Datenschutz Schweiz aktuell

Digitale Zusammenarbeit während der Corona-Krise

Zurzeit suchen Verwaltungen und Schulen dringend nach digitalen Lösungen, mit denen die Zusammenarbeit während der ausserordentlichen Lage aufgrund der Corona-Krise gewährleistet werden kann.

Ausserordentliche Lagen verlangen auch nach ausserordentlichen Massnahmen. Aus diesem Grund kann während der Dauer der ausserordentlichen Lage der Einsatz von Diensten/Lösungen als zulässig erscheinen, deren Datenschutzkonformität zurzeit nicht vollständig gegeben ist. Für den Einsatz nach der ausserordentlichen Lage gelten wieder die ordentlichen Voraussetzungen.

Der Datenschutzbeauftragte des Kantons Zürich prüft in Zusammenarbeit mit anderen privatim-Mitgliedern laufend Dienste/Lösungen. Die Resultate werden in einer Liste zusammengestellt und aktualisiert. Aufgeführt sind einerseits Dienste/Lösungen, die als datenschutzkonform beurteilt werden und deren Einsatz empfohlen werden kann, und andererseits Dienste/Lösungen, deren Einsatz während der Dauer der ausserordentlichen Lage aufgrund der Corona-Krise möglich sein soll, bei denen aber die Voraussetzungen für einen Einsatz nach der ausserordentlichen Lage zurzeit nicht gegeben sind (z.B. Office 365 ausserhalb des Bildungsbereichs). Bei dieser zweiten Kategorie ist darauf zu achten, dass nach der ausserordentlichen Lage wieder vollständig ausgestiegen werden kann und die ordentlichen Voraussetzungen wieder eingehalten werden.

Die öffentlichen Organe bleiben unverändert verantwortlich für den Einsatz solcher Dienste/Lösungen. Insbesondere ist weiterhin auf die notwendige Informationssicherheit zu achten. Ein erfolgreicher Cyberangriff auf eine (z.B. Spital-)IT kann mehr Schaden anrichten, als wenn vorher möglicherweise nicht optimal digital zusammengearbeitet werden konnte.

Auch während der Corona-Krise beraten die jeweiligen kantonalen Datenschutzbeauftragten die öffentlichen Organe beim Einsatz solcher Dienste/Lösungen und bleiben zuständig für die Aufsicht.

Die Liste finden Sie hier: https://dsb.zh.ch/internet/datenschutzbeauftragter/de/themen/digitale-zusammenarbeit.html

 

Medienmitteilung Datenschutztag 2020

Zunehmende Vermessung der Privatsphäre bei der Mobilität – neues Datenschutzgesetz überfällig

Unsere Gesellschaft stellt hohe Ansprüche an eine multimodale und zugleich nachhaltige Mobilität. Digitale Grossprojekte stossen indessen nur auf Akzeptanz, wenn die Privatsphäre der Verkehrsteilnehmenden geschützt ist. Die Datenschutzbehörden von Bund und Kantonen fordern deshalb die Datenbearbeiter auf, frühzeitig in datenschutzfreundliche Konzepte zu investieren. Für eine effektive Aufsicht ist es zudem angezeigt, die überfällige Revision des Datenschutzgesetzes des Bundes in der Märzsession 2020 abzuschliessen.

Nachhaltige digitale Projekte sollen die steigenden Mobilitätsansprüche mit den knapper werdenden Raum- und Energiereserven klimaverträglich in Einklang bringen. Es werden permanent Mobilitätsdaten aufgezeichnet, die sowohl von privaten und öffentlich-rechtlichen Unternehmen wie auch von Behörden intensiv genutzt werden, womit auch der Druck auf die Privatsphäre der Verkehrsteilnehmenden steigt. Nachhaltig ist für die Datenschutzbeauftragten von Bund und Kantonen indessen nur eine Verkehrspolitik, die durch Investitionen zu Gunsten der Privatsphäre und informationelle Selbstbestimmung der Bürgerinnen und Bürger Vertrauen schafft.

