Helga Horisberger

Transparenz und Kontrolle

Um die Anpassungen umzusetzen, hat Swissmedic die eigenen Datenschutzpraktiken überprüft und geschärft. Dazu wurden eine Datenschutzpolicy und ein Datenschutzkonzept erarbeitet. Diese Grundsatzdokumente dienen der Klarstellung organisatorischer und technischer Aspekte sowie der Beschreibung von Verfahren und Abläufen. Darüber hinaus adressieren sie die Rechte und Pflichten aller internen und externen Mitarbeitenden in allen Bereichen, soweit Personendaten bearbeitet werden. Swissmedic hat eine interne Anlaufstelle für alle Fragen zum Datenschutz und als Kontaktperson für den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) bestimmt. Es finden regelmässig Treffen der Datenschutzverantwortlichen der Abteilungen sowie Schulungen der Mitarbeitenden statt.

Streiflicht auf die wichtigsten Neuerungen durch das DSG

Erweiterung besonders schützenswerter Personendaten
Neu dazu gehören biometrische und genetische Daten sowie Angaben über die Zugehörigkeit zu einer Ethnie.
Privacy by Default und Privacy by Design
Die Bearbeitung personenbezogener Daten muss so gestaltet sein, dass sie standardmässig einen hohen Datenschutz gewährleistet.
Benachrichtigungspflicht bei Datenschutzverletzungen
Swissmedic ist verpflichtet, sowohl den EDÖB als auch betroffene Personen unverzüglich über Datenschutzverletzungen zu informieren, sofern ein hohes Risiko für die Rechte der betroffenen Personen besteht.
Erweiterte Informationspflicht
Swissmedic muss betroffene Personen über die Bearbeitung ihrer Daten, den Zweck derselben und den Empfänger der Daten umfassender informieren.
Schutz nur für natürliche Personen
Das Datenschutzgesetz gilt fortan ausschliesslich für natürliche, nicht für juristische Personen (also zum Beispiel nicht für Vereine oder Firmen).

Die Anpassungen des DSG zielen darauf ab, die Schweiz mit den internationalen Standards und insbesondere mit dem europäischen Datenschutzrecht in Einklang zu bringen. Dies war von entscheidender Bedeutung für die Anerkennung des Datenschutzniveaus der Schweiz durch die EU, die im Dezember 2023 erfolgte.

Persönlichkeitsrechte im Fokus

Wichtige Neuerungen sind die Grundsätze des «Privacy by Design» (Datenschutz durch Technik) und «Privacy by Default» (Datenschutz durch datenschutzfreundliche Voreinstellungen), die sicherstellen, dass der Datenschutz bereits bei der Planung von Datenbearbeitungen berücksichtigt wird. Zudem führt das Gesetz die Pflicht zur Datenschutz-Folgenabschätzung (DSFA) ein, vor allem wenn sich durch die Verwendung neuer Technologien bei der umfangreichen Bearbeitung von besonders schützenswerten Personendaten ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen ergibt. Damit sollen Risiken für die Persönlichkeitsrechte der Betroffenen erkannt und minimiert werden. Bei Bedarf muss Swissmedic den EDÖB konsultieren: zum Beispiel, wenn ein neues Digitalisierungsprojekt geplant ist, bei dem die Gefahr bestehen könnte, dass personenbezogene Daten erhoben und gespeichert werden, die für die unmittelbare Aufgabenerfüllung nicht erforderlich sind. Teilweise müssen Bearbeitungsreglemente erstellt werden, die festlegen und standardisieren, wie personenbezogene Daten erhoben, gespeichert, geschützt, übermittelt und gelöscht werden.

Die Informationssicherheit kontinuierlich ausbauen

Das Hauptziel der Informationssicherheit besteht darin, alle relevanten Informationen einer Organisation vor unbefugtem Zugriff, Verlust oder unautorisierten Veränderungen zu schützen. «In der Sprache des Sicherheitsspezialisten ausgedrückt, bedeutet dies die Gewährleistung der Schutzziele Vertraulichkeit, Integrität, Verfügbarkeit und Nachvollziehbarkeit», sagt Daniel Leuenberger, Leiter Bereich Infrastruktur und Mitglied der Geschäftsleitung. Dabei geht es zum Teil auch um ganz praktische Dinge wie die Vermeidung von Schäden an Computern oder Kommunikationssystemen.

