Datenschutz Schweiz aktuell

privatim-Merkblatt «Cloud-spezifische Risiken und Massnahmen»

Öffentliche Organe nehmen beim Bearbeiten von Personendaten immer mehr Dienstleistungen Dritter in Anspruch. Dabei kommen auch immer mehr Cloud-Technologien zum Einsatz.

Die Behörden sind verantwortlich, nicht nur wenn sie Daten selber bearbeiten; sie bleiben es auch, auch wenn sie Daten durch Dritte bearbeiten lassen (Auftragsdatenbearbeitung). Ob eine Auftragsdatenbearbeitung zulässig ist, ist nach den entsprechenden Rechtsgrundlagen (Datenschutzgesetze und spezifische Fachgesetze) zu bestimmen, es ist eine Risikoanalyse zu erstellen und die notwendigen Schutzvorkehren sind zu treffen. Für diese Beurteilung stellen zahlreiche Datenschutzbehörden eigene Merkblätter zur Verfügung.

Ist eine Auftragsdatenbearbeitung zulässig und möglich und sollen Cloud-Technologien verwendet werden, sind zusätzlich die Cloud-spezifischen Risiken zu beurteilen und die zur Minimierung dieser Risiken notwendigen Massnahmen vorzukehren

Für diese Situation stellt privatim ein Merkblatt zur Verfügung. Der Einsatz von Cloud-Lösungen ist im konkreten Einzelfall zu beurteilen. . Es muss eine umfassende Risikoanalyse durchgeführt werden, die neben der Art der Datenbearbeitung insbesondere auch die Fragen des anwendbaren Rechts und des Gerichtsstandes, des Orts der Datenbearbeitung (Serverstandort) und des Geheimnisschutzes (Verschlüsselung, Schlüsselmanagement) in den Fokus stellt.

Das Merkblatt soll helfen zu beurteilen, wie hoch die Cloud-spezifischen Risiken sind, damit dann in einer Gesamtbeurteilung entschieden werden kann, ob die Verwendung von Cloud-Technologien bei einer bestimmten behördlichen Datenbearbeitung als vertretbar erscheint oder ob aufgrund der nicht zu beseitigenden oder nicht reduzierbaren Risiken darauf zu verzichten ist. Der Entscheid ist transparent zu dokumentieren, so dass das verantwortliche öffentliche Organ (nicht der IT-Dienstleister) die Risiken kennt und das verbleibende Restrisiko bewusst übernehmen und verantworten kann.

Datenschutztag 2019: Drei Schwerpunkte für Bund und Kantone

Bern, 28.1.2019 – Anlässlich eines Medientalks thematisieren die Datenschutzbehörden von Bund und Kantonen ihre gemeinsamen Herausforderungen bezüglich Wahlen, Polizei und AHV-Nummer. Zu den Nationalratswahlen vom kommenden Herbst haben sie einen Leitfaden publiziert, zudem tritt am 1. März das wenig bekannte neue Schengen-Datenschutzgesetz in Kraft. Des Weiteren soll via Gesetzesänderung die AHV-Nummer künftig von allen Behörden systematisch verwendet werden dürfen (weiterlesen).

Journée de la protection des données 2019: Trois priorités pour la Confédération et les cantons

Berne, le 28.1.2019 – À l’occasion d’une présentation aux médias, les autorités de pro-tection des données de la Confédération et des cantons ont abordé les défis com-muns qui les attendent en matière d’élections, de police et de numéro AVS. Elles ont publié un guide consacré à l’élection du Conseil national cet automne ; par ailleurs, la nouvelle loi, peu connue, sur la protection des données Schengen entrera en vigueur le 1er mars. Une modification législative doit en outre permettre à toutes les autorités d’utiliser systématiquement le numéro AVS (lire la suite…).