Wer heute auf Strasse, Schiene oder in der Luft unterwegs ist, wird digital begleitet. So erfassen und messen Verkehrs-Apps, private und behördliche Sensoren oder vernetzte Fahrzeuge unsere Bewegungen im öffentlichen Raum wie auch unser Verweilen an privaten Orten. Durch Auswertung kombinierter Daten können Bewegungs- und Persönlichkeitsprofile entstehen. Mit Technologien wie der Gesichtserkennung droht gar die gänzliche Abschaffung der freien und anonymen Bewegung im öffentlichen Raum zu Gunsten einer Totalüberwachung. Angesichts dieser Risiken fordern die Datenschutzbeauftragten von Bund und Kantonen die Betreiber von digitalen Mobilitätsprojekten auf, frühzeitig in datenschutzfreundliche Konzepte zu investieren, welche die Privatsphäre und Selbstbestimmung der Verkehrsteilnehmenden hinreichend wahren.

Herausforderungen für den EDÖB

Generell sind die im Mobilitätssektor tätigen Datenbearbeiter aufgefordert, ihre Praxis gegenüber den Betroffenen transparent zu machen, so dass Letztere unter Gebrauch datenschutzfreundlicher digitaler Wahlmöglichkeiten informiert in eine verhältnismässige und zweckgebundene Bearbeitung ihrer Personendaten einwilligen können.

Zu den Schwerpunkten des EDÖB im Bereich der Bearbeitung von Mobilitätsdaten gehört das unter der Federführung des Bundes lancierte Projekt Mobility Pricing. Dies bedingt die Erfassung des Reiseverhaltens und damit auch die Bearbeitung einer enormen Menge von Personendaten. Dabei entstehen rasch Bewegungsprofile, die in Verbindung mit weiteren Personendaten zu Persönlichkeitsprofilen führen können, für die ein erhöhtes Schutzniveau gilt. Der EDÖB hat das Bundesamt für Strassen (ASTRA) dazu angehalten, für eine kompetente und mit genügend Ressourcen ausgestattete interne Datenschutzstelle zu sorgen. Diese soll frühzeitig in das Projekt einbezogen werden und gewährleisten, dass die nötigen Risikofolgeabschätzungen erstellt, Applikationen von Anfang an mit datenschutzfreundlichen Technologien ausgestaltet und die not- wendigen Mittel eingeplant werden. Weiter sind alle datenschutzrechtlich relevanten Elemente zu dokumentieren, damit der EDÖB gegebenenfalls im Rahmen seiner übergeordneten Beratungs- und Kontrollfunktion auf diese Dokumente zurückgreifen kann.

Ein weiterer Schwerpunkt liegt beim elektronischen Ticketing mithilfe einer App. Von den Reisenden werden Bewegungsprofile erhoben, die zur Rechnungsstellung benötigt werden. Der EDÖB wies darauf hin, dass insbesondere kein direkter oder indirekter Zwang zur Preisgabe von Personendaten ausgeübt werden darf. So müssen die Kunden alternativ zu den geplanten Modellen weiterhin die Möglichkeit haben, zu den gleichen Bedingungen, d. h. diskriminierungsfrei, ohne Preisgabe ihrer Personendaten anonym zu reisen. Werden mit dem Tracking Persönlichkeitsprofile erstellt, muss das erhöhte Schutzniveau für besonders schützenswerte Personendaten und Persönlichkeitsprofile eingehalten werden.

(weiterlesen…)

Resolution: Fehlende Ressourcen bei den Datenschutzbehörden

Am 20. Dezember 2019 beschliesst nach dem Bundesrat auch die Konferenz der Kantonsregierungen (KdK) die neue E-Government-Strategie von Bund, Kantonen und Gemeinden für die Jahre 2020–2023. Damit soll weiterer Schub in die Digitalisierung der öffentlichen Verwaltungen gebracht werden. Hierfür werden personelle und finanzielle Ressourcen auf allen Staatsebenen gesprochen.

