Datenschutz Schweiz aktuell

Stand der Revisionen der Datenschutzgesetze in den Kantonen (20. April 2021)

Aufgrund der Datenschutzrevisionen in Europa – vor allem die Modernisierung der Europarats-Konvention 108+ und der Erlass der schengen-relevanten EU-Richtlinie 2016/680 für die justizielle und polizeiliche Zusammenarbeit – müssen auch die Datenschutzgesetze der Kantone den neuen Anforderungen angepasst werden. Am 20. April 2021 waren in sieben Kantonen die Gesetzesrevisionen abgeschlossen und in sechs davon auch bereits in Kraft. Die folgende Liste (Revisionen_kant_DSG)_gibt einen Überblick über den Stand der Revisionen. Sie soll periodisch aktualisiert werden.

Internationaler Datenschutztag 2021: Keine Erosion der Privatsphäre – trotz Pandemie

Bern, 28.01.2021 – Das revidierte Datenschutzgesetz (DSG) wirft seine Schatten voraus. Es wird voraussichtlich im Jahr 2022 in Kraft treten und führt schon heute zu einem Modernisierungsdruck auf die kantonalen Datenschutzgesetze. Beim Übergang zum neuen Recht arbeiten die Datenschutzorgane von Bund und Kantonen eng und pragmatisch zusammen. Im dynamischen Spannungsfeld der Pandemie wirken sie darauf hin, die Einschränkungen auf das private und selbstbestimmte Leben, welches durch die Digitalisierung bereits unter Druck steht, möglichst gering zu halten.

Die Bevölkerung ist heute einer immer weitreichenderen sowie stärker automatisierten und personalisierten Datenbearbeitung ausgesetzt. War bislang die globale Digitalisierung aller Lebensbereiche der zentrale Treiber dieser Entwicklung, so gesellte sich im Jahr 2020 die Pandemie hinzu, welche das Gros der Bevölkerung hinter die Bildschirme der digitalen Heimarbeit verbannte. In diesem spannungsgeladenen Umfeld setzen sich die Datenschutzbeauftragten von Bund und Kantonen für den Erhalt des privaten und selbstbestimmten Lebens ein, welches die Bundesverfassung der Bevölkerung garantiert. 

(weiterlesen…)

Digitale Zusammenarbeit: Folgen der Lockerungen

Der weitgehende Lockdown zur Bewältigung der Corona-Krise hatte (und hat teils noch immer) aus Datenschutzsicht zwei Abweichungen vom gewohnten Zustand zur Folge: Einerseits konnte die stets erforderliche Interessen- und Risikoabwägung teilweise zu anderen Ergebnissen führen. So durften z.B. zur Erfüllung des schulischen Bildungsauftrags Videokonferenzlösungen eingesetzt werden, welche die Anforderungen an den Datenschutz und die Informationssicherheit nicht (oder noch nicht) vollumfänglich erfüllen, wenn andernfalls der schulische Bildungsauftrag nicht hätte erfüllt werden können. Andererseits wurden die eingesetzten Lösungen von den Datenschutzaufsichtsstellen teils gar nicht oder nur summarisch geprüft.

Mit der Rückkehr zum «Regelbetrieb» – wenn etwa die Klassen an den obligatorischen Schulen den normalen Präsenzunterricht wieder aufnehmen können – sind auch für den Datenschutz die Risikoabwägungen wieder im Lichte «normaler» Umstände anzustellen, und wegen der Krise eingeführte ICT-Lösungen sind ordentlich – wo nötig unter Beizug der Datenschutzaufsichtsstellen – zu prüfen und bei Bedarf entweder nachzubessern oder durch rechtskonforme Lösungen zu ersetzen.

Dabei ist zu berücksichtigen, dass Tempo und Umfang der Lockerungen in den einzelnen Verwaltungsbereichen variieren; entsprechend können auch die Risikoabwägung und die Prüfungstiefe für das gleiche Produkt je nach Behörde und Aufgaben unterschiedlich ausfallen. Im Einzelfall ist es sogar denkbar, dass eine Behörde ihre provisorische Lösung punktuell (etwa zum Kontakt mit Kindern, die risikobedingt weiterhin im Fernunterricht betreut werden) weiterhin einsetzt, im Übrigen aber wieder ausschliesslich ordentliche geprüfte und rechtskonforme Mittel einsetzt.

