Datenschutz Schweiz aktuell

Eidgenössische Wahlen 2023: Der EDÖB und privatim haben ihren Leitfaden erneuert

Bern, 15.12.2022 – Wahlen und Abstimmungen auf allen föderalen Stufen der Schweiz spielen sich in der globalen Realität der Digitalisierung ab. Die Akteure der politischen Meinungsbildung nutzen deren Potentiale, um ihre Botschaften bei den Stimmberechtigten möglichst adressatenspezifisch abzusetzen. Dies ist mit hohen Risiken für die Selbstbestimmung und Privatsphäre der Betroffenen verbunden. Ein aktualisierter Leitfaden sorgt rechtzeitig vor den Eidgenössischen Wahlen 2023 für Orientierung.

Wer Daten im Kontext von Wahlen und Abstimmungen bearbeitet, muss sich bewusst sein, dass Informationen zu politischen und weltanschaulichen Ansichten sowohl im geltenden, als auch im neuen Bundesgesetz über den Datenschutz als besonders schützenswert eingestuft werden. Das neue Gesetz wird am 1. September 2023 – also kurz vor Durchführung der anstehenden eidgenössischen Erneuerungswahlen – in Kraft treten.

Mit der Aktualisierung ihres Leitfadens unterstreichen der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) und die Konferenz der schweizerischen Datenschutzbeauftragten (privatim) insbesondere die herausragende Bedeutung, die dem datenschutzrechtlichen Grundsatz der Transparenz im Kontext mit Wahlen und Abstimmungen zukommt: Die Stimmberechtigten haben ein Recht darauf, nachvollziehen zu können, aufgrund welcher digitaler Bearbeitungsmethoden und Technologien sie angesprochen werden.

Leitfaden Wahlen und Abstimmungen – Aktualisierung Dezember 2022

Stand der Revisionen der Datenschutzgesetze in den Kantonen (8. November 2022)

Aufgrund der Datenschutzrevisionen in Europa – vor allem die Modernisierung der Europarats-Konvention 108+ und der Erlass der schengen-relevanten EU-Richtlinie 2016/680 für die justizielle und polizeiliche Zusammenarbeit – müssen auch die Datenschutzgesetze der Kantone den neuen Anforderungen angepasst werden. Einen Überblick über den Stand der Revisionen gibt diese periodisch aktualisierte Liste.

Kein Freipass für «Microsoft 365»

In den vergangenen Monaten haben verschiedene kantonale Regierungen Entscheide zur Nutzung von «Microsoft 365» (M365) in der Verwaltung publiziert. Der Beschluss des Regierungsrats des Kantons Zürich (RRB 542/2022 vom 30. März 2022) hat dabei eine breite Aufmerksamkeit gefunden.

privatim hat im Februar 2022 ein «Merkblatt Cloud-spezifische Risiken und Massnahmen» publiziert, das den öffentlichen Organen insbesondere auch die Beurteilung des Einsatzes von M365 ermöglichen soll. Der Entscheid des Regierungsrates des Kantons Zürich bedeutet für die öffentlichen Organe grundsätzlich nicht, dass sie vom Inhalt und dem empfohlenen Vorgehen in diesem Merkblatt abweichen können. Dies wird in Äusserungen zum Entscheid suggeriert, weshalb privatim sich veranlasst sieht, zu einigen Punkten des RRB, die in diesem Sinne eine Wirkung über den Kanton Zürich hinaus haben, Stellung zu beziehen.

(weiterlesen…)

Überarbeitetes privatim-Merkblatt «Cloud-spezifische Risiken und Massnahmen»

privatim hat die neuen Entwicklungen und Erkenntnisse im Zusammenhang mit Cloud Computing zum Anlass genommen, sein Merkblatt zu den cloud-spezifischen Risiken und Massnahmen gründlich zu überarbeiten. Am 3. Februar 2022 hat das Büro von privatim die neue Version 3.0 verabschiedet. Sie ersetzt die Version 2.1 vom 17. Dezember 2019.

Das überarbeitete Merkblatt findet sich hier.  