Die Digitalisierung der Verwaltung bringt neue Herausforderungen für den Schutz der Privatsphäre der betroffenen Personen. Mit den Grundsätzen «Digital first» und «Once only» und der gemeinsamen Datenverwaltung über alle Staatsebenen hinweg werden neue Risiken geschaffen. Die Digitalisierung der Verwaltung wird aber nur erfolgreich sein, wenn das Vertrauen der Bürgerinnen und Bürger gewonnen werden kann. Es wird entscheidend sein, dass auch in der digitalen Verwaltung der Schutz ihres Grundrechts auf Datenschutz und auf informationelle Selbstbestimmung garantiert ist.

Die Projektleitenden der zunehmend komplexen Digitalisierungsprojekte brauchen für die anspruchsvollen Datenschutzfragen kompetente Ansprechpartner. Dafür sind die Datenschutzbehörden da. Nur fehlen ihnen die dazu notwendigen Ressourcen. Im Juni 2018 hat privatim, die Konferenz der schweizerischen Datenschutzbeauftragten, auf die prekäre Ressourcensituation bei der Mehrheit der Kantone hingewiesen. Auch die Empfehlungen im Anschluss an die Schengen-Evaluation 2018 halten den Finger u.a. auf diesen wunden Punkt.

Zwar haben in einzelnen Kantonen zaghafte Aufstockungen bei den Ressourcen der Datenschutzbehörden stattgefunden oder sind geplant. In der grossen Mehrheit der Kantone genügen diese Ressourcen aber weiterhin in keiner Weise für die Erfüllung der Aufgaben der Datenschutzbehörden.

privatim nimmt deshalb die Verabschiedung der E-Government-Strategie 2020–2023 zum Anlass, einmal mehr darauf hinzuweisen: Digitalisierung braucht Vertrauen. Datenschutz schafft Vertrauen. Datenschutz braucht kompetente, unabhängige und wirksame Datenschutzbehörden. Und dazu brauchen diese die zur Erfüllung ihrer Aufgaben notwendigen finanziellen und personellen Ressourcen.

Die Datenschutzbeauftragten werden aufgefordert, den Ressourcenbedarf in den Kantonen anzumelden. Die Parlamente werden aufgefordert, in den Budgets der Datenschutzbehörden die für die Erfüllung von deren gesetzlichen Aufgaben notwendigen personellen und finanziellen Ressourcen zu bewilligen.

Bern, 18. Dezember 2019

Ansprechpersonen
(deutsch): Beat Rudin, Präsident von privatim, +41 61 201 16 40, beat.rudin@dsb.bs.ch
(französisch): Christian Flückiger, Mitglied des Büros von privatim,
+41 32 420 90 90, christian.flueckiger@ppdt-june.ch

Resolution als PDF lesen.

Überarbeitetes privatim-Merkblatt Cloud-spezifische Risiken und Massnahmen

privatim hat sein im Februar 2019 veröffentlichtes Merkblatt zu den cloud-spezifischen Risiken und Massnahmen ergänzt um Ausführungen zum US CLOUD Act. Nach diesem Erlass müssen dem CLOUD Act unterstehende Cloud-Anbieter US-Behörden auch dann Zugriff auf gespeicherte Daten gewährleisten, wenn die Speicherung nicht in den USA, sondern z.B. in einem EU-Mitgliedstaat oder in der Schweiz erfolgt. Dieses durch die US-amerikanische Gesetzgebung geschaffene Risiko ist in der umfassenden Risikoanalyse zu beachten, die vorzunehmen ist, bevor staatliche Behörden Cloud-Dienstleistungen nutzen dürfen.

Das überarbeitete Merkblatt findet sich hier.

Elektronische Identifizierungsdienste

Bundesgesetz über elektronische Identifizierungsdienste (Geschäft Nr. 18.049) Stellungnahme privatim vom 4. Oktober 2018

Aufgrund der weitreichenden Auswirkungen nimmt privatim zum aktuellen Entwurf des Bundesgesetzes über elektronische Identifizierungsdienste (E-ID-Gesetz) wie folgt Stellung.

E-ID-Registrierungsnummer

Antrag

Der Einsatz und die Verwendung der E-ID-Registrierungsnummer sei einzuschränken. Die E-ID-Registrierungsnummer soll ausschliesslich für die Kommunikation zwischen dem Bund und den IdP sowie unter den IdP verwendet werden dürfen.