LEITFADEN der Datenschutzbehörden von Bund und Kantonen zur Anwendung des Datenschutzrechts auf die digitale Bearbeitung von Personendaten im Zusammenhang mit Wahlen und Abstimmungen in der Schweiz

Auch eidgenössische Wahlen und Abstimmungen werden von den Kantonen durchgeführt. Die US-amerikanischen Präsidentschaftswahlen haben gezeigt, dass die digitalisierte Welt neue Möglichkeiten zur gezielten Einflussnahme auf Wählerinnen und Wähler und Abstimmende bietet. Der Leitfaden richtet sich in erster Linie an politische Parteien und Interessengruppen sowie an deren digitale Werber. Diesen – im Wesentlichen dem privaten Datenschutzrecht unterstehenden – Akteuren sollen die Rahmenbedingungen für die digitale Einflussnahme gezeigt werden. Die für die Durchführung der Wahlen und Abstimmungen zuständigen staatlichen Stellen sind einerseits als Ansprechpersonen der Parteien und Interessegruppen in der Pflicht. Sie müssen andererseits beurteilen können, was ein Bekanntgeben von bei ihnen verfügbaren Dateien bewirken kann.

Sie finden den durch die Datenschutzbehörden von Bund (EDÖB) und Kantonen (privatim) erstellten Leitfaden hier.

Wie Online-Portale datenschutzfreundlich werden

In der digitalisierten Verwaltung sind Online-Portale die Schnittstelle zwischen der Verwaltung und den Bürgerinnen und Bürgern. Die heutigen Technologien ermöglichen es, Dienstleistungen rund um die Uhr anzubieten und zu nutzen. Wie dabei die Privatsphäre der Bürgerinnen und Bürger geschützt und die Sicherheit ihrer Daten gewährleistet werden kann, hält privatim, die Konferenz der schweizerischen Datenschutzbeauftragten, in einem neuen Merkblatt fest. Anhand von konkreten Beispielen zeigt dieses auf, welche rechtlichen und technischen Vorgaben zu befolgen sind.

Mit der Publikation des Merkblatts für Online-Portale der öffentlichen Verwaltung liefert privatim einen wichtigen Beitrag zu einer datenschutzfreundlichen Ausgestaltung von Einwohnerportalen. Noch viel zu oft kommen bei Digitalisierungsprojekten die Anliegen des Datenschutzes und der Sicherheit heute nämlich zu kurz, sei es, weil in den Projekten die notwendigen Kenntnisse fehlen oder weil die zuständigen Datenschutzbehörden gar nicht erst involviert werden.

Wer von den Chancen der Digitalisierung nachhaltig profitieren will, muss die damit einhergehenden Risiken kontinuierlich bewerten und die nötigen Sicherheitsvorkehrungen treffen. Das Merkblatt unterstützt die öffentliche Verwaltung bei der Planung und beim Betrieb von Online-Portalen und zeigt, dass es mit den entsprechenden rechtlichen und technischen Massnahmen ohne weiteres möglich ist, bürgerfreundliche digitale Lösungen datenschutzkonform umzusetzen.

Merkblatt Online-Portale

Kontakt: Bruno Baeriswyl, Datenschutzbeauftragter des Kantons Zürich, 043 259 39 99

Digitaler Staat braucht Datenschutz

Bern, den 22. Juni 2018

Die kantonalen Datenschutzbeauftragten fordern massiv mehr Mittel

Die Digitalisierung der öffentlichen Verwaltung soll forciert werden. Diese Entwicklung ist technikgetrieben. Die Rechte und Freiheiten der Bürgerinnen und Bürger und der Datenschutz drohen, auf der Strecke zu bleiben. Viele Datenschutzbehörden sind bereits heute nicht in der Lage, ihre gesetzlichen Aufgaben zum Schutz der Rechte der Bürgerinnen und Bürger wahrzunehmen. privatim, die Konferenz der schweizerischen Datenschutzbeauftragten, fordert deshalb eine massive Aufstockung der Mittel für die Datenschutzbehörden.