Internationaler Datenschutztag 2021: Keine Erosion der Privatsphäre – trotz Pandemie

Bern, 28.01.2021 – Das revidierte Datenschutzgesetz (DSG) wirft seine Schatten voraus. Es wird voraussichtlich im Jahr 2022 in Kraft treten und führt schon heute zu einem Modernisierungsdruck auf die kantonalen Datenschutzgesetze. Beim Übergang zum neuen Recht arbeiten die Datenschutzorgane von Bund und Kantonen eng und pragmatisch zusammen. Im dynamischen Spannungsfeld der Pandemie wirken sie darauf hin, die Einschränkungen auf das private und selbstbestimmte Leben, welches durch die Digitalisierung bereits unter Druck steht, möglichst gering zu halten.

Die Bevölkerung ist heute einer immer weitreichenderen sowie stärker automatisierten und personalisierten Datenbearbeitung ausgesetzt. War bislang die globale Digitalisierung aller Lebensbereiche der zentrale Treiber dieser Entwicklung, so gesellte sich im Jahr 2020 die Pandemie hinzu, welche das Gros der Bevölkerung hinter die Bildschirme der digitalen Heimarbeit verbannte. In diesem spannungsgeladenen Umfeld setzen sich die Datenschutzbeauftragten von Bund und Kantonen für den Erhalt des privaten und selbstbestimmten Lebens ein, welches die Bundesverfassung der Bevölkerung garantiert. 

(weiterlesen…)

Digitale Zusammenarbeit: Folgen der Lockerungen

Der weitgehende Lockdown zur Bewältigung der Corona-Krise hatte (und hat teils noch immer) aus Datenschutzsicht zwei Abweichungen vom gewohnten Zustand zur Folge: Einerseits konnte die stets erforderliche Interessen- und Risikoabwägung teilweise zu anderen Ergebnissen führen. So durften z.B. zur Erfüllung des schulischen Bildungsauftrags Videokonferenzlösungen eingesetzt werden, welche die Anforderungen an den Datenschutz und die Informationssicherheit nicht (oder noch nicht) vollumfänglich erfüllen, wenn andernfalls der schulische Bildungsauftrag nicht hätte erfüllt werden können. Andererseits wurden die eingesetzten Lösungen von den Datenschutzaufsichtsstellen teils gar nicht oder nur summarisch geprüft.

Mit der Rückkehr zum «Regelbetrieb» – wenn etwa die Klassen an den obligatorischen Schulen den normalen Präsenzunterricht wieder aufnehmen können – sind auch für den Datenschutz die Risikoabwägungen wieder im Lichte «normaler» Umstände anzustellen, und wegen der Krise eingeführte ICT-Lösungen sind ordentlich – wo nötig unter Beizug der Datenschutzaufsichtsstellen – zu prüfen und bei Bedarf entweder nachzubessern oder durch rechtskonforme Lösungen zu ersetzen.

Dabei ist zu berücksichtigen, dass Tempo und Umfang der Lockerungen in den einzelnen Verwaltungsbereichen variieren; entsprechend können auch die Risikoabwägung und die Prüfungstiefe für das gleiche Produkt je nach Behörde und Aufgaben unterschiedlich ausfallen. Im Einzelfall ist es sogar denkbar, dass eine Behörde ihre provisorische Lösung punktuell (etwa zum Kontakt mit Kindern, die risikobedingt weiterhin im Fernunterricht betreut werden) weiterhin einsetzt, im Übrigen aber wieder ausschliesslich ordentliche geprüfte und rechtskonforme Mittel einsetzt.

 

Digitale Zusammenarbeit während der Corona-Krise

Zurzeit suchen Verwaltungen und Schulen dringend nach digitalen Lösungen, mit denen die Zusammenarbeit während der ausserordentlichen Lage aufgrund der Corona-Krise gewährleistet werden kann.

Ausserordentliche Lagen verlangen auch nach ausserordentlichen Massnahmen. Aus diesem Grund kann während der Dauer der ausserordentlichen Lage der Einsatz von Diensten/Lösungen als zulässig erscheinen, deren Datenschutzkonformität zurzeit nicht vollständig gegeben ist. Für den Einsatz nach der ausserordentlichen Lage gelten wieder die ordentlichen Voraussetzungen.