Begründung

Die E-ID-Registrierungsnummer identifiziert eine Person eindeutig über alle Institutionen, mit welchen sie digitale Geschäfte abwickelt. Im vorliegenden Gesetzesentwurf bleibt die Nummer ab dem Zeitpunkt der Ausstellung der E-ID unverändert bestehen und wird von allen E-ID-verwendenden Diensten ohne Einschränkung genutzt. Entsprechend kann diese gar für weitere Zwecke genutzt werden. Dies entspricht somit einer eindeutigen ID, die sowohl von staatlichen als auch von privaten Leistungsanbietern genutzt werden kann. Finden die E-ID die erhoffte Verbreitung, ist davon auszugehen, dass es ein «faktischen Zwang» zur Nutzung der E-ID bei digitalen Angeboten entsteht. In der Folge birgt die «unkontrollierte Verwendung» der E-ID-Registrierungsnummer das Risiko der Vernetzung von Personendatensätzen zwischen einzelnen Systemen (wie dies beispielsweise auch in Kapitel 1.2.6.3 der Botschaft zum Bundesgesetz über elektronische Identifizierungsdienste bezüglich der AHVN13 beschrieben ist).

(weiterlesen…)

Vernehnlassungsantwort zur Änderung des AHV-Gesetzes

privatim stellt fest, dass die Vorlage aus der Perspektive der Kantone keinen Mehrwert bringt und aus Sicht des Datenschutzes die Risiken für die Persönlichkeitsrechte der Bürgerinnen und Bürger erhöht. Insbesondere im Rahmen der Digitalisierungsvorhaben der Verwaltungen müsste für die Verwendung der AHV-Nummer eine klare Ausgangslage geschaffen werden, welche die rechtlichen, organisatorischen und technischen Aspekte glei­chermassen berücksichtigt. Dies ist nur teilweise der Fall.

Lesen Sie die vollständige Vernehmlassungsantwort hier.

Datenschutztag 2019 – Drei Schwerpunkte für Bund und Kantone

Anlässlich eines Medientalks thematisieren die Datenschutzbehörden von Bund und Kantonen ihre gemeinsamen Herausforderungen bezüglich Wahlen, Polizei und AHV-Nummer. Zu den Nationalratswahlen vom kommenden Herbst haben sie Leitfaden publiziert, zudem tritt am 1. März das wenig bekannte neue Schengen-Datenschutzgesetz in Kraft. Des Weiteren soll via Gesetzesänderung die AHV-Nummer künftig von allen Behörden systematisch verwendet werden dürfen.

2019 ist ein Wahljahr. Die in den Kantonen abgehaltenen Erneuerungswahlen der Parlamente von Bund und Kantonen spielen sich in der digitalen Realität mit laufend neuen Datenbearbeitungs-Phänomenen ab, die sich auch auf das Verhalten der Stimmbürger auswirken. Mit ihrem Leitfaden vom 1. Dezember 2018 leisten die Datenschutzbehörden von Bund und Kantonen einen Beitrag zu der von der Bundesverfassung garantierten freien Willensbildung und unverfälschten Stimmabgabe.

(weiterlesen…)

LEITFADEN der Datenschutzbehörden zur Anwendung des Datenschutzrechts auf die digitale Bearbeitung von Personendaten im Zusammenhang mit Wahlen und Abstimmungen in der Schweiz

Auch eidgenössische Wahlen und Abstimmungen werden von den Kantonen durchgeführt. Die US-amerikanischen Präsidentschaftswahlen haben gezeigt, dass die digitalisierte Welt neue Möglichkeiten zur gezielten Einflussnahme auf Wählerinnen und Wähler und Abstimmende bietet. Der Leitfaden richtet sich in erster Linie an politische Parteien und Interessengruppen sowie an deren digitale Werber. Diesen – im Wesentlichen dem privaten Datenschutzrecht unterstehenden – Akteuren sollen die Rahmenbedingungen für die digitale Einflussnahme gezeigt werden. Die für die Durchführung der Wahlen und Abstimmungen zuständigen staatlichen Stellen sind einerseits als Ansprechpersonen der Parteien und Interessegruppen in der Pflicht. Sie müssen andererseits beurteilen können, was ein Bekanntgeben von bei ihnen verfügbaren Dateien bewirken kann.