Die Datenschutzbehörden haben die gesetzliche Aufgabe, die öffentlichen Organe zu beraten und kontrollieren, um den Datenschutz in der Verwaltung zu gewährleisten. Dazu sollen sie zu Gesetzgebungsprojekten Stellung nehmen und neue Datenbearbeitungen vorab prüfen. Sie sollen die Öffentlichkeit für Datenschutzthemen sensibilisieren, die öffentlichen Organe schulen sowie Beschwerden von Bürgerinnen und Bürger behandeln. Viele kantonale Datenschutzbehörden sind fachlich und finanziell aber so schwach dotiert, dass sie lediglich einen Bruchteil dieses Pflichtenheftes wahrnehmen können.

Mit der Digitalisierung der Verwaltung spitzt sich die Situation weiter zu. Der massive Anstieg der Datenmenge, die immer komplexer werdenden Informatiksysteme und die wachsende Abhängigkeit von der Informationstechnologie bergen wachsende Cyberrisiken und die Gefahr des Missbrauchs von persönlichen Daten und digitalen Identitäten. Doch die notwendigen Risikoabschätzungen fehlen und datenschutzfreundliche Technologien werden kaum eingesetzt. Datenschutzbeauftragte werden nicht explizit in die Prozesse eingebunden und die zusätzlichen Mittel für die Digitalisierung fliessen an ihnen vorbei.

Angesichts der rasch wachsenden Digitalisierung der Verwaltung wird präventiver Datenschutz durch Vorabkontrollen und nachträgliche Kontrolle immer wichtiger. Die Datenschutzbehörden sind aber mangels personeller Ressourcen und damit fehlendem Knowhow nicht in der Lage, dies sicherzustellen. Zusammengerechnet gibt es zurzeit in allen Kantonen ca. 50 Stellen – beim Bund 26. Damit kann der Datenschutz in der digitalen Verwaltung nicht gewährleistet werden.

Das ist in einer den Freiheitsrechten der Bürgerinnen und Bürger verpflichteten Demokratie ein unhaltbarer Zustand – und ein gefährlicher dazu. Denn ohne wirksamen Datenschutz stellt der Staat auf die Länge das Vertrauen seiner Bürgerinnen und Bürger aufs Spiel und verspielt dabei auch die Chance, sich das Potenzial der Digitalisierung zum Gemeinwohl zu Nutzen zu machen.

privatim, die Konferenz der schweizerischen Datenschutzbeauftragten, verlangt deshalb eine massive Aufstockung der Mittel. Für eine wirksame Datenschutzaufsicht auf dem Weg zum digitalen Staat braucht es in den Kantonen 200 zusätzliche Stellen. Damit werden aus heutigen «Alibi-Datenschutzbehörden» endlich funktionierende und unabhängige Aufsichtsbehörden, und die (teilweise) funktionierenden Behörden werden in die Lage versetzt, sich kompetent und wirksam für den Schutz und die Sicherheit der Datenbearbeitungen in der digitalen Verwaltung einzubringen.

Für Fragen stehen zur Verfügung:

Deutsch:
Beat Rudin, Präsident privatim, DSB BS,  Tel.: 061 201 16 40

Français:
Christian Flückiger, PPDT JU/NE, Bureau de privatim, Tel.: 032 420 90 92

Dokumentation:

Präsentation Claudia Mund DSB Zug; Bruno Baeriswyl, DSB ZH; Beat Rudin/BS)
Auszug modernisierte Konvention 108
Artikel: Handlungsbedarf nach Schengen-Evaluation, privatim, digma 2008/2
Artikel: Estland im falschen Blickwinkel, Bruno Baeriswyl, digma 2018/2 (preprint)
Artikel: Digitalisierung braucht mehr als Feigenblätter, Beat Rudin, digma 2018/2 (preprint)

 

Zwei neue Vorlagen zur Bekämpfung des Terrorismus: Nachholbedarf im Bereich Datenschutz

