Das Datenleck bei Funkwache und Unisecur zeigt exemplarisch, welche Anforderungen das Schweizer Datenschutzgesetz (DSG), Informationssicherheit und ICT-Governance an Unternehmen mit digitalen Geschäftsmodellen stellen. Sieben zentrale Lehren für Management und IT.

Massives Datenleck bei Parkplatzüberwachungsfirmen: Sieben Lehren für Datenschutz, Informationssicherheit und digitale Governance

Das Datenleck bei Funkwache und Unisecur zeigt exemplarisch, welche Anforderungen das Schweizer Datenschutzgesetz (DSG), Informationssicherheit und ICT-Governance an Unternehmen mit digitalen Geschäftsmodellen stellen. Sieben zentrale Lehren für Management und IT.

Massives Datenleck bei Parkplatzüberwachungsfirmen: Sieben Lehren für Datenschutz, Informationssicherheit und digitale Governance

Ein Datenleck beginnt nicht erst dann, wenn Daten missbraucht werden. Es beginnt dort, wo sie unbefugt zugänglich sind. Genau diese Erkenntnis macht den kürzlich bekannt gewordenen Fall der Parkplatzüberwachungsfirmen Funkwache AG und Unisecur GmbH zu einem Lehrstück für Unternehmen mit digitalen Geschäftsmodellen.

Gemäss Medienberichten waren über längere Zeit Datenbanken mit mehreren hunderttausend Einträgen über das Internet erreichbar. Betroffen gewesen sein sollen unter anderem Namen, Adressen, Fahrzeugdaten, Aufenthaltsorte sowie Informationen zu Strafverfahren und Strafbefehlen. Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) hat angekündigt, den Sachverhalt zu prüfen.

Unabhängig davon, wie die Untersuchung im Einzelfall ausgeht, zeigt der Fall exemplarisch, wo heute die grössten Risiken digitaler Geschäftsmodelle liegen: weniger in spektakulären Hackerangriffen als vielmehr in organisatorischen Schwächen, fehlender Governance und unzureichender Informationssicherheit.

Datenschutz beginnt bei der Unternehmensführung – nicht in der IT

Viele Unternehmen verstehen Datenschutz noch immer primär als juristische Pflicht oder als Aufgabe der IT-Abteilung. Das greift zu kurz.

Wer digitale Dienstleistungen anbietet oder Personendaten bearbeitet, trägt Verantwortung für den gesamten Lebenszyklus dieser Daten – von der Erhebung über die Speicherung bis zur Löschung. Datenschutz, Informationssicherheit und Governance bilden dabei keine voneinander getrennten Disziplinen, sondern greifen ineinander.

Gerade Unternehmen, deren Geschäftsmodell auf digitalen Prozessen oder Plattformen basiert, sollten den vorliegenden Fall deshalb weniger als Einzelfall denn als Anlass verstehen, die eigene Organisation kritisch zu hinterfragen.

Exkurs: Was ist eine Datensicherheitsverletzung?

Nach dem Schweizer Datenschutzgesetz liegt eine Datensicherheitsverletzung nicht erst dann vor, wenn Personendaten gestohlen oder veröffentlicht werden. Art. 8 DSG verlangt, dass um Verletzungen der Datensicherheit zu vermeiden angemessene Massnahmen getroffen werden.

Für eine Verletzung bereits ausreichend ist beispielsweise,

  • dass Personendaten unbefugten Dritten zugänglich werden könnten,
  • dass Administratorenbereiche ohne ausreichenden Schutz erreichbar sind,
  • dass Daten versehentlich offengelegt werden oder
  • dass Verfügbarkeit, Integrität oder Vertraulichkeit von Personendaten beeinträchtigt werden.

Ob tatsächlich ein Missbrauch stattgefunden hat, ist für die rechtliche Beurteilung zunächst nicht entscheidend.

Sieben Lehren aus dem Data Leak für Unternehmen

1. Informationssicherheit ist eine gesetzliche Pflicht

Der Fall zeigt eindrücklich, dass grundlegende Sicherheitsmassnahmen nicht bloss technische Empfehlungen darstellen.

Nach dem Datenschutzgesetz müssen Personendaten durch angemessene technische und organisatorische Massnahmen geschützt werden. Dazu gehören unter anderem Zugriffskontrollen, Authentifizierung, sichere Systemarchitekturen sowie ein zeitgemässes Schwachstellen- und Patchmanagement. Für Behörden, verpflichtete Organisationen und gewisse Firmen gelten sodann für die Informationssicherheit anwendbare Gesetze wie das ISG oder Standards wie ISO27001 oder BSI IT Grundschutz.

Der vielfach zitierte Grundsatz Security through Obscurity – also die Hoffnung, dass eine technische Schnittstelle schon niemand finden werde – genügt den heutigen Anforderungen nicht.