 

Digitale Zusammenarbeit während der Corona-Krise

Zurzeit suchen Verwaltungen und Schulen dringend nach digitalen Lösungen, mit denen die Zusammenarbeit während der ausserordentlichen Lage aufgrund der Corona-Krise gewährleistet werden kann.

Ausserordentliche Lagen verlangen auch nach ausserordentlichen Massnahmen. Aus diesem Grund kann während der Dauer der ausserordentlichen Lage der Einsatz von Diensten/Lösungen als zulässig erscheinen, deren Datenschutzkonformität zurzeit nicht vollständig gegeben ist. Für den Einsatz nach der ausserordentlichen Lage gelten wieder die ordentlichen Voraussetzungen.

Der Datenschutzbeauftragte des Kantons Zürich prüft in Zusammenarbeit mit anderen privatim-Mitgliedern laufend Dienste/Lösungen. Die Resultate werden in einer Liste zusammengestellt und aktualisiert. Aufgeführt sind einerseits Dienste/Lösungen, die als datenschutzkonform beurteilt werden und deren Einsatz empfohlen werden kann, und andererseits Dienste/Lösungen, deren Einsatz während der Dauer der ausserordentlichen Lage aufgrund der Corona-Krise möglich sein soll, bei denen aber die Voraussetzungen für einen Einsatz nach der ausserordentlichen Lage zurzeit nicht gegeben sind (z.B. Office 365 ausserhalb des Bildungsbereichs). Bei dieser zweiten Kategorie ist darauf zu achten, dass nach der ausserordentlichen Lage wieder vollständig ausgestiegen werden kann und die ordentlichen Voraussetzungen wieder eingehalten werden.

Die öffentlichen Organe bleiben unverändert verantwortlich für den Einsatz solcher Dienste/Lösungen. Insbesondere ist weiterhin auf die notwendige Informationssicherheit zu achten. Ein erfolgreicher Cyberangriff auf eine (z.B. Spital-)IT kann mehr Schaden anrichten, als wenn vorher möglicherweise nicht optimal digital zusammengearbeitet werden konnte.

Auch während der Corona-Krise beraten die jeweiligen kantonalen Datenschutzbeauftragten die öffentlichen Organe beim Einsatz solcher Dienste/Lösungen und bleiben zuständig für die Aufsicht.

Die Liste finden Sie hier: https://dsb.zh.ch/internet/datenschutzbeauftragter/de/themen/digitale-zusammenarbeit.html

 

Medienmitteilung Datenschutztag 2020

Zunehmende Vermessung der Privatsphäre bei der Mobilität – neues Datenschutzgesetz überfällig

Unsere Gesellschaft stellt hohe Ansprüche an eine multimodale und zugleich nachhaltige Mobilität. Digitale Grossprojekte stossen indessen nur auf Akzeptanz, wenn die Privatsphäre der Verkehrsteilnehmenden geschützt ist. Die Datenschutzbehörden von Bund und Kantonen fordern deshalb die Datenbearbeiter auf, frühzeitig in datenschutzfreundliche Konzepte zu investieren. Für eine effektive Aufsicht ist es zudem angezeigt, die überfällige Revision des Datenschutzgesetzes des Bundes in der Märzsession 2020 abzuschliessen.

Nachhaltige digitale Projekte sollen die steigenden Mobilitätsansprüche mit den knapper werdenden Raum- und Energiereserven klimaverträglich in Einklang bringen. Es werden permanent Mobilitätsdaten aufgezeichnet, die sowohl von privaten und öffentlich-rechtlichen Unternehmen wie auch von Behörden intensiv genutzt werden, womit auch der Druck auf die Privatsphäre der Verkehrsteilnehmenden steigt. Nachhaltig ist für die Datenschutzbeauftragten von Bund und Kantonen indessen nur eine Verkehrspolitik, die durch Investitionen zu Gunsten der Privatsphäre und informationelle Selbstbestimmung der Bürgerinnen und Bürger Vertrauen schafft.