Der Bundesrat will mit dem Vorentwurf zu einem Bundesgesetz über Vorläuferstoffe für explosionsfähige Stoffe (Vorläuferstoffgesetz, VSG) und dem Vorentwurf zu einem Bundesgesetz über polizeiliche Massnahmen zur Bekämpfung von Terrorismus (PMT) den Nationalen Aktionsplan gegen Terrorismus des Sicherheitsverbunds Schweiz (SVS) umsetzen. privatim, die Konferenz der schweizerischen Datenschutzbeauftragten, sieht bei beiden Vorlagen Nachholbedarf im Bereich Datenschutz. Insbesondere die Vorlage PMT nimmt zu wenig auf die kantonalen Rechtsgrundlagen Rücksicht. Zudem darf bezweifelt werden, dass mit dem vom Bundesrat vorgelegten Mantelerlass die zwingend notwendige Rechtssicherheit hergestellt sowie die Rechtmässigkeit der Datenbearbeitungen durch fedpol gewährleistet werden kann.

Der Bundesrat will den Behörden wirksame Instrumente geben, um terroristische Anschläge bekämpfen zu können. Ein Element dazu stellt die Bewilligungspflicht für den Erwerb von Stoffen dar, welche zur Herstellung von Explosivstoffen verwendet werden können. Die Vermarktung und Verwendung von Vorläuferstoffen ist in der Europäischen Union seit 2014 reglementiert. Es ist nachvollziehbar, dass der Bundesrat nun ebenfalls mit einer Gesetzgebung nachzieht, damit die Schweiz nicht als einziges Land in Europa dasteht, in dem diese Stoffe uneingeschränkt erhältlich sind. privatim stimmt der Schaffung einer formell-gesetzlichen Grundlage zur Reglementierung des Zugangs privater Personen zu Vorläuferstoffen und den damit einhergehenden Datenbearbeitungen grundsätzlich zu. Jedoch sind diverse Bestimmungen vor dem Hintergrund des Legalitätsprinzips bzw. Bestimmtheitsgebots zu offen formuliert. Hier besteht aus Sicht von privatim Nachholbedarf. Es muss bereits auf formell-gesetzlicher Stufe klar sein, wie Begriffe zu verstehen und die einzelnen Bestimmungen auszulegen sind. (weiterlesen…)

Nationaler Aktionsplan Radikalisierung – Datenschutzbeauftragte einbeziehen!

Am 4. Dezember 2017 haben Bund, Kantonen und Gemeinden den Nationalen Aktionsplan zur Verhinderung und Bekämpfung von Radikalisierung und gewalttätigem Extremismus vorgestellt. Er enthält 26 Massnahmen. Zum Teil können diese auf laufenden Bemühungen aufbauen, zum Teil müssen erst noch gesetzliche Grundlagen geschaffen werden.

privatim, die Konferenz der schweizerischen Datenschutzbeauftragten, unterstützt den vorgelegten Aktionsplan grundsätzlich, weist aber darauf hin, dass generell bei jedem Informationsaustausch die datenschutzrechtlichen Vorgaben des Bundes- bzw. kantonalen Rechts einzuhalten sind. privatim fordert deshalb die Verantwortlichen von Bund und Kantonen auf, die Datenschutzbeauftragten frühzeitig in die Umsetzungsprozesse einzubeziehen. Es reicht nicht aus, die verschiedenen Konferenzen der Fachdirektoren, wie zum Beispiel die Konferenz der Kantonalen Justiz- und Polizeidirektorinnen und -direktoren (KKJPD) oder die Konferenz der kantonalen Sozialdirektorinnen und Sozialdirektoren (SODK), zur Vernehmlassung einzuladen. Diese holen Stellungnahmen in aller Regel einzig innerhalb ihres Fachbereiches ein. Damit bleiben die Datenschutzbehörden und Datenschutzanliegen aussen vor.