Sie finden den durch die Datenschutzbehörden von Bund (EDÖB) und Kantonen (privatim) erstellten Leitfaden hier.

Wie Online-Portale datenschutzfreundlich werden

In der digitalisierten Verwaltung sind Online-Portale die Schnittstelle zwischen der Verwaltung und den Bürgerinnen und Bürgern. Die heutigen Technologien ermöglichen es, Dienstleistungen rund um die Uhr anzubieten und zu nutzen. Wie dabei die Privatsphäre der Bürgerinnen und Bürger geschützt und die Sicherheit ihrer Daten gewährleistet werden kann, hält privatim, die Konferenz der schweizerischen Datenschutzbeauftragten, in einem neuen Merkblatt fest. Anhand von konkreten Beispielen zeigt dieses auf, welche rechtlichen und technischen Vorgaben zu befolgen sind.

Mit der Publikation des Merkblatts für Online-Portale der öffentlichen Verwaltung liefert privatim einen wichtigen Beitrag zu einer datenschutzfreundlichen Ausgestaltung von Einwohnerportalen. Noch viel zu oft kommen bei Digitalisierungsprojekten die Anliegen des Datenschutzes und der Sicherheit heute nämlich zu kurz, sei es, weil in den Projekten die notwendigen Kenntnisse fehlen oder weil die zuständigen Datenschutzbehörden gar nicht erst involviert werden.

Wer von den Chancen der Digitalisierung nachhaltig profitieren will, muss die damit einhergehenden Risiken kontinuierlich bewerten und die nötigen Sicherheitsvorkehrungen treffen. Das Merkblatt unterstützt die öffentliche Verwaltung bei der Planung und beim Betrieb von Online-Portalen und zeigt, dass es mit den entsprechenden rechtlichen und technischen Massnahmen ohne weiteres möglich ist, bürgerfreundliche digitale Lösungen datenschutzkonform umzusetzen.

Merkblatt Online-Portale

Kontakt: Bruno Baeriswyl, Datenschutzbeauftragter des Kantons Zürich, 043 259 39 99

Digitaler Staat braucht Datenschutz

Bern, den 22. Juni 2018

Die kantonalen Datenschutzbeauftragten fordern massiv mehr Mittel

Die Digitalisierung der öffentlichen Verwaltung soll forciert werden. Diese Entwicklung ist technikgetrieben. Die Rechte und Freiheiten der Bürgerinnen und Bürger und der Datenschutz drohen, auf der Strecke zu bleiben. Viele Datenschutzbehörden sind bereits heute nicht in der Lage, ihre gesetzlichen Aufgaben zum Schutz der Rechte der Bürgerinnen und Bürger wahrzunehmen. privatim, die Konferenz der schweizerischen Datenschutzbeauftragten, fordert deshalb eine massive Aufstockung der Mittel für die Datenschutzbehörden.

Die Datenschutzbehörden haben die gesetzliche Aufgabe, die öffentlichen Organe zu beraten und kontrollieren, um den Datenschutz in der Verwaltung zu gewährleisten. Dazu sollen sie zu Gesetzgebungsprojekten Stellung nehmen und neue Datenbearbeitungen vorab prüfen. Sie sollen die Öffentlichkeit für Datenschutzthemen sensibilisieren, die öffentlichen Organe schulen sowie Beschwerden von Bürgerinnen und Bürger behandeln. Viele kantonale Datenschutzbehörden sind fachlich und finanziell aber so schwach dotiert, dass sie lediglich einen Bruchteil dieses Pflichtenheftes wahrnehmen können.

Mit der Digitalisierung der Verwaltung spitzt sich die Situation weiter zu. Der massive Anstieg der Datenmenge, die immer komplexer werdenden Informatiksysteme und die wachsende Abhängigkeit von der Informationstechnologie bergen wachsende Cyberrisiken und die Gefahr des Missbrauchs von persönlichen Daten und digitalen Identitäten. Doch die notwendigen Risikoabschätzungen fehlen und datenschutzfreundliche Technologien werden kaum eingesetzt. Datenschutzbeauftragte werden nicht explizit in die Prozesse eingebunden und die zusätzlichen Mittel für die Digitalisierung fliessen an ihnen vorbei.

