Was Wasserversorger beim Datenschutz beachten müssen

Das neue Datenschutzgesetz ist seit dem 1. September 2023 in Kraft, aber es betrifft nicht alle Wasserversorger. Mit dem neuen Merkblatt W10036 zum Datenschutzgesetz können Versorger kontrollieren, ob sie selbst betroffen sind und worauf sie achten müssen.

Rolf Meier

Seit dem 1. September 2023 ist das neue Datenschutzgesetz (DSG) (SR 235.1) in Kraft. Für Wasserversorger, die nur die öffentliche Aufgabe der Trinkwasserversorgung als delegierte Aufgabe der Kantone umsetzen, gilt weiterhin die bisherige kantonale Datenschutzbestimmung. Für Wasserversorger mit zusätzlichen Aktivitäten, im wirtschaftlichen Wettbewerb (z. B. dem Verkauf von Sanitärartikeln oder Labordienstleistungen) oder Querverbundunternehmen, können mit der Einführung des neuen Datenschutzgesetzes neue Pflichten und Aufgaben entstehen.

DSG regelt die Bearbeitung von Personendaten

Durch das neue DSG sind nur noch Personendaten geschützt, also Daten, die sich auf natürliche Personen beziehen. Der Schutz für juristische Personen entfällt, was das Business-to-Business-Geschäft erleichtert. Juristische Personen sind weiterhin durch andere Gesetze (wie ZGB, StGB, KG, UWG) geschützt. Auch wenn das DSG sich auf Personendaten beschränkt, sind nicht personenbezogene Geschäftsdaten gleichermassen angemessen zu schützen. Darum sollten der personenbezogene Datenschutz und die allgemeine Informationssicherheit gemeinsam angegangen werden. Wasserversorgungen müssen daher geeignete technische und organisatorische Massnahmen ergreifen, um personenbezogene Daten vor unbefugtem Zugriff, Verlust oder Diebstahl zu schützen. Dazu gehören Massnahmen wie Zugriffsbeschränkungen, Verschlüsselung von Daten, regelmässige Überprüfung der Prozesse sowie Schulungen der Mitarbeitenden.

Minimalstandard für die Sicherheit der IKT konsultieren

Datensicherheit ist somit eine grundlegende Rahmenbedingung, dass Personendaten im Unternehmen korrekt bearbeitet werden können. Die Rahmenbedingungen bezüglich Sicherheit im Bereich der Informations- und Kommunikationstechnologie (IKT) werden für Wasserversorgungen in der Branchenempfehlung W1018 definiert. Es empfiehlt sich daher, den Minimalstandard für die Sicherheit der IKT in der Wasserversorgung (W1018) als grundlegende Voraussetzung zur Gewährleistung der Datensicherheit im Zusammenhang mit dem neuen DSG zu konsultieren und umzusetzen.

Neu: Meldepflicht bei Cyberangriffen per 1. Januar 2025

Auch im Hinblick auf die per 1. Januar 2025 in Kraft tretende Meldepflicht bei Cyberangriffen (als Teil des per 1.1.2024 in Kraft getretenen Informationssicherheitsgesetzes) ist es sinnvoll, sich intensiv mit dem Thema IKT-Minimalstandard und Informationssicherheit zu befassen, um mögliche Cyberangriffe frühzeitig erkennen zu können. Mit der Pflicht zur Meldung von Cyberangriffen verfolgt der Bund die Absicht, dass möglicherweise ebenfalls betroffene Betriebe durch das NCSC frühzeitig gewarnt werden können und Schäden an der Infrastruktur oder Datenschutzvorfälle vermieden werden können. Die notwendigen Ausführungsbestimmungen werden vom Bund im Verlaufe des laufenden Jahres publiziert.

Download des Merkblattes:

Link zum Merkblatt W10036

Kontakt für weiterführende Informationen oder Fragen:

Rolf Meier

r.meier@svgw.ch

044 288 3367

Kommentare (0)

e-Paper

«AQUA & GAS» gibt es auch als E-Paper. Abonnenten, SVGW- und/oder VSA-Mitglieder haben Zugang zu allen Ausgaben von A&G.

Den «Wasserspiegel» gibt es auch als E-Paper. Im SVGW-Shop sind sämtliche bisher erschienenen Ausgaben frei zugänglich.

Die «gazette» gibt es auch als E-Paper. Sämtliche bisher erschienen Ausgaben sind frei zugänglich.

W10036 verfügbar