Der Datenschutzbeauftragte des Kantons Zürich prüft in Zusammenarbeit mit anderen privatim-Mitgliedern laufend Dienste/Lösungen. Die Resultate werden in einer Liste zusammengestellt und aktualisiert. Aufgeführt sind einerseits Dienste/Lösungen, die als datenschutzkonform beurteilt werden und deren Einsatz empfohlen werden kann, und andererseits Dienste/Lösungen, deren Einsatz während der Dauer der ausserordentlichen Lage aufgrund der Corona-Krise möglich sein soll, bei denen aber die Voraussetzungen für einen Einsatz nach der ausserordentlichen Lage zurzeit nicht gegeben sind (z.B. Office 365 ausserhalb des Bildungsbereichs). Bei dieser zweiten Kategorie ist darauf zu achten, dass nach der ausserordentlichen Lage wieder vollständig ausgestiegen werden kann und die ordentlichen Voraussetzungen wieder eingehalten werden.

Die öffentlichen Organe bleiben unverändert verantwortlich für den Einsatz solcher Dienste/Lösungen. Insbesondere ist weiterhin auf die notwendige Informationssicherheit zu achten. Ein erfolgreicher Cyberangriff auf eine (z.B. Spital-)IT kann mehr Schaden anrichten, als wenn vorher möglicherweise nicht optimal digital zusammengearbeitet werden konnte.

Auch während der Corona-Krise beraten die jeweiligen kantonalen Datenschutzbeauftragten die öffentlichen Organe beim Einsatz solcher Dienste/Lösungen und bleiben zuständig für die Aufsicht.

Die Liste finden Sie hier: https://dsb.zh.ch/internet/datenschutzbeauftragter/de/themen/digitale-zusammenarbeit.html

 

Medienmitteilung Datenschutztag 2020

Zunehmende Vermessung der Privatsphäre bei der Mobilität – neues Datenschutzgesetz überfällig

Unsere Gesellschaft stellt hohe Ansprüche an eine multimodale und zugleich nachhaltige Mobilität. Digitale Grossprojekte stossen indessen nur auf Akzeptanz, wenn die Privatsphäre der Verkehrsteilnehmenden geschützt ist. Die Datenschutzbehörden von Bund und Kantonen fordern deshalb die Datenbearbeiter auf, frühzeitig in datenschutzfreundliche Konzepte zu investieren. Für eine effektive Aufsicht ist es zudem angezeigt, die überfällige Revision des Datenschutzgesetzes des Bundes in der Märzsession 2020 abzuschliessen.

Nachhaltige digitale Projekte sollen die steigenden Mobilitätsansprüche mit den knapper werdenden Raum- und Energiereserven klimaverträglich in Einklang bringen. Es werden permanent Mobilitätsdaten aufgezeichnet, die sowohl von privaten und öffentlich-rechtlichen Unternehmen wie auch von Behörden intensiv genutzt werden, womit auch der Druck auf die Privatsphäre der Verkehrsteilnehmenden steigt. Nachhaltig ist für die Datenschutzbeauftragten von Bund und Kantonen indessen nur eine Verkehrspolitik, die durch Investitionen zu Gunsten der Privatsphäre und informationelle Selbstbestimmung der Bürgerinnen und Bürger Vertrauen schafft.

Wer heute auf Strasse, Schiene oder in der Luft unterwegs ist, wird digital begleitet. So erfassen und messen Verkehrs-Apps, private und behördliche Sensoren oder vernetzte Fahrzeuge unsere Bewegungen im öffentlichen Raum wie auch unser Verweilen an privaten Orten. Durch Auswertung kombinierter Daten können Bewegungs- und Persönlichkeitsprofile entstehen. Mit Technologien wie der Gesichtserkennung droht gar die gänzliche Abschaffung der freien und anonymen Bewegung im öffentlichen Raum zu Gunsten einer Totalüberwachung. Angesichts dieser Risiken fordern die Datenschutzbeauftragten von Bund und Kantonen die Betreiber von digitalen Mobilitätsprojekten auf, frühzeitig in datenschutzfreundliche Konzepte zu investieren, welche die Privatsphäre und Selbstbestimmung der Verkehrsteilnehmenden hinreichend wahren.

