In den Nachrichten.
Dr. Sandro Germann, LL.M. und unseren General Counsel, Dr. David Wicki, LL.M. haben Hacking aus rechtlicher Sicht beleuchtet. Zu finden in AJP 2020/1, S. 83 ff.
Grosser Dank gebührt Prof. Dr. Arnold Rusch sowie dem gesamten AJP Team.
Hacking und Hacker im Schweizer Recht
Die Entwicklung der Technik im Bereich Informationstechnologie und Hacking schreitet rasant voran, weshalb der Gesetzgeber immer höhere rechtliche Anforderungen an die erforderlichen Schutzvorkehrungen für Daten stellt. Infolgedessen besteht das Bedürfnis, sich vor Angriffen («Hacking») bestmöglich zu schützen. Dies kann auch dadurch erreicht werden, dass Hacker zu Testzwecken dazu aufgerufen werden, die vorliegenden oder geplanten Systeme anzugreifen.
Wie muss man mit diesen erwünschten Hackern rechtlich umgehen? Der nachfolgende Beitrag zeigt zunächst auf, zwischen welchen Arten von Hacking und Hackern unterschieden wird. Anschliessend werden die rechtlichen Rahmenbedingungen – mit Fokus auf erwünschte Hacker – illustriert und diskutiert.
Dabei zeigt sich, dass der erwünschte Hacker infolge entsprechender Vertragsgestaltung strafrechtlicher sowie haftungsrechtlicher Konsequenzen entgehen kann. Im Weiteren wird am Beispiel der Schweizerischen Post aufgezeigt, welche Besonderheiten beim öffentlichen Aufruf zum Hacking zu beachten sind.
I. Einführung
In der Schweizer Rechtswissenschaft assoziiert man den Begriff Hacking gemeinhin mit den Bestimmungen aus dem Strafgesetzbuch betreffend unbefugte Datenbeschaffung nach Art. 143 StGB sowie das Verbot des unbefugten Eindringens in ein Datenverarbeitungssystem nach Art. 143bis StGB. Allenfalls wird noch die Bestimmung Art. 179novies StGB in Betracht gezogen, welche das unbefugte Beschaffen von Personendaten unter Strafe stellt.
Vergleichbar mit den verschlungenen und mannigfaltigen Wegen, auf denen sich die Hacker Zugang zu ihren Zielobjekten zu verschaffen versuchen, hat sich die Thematik rund um den unbefugten Zugriff und Zugang zu elektronischen Datenverarbeitungssystemen in verschiedensten Disziplinen der Rechtswissenschaft eingenistet. Wie so häufig ist auch hier das Recht ein Spiegelbild der Vorgänge in der Gesellschaft.
.
Die Schonfrist für die Schweiz endet. Die EU-Kommission prüft voraussichtlich im Sommer 2020, ob der Schweizer Datenschutz die Anforderungen der Europäischen Datenschutz-Grundverordnung (EU-DSGVO) erfüllt. Darin wird die Schweiz als Drittstaat betrachtet. Gelangt die EU aus ihrer Sicht zum Schluss, dass der Schweizer Datenschutz das erforderte Schutzniveau der EU-Bürger nicht garantiert, kommen enorme Kosten auf die Schweizer Volkswirtschaft zu.
Es ist gut möglich, dass die EU-Kommission im nächsten Jahr einen politischen Entscheid fällt, wie zum Beispiel bei der Verweigerung der Börsenäquivalenz. Tatsache ist: Die notwendige Revision und Anpassung des Eidgenössischen Datenschutzgesetzes (DSG) an das europäische Regelwerk drängt und ist alles andere als Formsache. Dabei sind deren Eckpunkte und Anforderungen spätestens seit 2016 bekannt.
Die Daten von natürlichen Personen in der EU geniessen heute einen höheren Schutz als in der Schweiz, und die EU will den Schutz ihrer Bürger sicherstellen. Die EU-DSGVO bestimmt, was geschieht, wenn Daten von in der EU ansässigen Personen ausserhalb der Europäischen Union verwendet, gespeichert oder übertragen werden. Beispielsweise das sogenannte Profiling, die Erfassung von Persönlichkeitsprofilen für personalisierte Online-Werbung aufgrund des Surf- und Einkaufverhaltens im Internet, ist dort nur unter strengen Auflagen erlaubt.
Von einem Negativentscheid aus Brüssel ganz besonders betroffen wären die KMU, das Rückgrat der Schweizer Wirtschaft. Möchten sie weiterhin mit der EU Handel betreiben, müssten sie bei grundsätzlich jedem Geschäftsabschluss vertraglich zusichern und beweisen, dass sie dabei die Datenschutzstandards der EU einhalten. Der Entwurf eines zehnseitigen Vertragsdokuments inklusive Prüfung durch einen Schweizer Juristen gehen schnell in die Tausende von Franken. Auf der Gegenseite prüft ein Anwalt den Vertrag mit dem Schweizer Unternehmen. Diese Kosten entstehen, bevor die Unternehmen ins Geschäft gekommen sind und auch nur ein Produkt oder eine Dienstleistung geliefert worden ist. Ein Deutscher Geschäftspartner beispielsweise überlegt sich in einem solchen Fall sicherlich, ob er dasselbe Produkt nicht einfacher in der EU beschaffen kann.
Während die Generation X noch die Fichenaffäre im Hinterkopf hat und gleichzeitig Millennials bedenkenlos ihre intimsten Daten auf Social Media preisgeben, verkennt die Politik das Ausmass des bevorstehenden Angemessenheitsbeschlusses der EU und die Dringlichkeit zu handeln. Das Schweizer Datenschutzgesetz muss an das digitale Zeitalter angepasst werden. Der durch die EU-DSGVO geschaffene Schutz ist gut, nicht nur für die Kunden, sondern auch für die Unternehmen. Im Datenschutz manifestiert sich das Grundrecht auf informationelle Selbstbestimmung. Daten sind aber auch ein wirtschaftlich wertvolles Gut, das es zu schützen gilt. Dessen sind sich die meisten der über 200 000 KMU im Land bewusst. Die Nutzung dieser Daten ohne unnötigen zusätzlichen Swiss-Finish-Aufwand ist für sie unerlässlich.
Der gesetzlichen Regelung des Profilings kommt dabei eine Schlüsselrolle zu. Stände- und Nationalrat sind in den kommenden Monaten gefordert: Die Übernahme der in den EU-DSGVO festgelegten Standards ins Schweizer Datenschutzgesetz ist volkswirtschaftlich wünschenswert. Dies bringt den Schweizer Unternehmen den Vorteil, dass Daten zwischen der Schweiz und den EU-Mitgliedstaaten ohne grosse Formalitäten übertragen werden können, und ermöglicht den Schweizer Unternehmen weiterhin den freien Marktzugang zu unserem wichtigsten Handelspartner.
David Wicki leitet den CAS Datenschutzbeauftragte an der Hochschule für Wirtschaft in Zürich und ist Partner und Gründer der LEANmade AG.