Zur Website des Sicherheitsverbundes Schweiz:
www.svs.admin.ch/de/home.html

Zum Nationalen Aktionsplan:
www.svs.admin.ch/content/svs-internet/de/medieninformationen/medienmitteilungen.detail.nsb.html/69082.html

Digitalisierung braucht wirksamen Datenschutz

Am heutigen ersten Schweizer Digitaltag werden zu Recht die Chancen der Digitalisierung hervorgehoben. privatim, die Konferenz der schweizerischen Datenschutzbeauftragten, bekräftigt die Wichtigkeit der Digitalisierung für die Schweizer Wirtschaft. Wenn diese aber zulasten des Persönlichkeitsschutzes der Bürgerinnen und Bürger geht, verliert sie unweigerlich an Vertrauen und Akzeptanz.

Die Digitalisierung rückt immer weiter vor. Dadurch eröffnen sich neue Chancen für die Schweizer Wirtschaft und für Bürgerinnen und Bürger. Nicht nur können Behörden und Unternehmen dank der Digitalisierung Kosten sparen, es eröffnen sich auch ganz neue Geschäftsfelder. Unternehmen können neue Dienstleistungen anbieten und wirtschaftlich wachsen. Auch privatim, die Konferenz der schweizerischen Datenschutzbeauftragten, anerkennt diese Chancen und bekräftigt die Wichtigkeit der Digitalisierung für den Wirtschaftsstandort Schweiz (weiterlesen).

Das revidierte Datenschutzgesetz ist keine souveräne Lösung

Es ist bedauerlich, dass der Bundesrat nicht den Mut gehabt hat, souverän einen schweizerischen Weg zu suchen und einfache Datenschutzregeln aufzustellen.

Beat Rudin, Bruno Baeriswyl und Claudia Mund

Vier Ziele sollten mit der Revision des Datenschutzgesetzes (DSG) erreicht werden: Erstens die Stärkung des Datenschutzes, nachdem die vom Bundesrat in Auftrag gegebene Gesetzesevaluation empfindliche Schwächen aufgedeckt hatte; Punkt zwei und drei betreffen die Umsetzung der modernisierten Datenschutzkonvention des Europarats sowie der EU-Datenschutzrichtlinie für die polizeiliche und justizielle Zusammenarbeit, die aufgrund der Schengen-Assoziierung auch für die Schweiz gilt. Und viertens brauchen Schweizer Unternehmen und Bundesbehörden für den Datenaustausch mit Unternehmen und Behörden in den EU-Mitgliedstaaten ein angemessenes Datenschutzniveau.

Hat der Bundesrat mit seiner Revisionsvorlage die vier Ziele erreicht? Wir sind überaus skeptisch. Zwar wurden die Wehklagen verschiedener Unternehmen berücksichtigt und viele Bestimmungen für private Datenbearbeiter entschärft. Aber auf grundsätzliche Kritik in der Vernehmlassung, beispielsweise am Sanktionssystem, ist er überhaupt nicht eingetreten. Ob es den Schweizer KMU hilft, wenn das Gesetz nun so vage formuliert wird, dass nicht mehr klar ist, was sie tun dürfen und was nicht? Und was haben die Bürger davon, wenn die Stärkung des Datenschutzes immer wieder auf halbem Weg steckenbleibt? So ist mit der für Datenbearbeiter vorgesehenen Dokumentationspflicht keine Beweislastumkehr in Zivilverfahren verbunden. Und ein so wichtiger Punkt wie die Datenportabilität – also das Recht der Nutzer, ihre Daten zu einem neuen Datenbearbeiter mitzunehmen – wird auf unbestimmte Zeit verschoben. Gesamthaft fehlt eine fundierte Auseinandersetzung mit der Wirkung der vorgesehenen Massnahmen: Können sie die Rechte der Betroffenen tatsächlich verbessern? Wie wirken sie sich auf Unternehmen aus? Und wird der Wirtschaftsstandort Schweiz am Ende wirklich gestärkt?