Angesichts der rasch wachsenden Digitalisierung der Verwaltung wird präventiver Datenschutz durch Vorabkontrollen und nachträgliche Kontrolle immer wichtiger. Die Datenschutzbehörden sind aber mangels personeller Ressourcen und damit fehlendem Knowhow nicht in der Lage, dies sicherzustellen. Zusammengerechnet gibt es zurzeit in allen Kantonen ca. 50 Stellen – beim Bund 26. Damit kann der Datenschutz in der digitalen Verwaltung nicht gewährleistet werden.

Das ist in einer den Freiheitsrechten der Bürgerinnen und Bürger verpflichteten Demokratie ein unhaltbarer Zustand – und ein gefährlicher dazu. Denn ohne wirksamen Datenschutz stellt der Staat auf die Länge das Vertrauen seiner Bürgerinnen und Bürger aufs Spiel und verspielt dabei auch die Chance, sich das Potenzial der Digitalisierung zum Gemeinwohl zu Nutzen zu machen.

privatim, die Konferenz der schweizerischen Datenschutzbeauftragten, verlangt deshalb eine massive Aufstockung der Mittel. Für eine wirksame Datenschutzaufsicht auf dem Weg zum digitalen Staat braucht es in den Kantonen 200 zusätzliche Stellen. Damit werden aus heutigen «Alibi-Datenschutzbehörden» endlich funktionierende und unabhängige Aufsichtsbehörden, und die (teilweise) funktionierenden Behörden werden in die Lage versetzt, sich kompetent und wirksam für den Schutz und die Sicherheit der Datenbearbeitungen in der digitalen Verwaltung einzubringen.

Für Fragen stehen zur Verfügung:

Deutsch:
Beat Rudin, Präsident privatim, DSB BS,  Tel.: 061 201 16 40

Français:
Christian Flückiger, PPDT JU/NE, Bureau de privatim, Tel.: 032 420 90 92

Dokumentation:

Präsentation Claudia Mund DSB Zug; Bruno Baeriswyl, DSB ZH; Beat Rudin/BS)
Auszug modernisierte Konvention 108
Artikel: Handlungsbedarf nach Schengen-Evaluation, privatim, digma 2008/2
Artikel: Estland im falschen Blickwinkel, Bruno Baeriswyl, digma 2018/2 (preprint)
Artikel: Digitalisierung braucht mehr als Feigenblätter, Beat Rudin, digma 2018/2 (preprint)

 

alle Posts

privatim liest

Yuval Noah Harari: the world after coronavirus

Today, for the first time in human history, technology makes it possible to monitor everyone all the time.

20.3.20, Financial Times

Das BAG prüft die Nutzung von Bewegungsdaten von Handys

Neben asiatischen greifen auch europäische Länder auf Standortdaten von Handys zu, um die Corona-Krise in den Griff zu bekommen. Das wird nun auch in der Schweiz erwogen. 

NZZ, 19.3.20

Nationalrat stimmt Datenschutzkonvention zu

Der Nationalrat hat sich für die Ratifizierung der modernisierten Datenschutzkonvention des Europarates ausgesprochen. Dieses sieht mehr Schutz für die betroffenen Personen und ausgeweitete Pflichten für Datenschutz-Verantwortliche vor.

Computerworld, 11.3.20

Datenschutz ist ein Motor für die Digitalisierung

 Datenschutz ist gut für den Wettbewerb und fördert die Investitionen in die Digitalisierung. Und dies gilt nicht etwa nur für Digitalunternehmen, sondern auch für die Industrie.

Handelsblatt, 27.1.20

Ständerat beschliesst stärkeren Datenschutz

Keine Spielchen beim Datenschutz: Die kleine Kammer hat klar beschlossen, das Datenschutzgesetz gemäss den europäischen Standards anzupassen. Damit stärkt sie Justizministerin Karin Keller-Sutter den Rücken, die im Nationalrat noch unterlegen war.

NZZ, 18.12.19

alle Posts