2. Sensible Daten verlangen besonders hohen Schutz

Besonders ins Gewicht fällt, dass nach den Medienberichten auch Angaben zu Strafverfahren und Strafbefehlen betroffen gewesen sein sollen.

Solche Informationen zählen nach dem Datenschutzgesetz zu den besonders schützenswerten Personendaten. Entsprechend steigen die Anforderungen an Zugriffsschutz, Verschlüsselung, Protokollierung und organisatorische Kontrollen erheblich.

Je sensibler die Daten, desto höher sind die Anforderungen an deren Schutz.

3. Veraltete Systeme werden zum Compliance-Risiko

Ein weiterer Aspekt betrifft die offenbar eingesetzte Softwareplattform, deren Weiterentwicklung und Support bereits vor Jahren eingestellt worden sein sollen.

Veraltete Software bedeutet nicht automatisch einen Datenschutzverstoss. Werden bekannte Sicherheitsrisiken jedoch nicht mehr behoben oder fehlen Sicherheitsupdates dauerhaft, kann dies rechtlich problematisch werden.

Lifecycle-Management und regelmässige Sicherheitsupdates gehören deshalb heute ebenso zur Compliance wie klassische Datenschutzrichtlinien.

4. Daten dürfen nicht unbegrenzt gesammelt werden

Der Umfang der gespeicherten Informationen wirft gleichzeitig Fragen zur Datenminimierung auf.

Nach den Berichten sollen Datensätze teilweise bis ins Jahr 2001 zurückgereicht haben. Ob eine derart lange Speicherung jeweils erforderlich und verhältnismässig war, wird im Einzelfall zu beurteilen sein.

Das Datenschutzgesetz verlangt jedoch einen einfachen Grundsatz: Es dürfen nur diejenigen Personendaten bearbeitet und nur solange aufbewahrt werden, wie dies für den konkreten Zweck notwendig ist.

5. Datenschutz endet nicht beim Outsourcing

Besonders interessant ist der Fall auch deshalb, weil offenbar dieselbe Softwareplattform beziehungsweise technische Infrastruktur von mehreren Unternehmen genutzt wurde.

Gerade bei Cloud-Lösungen, SaaS-Angeboten oder ausgelagerten IT-Dienstleistungen zeigt sich häufig ein Missverständnis: Wer die Informatik auslagert, lagert die datenschutzrechtliche Verantwortung nicht mit aus.

Unternehmen bleiben auch beim Einsatz externer Anbieter verantwortlich für die Einhaltung der datenschutzrechtlichen Vorgaben. Dazu gehören insbesondere die sorgfältige Auswahl des Dienstleisters, klare vertragliche Regelungen, angemessene technische und organisatorische Massnahmen sowie eine laufende Kontrolle der ausgelagerten Leistungen.

Mehr dazu erfahren Sie auf unserer Themenseite zum ICT Outsourcing sowie in unserem Fachbeitrag zum Thema ICT Outsourcing.

6. Incident Response gehört zur Corporate Governance

Ebenso bemerkenswert ist die Aussage des EDÖB, wonach ihm zum Zeitpunkt der Medienberichterstattung offenbar keine Meldung der Datensicherheitsverletzung vorgelegen habe.

Besteht ein hohes Risiko für die Persönlichkeit oder Grundrechte betroffener Personen, verpflichtet das Datenschutzgesetz Unternehmen grundsätzlich dazu, den EDÖB so rasch als möglich über die Datensicherheitsverletzung zu informieren.

Ob diese Voraussetzungen im konkreten Fall erfüllt waren, wird Gegenstand der weiteren Abklärungen sein.

Unabhängig davon zeigt der Fall, wie wichtig funktionierende Incident-Response-Prozesse heute sind. Unternehmen sollten nicht erst im Krisenfall klären, wer entscheidet, ob eine Meldepflicht besteht und wie rasch entsprechende Abläufe ausgelöst werden müssen.

7. Datenschutz schützt auch Reputation und Vertrauen

Der vielleicht wichtigste Lehrsatz liegt jedoch ausserhalb des Gesetzestextes.

Selbst wenn sich ein technischer Vorfall rasch beheben lässt, bleibt der Vertrauensverlust häufig wesentlich länger bestehen. Kunden, Geschäftspartner und Investoren beurteilen heute nicht nur Produkte oder Dienstleistungen, sondern zunehmend auch den professionellen Umgang mit Daten.

Datenschutz und Informationssicherheit sind deshalb längst Bestandteil einer verantwortungsvollen Unternehmensführung und eines wirksamen Risikomanagements geworden.

