Datenschutz und Vertrauen
Kurz und einfach
Datenschutz ist wichtig für Kurierfirmen, weil Kunden ihnen vertrauen müssen.
- Nur die richtigen Personen dürfen Daten sehen
- Seit September 2023 gibt es dafür neue Regeln in der Schweiz
Vertrauen
Die fortschreitende Digitalisierung und die rasante Weiterentwicklung von Technologien bringen sowohl Chancen als
auch Gefahren mit sich.
Viele Menschen fühlen sich durch die Digitalisierung überfordert. Bestärkt wird das daraus entstehende Unwohlsein
durch die fast wöchentlich zu lesenden Berichte über Datenverluste.
Das Vertrauen ist von entscheidender Bedeutung, sollen neue digitale Geschäftsmodelle geschaffen werden.
Um das nötige Vertrauen zu schaffen, braucht es einen sorgsamen Umgang mit Daten, der auf einem zielgerichteten und
wirksamen Datenschutz basiert.
(vgl. Datenschutz-Konzept der Digitalen Gesellschaft)
Vertrauen ist für Velokurierbetriebe von zentraler Bedeutung. Die zuverlässige Zustellung ist oft rechtlich kaum oder nur wenig geregelt und basiert auf dem Vertrauen der Kunden in die Betriebe.
Eine Datenschutzpanne oder Einbussen bei der Qualität der Dienstleistung aufgrund eines Cyber-Angriffs kann einen grossen Vertrauensverlust zur Folge haben.
Zwei im Kontext der Authentifizierung relevante Instrumente zur Abwehr von Angriffen sind die Verwendung von **sicheren
**
Loginmethoden und einem vertrauenswürdigen Identity Provider.
Auf weitere Abwehrstrategien wird hier nicht eingegangen. Informationen dazu finden sich etwa beim
Bundesamt für Cybersicherheit BACS oder bei den
OWASP Top Ten
Datenschutzgesetz
Per 01. September 2023 ist in der Schweiz die Revision der Datenschutzverordnung (revDSG) in Kraft getreten.
In diesem Gesetz werden die Datenschutzanforderungen für Betriebe deutlich verschärft.
Diese betreffen auch die Zugangskontrolle:
Der Verantwortliche und der Auftragsbearbeiter müssen technische und organisatorische Massnahmen treffen, damit die bearbeiteten Daten ihrem Schutzbedarf entsprechend:
a. nur Berechtigten zugänglich sind (Vertraulichkeit);
b. verfügbar sind, wenn sie benötigt werden (Verfügbarkeit);
c. nicht unberechtigt oder unbeabsichtigt verändert werden (Integrität);
d. nachvollziehbar bearbeitet werden (Nachvollziehbarkeit).
Weiter wird das "Least Privilege" Prinzip im Gesetz festgeschrieben:
Um die Vertraulichkeit zu gewährleisten, müssen der Verantwortliche und der Auftragsbearbeiter geeignete Massnahmen treffen, damit:
a. berechtigte Personen nur auf diejenigen Personendaten Zugriff haben, die sie zur Erfüllung ihrer Aufgaben benötigen (Zugriffskontrolle);
Um dem Datenschutzgesetz zu entsprechen, müssen Betriebe sicherstellen, dass nur Berechtigte Zugang zu den Applikationen haben.
Es müssen persönliche Logins verwendet werden, da bei geteilten Logins die Identität der Person nicht festgestellt werden kann und der Zugriff für einzelne Personen nach Austritt nur durch Änderung des gemeinsamen Passworts der Zugriff verwehrt werden kann.