Herausforderungen für den EDÖB

Generell sind die im Mobilitätssektor tätigen Datenbearbeiter aufgefordert, ihre Praxis gegenüber den Betroffenen transparent zu machen, so dass Letztere unter Gebrauch datenschutzfreundlicher digitaler Wahlmöglichkeiten informiert in eine verhältnismässige und zweckgebundene Bearbeitung ihrer Personendaten einwilligen können.

Zu den Schwerpunkten des EDÖB im Bereich der Bearbeitung von Mobilitätsdaten gehört das unter der Federführung des Bundes lancierte Projekt Mobility Pricing. Dies bedingt die Erfassung des Reiseverhaltens und damit auch die Bearbeitung einer enormen Menge von Personendaten. Dabei entstehen rasch Bewegungsprofile, die in Verbindung mit weiteren Personendaten zu Persönlichkeitsprofilen führen können, für die ein erhöhtes Schutzniveau gilt. Der EDÖB hat das Bundesamt für Strassen (ASTRA) dazu angehalten, für eine kompetente und mit genügend Ressourcen ausgestattete interne Datenschutzstelle zu sorgen. Diese soll frühzeitig in das Projekt einbezogen werden und gewährleisten, dass die nötigen Risikofolgeabschätzungen erstellt, Applikationen von Anfang an mit datenschutzfreundlichen Technologien ausgestaltet und die not- wendigen Mittel eingeplant werden. Weiter sind alle datenschutzrechtlich relevanten Elemente zu dokumentieren, damit der EDÖB gegebenenfalls im Rahmen seiner übergeordneten Beratungs- und Kontrollfunktion auf diese Dokumente zurückgreifen kann.

Ein weiterer Schwerpunkt liegt beim elektronischen Ticketing mithilfe einer App. Von den Reisenden werden Bewegungsprofile erhoben, die zur Rechnungsstellung benötigt werden. Der EDÖB wies darauf hin, dass insbesondere kein direkter oder indirekter Zwang zur Preisgabe von Personendaten ausgeübt werden darf. So müssen die Kunden alternativ zu den geplanten Modellen weiterhin die Möglichkeit haben, zu den gleichen Bedingungen, d. h. diskriminierungsfrei, ohne Preisgabe ihrer Personendaten anonym zu reisen. Werden mit dem Tracking Persönlichkeitsprofile erstellt, muss das erhöhte Schutzniveau für besonders schützenswerte Personendaten und Persönlichkeitsprofile eingehalten werden.

(weiterlesen…)

Resolution: Fehlende Ressourcen bei den Datenschutzbehörden

Am 20. Dezember 2019 beschliesst nach dem Bundesrat auch die Konferenz der Kantonsregierungen (KdK) die neue E-Government-Strategie von Bund, Kantonen und Gemeinden für die Jahre 2020–2023. Damit soll weiterer Schub in die Digitalisierung der öffentlichen Verwaltungen gebracht werden. Hierfür werden personelle und finanzielle Ressourcen auf allen Staatsebenen gesprochen.

Die Digitalisierung der Verwaltung bringt neue Herausforderungen für den Schutz der Privatsphäre der betroffenen Personen. Mit den Grundsätzen «Digital first» und «Once only» und der gemeinsamen Datenverwaltung über alle Staatsebenen hinweg werden neue Risiken geschaffen. Die Digitalisierung der Verwaltung wird aber nur erfolgreich sein, wenn das Vertrauen der Bürgerinnen und Bürger gewonnen werden kann. Es wird entscheidend sein, dass auch in der digitalen Verwaltung der Schutz ihres Grundrechts auf Datenschutz und auf informationelle Selbstbestimmung garantiert ist.

Die Projektleitenden der zunehmend komplexen Digitalisierungsprojekte brauchen für die anspruchsvollen Datenschutzfragen kompetente Ansprechpartner. Dafür sind die Datenschutzbehörden da. Nur fehlen ihnen die dazu notwendigen Ressourcen. Im Juni 2018 hat privatim, die Konferenz der schweizerischen Datenschutzbeauftragten, auf die prekäre Ressourcensituation bei der Mehrheit der Kantone hingewiesen. Auch die Empfehlungen im Anschluss an die Schengen-Evaluation 2018 halten den Finger u.a. auf diesen wunden Punkt.