Wer heute auf Strasse, Schiene oder in der Luft unterwegs ist, wird digital begleitet. So erfassen und messen Verkehrs-Apps, private und behördliche Sensoren oder vernetzte Fahrzeuge unsere Bewegungen im öffentlichen Raum wie auch unser Verweilen an privaten Orten. Durch Auswertung kombinierter Daten können Bewegungs- und Persönlichkeitsprofile entstehen. Mit Technologien wie der Gesichtserkennung droht gar die gänzliche Abschaffung der freien und anonymen Bewegung im öffentlichen Raum zu Gunsten einer Totalüberwachung. Angesichts dieser Risiken fordern die Datenschutzbeauftragten von Bund und Kantonen die Betreiber von digitalen Mobilitätsprojekten auf, frühzeitig in datenschutzfreundliche Konzepte zu investieren, welche die Privatsphäre und Selbstbestimmung der Verkehrsteilnehmenden hinreichend wahren.

Herausforderungen für den EDÖB

Generell sind die im Mobilitätssektor tätigen Datenbearbeiter aufgefordert, ihre Praxis gegenüber den Betroffenen transparent zu machen, so dass Letztere unter Gebrauch datenschutzfreundlicher digitaler Wahlmöglichkeiten informiert in eine verhältnismässige und zweckgebundene Bearbeitung ihrer Personendaten einwilligen können.

Zu den Schwerpunkten des EDÖB im Bereich der Bearbeitung von Mobilitätsdaten gehört das unter der Federführung des Bundes lancierte Projekt Mobility Pricing. Dies bedingt die Erfassung des Reiseverhaltens und damit auch die Bearbeitung einer enormen Menge von Personendaten. Dabei entstehen rasch Bewegungsprofile, die in Verbindung mit weiteren Personendaten zu Persönlichkeitsprofilen führen können, für die ein erhöhtes Schutzniveau gilt. Der EDÖB hat das Bundesamt für Strassen (ASTRA) dazu angehalten, für eine kompetente und mit genügend Ressourcen ausgestattete interne Datenschutzstelle zu sorgen. Diese soll frühzeitig in das Projekt einbezogen werden und gewährleisten, dass die nötigen Risikofolgeabschätzungen erstellt, Applikationen von Anfang an mit datenschutzfreundlichen Technologien ausgestaltet und die not- wendigen Mittel eingeplant werden. Weiter sind alle datenschutzrechtlich relevanten Elemente zu dokumentieren, damit der EDÖB gegebenenfalls im Rahmen seiner übergeordneten Beratungs- und Kontrollfunktion auf diese Dokumente zurückgreifen kann.

Ein weiterer Schwerpunkt liegt beim elektronischen Ticketing mithilfe einer App. Von den Reisenden werden Bewegungsprofile erhoben, die zur Rechnungsstellung benötigt werden. Der EDÖB wies darauf hin, dass insbesondere kein direkter oder indirekter Zwang zur Preisgabe von Personendaten ausgeübt werden darf. So müssen die Kunden alternativ zu den geplanten Modellen weiterhin die Möglichkeit haben, zu den gleichen Bedingungen, d. h. diskriminierungsfrei, ohne Preisgabe ihrer Personendaten anonym zu reisen. Werden mit dem Tracking Persönlichkeitsprofile erstellt, muss das erhöhte Schutzniveau für besonders schützenswerte Personendaten und Persönlichkeitsprofile eingehalten werden.

(weiterlesen…)

Resolution: Fehlende Ressourcen bei den Datenschutzbehörden

Am 20. Dezember 2019 beschliesst nach dem Bundesrat auch die Konferenz der Kantonsregierungen (KdK) die neue E-Government-Strategie von Bund, Kantonen und Gemeinden für die Jahre 2020–2023. Damit soll weiterer Schub in die Digitalisierung der öffentlichen Verwaltungen gebracht werden. Hierfür werden personelle und finanzielle Ressourcen auf allen Staatsebenen gesprochen.

Die Digitalisierung der Verwaltung bringt neue Herausforderungen für den Schutz der Privatsphäre der betroffenen Personen. Mit den Grundsätzen «Digital first» und «Once only» und der gemeinsamen Datenverwaltung über alle Staatsebenen hinweg werden neue Risiken geschaffen. Die Digitalisierung der Verwaltung wird aber nur erfolgreich sein, wenn das Vertrauen der Bürgerinnen und Bürger gewonnen werden kann. Es wird entscheidend sein, dass auch in der digitalen Verwaltung der Schutz ihres Grundrechts auf Datenschutz und auf informationelle Selbstbestimmung garantiert ist.