Die Sicherstellung der Rechtskonformität mit dem neuen DSG sowie die Weiterentwicklung der Informationssicherheit erfordern ständige Aufmerksamkeit und Anpassungen, um mit den immer neuen Bedrohungen Schritt zu halten. Ein aktuelles Beispiel hierfür sind Phishing-Angriffe, die mithilfe von künstlicher Intelligenz durchgeführt werden. Durch die Verwendung umfangreicher Sprachmodelle gelingt es Cyberkriminellen, mit minimalem Aufwand plausible Kontextinformationen aus Medienauftritten oder Geschäftsberichten zu gewinnen und daraus realitätsnahe Falschmeldungen zu erstellen, die von echten Nachrichten kaum mehr zu unterscheiden sind.

David Schneider, Datenschutzberater/Jurist IT-Recht

Verantwortungsbewusstsein fördern – Risiken minimieren

Am 1. Januar 2024 trat das Informationssicherheitsgesetz (ISG) in Kraft, das einen einheitlichen Rechtsrahmen für die Informationssicherheit des Bundes schafft. Es schliesst zahlreiche Lücken im bestehenden Recht und dient als Grundlage für eine nachhaltige Verbesserung der Informationssicherheit. Bereits vor dem Inkrafttreten des ISG hat sich Swissmedic als dezentrale Verwaltungseinheit des Bundes intensiv mit den neuen Bestimmungen auseinandergesetzt und vorausschauend Regeln, Verfahren und Massnahmen definiert, mit denen die Informationssicherheit gesteuert, kontrolliert, gewährleistet und optimiert wird. «Für uns als agile und datenzentrierte Behörde ist Vertrauenswürdigkeit essenziell», sagt Daniel Leuenberger. «In den neuen rechtlichen Bestimmungen werden die Massnahmen der Informationssicherheit als Gesamtsystem betrachtet. Das bestätigt uns in unserem Bestreben, die Informationssicherheit kontinuierlich und systematisch weiterzuentwickeln.»

Konkret hat Swissmedic in den letzten Jahren bereits mehrere entsprechende Projekte lanciert. Zentral sind dabei die neu geschaffene Position des Chief Information Security Officers (CISO) und das CISO-Office mit zwei Mitarbeitenden, das die Koordination, Umsetzung und Dokumentation der Informationssicherheit in der gesamten Organisation sicherstellt. Ein Kernelement ist der Aufbau eines vollwertigen Informationssicherheits-Managementsystems (ISMS) nach dem Standard ISO/IEC 27001, das über die gesetzlichen Anforderungen hinausgeht.

«Damit stellen wir sicher, dass alle Massnahmen im Gesamtsystem Swissmedic koordiniert umgesetzt werden», erklärt Clemens Chizzali-Bonfadin, CISO von Swissmedic. «Wurde die Informationssicherheit früher primär als IT-Thema betrachtet, wird sie nun zunehmend als ganzheitliche Aufgabe verstanden.» Das Gesamtsystem bindet alle Geschäftsbereiche mit ein. Über die ganze Swissmedic hinweg entsteht eine Sicherheitsorganisation. «Risiken werden dort verantwortet und mitigiert, wo sie ihre Wirkung entfalten», so Clemens Chizzali-Bonfadin. Mit anderen Worten: Die Teams, die von einem bestimmten Risiko direkt betroffen sind, übernehmen auch die Verantwortung für dessen Bewältigung. Denn sie sind am besten in der Lage, die Auswirkungen zu verstehen und Massnahmen zu ergreifen, um sie zu reduzieren. Das heisst auch, dass die Verantwortlichen für Applikationen oder Geschäftsprozesse die Sicherheitsdokumentationen zu Schutzobjekten selbst erstellen, unterstützt durch das CISO-Office.

Das aktuelle Projekt zur Einführung des Informationssicherheits-Managementsystems (ISMS) bei Swissmedic wurde im Juni 2023 abgeschlossen. Der laufende Betrieb beinhaltet kontinuierliche Verbesserungen und Anpassungen an aktuelle Rahmenbedingungen. Eine Inventarisierung aller Schutzobjekte wie diverse Applikationen sowie regelmässige Risikoanalysen und Reviews der Schutzdokumentationen sind ebenso Bestandteil des ISMS wie wiederkehrende Schulungen der Mitarbeitenden. Zur Unterstützung, Standardisierung und Automatisierung der Prozesse und Dokumente des ISMS wurde im März 2024 eine spezialisierte Anwendung eingeführt.