Zwar haben in einzelnen Kantonen zaghafte Aufstockungen bei den Ressourcen der Datenschutzbehörden stattgefunden oder sind geplant. In der grossen Mehrheit der Kantone genügen diese Ressourcen aber weiterhin in keiner Weise für die Erfüllung der Aufgaben der Datenschutzbehörden.

privatim nimmt deshalb die Verabschiedung der E-Government-Strategie 2020–2023 zum Anlass, einmal mehr darauf hinzuweisen: Digitalisierung braucht Vertrauen. Datenschutz schafft Vertrauen. Datenschutz braucht kompetente, unabhängige und wirksame Datenschutzbehörden. Und dazu brauchen diese die zur Erfüllung ihrer Aufgaben notwendigen finanziellen und personellen Ressourcen.

Die Datenschutzbeauftragten werden aufgefordert, den Ressourcenbedarf in den Kantonen anzumelden. Die Parlamente werden aufgefordert, in den Budgets der Datenschutzbehörden die für die Erfüllung von deren gesetzlichen Aufgaben notwendigen personellen und finanziellen Ressourcen zu bewilligen.

Bern, 18. Dezember 2019

Ansprechpersonen
(deutsch): Beat Rudin, Präsident von privatim, +41 61 201 16 40, beat.rudin@dsb.bs.ch
(französisch): Christian Flückiger, Mitglied des Büros von privatim,
+41 32 420 90 90, christian.flueckiger@ppdt-june.ch

Resolution als PDF lesen.

Überarbeitetes privatim-Merkblatt Cloud-spezifische Risiken und Massnahmen

privatim hat sein im Februar 2019 veröffentlichtes Merkblatt zu den cloud-spezifischen Risiken und Massnahmen ergänzt um Ausführungen zum US CLOUD Act. Nach diesem Erlass müssen dem CLOUD Act unterstehende Cloud-Anbieter US-Behörden auch dann Zugriff auf gespeicherte Daten gewährleisten, wenn die Speicherung nicht in den USA, sondern z.B. in einem EU-Mitgliedstaat oder in der Schweiz erfolgt. Dieses durch die US-amerikanische Gesetzgebung geschaffene Risiko ist in der umfassenden Risikoanalyse zu beachten, die vorzunehmen ist, bevor staatliche Behörden Cloud-Dienstleistungen nutzen dürfen.

Das überarbeitete Merkblatt findet sich hier.

alle Posts

privatim liest

Europe’s enforcement paralysis

A new report by the Irish Council for Civil Liberties (ICCL) uncovers a paralysis at the heart of the EU General Data Protection Regulation (GDPR) and reveals why data protection authorities (DPAs) are unable to police how big tech firms use people’s data. Its conclusion: The European Commission has the duty to intervene
Report: The Irish Council for Civil Liberties (ICCL), September 2021
Video: https://vimeo.com/601138490

Staaten sind nicht machtlos gegen die Techgiganten

In Europa, aber auch in den USA werden immer mehr kartellrechtliche Verfahren gegen Plattformkonzerne wie Google, Facebook, Apple oder Amazon lanciert. Internationale Kooperation würde sie noch effektiver machen.

28.5.21, Tages-Anzeiger

 

The Coup We Are Not Talking About

We can have democracy, or we can have a surveillance society, but we cannot have both, writes professor emeritus at Harvard Business School and author of “The Age of Surveillance Capitalism.

29.01.2021, New York Times

Rechenzentren schiessen wie Pilze aus dem Boden.

Kampf um Schweizer Daten Winterthur, Rümlang, Dielsdorf oder Rafz: Im Kanton Zürich werden riesige digitale Lagerhallen gebaut. Drei US-Giganten stehen im Wettbewerb. Einblick in eine verschwiegene Branche.

15.2.21, Tages-Anzeiger

Corona-Listen: Das lässt sich aus der Datenschutz-Kritik lernen

Warum fordert der Datenschutz bestimmte Maßnahmen? Um Beschäftigte dafür zu sensibilisieren, helfen konkrete Beispiele, die jeder kennt. Die Kritik der Datenschützer, wie etwa Gaststätten mit den Kontaktdaten umgehen, die sie im Zuge der Corona-Verordnungen erheben müssen, eignet sich daher sehr gut für Ihre Datenschutz-Schulung.

13.10.20, www.datenschutz-praxis.de

alle Posts