Die Projektleitenden der zunehmend komplexen Digitalisierungsprojekte brauchen für die anspruchsvollen Datenschutzfragen kompetente Ansprechpartner. Dafür sind die Datenschutzbehörden da. Nur fehlen ihnen die dazu notwendigen Ressourcen. Im Juni 2018 hat privatim, die Konferenz der schweizerischen Datenschutzbeauftragten, auf die prekäre Ressourcensituation bei der Mehrheit der Kantone hingewiesen. Auch die Empfehlungen im Anschluss an die Schengen-Evaluation 2018 halten den Finger u.a. auf diesen wunden Punkt.

Zwar haben in einzelnen Kantonen zaghafte Aufstockungen bei den Ressourcen der Datenschutzbehörden stattgefunden oder sind geplant. In der grossen Mehrheit der Kantone genügen diese Ressourcen aber weiterhin in keiner Weise für die Erfüllung der Aufgaben der Datenschutzbehörden.

privatim nimmt deshalb die Verabschiedung der E-Government-Strategie 2020–2023 zum Anlass, einmal mehr darauf hinzuweisen: Digitalisierung braucht Vertrauen. Datenschutz schafft Vertrauen. Datenschutz braucht kompetente, unabhängige und wirksame Datenschutzbehörden. Und dazu brauchen diese die zur Erfüllung ihrer Aufgaben notwendigen finanziellen und personellen Ressourcen.

Die Datenschutzbeauftragten werden aufgefordert, den Ressourcenbedarf in den Kantonen anzumelden. Die Parlamente werden aufgefordert, in den Budgets der Datenschutzbehörden die für die Erfüllung von deren gesetzlichen Aufgaben notwendigen personellen und finanziellen Ressourcen zu bewilligen.

Bern, 18. Dezember 2019

Ansprechpersonen
(deutsch): Beat Rudin, Präsident von privatim, +41 61 201 16 40, beat.rudin@dsb.bs.ch
(französisch): Christian Flückiger, Mitglied des Büros von privatim,
+41 32 420 90 90, christian.flueckiger@ppdt-june.ch

Resolution als PDF lesen.

Überarbeitetes privatim-Merkblatt Cloud-spezifische Risiken und Massnahmen

privatim hat sein im Februar 2019 veröffentlichtes Merkblatt zu den cloud-spezifischen Risiken und Massnahmen ergänzt um Ausführungen zum US CLOUD Act. Nach diesem Erlass müssen dem CLOUD Act unterstehende Cloud-Anbieter US-Behörden auch dann Zugriff auf gespeicherte Daten gewährleisten, wenn die Speicherung nicht in den USA, sondern z.B. in einem EU-Mitgliedstaat oder in der Schweiz erfolgt. Dieses durch die US-amerikanische Gesetzgebung geschaffene Risiko ist in der umfassenden Risikoanalyse zu beachten, die vorzunehmen ist, bevor staatliche Behörden Cloud-Dienstleistungen nutzen dürfen.

Das überarbeitete Merkblatt findet sich hier.

Elektronische Identifizierungsdienste

Bundesgesetz über elektronische Identifizierungsdienste (Geschäft Nr. 18.049) Stellungnahme privatim vom 4. Oktober 2018

Aufgrund der weitreichenden Auswirkungen nimmt privatim zum aktuellen Entwurf des Bundesgesetzes über elektronische Identifizierungsdienste (E-ID-Gesetz) wie folgt Stellung.

E-ID-Registrierungsnummer

Antrag

Der Einsatz und die Verwendung der E-ID-Registrierungsnummer sei einzuschränken. Die E-ID-Registrierungsnummer soll ausschliesslich für die Kommunikation zwischen dem Bund und den IdP sowie unter den IdP verwendet werden dürfen.

Begründung

Die E-ID-Registrierungsnummer identifiziert eine Person eindeutig über alle Institutionen, mit welchen sie digitale Geschäfte abwickelt. Im vorliegenden Gesetzesentwurf bleibt die Nummer ab dem Zeitpunkt der Ausstellung der E-ID unverändert bestehen und wird von allen E-ID-verwendenden Diensten ohne Einschränkung genutzt. Entsprechend kann diese gar für weitere Zwecke genutzt werden. Dies entspricht somit einer eindeutigen ID, die sowohl von staatlichen als auch von privaten Leistungsanbietern genutzt werden kann. Finden die E-ID die erhoffte Verbreitung, ist davon auszugehen, dass es ein «faktischen Zwang» zur Nutzung der E-ID bei digitalen Angeboten entsteht. In der Folge birgt die «unkontrollierte Verwendung» der E-ID-Registrierungsnummer das Risiko der Vernetzung von Personendatensätzen zwischen einzelnen Systemen (wie dies beispielsweise auch in Kapitel 1.2.6.3 der Botschaft zum Bundesgesetz über elektronische Identifizierungsdienste bezüglich der AHVN13 beschrieben ist).