Herausgekommen ist ein überaus kompliziertes Regelwerk. In der vorgeschlagenen Form wird das totalrevidierte Datenschutzgesetz seinem Charakter als Grundsatzgesetz nicht mehr gerecht und ist alles andere als einfach zu verstehen. Für Betroffene ist nur schwer verständlich, welche Rechte sie nun wahrnehmen können, für Schweizer Unternehmen wiederum kaum abschätzbar, was nun an Pflichten konkret auf sie wartet.

Die DSGVO wird weltweit als wichtiger Schritt zur Stärkung des Datenschutzes und somit der Rechte der Menschen in der digitalen Welt angesehen.

Der Bundesrat hat den Zeitdruck und den Konformitätszwang mit dem EU-Recht überschätzt. Zwar gibt das Schengen-Assoziierungsabkommen eine Umsetzung innert zweier Jahre vor, doch diese Frist ist keine Guillotine, wenn sichtbar an der Umsetzung gearbeitet wird. Und über die Angemessenheit des Schweizer Datenschutzniveaus wird die EU-Kommission irgendwann nach dem Inkrafttreten der EU-Datenschutz-Grundverordnung (DSGVO) befinden; auch daraus ergibt sich keine absolute Deadline. An der Internationalen Datenschutzkonferenz in Hongkong hat sich zweierlei gezeigt: Die DSGVO wird weltweit als wichtiger Schritt zur Stärkung des Datenschutzes und somit der Rechte der Menschen in der digitalen Welt angesehen. Die Schweiz tut also gut daran, den Anschluss an diese Entwicklung nicht zu verpassen. Damit der Datenaustausch mit Unternehmen und Behörden in den EU-Ländern auch weiterhin ohne weiteres möglich bleibt, muss sie ein angemessenes Datenschutzniveau garantieren. Doch dies heisst nicht zwingend – so die zweite wichtige Erkenntnis in Hongkong –, dass die Bestimmungen der DSGVO wortgetreu ins Landesrecht übernommen werden müssen. Vorausgesetzt wird eine vergleichbare Schutzwirkung. Und die lässt sich auch mit anderen Regelungen und Instrumenten erreichen.

Als Gastkommentar publiziert in der NZZ vom 31.10.2017

alle Posts

privatim liest

Die Angst vor der digitalen Datenspur

Täglich hinterlassen wir im Netz unsere Daten. Das Link Institut hat im Auftrag der SRG eine Befragung durchgeführt.
21.11.18, SRF

Schweizer Firmen behandeln Datenschutz stiefmütterlich

Anspruch und Realität in Bezug auf Datenschutz klaffen in Schweizer Unternehmen auseinander, zeigt eine ZHAW-Studie. Demnach stellen KMU kaum entsprechende Ressourcen zur Verfügung. In 70 Prozent der befragten Firmen fehlt es an Datenschutzbeauftragten.

8.10.18, Computerworld

Das halten Experten von der neuen Datenschutzwelt

An einer Tagung des IT-Verbands ICMF haben Experten ihre Erfahrungen mit der neuen EU-Datenschutzgrundverordnung steht fest: Manche Befürchtungen waren übertrieben. Trotzdem lauern Fallgruben.

26.9.18, Netzwoche

Jetzt geht es um die Wurst!

Nicht nur im E-Mail-Postfach: In Salzburg sorgt auch ein Metzger mit einem Datenschutzhinweis für Lacher.

29.05.18, heute.at

 

Die falsche Dramaturgie

Das EU-Parlament lädt Facebook-Chef Mark Zuckerberg zur Anhörung – redet dann aber lieber selbst. So vertun die Politiker eine ebenso seltene wie wertvolle Chance. Nach etwa 40 Minuten zitierte die Linke Gabriele Zimmer aus Goethes „Zauberlehrling“ – und lieferte damit den anschaulichsten Beweis, dass die europäischen Politiker am Dienstagabend eine enorme Chance vertan haben.

22.05.18, Wirtschaftswoche

alle Posts