Die wichtigsten Erkenntnisse für das Management

Der Fall Funkwache AG und Unisecur GmbH zeigt exemplarisch, dass Datenschutzverletzungen heute häufig nicht durch hochkomplexe Cyberangriffe entstehen, sondern durch vermeidbare organisatorische und technische Schwächen. Für Unternehmen mit digitalen Geschäftsmodellen ergeben sich daraus klare Handlungsfelder:

  • Informationssicherheit ist Führungsaufgabe und nicht ausschliesslich Sache der IT.
  • Besonders schützenswerte Personendaten erfordern erhöhte technische und organisatorische Schutzmassnahmen.
  • Eine Datensicherheitsverletzung liegt bereits dann vor, wenn eine unbefugte Kenntnisnahme möglich ist – nicht erst beim nachgewiesenen Datenmissbrauch.
  • Veraltete Software und fehlendes Lifecycle-Management können zu Compliance-Risiken werden.
  • Datenminimierung und begrenzte Aufbewahrungsfristen sind zentrale Grundsätze eines rechtskonformen Datenmanagements.
  • ICT-Outsourcing entbindet Unternehmen nicht von ihrer Verantwortung für Datenschutz und Informationssicherheit.
  • Klare Melde- und Incident-Response-Prozesse gehören heute zu einer funktionierenden Corporate Governance.

Unternehmen, die Datenschutz, Informationssicherheit und digitale Governance frühzeitig zusammendenken, erfüllen nicht nur gesetzliche Anforderungen. Sie schaffen Vertrauen bei Kunden, Mitarbeitenden und Geschäftspartnern – und stärken damit nachhaltig die Resilienz ihres digitalen Geschäftsmodells.

Kontaktieren Sie uns gerne unverbindlich bei Fragen rund um Ihr digitales Geschäftsmodell.

FAQs

  • Wann liegt nach Schweizer Datenschutzrecht eine Datensicherheitsverletzung vor?

    Bereits die Möglichkeit, dass unbefugte Dritte Personendaten zur Kenntnis nehmen können, kann eine Datensicherheitsverletzung darstellen. Es ist nicht erforderlich, dass Daten tatsächlich gestohlen oder missbräuchlich verwendet wurden. Unternehmen müssen daher technische und organisatorische Massnahmen so ausgestalten, dass unbefugte Zugriffe möglichst ausgeschlossen werden. Besteht ein hohes Risiko für die Persönlichkeit oder Grundrechte der betroffenen Personen, kann zudem eine Meldepflicht an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) bestehen.

  • Welche technischen und organisatorischen Massnahmen verlangt das Schweizer Datenschutzrecht?

    Das Datenschutzgesetz verlangt angemessene technische und organisatorische Massnahmen (TOM), um Vertraulichkeit, Integrität und Verfügbarkeit von Personendaten sicherzustellen. Dazu gehören insbesondere Zugriffsbeschränkungen, Authentifizierung, Verschlüsselung, Protokollierung von Zugriffen (Logging), regelmässige Sicherheitsupdates, Penetrationstests, Datensicherungen sowie ein strukturiertes Berechtigungsmanagement. Welche Massnahmen erforderlich sind, richtet sich nach dem Risiko der konkreten Datenbearbeitung.

  • Welche Verantwortung trägt die Geschäftsleitung für Datenschutz und Informationssicherheit?

    Datenschutz und Informationssicherheit sind Führungsaufgaben. Die Geschäftsleitung bleibt auch dann verantwortlich, wenn IT-Dienstleistungen oder Cloud-Lösungen an externe Anbieter ausgelagert werden. Sie muss geeignete Governance-Strukturen schaffen, Risiken regelmässig beurteilen, Verantwortlichkeiten definieren und sicherstellen, dass Dienstleister die gesetzlichen und vertraglichen Anforderungen einhalten.

  • Welche datenschutzrechtlichen Anforderungen gelten beim ICT-Outsourcing?

    Auch beim Outsourcing bleibt das Unternehmen datenschutzrechtlich verantwortlich. Vor der Auslagerung sollten Dienstleister sorgfältig geprüft, geeignete Verträge abgeschlossen und angemessene Sicherheitsmassnahmen vereinbart werden. Besondere Aufmerksamkeit erfordern internationale Datenübermittlungen, Zugriffe aus dem Ausland sowie Audit- und Kontrollrechte gegenüber dem Dienstleister.

  • Welche Folgen kann eine Datenschutzverletzung für Unternehmen haben?

    Datenschutzverletzungen können weitreichende rechtliche, finanzielle und reputationsbezogene Folgen haben. Neben Meldepflichten gegenüber dem EDÖB drohen aufsichtsrechtliche Abklärungen, strafrechtliche Sanktionen nach dem Datenschutzgesetz, zivilrechtliche Ansprüche betroffener Personen sowie erhebliche Reputationsschäden. Besonders bei digitalen Geschäftsmodellen zeigt sich, dass Informationssicherheit und Datenschutz wesentliche Bestandteile einer guten Corporate Governance und eines nachhaltigen Risikomanagements sind.

Wir freuen uns auf Ihre Kontaktaufnahme

Kontakt

Obergrundstrasse 70
CH-6003 Luzern

Kontakt

Obergrundstrasse 70
CH-6003 Luzern

Kontakt