(weiterlesen…)

Vernehnlassungsantwort zur Änderung des AHV-Gesetzes

privatim stellt fest, dass die Vorlage aus der Perspektive der Kantone keinen Mehrwert bringt und aus Sicht des Datenschutzes die Risiken für die Persönlichkeitsrechte der Bürgerinnen und Bürger erhöht. Insbesondere im Rahmen der Digitalisierungsvorhaben der Verwaltungen müsste für die Verwendung der AHV-Nummer eine klare Ausgangslage geschaffen werden, welche die rechtlichen, organisatorischen und technischen Aspekte glei­chermassen berücksichtigt. Dies ist nur teilweise der Fall.

Lesen Sie die vollständige Vernehmlassungsantwort hier.

Datenschutztag 2019 – Drei Schwerpunkte für Bund und Kantone

Anlässlich eines Medientalks thematisieren die Datenschutzbehörden von Bund und Kantonen ihre gemeinsamen Herausforderungen bezüglich Wahlen, Polizei und AHV-Nummer. Zu den Nationalratswahlen vom kommenden Herbst haben sie Leitfaden publiziert, zudem tritt am 1. März das wenig bekannte neue Schengen-Datenschutzgesetz in Kraft. Des Weiteren soll via Gesetzesänderung die AHV-Nummer künftig von allen Behörden systematisch verwendet werden dürfen.

2019 ist ein Wahljahr. Die in den Kantonen abgehaltenen Erneuerungswahlen der Parlamente von Bund und Kantonen spielen sich in der digitalen Realität mit laufend neuen Datenbearbeitungs-Phänomenen ab, die sich auch auf das Verhalten der Stimmbürger auswirken. Mit ihrem Leitfaden vom 1. Dezember 2018 leisten die Datenschutzbehörden von Bund und Kantonen einen Beitrag zu der von der Bundesverfassung garantierten freien Willensbildung und unverfälschten Stimmabgabe.

(weiterlesen…)

alle Posts

privatim liest

Europe’s enforcement paralysis

A new report by the Irish Council for Civil Liberties (ICCL) uncovers a paralysis at the heart of the EU General Data Protection Regulation (GDPR) and reveals why data protection authorities (DPAs) are unable to police how big tech firms use people’s data. Its conclusion: The European Commission has the duty to intervene
Report: The Irish Council for Civil Liberties (ICCL), September 2021
Video: https://vimeo.com/601138490

Staaten sind nicht machtlos gegen die Techgiganten

In Europa, aber auch in den USA werden immer mehr kartellrechtliche Verfahren gegen Plattformkonzerne wie Google, Facebook, Apple oder Amazon lanciert. Internationale Kooperation würde sie noch effektiver machen.

28.5.21, Tages-Anzeiger

 

The Coup We Are Not Talking About

We can have democracy, or we can have a surveillance society, but we cannot have both, writes professor emeritus at Harvard Business School and author of “The Age of Surveillance Capitalism.

29.01.2021, New York Times

Rechenzentren schiessen wie Pilze aus dem Boden.

Kampf um Schweizer Daten Winterthur, Rümlang, Dielsdorf oder Rafz: Im Kanton Zürich werden riesige digitale Lagerhallen gebaut. Drei US-Giganten stehen im Wettbewerb. Einblick in eine verschwiegene Branche.

15.2.21, Tages-Anzeiger

Corona-Listen: Das lässt sich aus der Datenschutz-Kritik lernen

Warum fordert der Datenschutz bestimmte Maßnahmen? Um Beschäftigte dafür zu sensibilisieren, helfen konkrete Beispiele, die jeder kennt. Die Kritik der Datenschützer, wie etwa Gaststätten mit den Kontaktdaten umgehen, die sie im Zuge der Corona-Verordnungen erheben müssen, eignet sich daher sehr gut für Ihre Datenschutz-Schulung.

13.10.20, www.datenschutz-praxis.de

alle Posts