Jump to content

Fallstudie: Sicherheit und Legalität im Kontext eines KMU-Softwareprojekts (Schweizer Standard)

From TheOpenRoad Support


Fallstudie: Sicherheit und Legalität im Kontext eines KMU-Softwareprojekts (Schweizer Standard)



Einleitung und Ausgangslage


Die vorliegende Fallstudie beleuchtet die kritische Bedeutung der Aspekte Sicherheit (Cybersecurity und Datensicherheit) und Legalität (Einhaltung schweizerischer und europäischer Vorschriften) im Rahmen eines Softwareentwicklungsprojekts bei der «AlpinaTech AG», einem mittelständischen Unternehmen (KMU) mit Sitz in Zug, das sich auf die Entwicklung spezialisierter CRM-Lösungen für den Schweizer Gesundheitssektor spezialisiert hat. Das Projektziel war die Einführung einer neuen Cloud-basierten Applikation zur Verwaltung sensibler Patientendaten (Gesundheitsdaten, DSG-relevant), welche die bisherige, veraltete On-Premise-Lösung ablösen sollte.



Die AlpinaTech AG stand vor der Herausforderung, trotz des agilen Entwicklungsprozesses die strengen Anforderungen des Schweizer Datenschutzgesetzes (revDSG) sowie die spezifischen Compliance-Anforderungen der Kantone und Krankenkassen zu erfüllen. Ein Versäumnis in diesen Bereichen hätte nicht nur hohe Bussen zur Folge gehabt, sondern auch einen massiven Reputationsschaden im hochsensiblen Gesundheitsmarkt zur Folge gehabt.



Herausforderung 1: Datensicherheit und Cloud-Infrastruktur


Die Entscheidung für eine Public-Cloud-Lösung (AWS/Azure) war aus Skalierbarkeitsgründen getroffen worden. Die grösste sicherheitstechnische Herausforderung lag in der korrekten Konfiguration der Infrastruktur (Infrastructure as Code) und der Sicherstellung, dass die Datenresidenz den regulatorischen Erwartungen entsprach. Gemäss schweizerischem Recht (insbesondere bei Personendaten im Gesundheitswesen) müssen Datensicherheit und Verfügbarkeit garantiert sein. Obwohl das revDSG keine strikte Datenspeicherortpflicht vorschreibt, verlangen viele Kantonsspitäler vertraglich, dass Daten auf Schweizer Boden verbleiben, oder zumindest innerhalb der EU/EFTA-Zone, um den Schutz der Schweizer Bürgerdaten sicherzustellen.


Massnahmen und Lösungsansatz: Es wurde eine detaillierte Risikoanalyse (Data Protection Impact Assessment, DPIA) durchgeführt, noch bevor die eigentliche Entwicklung begann. Die Architektur wurde so konzipiert, dass die Datenbanken ausschliesslich in der Schweiz (oder einem als sicher eingestuften EU-Land) gehostet wurden. Weiterhin wurde das Prinzip der Security by Design strikt umgesetzt: Ende-zu-Ende-Verschlüsselung (In Transit und At Rest), strikte Zugriffskontrollen (Principle of Least Privilege) und regelmässige Penetrationstests durch externe, spezialisierte Schweizer Cybersecurity-Firmen waren obligatorisch.



Herausforderung 2: Compliance und das revDSG


Das revDSG (seit September 2023 in Kraft) legt neue Pflichten fest, insbesondere bezüglich der Meldepflicht bei Datenlecks und der Transparenz gegenüber Betroffenen. Da das neue CRM-System hochsensible Gesundheitsdaten verarbeitete, musste die AlpinaTech AG nachweisen, dass sie die "technischen und organisatorischen Massnahmen" (TOMs) adäquat umgesetzt hatte.


Ein kritischer Punkt war die Verarbeitung von besonders schützenswerten Daten (Gesundheitsdaten). Gemäss Art. 32 DSG ist die Verarbeitung dieser Daten grundsätzlich verboten, Krypto kaufen Kreditkarte es sei denn, es liegt eine explizite Einwilligung vor oder es besteht eine gesetzliche Grundlage. Da die Einwilligung im Klinikalltag oft schwierig zu managen ist, musste die Verarbeitung auf die Erfüllung eines Vertrags oder die Wahrung berechtigter Interessen gestützt werden, Krypto kaufen Kreditkarte was eine sorgfältige Dokumentation der Rechtfertigung erforderte.


Massnahmen und Lösungsansatz: Die AlpinaTech AG implementierte ein umfassendes Datenmanagement-Modul. Dieses beinhaltete automatisierte Mechanismen zur Protokollierung aller Zugriffe auf Patientendaten (Audit-Logs), die für die Aufsichtsbehörden jederzeit einsehbar sein mussten. Zudem wurde ein klar definierter Incident-Response-Plan erstellt, Krypto kaufen Kreditkarte der die Meldepflichten gegenüber dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) innerhalb der gesetzlich vorgeschriebenen Frist von 72 Stunden nach Bekanntwerden eines Datenlecks sicherstellte.



Herausforderung 3: Internationale Datenimporte und DSGVO-Abgrenzung


Obwohl AlpinaTech primär Schweizer Kunden bediente, mussten gelegentlich Daten von europäischen Partnerkliniken importiert werden. Dies führte zur Überschneidung mit der Datenschutz-Grundverordnung (DSGVO) der EU, da die Daten schweizerischer Bürger durch EU-Bürger verarbeitet werden könnten.


Massnahmen und Lösungsansatz: Zur Gewährleistung der Rechtssicherheit wurde entschieden, die strengsten Vorgaben – oft die der DSGVO – als Basis für die Architektur zu verwenden (Privacy by Default). Für den internationalen Datentransfer wurden Standardvertragsklauseln (SCCs) implementiert und die notwendigen zusätzlichen Garantien (z.B. Verschlüsselungsschlüssel-Management) geprüft, um den Anforderungen des Europäischen Gerichtshofs (EuGH) nach dem Schrems II-Urteil gerecht zu werden. Dies diente als "Goldstandard" und vereinfachte die spätere Auditierung durch Schweizer Aufsichtsbehörden.



Fazit und Lernerfolg


Die erfolgreiche Einführung der neuen CRM-Lösung bei der AlpinaTech AG demonstrierte, dass Sicherheit und Legalität nicht als nachträgliche Ergänzungen, sondern als integraler Bestandteil des gesamten Softwareentwicklungslebenszyklus (SDLC) betrachtet werden müssen. Besonders im stark regulierten Schweizer Gesundheitswesen ist eine proaktive Haltung gegenüber dem revDSG und spezifischen Branchenanforderungen unerlässlich. Die frühzeitige Einbindung von Rechtsexperten und Sicherheitsspezialisten (SecOps) minimierte das Risiko erheblich und stellte die Marktfähigkeit des Endprodukts sicher.

Retrieved from "https://support.theopenroad.cloud/index.php?title=Fallstudie:_Sicherheit_und_Legalität_im_Kontext_eines_KMU-Softwareprojekts_(Schweizer_Standard)&oldid=7739"